Security Blog
Security Blog
Posted By Gregory

Come proteggere WordPress con Fail2Ban


English version: How to protect WordPress with Fail2Ban


Utilizzando insieme WP Cerber Security e Fail2Ban puoi rafforzare la protezione al livello più efficace. Ciò ti consente di proteggere un WordPress da attacchi di forza bruta e DoS a livello di sistema operativo con iptables .

Ulteriori informazioni sugli attacchi: attacchi di forza bruta, DoS e DDoS: qual è la differenza?

Nota: devi avere l'accesso root al tuo server Linux per configurare Fail2Ban.

Con WP Cerber Security hai tre opzioni per utilizzare Fail2Ban

  1. Utilizzando le intestazioni di risposta HTTP 403 se desideri monitorare il registro di accesso di Apache
  2. Utilizzo dei file syslog per monitorare i tentativi di accesso non riusciti
  3. Utilizzo di un file di registro personalizzato per monitorare i tentativi di accesso non riusciti

Monitora il registro di accesso di Apache per le risposte HTTP 403

Quando un tentativo di accesso fallisce, WP Cerber restituisce la risposta 403 nell'intestazione HTTP. Tale risposta verrà scritta nel registro di accesso di Apache e tali record potrebbero essere monitorati da Fail2Ban. Questo comportamento di WP Cerber è abilitato per impostazione predefinita. Lo svantaggio di questo approccio è che Fail2Ban deve analizzare l'intero access.log per trovare questi tentativi.

Utilizzo di syslog per monitorare i tentativi di accesso non riusciti

Per impostazione predefinita, WP Cerber utilizza la funzione LOG_AUTH quando registra i tentativi falliti nel file syslog. Tuttavia, puoi specificare una struttura con il tuo valore. Per impostare un nuovo valore è necessario definire la costante CERBER_LOG_FACILITY con un valore intero. Nota: per abilitare la scrittura sul syslog o su un file personalizzato (vedi sotto) è necessario abilitare Scrivi tentativi di accesso non riusciti sul file nella sezione Attività delle impostazioni del plugin.

 define('CERBER_LOG_FACILITY', LOG_AUTHPRIV);

Utilizzo di un file personalizzato per monitorare i tentativi di accesso non riusciti

Se desideri scrivere tutti i tentativi falliti in qualsiasi file di registro personalizzato, devi specificare un nome file con un percorso assoluto utilizzando la costante CERBER_FAIL_LOG . Non dimenticare di impostare l'autorizzazione di scrittura per il processo Apache sulla cartella o sul file di registro e abilitare Scrivi tentativi di accesso non riusciti al file . Se il file non esiste, il plugin tenta di crearlo. Se CERBER_FAIL_LOG è definito, il plugin non scrive messaggi nel syslog predefinito.

 define('CERBER_FAIL_LOG','/var/log/fail2ban.log');

Assicurati che il processo del server Web (Apache) disponga dell'autorizzazione per scrivere su un file specificato.

Informazioni addizionali:

https://timnash.co.uk/using-fail2ban-wordpress/

http://www.fail2ban.org

https://www.digitalocean.com/community/tutorials/how-fail2ban-works-to-protect-services-on-a-linux-server


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.