Hoe WordPress te beschermen met Fail2Ban
English version: How to protect WordPress with Fail2Ban
Door WP Cerber Security en Fail2Ban samen te gebruiken, kunt u de bescherming op het meest effectieve niveau versterken. Zo kunt u een WordPress beschermen tegen brute-force- en DoS-aanvallen op OS-niveau met iptables .
Lees meer over aanvallen: Brute-force-, DoS- en DDoS-aanvallen – wat is het verschil?
Let op: je hebt root-toegang tot je Linux-server nodig om Fail2Ban te kunnen instellen.
Met WP Cerber Security heeft u drie opties om Fail2Ban te gebruiken
- HTTP 403-responsheaders gebruiken als u het Apache-toegangslogboek wilt bewaken
- Het gebruik van syslogbestanden om mislukte inlogpogingen te monitoren
- Een aangepast logbestand gebruiken om mislukte inlogpogingen te monitoren
Controleer het Apache-toegangslogboek op HTTP 403-reacties
Wanneer een poging om in te loggen mislukt, retourneert WP Cerber een 403-respons in de HTTP-header. Die respons wordt in het Apache-toegangslogboek geschreven en die records kunnen worden gecontroleerd door Fail2Ban. Dat gedrag van WP Cerber is standaard ingeschakeld. Het nadeel van deze aanpak is dat Fail2Ban het hele access.log moet parsen om die pogingen te vinden.
Syslog gebruiken om mislukte inlogpogingen te monitoren
Standaard gebruikt WP Cerber de LOG_AUTH- faciliteit wanneer het mislukte pogingen naar het syslogbestand logt. U kunt echter een faciliteit met uw eigen waarde opgeven. Om een nieuwe waarde in te stellen, moet u de constante CERBER_LOG_FACILITY definiëren met een geheel getal. Opmerking: om schrijven naar het syslogbestand of een aangepast bestand (zie hieronder) mogelijk te maken, moet u Mislukte inlogpogingen naar het bestand schrijven inschakelen in het gedeelte Activiteit van de plugin-instellingen.
definieer('CERBER_LOG_FACILITY', LOG_AUTHPRIV);
Een aangepast bestand gebruiken om mislukte inlogpogingen te monitoren
Als u alle mislukte pogingen naar een aangepast logbestand wilt schrijven, moet u een bestandsnaam opgeven met een absoluut pad met behulp van de constante CERBER_FAIL_LOG . Vergeet niet om schrijfrechten in te stellen voor het Apache-proces op de map of het logbestand en Write failed login attempts to the file in te schakelen. Als het bestand niet bestaat, probeert de plugin het te maken. Als CERBER_FAIL_LOG is gedefinieerd, schrijft de plugin geen berichten naar het standaard syslog.
definieer('CERBER_FAIL_LOG','/var/log/fail2ban.log');
Zorg ervoor dat het webserverproces (Apache) toestemming heeft om naar een opgegeven bestand te schrijven.
Aanvullende informatie: