Fail2BanでWordPressを保護する方法

English version: How to protect WordPress with Fail2Ban

WP Cerber SecurityとFail2Banを一緒に使用することで、最も効果的なレベルで保護を強化できます。これにより、iptablesを使用してOSレベルでブルートフォース攻撃やDoS攻撃からWordPressを保護できます。

攻撃についてもっと読む：ブルートフォース、DoS、およびDDoS攻撃–違いは何ですか？

注：Fail2Banをセットアップするには、Linuxサーバーへのルートアクセス権が必要です。

WP Cerber Securityでは、Fail2Banを使用するための3つのオプションがあります

1. Apacheアクセスログを監視する場合は、HTTP403応答ヘッダーを使用します
2. Syslogファイルを使用して失敗したログイン試行を監視する
3. カスタムログファイルを使用して、失敗したログイン試行を監視する

ApacheアクセスログでHTTP403応答を監視する

ログインの試みが失敗すると、WPCerberはHTTPヘッダーで403応答を返します。その応答はApacheアクセスログに書き込まれ、それらのレコードはFail2Banによって監視される場合があります。 WPCerberのこの動作はデフォルトで有効になっています。このアプローチの欠点は、Fail2Banがこれらの試行を見つけるためにaccess.log全体を解析する必要があることです。

Syslogを使用して失敗したログイン試行を監視する

デフォルトでは、WP Cerberは、syslogファイルへの試行の失敗をログに記録するときにLOG_AUTH機能を使用します。ただし、独自の値でファシリティを指定できます。新しい値を設定するには、 CERBER_LOG_FACILITY定数を整数値で定義する必要があります。注：syslogまたはカスタムファイル（以下を参照）への書き込みを有効にするには、プラグイン設定の[アクティビティ]セクションでファイルへのログイン試行の失敗の書き込みを有効にする必要があります。

 define（ 'CERBER_LOG_FACILITY'、LOG_AUTHPRIV）;

カスタムファイルを使用して失敗したログイン試行を監視する

失敗したすべての試行をカスタムログファイルに書き込む場合は、定数CERBER_FAIL_LOGを使用して絶対パスでファイル名を指定する必要があります。フォルダまたはログファイルにApacheプロセスの書き込み権限を設定し、ファイルへのログイン試行の失敗の書き込みを有効にすることを忘れないでください。ファイルが存在しない場合、プラグインはファイルを作成しようとします。 CERBER_FAIL_LOGが定義されている場合、プラグインはデフォルトのsyslogにメッセージを書き込みません。

 define（ 'CERBER_FAIL_LOG'、 '/ var / log / fail2ban.log'）;

Webサーバープロセス（Apache）が指定されたファイルに書き込む権限を持っていることを確認してください。

追加情報：

https://timnash.co.uk/using-fail2ban-wordpress/

http://www.fail2ban.org

https://www.digitalocean.com/community/tutorials/how-fail2ban-works-to-protect-services-on-a-linux-server