Wie man WordPress mit Fail2Ban schützt
English version: How to protect WordPress with Fail2Ban
Durch die gemeinsame Verwendung von WP Cerber Security und Fail2Ban lässt sich der Schutz auf der effektivsten Ebene verstärken. So können Sie eine WordPress-Installation mithilfe von iptables auf Betriebssystemebene vor Brute-Force- und DoS-Angriffen schützen.
Lesen Sie mehr über Angriffe: Brute-Force-, DoS- und DDoS-Angriffe – worin besteht der Unterschied?
Hinweis: Sie benötigen Root-Zugriff auf Ihren Linux-Server, um Fail2Ban einzurichten.
Mit WP Cerber Security haben Sie drei Möglichkeiten, Fail2Ban zu nutzen.
- Verwenden Sie die HTTP-403-Antwortheader, wenn Sie das Apache-Zugriffsprotokoll überwachen möchten.
- Verwendung von Syslog-Dateien zur Überwachung fehlgeschlagener Anmeldeversuche
- Verwendung einer benutzerdefinierten Protokolldatei zur Überwachung fehlgeschlagener Anmeldeversuche
Überwachen Sie das Apache-Zugriffsprotokoll auf HTTP-403-Antworten.
Schlägt ein Anmeldeversuch fehl, sendet WP Cerber eine 403-Antwort im HTTP-Header. Diese Antwort wird im Apache-Zugriffsprotokoll protokolliert und kann von Fail2Ban überwacht werden. Dieses Verhalten von WP Cerber ist standardmäßig aktiviert. Der Nachteil dieser Methode besteht darin, dass Fail2Ban das gesamte Zugriffsprotokoll durchsuchen muss, um diese Anmeldeversuche zu finden.
Verwendung von syslog zur Überwachung fehlgeschlagener Anmeldeversuche
Standardmäßig verwendet WP Cerber die LOG_AUTH -Funktion, um fehlgeschlagene Anmeldeversuche in die Syslog-Datei zu protokollieren. Sie können jedoch eine andere Funktion mit einem eigenen Wert festlegen. Um einen neuen Wert zu definieren, legen Sie die Konstante CERBER_LOG_FACILITY mit einem ganzzahligen Wert fest. Hinweis: Um das Schreiben in die Syslog-Datei oder eine benutzerdefinierte Datei (siehe unten) zu aktivieren, müssen Sie in den Plugin-Einstellungen unter „Aktivität “ die Option „Fehlgeschlagene Anmeldeversuche in Datei schreiben“ aktivieren.
define('CERBER_LOG_FACILITY', LOG_AUTHPRIV);
Mithilfe einer benutzerdefinierten Datei werden fehlgeschlagene Anmeldeversuche überwacht.
Um alle fehlgeschlagenen Anmeldeversuche in eine benutzerdefinierte Protokolldatei zu schreiben, müssen Sie mithilfe der Konstante CERBER_FAIL_LOG einen Dateinamen mit absolutem Pfad angeben. Vergessen Sie nicht, dem Apache-Prozess Schreibrechte für den Ordner oder die Protokolldatei zu erteilen und die Option „Fehlgeschlagene Anmeldeversuche in die Datei schreiben“ zu aktivieren. Falls die Datei nicht existiert, versucht das Plugin, sie zu erstellen. Wenn CERBER_FAIL_LOG definiert ist, schreibt das Plugin keine Meldungen in das Standard-Syslog.
define('CERBER_FAIL_LOG','/var/log/fail2ban.log');
Stellen Sie sicher, dass der Webserverprozess (Apache) die Berechtigung hat, in eine bestimmte Datei zu schreiben.
Zusätzliche Informationen:
WP Cerber Security 1.4
Empfohlene Sicherheitseinstellungen für WP Cerber
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.