Security Blog
Security Blog

Comment protéger WordPress avec Fail2Ban


English version: How to protect WordPress with Fail2Ban


En associant WP Cerber Security et Fail2Ban , vous pouvez renforcer la protection au niveau le plus efficace. Cela vous permet de protéger un WordPress des attaques par force brute et par DoS au niveau du système d'exploitation avec iptables .

En savoir plus sur les attaques: attaques par force brute, DoS et DDoS – quelle est la différence?

Remarque: vous devez disposer d'un accès root sur votre serveur Linux pour pouvoir configurer Fail2Ban.

Avec WP Cerber Security, vous avez trois options pour utiliser Fail2Ban

  1. Utilisation des en-têtes de réponse HTTP 403 si vous souhaitez surveiller le journal d'accès Apache
  2. Utilisation de fichiers syslog pour surveiller les tentatives de connexion infructueuses
  3. Utilisation d'un fichier journal personnalisé pour surveiller les tentatives de connexion infructueuses

Surveiller le journal d'accès Apache pour les réponses HTTP 403

Quand une tentative de connexion échoue, WP Cerber renvoie la réponse 403 dans l'en-tête HTTP. Cette réponse sera écrite dans le journal d'accès Apache et ces enregistrements peuvent être surveillés par Fail2Ban. Ce comportement de WP Cerber est activé par défaut. L'inconvénient de cette approche est que Fail2Ban doit analyser l'intégralité du fichier access.log afin de rechercher ces tentatives.

Utilisation de syslog pour surveiller les tentatives de connexion infructueuses

Par défaut, WP Cerber utilise la fonction LOG_AUTH lorsqu'il enregistre les tentatives infructueuses dans le fichier syslog. Cependant, vous pouvez spécifier une installation avec votre propre valeur. Pour définir une nouvelle valeur, vous devez définir la constante CERBER_LOG_FACILITY avec une valeur entière. Remarque: pour permettre l'écriture dans le syslog ou dans un fichier personnalisé (voir ci-dessous), vous devez activer les tentatives de tentative d' inscription en écriture ayant échoué au fichier dans la section Activité des paramètres du plug-in.

 define ('CERBER_LOG_FACILITY', LOG_AUTHPRIV); 

Utilisation d'un fichier personnalisé pour surveiller les tentatives de connexion infructueuses

Si vous souhaitez écrire toutes les tentatives ayant échoué dans un fichier journal personnalisé, vous devez spécifier un nom de fichier avec un chemin absolu à l'aide de la constante CERBER_FAIL_LOG . N'oubliez pas de définir l'autorisation d'écriture du processus Apache sur le dossier ou le fichier journal et d'activer les tentatives de connexion infructueuses en écriture dans le fichier . Si le fichier n'existe pas, le plugin tente de le créer. Si CERBER_FAIL_LOG est défini, le plug-in n'écrit pas de messages dans le syslog par défaut.

 define ('CERBER_FAIL_LOG', '/ var / log / fail2ban.log'); 

Assurez-vous que le processus du serveur Web (Apache) est autorisé à écrire dans un fichier spécifié.

Information additionnelle:

https://timnash.co.uk/using-fail2ban-wordpress/

http://www.fail2ban.org

https://www.digitalocean.com/community/tutorials/how-fail2ban-works-to-protect-services-on-a-linux-server


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.