Come proteggere WordPress con fail2ban
English version: How to protect WordPress with Fail2Ban
Utilizzando WP Cerber Security e Fail2Ban insieme puoi rafforzare la protezione al livello più efficace. Ciò consente di proteggere un WordPress da attacchi brute-force e DoS a livello di sistema operativo con iptables .
Maggiori informazioni sugli attacchi: attacchi Brute-force, DoS e DDoS: qual è la differenza?
Nota: è necessario avere l'accesso root al proprio server Linux per configurare Fail2Ban.
Con WP Cerber Security hai tre opzioni per usare Fail2Ban
- Utilizzo delle intestazioni di risposta HTTP 403 se si desidera monitorare il registro di accesso di Apache
- Utilizzo dei file syslog per monitorare i tentativi di accesso non riusciti
- Utilizzo di un file di registro personalizzato per monitorare i tentativi di accesso non riusciti
Monitorare il log di accesso di Apache per le risposte HTTP 403
Quando un tentativo di accesso fallisce, WP Cerber restituisce la risposta 403 nell'intestazione HTTP. Tale risposta verrà scritta nel log di accesso di Apache e tali record potranno essere monitorati da Fail2Ban. Questo comportamento di WP Cerber è abilitato per impostazione predefinita. Lo svantaggio di questo approccio è che Fail2Ban deve analizzare l'intero access.log per trovare quei tentativi.
Utilizzo di syslog per monitorare i tentativi di accesso non riusciti
Per impostazione predefinita, WP Cerber utilizza la funzione LOG_AUTH quando registra i tentativi non riusciti sul file syslog. Tuttavia, è possibile specificare una struttura con il proprio valore. Per impostare un nuovo valore devi definire la costante CERBER_LOG_FACILITY con un valore intero. Nota: per abilitare la scrittura sul syslog o su un file personalizzato (vedi sotto) è necessario abilitare Scrivi tentativi di accesso non riusciti al file nella sezione Attività delle impostazioni del plugin.
define ('CERBER_LOG_FACILITY', LOG_AUTHPRIV);
Utilizzo di un file personalizzato per monitorare i tentativi di accesso non riusciti
Se si desidera scrivere tutti i tentativi non riusciti su qualsiasi file di registro personalizzato, è necessario specificare un nome file con un percorso assoluto utilizzando CERBER_FAIL_LOG costante. Non dimenticare di impostare il permesso di scrittura per il processo Apache sulla cartella o sul file di registro e abilitare Scrivi tentativi di accesso non riusciti al file . Se il file non esiste, il plug-in tenta di crearlo. Se CERBER_FAIL_LOG è definito, il plug-in non scrive i messaggi sul syslog predefinito.
define ( 'CERBER_FAIL_LOG', 'file / var / login / fail2ban.log');
Assicurarsi che il processo del server Web (Apache) disponga dell'autorizzazione per scrivere su un file specificato.
Informazioni addizionali: