Security Blog
Security Blog

So schützen WordPress mit Fail2Ban


English version: How to protect WordPress with Fail2Ban


Wenn Sie WP Cerber Security und Fail2Ban zusammen verwenden , können Sie den Schutz auf der effektivsten Ebene verstärken. Das erlaubt Ihnen , ein WordPress von Brute-Force zu schützen und DoS – Angriffe auf OS – Ebene mit iptables.

Lesen Sie mehr über Angriffe: Brute-Force-, DoS- und DDoS-Angriffe – was ist der Unterschied?

Hinweis: Sie müssen über Rootzugriff auf Ihren Linux-Server verfügen, um Fail2Ban einrichten zu können.

Mit WP Cerber Security haben Sie drei Möglichkeiten, Fail2Ban zu verwenden

  1. Verwenden Sie HTTP 403-Antwortheader, wenn Sie das Apache-Zugriffsprotokoll überwachen möchten
  2. Verwenden von Syslog-Dateien zum Überwachen fehlgeschlagener Anmeldeversuche
  3. Verwenden einer benutzerdefinierten Protokolldatei zum Überwachen fehlgeschlagener Anmeldeversuche

Überwachen Sie das Apache-Zugriffsprotokoll auf HTTP 403-Antworten

Wenn ein Anmeldeversuch fehlschlägt, gibt WP Cerber eine Antwort im HTTP-Header zurück. Diese Antwort wird in das Apache-Zugriffsprotokoll geschrieben und diese Datensätze können von Fail2Ban überwacht werden. Dieses Verhalten von WP Cerber ist standardmäßig aktiviert. Der Nachteil dieses Ansatzes besteht darin, dass Fail2Ban das gesamte access.log analysieren muss, um diese Versuche zu finden.

Verwenden von syslog zur Überwachung fehlgeschlagener Anmeldeversuche

Standardmäßig verwendet WP Cerber die LOG_AUTH-Funktion , wenn fehlgeschlagene Versuche in der Syslog-Datei protokolliert werden. Sie können jedoch eine Einrichtung mit Ihrem eigenen Wert angeben. Um einen neuen Wert festzulegen, müssen Sie die Konstante CERBER_LOG_FACILITY mit einem ganzzahligen Wert definieren. Hinweis: Um das Schreiben in das Syslog oder in eine benutzerdefinierte Datei (siehe unten) zu aktivieren, müssen Sie die Option "Fehlgeschlagene Anmeldeversuche für die Datei" im Abschnitt "Aktivität" der Plugin-Einstellungen aktivieren.

 define ('CERBER_LOG_FACILITY', LOG_AUTHPRIV); 

Verwenden einer benutzerdefinierten Datei zum Überwachen fehlgeschlagener Anmeldeversuche

Wenn Sie alle fehlgeschlagenen Versuche in eine benutzerdefinierte Protokolldatei schreiben möchten, müssen Sie einen Dateinamen mit einem absoluten Pfad mit der Konstante CERBER_FAIL_LOG angeben . Vergessen Sie nicht, die Schreibberechtigung für den Apache-Prozess für die Ordner- oder Protokolldatei festzulegen und das Schreiben der fehlgeschlagenen Anmeldeversuche in die Datei zu aktivieren. Wenn die Datei nicht vorhanden ist, versucht das Plugin, sie zu erstellen. Wenn CERBER_FAIL_LOG definiert ist, schreibt das Plugin keine Nachrichten in das Standardprotokoll syslog.

 define ('CERBER_FAIL_LOG', '/ var / log / fail2ban.log'); 

Stellen Sie sicher, dass der Webserverprozess (Apache) zum Schreiben in eine angegebene Datei berechtigt ist.

Zusätzliche Information:

https://timnash.co.uk/using-fail2ban-wordpress/

http://www.fail2ban.org

https://www.digitalocean.com/community/tutorials/how-fail2ban-works-to-protect-services-on-a-linux-server

Last posts from WordPress security blog


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.