Fail2BanでWordPressを保護する方法

English version: How to protect WordPress with Fail2Ban

WP Cerber Security とFail2Banを併用することで、最も効果的なレベルで保護を強化できます。これにより、 iptablesを使用して OS レベルでブルートフォース攻撃や DoS 攻撃から WordPress を保護できます。

攻撃の詳細については、ブルートフォース攻撃、DoS 攻撃、DDoS 攻撃 – 違いは何ですか?をご覧ください。

注意: Fail2Ban を設定するには、Linux サーバーへのルート アクセス権が必要です。

WP Cerber SecurityではFail2Banを使用する3つのオプションがあります

1. Apacheアクセスログを監視する場合はHTTP 403レスポンスヘッダーを使用する
2. syslog ファイルを使用して失敗したログイン試行を監視する
3. カスタム ログ ファイルを使用して失敗したログイン試行を監視する

HTTP 403 応答の Apache アクセス ログを監視する

ログイン試行が失敗すると、WP Cerber は HTTP ヘッダーで 403 応答を返します。この応答は Apache アクセス ログに書き込まれ、それらの記録は Fail2Ban によって監視される可能性があります。WP Cerber のこの動作はデフォルトで有効になっています。このアプローチの欠点は、Fail2Ban がそれらの試行を見つけるために access.log 全体を解析する必要があることです。

syslog を使用して失敗したログイン試行を監視する

デフォルトでは、WP Cerber は失敗した試行を syslog ファイルに記録するときにLOG_AUTH機能を使用します。ただし、独自の値で機能を指定できます。新しい値を設定するには、整数値でCERBER_LOG_FACILITY定数を定義する必要があります。注: syslog またはカスタム ファイル (以下を参照) への書き込みを有効にするには、プラグイン設定のアクティビティ セクションで失敗したログイン試行をファイルに書き込むを有効にする必要があります。

 'CERBER_LOG_FACILITY' と LOG_AUTHPRIV を定義します。

カスタムファイルを使用して失敗したログイン試行を監視する

失敗したすべての試行をカスタム ログ ファイルに書き込む場合は、定数CERBER_FAIL_LOGを使用して絶対パスでファイル名を指定する必要があります。フォルダーまたはログ ファイルに対する Apache プロセスの書き込み権限を設定し、失敗したログイン試行をファイルに書き込むを有効にすることを忘れないでください。ファイルが存在しない場合は、プラグインがファイルを作成しようとします。CERBER_FAIL_LOGが定義されている場合、プラグインはデフォルトの syslog にメッセージを書き込みません。

 'CERBER_FAIL_LOG'、'/var/log/fail2ban.log' を定義します。

Web サーバー プロセス (Apache) に指定されたファイルへの書き込み権限があることを確認します。

追加情報:

https://timnash.co.uk/using-fail2ban-wordpress/

http://www.fail2ban.org

https://www.digitalocean.com/community/tutorials/how-fail2ban-works-to-protect-services-on-a-linux-server