Comment protéger WordPress avec Fail2Ban
English version: How to protect WordPress with Fail2Ban
L'utilisation conjointe de WP Cerber Security et Fail2Ban permet de renforcer la protection au niveau le plus efficace. Cela permet de protéger un site WordPress contre les attaques par force brute et les attaques par déni de service (DoS) au niveau du système d'exploitation grâce à iptables .
Pour en savoir plus sur les attaques : Attaques par force brute, DoS et DDoS – quelle est la différence ?
Remarque : vous devez disposer d'un accès root à votre serveur Linux pour configurer Fail2Ban.
Avec WP Cerber Security, vous disposez de trois options pour utiliser Fail2Ban.
- Utilisez les en-têtes de réponse HTTP 403 si vous souhaitez surveiller le journal d'accès Apache.
- Utilisation des fichiers syslog pour surveiller les tentatives de connexion infructueuses
- Utilisation d'un fichier journal personnalisé pour surveiller les tentatives de connexion infructueuses
Surveillez le journal d'accès Apache pour les réponses HTTP 403.
Lorsqu'une tentative de connexion échoue, WP Cerber renvoie une réponse 403 dans l'en-tête HTTP. Cette réponse est enregistrée dans le journal d'accès Apache et ces enregistrements peuvent être surveillés par Fail2Ban. Ce comportement de WP Cerber est activé par défaut. L'inconvénient de cette approche est que Fail2Ban doit analyser l'intégralité du fichier access.log pour détecter ces tentatives.
Utilisation de syslog pour surveiller les tentatives de connexion infructueuses
Par défaut, WP Cerber utilise le protocole LOG_AUTH pour consigner les tentatives de connexion infructueuses dans le fichier syslog. Vous pouvez toutefois spécifier un autre protocole. Pour ce faire, définissez la constante CERBER_LOG_FACILITY avec une valeur entière. Remarque : pour activer l’écriture dans le fichier syslog ou dans un fichier personnalisé (voir ci-dessous), vous devez activer l’option « Enregistrer les tentatives de connexion infructueuses dans le fichier » dans la section « Activité » des paramètres de l’extension.
définir('CERBER_LOG_FACILITY', LOG_AUTHPRIV);
Utilisation d'un fichier personnalisé pour surveiller les tentatives de connexion infructueuses
Pour consigner tous les échecs de connexion dans un fichier journal personnalisé, spécifiez son nom avec un chemin absolu à l'aide de la constante `CERBER_FAIL_LOG` . N'oubliez pas d'accorder les droits d'écriture au processus Apache sur le dossier ou le fichier journal et d'activer l'option « Enregistrer les échecs de connexion dans le fichier » . Si le fichier n'existe pas, l'extension tentera de le créer. Si `CERBER_FAIL_LOG` est défini, l'extension n'écrira pas les messages dans le journal système par défaut.
définir('CERBER_FAIL_LOG','/var/log/fail2ban.log');
Assurez-vous que le processus du serveur web (Apache) dispose de l'autorisation d'écrire dans un fichier spécifié.
Informations complémentaires :
Limiter les tentatives de connexion sans plugin ?
WP Cerber Security 2.7.2
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.