Fail2Ban で WordPress を保護する方法

English version: How to protect WordPress with Fail2Ban

WP Cerber Security とFail2Banを併用すると、最も効果的なレベルで保護を強化できます。これにより、 iptablesを使用して OS レベルでブルート フォース攻撃や DoS 攻撃から WordPress を保護できます。

攻撃について詳しくは、ブルートフォース攻撃、DoS 攻撃、DDoS 攻撃の違いをご覧ください。

注: Fail2Ban をセットアップするには、Linux サーバーへの root アクセス権が必要です。

WP Cerber Security では、Fail2Ban を使用するための 3 つのオプションがあります。

1. Apache アクセス ログを監視する場合は HTTP 403 応答ヘッダーを使用する
2. syslog ファイルを使用して失敗したログイン試行を監視する
3. カスタム ログ ファイルを使用して失敗したログイン試行を監視する

HTTP 403 応答の Apache アクセス ログを監視する

ログインの試行が失敗すると、WP Cerber は HTTP ヘッダーで 403 応答を返します。その応答は Apache アクセス ログに書き込まれ、それらの記録は Fail2Ban によって監視される可能性があります。 WP Cerber のその動作はデフォルトで有効になっています。このアプローチの欠点は、Fail2Ban がそれらの試行を見つけるために access.log 全体を解析する必要があることです。

syslog を使用して失敗したログイン試行を監視する

デフォルトでは、WP Cerber は失敗した試行を syslog ファイルに記録するときにLOG_AUTH機能を使用します。ただし、独自の値を使用して機能を指定することもできます。新しい値を設定するには、 CERBER_LOG_FACILITY定数を整数値で定義する必要があります。注: syslog またはカスタム ファイル (以下を参照) への書き込みを有効にするには、プラグイン設定の [アクティビティ] セクションで[失敗したログイン試行をファイルに書き込む] を有効にする必要があります。

定義('CERBER_LOG_FACILITY', LOG_AUTHPRIV);

カスタム ファイルを使用して失敗したログイン試行を監視する

失敗した試行をすべてカスタム ログ ファイルに書き込む場合は、定数CERBER_FAIL_LOGを使用してファイル名を絶対パスで指定する必要があります。フォルダーまたはログ ファイルに Apache プロセスの書き込み権限を設定し、失敗したログイン試行をファイルに書き込むを有効にすることを忘れないでください。ファイルが存在しない場合、プラグインはファイルの作成を試みます。 CERBER_FAIL_LOGが定義されている場合、プラグインはデフォルトの syslog にメッセージを書き込みません。

定義('CERBER_FAIL_LOG','/var/log/fail2ban.log');

Web サーバー プロセス (Apache) に、指定されたファイルへの書き込み権限があることを確認してください。

追加情報：

https://timnash.co.uk/using-fail2ban-wordpress/

http://www.fail2ban.org

https://www.digitalocean.com/community/tutorials/how-fail2ban-works-to-protect-services-on-a-linux-server