Fail2Ban で WordPress を保護する方法

English version: How to protect WordPress with Fail2Ban

WP Cerber Security とFail2Banを併用することで、最も効果的なレベルで保護を強化できます。これにより、 iptablesを使用して、OS レベルでブルート フォース攻撃や DoS 攻撃から WordPress を保護できます。

攻撃の詳細: ブルート フォース、DoS、および DDoS 攻撃 – 違いは何ですか?

注: Fail2Ban をセットアップするには、Linux サーバーへのルート アクセス権が必要です。

WP Cerber Security では、Fail2Ban を使用するための 3 つのオプションがあります

1. Apache アクセス ログを監視する場合は HTTP 403 応答ヘッダーを使用する
2. 失敗したログイン試行を監視するための syslog ファイルの使用
3. カスタム ログ ファイルを使用して失敗したログイン試行を監視する

HTTP 403 応答の Apache アクセス ログを監視する

ログインに失敗すると、WP Cerber は HTTP ヘッダーで 403 応答を返します。その応答は Apache アクセス ログに書き込まれ、それらの記録は Fail2Ban によって監視される場合があります。 WP Cerber のその動作はデフォルトで有効になっています。このアプローチの欠点は、Fail2Ban がこれらの試行を見つけるために access.log 全体を解析する必要があることです。

syslog を使用して失敗したログイン試行を監視する

デフォルトでは、WP Cerber は失敗した試行を syslog ファイルに記録するときにLOG_AUTH機能を使用します。ただし、独自の値で施設を指定できます。新しい値を設定するには、 CERBER_LOG_FACILITY定数を整数値で定義する必要があります。注: syslog またはカスタム ファイル (以下を参照) への書き込みを有効にするには、プラグイン設定の [アクティビティ] セクションで [失敗したログイン試行をファイルに書き込む] を有効にする必要があります。

 define('CERBER_LOG_FACILITY', LOG_AUTHPRIV);

カスタム ファイルを使用して失敗したログイン試行を監視する

失敗したすべての試行を任意のカスタム ログ ファイルに書き込む場合は、定数CERBER_FAIL_LOGを使用して絶対パスでファイル名を指定する必要があります。フォルダーまたはログ ファイルに Apache プロセスの書き込み権限を設定し、[失敗したログイン試行をファイルに書き込む] を有効にすることを忘れないでください。ファイルが存在しない場合、プラグインはファイルの作成を試みます。 CERBER_FAIL_LOGが定義されている場合、プラグインはデフォルトの syslog にメッセージを書き込みません。

 define('CERBER_FAIL_LOG','/var/log/fail2ban.log');

Web サーバー プロセス (Apache) に、指定されたファイルへの書き込み権限があることを確認してください。

追加情報：

https://timnash.co.uk/using-fail2ban-wordpress/

http://www.fail2ban.org

https://www.digitalocean.com/community/tutorials/how-fail2ban-works-to-protect-services-on-a-linux-server