워드프레스에서 429 Too Many Requests 오류가 발생할 때 해결하는 방법

워드프레스 사이트에서 매우 드물지만 429 Too Many Requests 오류가 발생하는 경우가 있습니다. 이 오류는 보통 짧은 시간 안에 너무 많은 요청이 서버로 들어올 때 발생하며, 서버가 과부하나 공격을 막기 위해 일종의 속도 제한(rate limiting)을 건 상황입니다.

429 오류가 발생하는 경우 원인과 해결 방법에 대하여 살펴보겠습니다.

429 Too Many Requests 오류란?

429 Too Many Requests 오류는 사용자가 지정된 시간 동안 서버가 허용하는 횟수 이상의 요청을 보냈을 때, 앞서 설명한 레이트 리미팅(Rate Limiting) 기능이 작동하여 서버가 시스템 리소스 보호를 위해 추가 요청 처리를 거부하며 반환하는 HTTP 상태 코드입니다. 이는 단순한 서버 장애가 아니라 과부하나 악의적인 공격(DDoS 등)을 막기 위한 의도적이고 정상적인 방어 메커니즘의 결과이며, 클라이언트는 보통 서버가 응답 헤더(Retry-After)에 명시한 대기 시간이 지난 후에야 다시 정상적으로 통신할 수 있습니다.

이러한 제한은 다음과 같은 문제로부터 서버를 보호하기 위한 것입니다.

• 무차별 대입(brute-force) 로그인 공격 방어
• 봇/스크래퍼의 과도한 크롤링 제어
• 서버 리소스(메모리, CPU, DB)를 보호해 다운 방지

워드프레스에서 429 오류가 발생하는 원인

다양한 요인으로 인해 429 오류가 발생할 수 있습니다. 워드프레스 환경에서는 다음과 같은 몇 가지 사항이 원인일 수 있습니다.

• 플러그인이나 테마가 매우 짧은 주기로 반복적으로 요청을 보내는 경우
• 로그인 페이지가 봇/공격에 의해 반복 호출되는 경우
• 외부 API(예: 서드파티 서비스)를 너무 자주 호출하는 경우
• CDN, WAF, 보안 플러그인에서 레이트 리밋(속도 제한)을 강하게 걸어둔 경우
• 잘못된 리다이렉트 설정(HTTP↔HTTPS, www↔non-www)으로 무한 리디렉션이 발생하여 요청이 폭증하는 경우

워드프레스에서 429 오류 해결 방법

429 오류는 매우 드문 편입니다. 저는 10년 이상 워드프레스를 운영하면서 직접적으로 이 오류를 접한 적은 없습니다. 지난 달 워드프레스 관련 네이버 카페에 블루호스트(Bluehost)를 이용하는 워드프레스 사이트에서 429 Too Many Requests가 발생한 것에 대한 글이 올라온 적이 있어 캡처해 보았습니다.

카페에 글을 작성한 분도 5년만에 처음 이런 오류를 접했다고 하네요. 이 오류가 발생하면 먼저 웹호스팅 업체에 연락하여 원인을 파악하는 것이 좋습니다. 

상기 사례에서 발생한 429 Too Many Requests 오류의 원인은 수백 개의 다양한 IP를 동원하여 짧은 시간에 비정상적인 트래픽을 발생시킨 분산된 봇(Bot) 공격 또는 무작위 스크래핑 시도 때문인 것으로 보입니다. 공격자들은 사이트의 규모나 애드센스 수익과 무관하게 취약점 탐색, 무단 데이터 수집, 악성 코드 주입 등을 목적으로 자동화된 프로그램을 이용해 무작위 타겟팅을 하는 경우가 많으며, 이에 호스팅 서버가 전체 시스템의 과부하를 막기 위해 스스로 방어 체계를 가동하여 악성 IP들의 접속을 차단(Rate Limiting)하는 과정에서 표출된 결과입니다.

