Security Blog
Security Blog
Posted By Gregory

Jak chronić WordPressa za pomocą Fail2Ban

English version: How to protect WordPress with Fail2Ban


Łącząc WP Cerber Security i Fail2Ban , możesz wzmocnić ochronę na najwyższym poziomie. Pozwala to chronić WordPressa przed atakami brute-force i DoS na poziomie systemu operacyjnego za pomocą iptables .

Dowiedz się więcej o atakach: Ataki siłowe, DoS i DDoS – na czym polega różnica?

Uwaga: aby skonfigurować Fail2Ban, musisz mieć dostęp do roota na swoim serwerze Linux.

Dzięki WP Cerber Security masz trzy możliwości wykorzystania Fail2Ban

  1. Korzystanie z nagłówków odpowiedzi HTTP 403, jeśli chcesz monitorować dziennik dostępu Apache

  2. Monitorowanie nieudanych prób logowania za pomocą plików syslog

  3. Korzystanie z niestandardowego pliku dziennika w celu monitorowania nieudanych prób logowania

Monitoruj dziennik dostępu Apache pod kątem odpowiedzi HTTP 403

Gdy próba logowania się nie powiedzie, WP Cerber zwraca odpowiedź 403 w nagłówku HTTP. Odpowiedź ta zostanie zapisana w dzienniku dostępu Apache, a rekordy te mogą być monitorowane przez Fail2Ban. To zachowanie WP Cerber jest domyślnie włączone. Wadą tego podejścia jest to, że Fail2Ban musi przeanalizować cały plik access.log, aby znaleźć te próby.

Monitorowanie nieudanych prób logowania za pomocą syslogu

Domyślnie WP Cerber używa funkcji LOG_AUTH do rejestrowania nieudanych prób logowania do pliku syslog. Możesz jednak określić funkcję z własną wartością. Aby skonfigurować nową wartość, musisz zdefiniować stałą CERBER_LOG_FACILITY z wartością całkowitą. Uwaga: aby włączyć zapis do syslog lub pliku niestandardowego (patrz poniżej), musisz włączyć opcję „Zapisuj nieudane próby logowania do pliku” w sekcji „Aktywność” w ustawieniach wtyczki.

 zdefiniuj('CERBER_LOG_FACILITY', LOG_AUTHPRIV);

Korzystanie z pliku niestandardowego do monitorowania nieudanych prób logowania

Jeśli chcesz zapisywać wszystkie nieudane próby logowania do dowolnego niestandardowego pliku dziennika, musisz określić nazwę pliku ze ścieżką bezwzględną za pomocą stałej CERBER_FAIL_LOG . Nie zapomnij ustawić uprawnień zapisu dla procesu Apache do folderu lub pliku dziennika i włączyć opcję „Zapisz nieudane próby logowania do pliku” . Jeśli plik nie istnieje, wtyczka spróbuje go utworzyć. Jeśli zdefiniowano parametr CERBER_FAIL_LOG , wtyczka nie zapisuje komunikatów do domyślnego dziennika systemowego.

 zdefiniuj('CERBER_FAIL_LOG','/var/log/fail2ban.log');

Upewnij się, że proces serwera WWW (Apache) ma uprawnienia do zapisu do określonego pliku.

Informacje dodatkowe:

https://timnash.co.uk/using-fail2ban-wordpress/

http://www.fail2ban.org

https://www.digitalocean.com/community/tutorials/how-fail2ban-works-to-protect-services-on-a-linux-server

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.