Comment protéger WordPress avec Fail2Ban
English version: How to protect WordPress with Fail2Ban
En utilisant WP Cerber Security et Fail2Ban ensemble, vous pouvez renforcer la protection au niveau le plus efficace. Cela vous permet de protéger un WordPress contre les attaques par force brute et DoS au niveau du système d'exploitation avec iptables .
En savoir plus sur les attaques : Attaques par force brute, DoS et DDoS : quelle est la différence ?
Remarque : vous devez disposer de l'accès root à votre serveur Linux pour configurer Fail2Ban.
Avec WP Cerber Security, vous avez trois options pour utiliser Fail2Ban
- Utilisation des en-têtes de réponse HTTP 403 si vous souhaitez surveiller le journal d'accès Apache
- Utilisation des fichiers syslog pour surveiller les tentatives de connexion infructueuses
- Utilisation d'un fichier journal personnalisé pour surveiller les tentatives de connexion infructueuses
Surveiller le journal d'accès Apache pour les réponses HTTP 403
Lorsqu'une tentative de connexion échoue, WP Cerber renvoie une réponse 403 dans l'en-tête HTTP. Cette réponse sera écrite dans le journal d'accès Apache et ces enregistrements pourront être surveillés par Fail2Ban. Ce comportement de WP Cerber est activé par défaut. L'inconvénient de cette approche est que Fail2Ban doit analyser l'intégralité du fichier access.log pour trouver ces tentatives.
Utilisation de Syslog pour surveiller les tentatives de connexion infructueuses
Par défaut, WP Cerber utilise la fonction LOG_AUTH lorsqu'il enregistre les tentatives infructueuses dans le fichier syslog. Cependant, vous pouvez spécifier une fonction avec votre propre valeur. Pour configurer une nouvelle valeur, vous devez définir la constante CERBER_LOG_FACILITY avec une valeur entière. Remarque : pour activer l'écriture dans le syslog ou dans un fichier personnalisé (voir ci-dessous), vous devez activer l'option Écrire les tentatives de connexion infructueuses dans le fichier dans la section Activité des paramètres du plugin.
définir('CERBER_LOG_FACILITY', LOG_AUTHPRIV);
Utilisation d'un fichier personnalisé pour surveiller les tentatives de connexion infructueuses
Si vous souhaitez écrire toutes les tentatives infructueuses dans un fichier journal personnalisé, vous devez spécifier un nom de fichier avec un chemin absolu à l'aide de la constante CERBER_FAIL_LOG . N'oubliez pas de définir l'autorisation d'écriture pour le processus Apache sur le dossier ou le fichier journal et d'activer Écrire les tentatives de connexion infructueuses dans le fichier . Si le fichier n'existe pas, le plug-in tente de le créer. Si CERBER_FAIL_LOG est défini, le plug-in n'écrit pas de messages dans le journal système par défaut.
définir('CERBER_FAIL_LOG','/var/log/fail2ban.log');
Assurez-vous que le processus du serveur Web (Apache) dispose de l'autorisation d'écrire dans un fichier spécifié.
Informations complémentaires :