클라우드웨이즈(Cloudways)를 이용하는 경우 악성 IP나 스팸 봇의 공격이 있으면 서버 CPU와 램 사용률이 급증하면서 서버가 매우 느려지거나 다운될 수 있습니다.

저는 대역폭을 꽉 채우는 디도스(DDoS) 공격과 달리, 실제 사용자가 접속하는 것처럼 HTTP 요청을 보내어 서버의 CPU와 DB 리소스를 소진시키는 L7 어플리케이션 레이어 혹은 비슷한 류의 공격을 받은 적이 있습니다.

비정상적인 해외 유입과 서버 과부하, 디도스일까? L7 공격 분석 및 해결 방법 - 워드프레스 정보

클라우드웨이즈를 이용한다면 짧은 시간에 빈번하게 방문하거나 유입되는 IP나 스팸 봇을 확인하여 차단하는 것이 가능합니다. 저는 악성 IP와 스팸 봇들을 차단하고 클라우드플레어를 통해 특정 국가의 유입 시 매니지 챌린지를 통과하도록 설정하여 문제를 해결할 수 있었습니다.

클라우드웨이즈 서버 부하 줄이기: 악성 봇 및 특정 IP 차단 방법 3가지 - 워드프레스 정보꾸러미

보안이 염려가 된다면 클라우드플레어(Cloudflare)와 연동하는 것도 고려해 볼 수 있습니다. 약간의 속도 저하가 있을 수 있기 때문에 망설여졌지만, 클라우플레어와 연동하여 특정 국가 유입을 필터링하고 악성 IP를 차단하여 더 이상 CPU가 100%까지 치솟는 현상이 발생하지 않고 있습니다.😄

악성 IP나 스팸 봇 혹은 디도스 공격이 원인이 아니라면 플러그인 충돌이나 테마 충돌을 의심해볼 수 있습니다.

• 모든 플러그인을 비활성화하여 문제가 해결되는지 체크해 봅니다.
• 테마를 공식 테마(예: Twenty Twenty-Five 테마 등)로 일시적으로 변경하여 문제가 발생하는지 체크합니다.
• 사이트를 백업한 후에 최신 버전으로 업데이트하여 문제가 해결되는지도 확인합니다.

만약 플러그인을 모두 비활성화했을 때 문제가 해결된다면, 플러그인을 하나씩 활성화하면서 문제를 일으키는 플러그인을 찾도록 합니다.

문제를 일으키는 플러그인을 찾았다면 삭제하거나 다른 플러그인으로 교체하는 것을 검토할 수 있습니다.

일부 플러그인이나 위젯은 날씨, 환율, 분석 도구 등 외부 서비스를 위해 API로 연동하기도 합니다.

• 너무 짧은 주기로 데이터를 새로 고침하도록 설정된 경우, 외부 API나 서버에서 레이트 리밋에 걸릴 수 있습니다.
• 해당 플러그인 설정에서 "새로 고침 주기"를 길게 변경하거나, 캐싱을 활용해 불필요한 API 호출을 줄이도록 시도합니다.

마치며

워드프레스에서 429 Too Many Requests는 매우 드물게 발생하지만, 이 문제가 발생한다면 먼저 웹호스팅에 연락하여 문제의 원인에 대하여 문의해 볼 수 있습니다. 원인이 파악되면 대응 방법을 정할 수 있습니다.

디도스 공격 등이 염려가 된다면 클라우드플레어를 활용하면 공격 시 효과적으로 대응할 수 있습니다. 

플러그인 충돌 등에 의해서도 이 문제가 발생할 수 있습니다. 에러 로그를 확인하여 문제 해결에 실마리가 될 만한 오류 메시지가 있는지 체크해 보는 것도 좋은 방법입니다.

참고

https://avada.tistory.com/3723

워드프레스 Ad Inserter, WPCode 플러그인을 통한 악성코드 유입 위험

https://avada.tistory.com/3897

클라우드웨이즈 워드프레스 오류 발생 시 에러 로그 확인하기