Comment protéger WordPress avec Fail2Ban
English version: How to protect WordPress with Fail2Ban
En utilisant ensemble WP Cerber Security et Fail2Ban, vous pouvez renforcer la protection au niveau le plus efficace. Cela vous permet de protéger un WordPress contre les attaques par force brute et DoS au niveau du système d'exploitation avec iptables .
En savoir plus sur les attaques : Attaques par force brute, DoS et DDoS – quelle est la différence ?
Remarque : vous devez disposer d'un accès root à votre serveur Linux pour configurer Fail2Ban.
Avec WP Cerber Security, vous disposez de trois options pour utiliser Fail2Ban
- Utilisation des en-têtes de réponse HTTP 403 si vous souhaitez surveiller le journal d'accès Apache
- Utilisation de fichiers Syslog pour surveiller les tentatives de connexion infructueuses
- Utilisation d'un fichier journal personnalisé pour surveiller les tentatives de connexion ayant échoué
Surveiller le journal d'accès Apache pour les réponses HTTP 403
Lorsqu'une tentative de connexion échoue, WP Cerber renvoie la réponse 403 dans l'en-tête HTTP. Cette réponse sera écrite dans le journal d'accès Apache et ces enregistrements pourront être surveillés par Fail2Ban. Ce comportement de WP Cerber est activé par défaut. L'inconvénient de cette approche est que Fail2Ban doit analyser l'intégralité du fichier access.log afin de trouver ces tentatives.
Utilisation de Syslog pour surveiller les tentatives de connexion infructueuses
Par défaut, WP Cerber utilise la fonction LOG_AUTH lorsqu'il enregistre les tentatives infructueuses dans le fichier syslog. Cependant, vous pouvez spécifier une installation avec votre propre valeur. Pour configurer une nouvelle valeur, vous devez définir la constante CERBER_LOG_FACILITY avec une valeur entière. Remarque : pour activer l'écriture dans le syslog ou dans un fichier personnalisé (voir ci-dessous), vous devez activer l'écriture des tentatives de connexion ayant échoué dans le fichier dans la section Activité des paramètres du plugin.
définir('CERBER_LOG_FACILITY', LOG_AUTHPRIV);
Utilisation d'un fichier personnalisé pour surveiller les tentatives de connexion échouées
Si vous souhaitez écrire toutes les tentatives infructueuses dans un fichier journal personnalisé, vous devez spécifier un nom de fichier avec un chemin absolu à l'aide de la constante CERBER_FAIL_LOG . N'oubliez pas de définir l'autorisation d'écriture pour le processus Apache sur le dossier ou le fichier journal et d'activer l'écriture des tentatives de connexion ayant échoué au fichier . Si le fichier n'existe pas, le plugin tente de le créer. Si CERBER_FAIL_LOG est défini, le plugin n'écrit pas de messages dans le syslog par défaut.
définir('CERBER_FAIL_LOG','/var/log/fail2ban.log');
Assurez-vous que le processus du serveur Web (Apache) est autorisé à écrire dans un fichier spécifié.
Information additionnelle:
En savoir plus sur l'adresse IP de l'intrus
WP Cerber Security 2.7
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.