Come proteggere WordPress con Fail2Ban
English version: How to protect WordPress with Fail2Ban
Utilizzando WP Cerber Security e Fail2Ban insieme, puoi rafforzare la protezione al livello più efficace. Questo ti consente di proteggere WordPress da attacchi brute-force e DoS a livello di sistema operativo con iptables .
Per saperne di più sugli attacchi: attacchi brute-force, DoS e DDoS: qual è la differenza?
Nota: per configurare Fail2Ban è necessario disporre dell'accesso root al server Linux.
Con WP Cerber Security hai tre opzioni per utilizzare Fail2Ban
- Utilizzo delle intestazioni di risposta HTTP 403 se si desidera monitorare il registro di accesso di Apache
- Utilizzo dei file syslog per monitorare i tentativi di accesso non riusciti
- Utilizzo di un file di registro personalizzato per monitorare i tentativi di accesso non riusciti
Monitorare il registro di accesso di Apache per le risposte HTTP 403
Quando un tentativo di accesso fallisce, WP Cerber restituisce una risposta 403 nell'intestazione HTTP. Tale risposta verrà scritta nel log di accesso di Apache e tali record potranno essere monitorati da Fail2Ban. Questo comportamento di WP Cerber è abilitato di default. Lo svantaggio di questo approccio è che Fail2Ban deve analizzare l'intero file access.log per individuare tali tentativi.
Utilizzo di syslog per monitorare i tentativi di accesso non riusciti
Per impostazione predefinita, WP Cerber utilizza la funzionalità LOG_AUTH quando registra i tentativi di accesso non riusciti nel file syslog. Tuttavia, è possibile specificare una funzionalità con un valore personalizzato. Per impostare un nuovo valore, è necessario definire la costante CERBER_LOG_FACILITY con un valore intero. Nota: per abilitare la scrittura nel file syslog o in un file personalizzato (vedere di seguito), è necessario abilitare l'opzione "Scrivi tentativi di accesso non riusciti nel file" nella sezione Attività delle impostazioni del plugin.
define('CERBER_LOG_FACILITY', LOG_AUTHPRIV);
Utilizzo di un file personalizzato per monitorare i tentativi di accesso non riusciti
Se si desidera scrivere tutti i tentativi falliti in un file di registro personalizzato, è necessario specificare un nome file con un percorso assoluto utilizzando la costante CERBER_FAIL_LOG . Non dimenticare di impostare i permessi di scrittura per il processo Apache sulla cartella o sul file di registro e di abilitare "Scrivi tentativi di accesso falliti nel file" . Se il file non esiste, il plugin tenta di crearlo. Se CERBER_FAIL_LOG è definito, il plugin non scrive messaggi nel syslog predefinito.
define('CERBER_FAIL_LOG','/var/log/fail2ban.log');
Assicurarsi che il processo del server web (Apache) abbia l'autorizzazione a scrivere su un file specificato.
Informazioni aggiuntive:
WP Cerber Security 6.0
WP Cerber Security 6.1
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.