Jak chronić WordPress za pomocą Fail2Ban
English version: How to protect WordPress with Fail2Ban
Używając razem WP Cerber Security i Fail2Ban, możesz wzmocnić ochronę na najbardziej efektywnym poziomie. Pozwala to chronić WordPress przed atakami typu brute-force i DoS na poziomie systemu operacyjnego za pomocą iptables .
Przeczytaj więcej o atakach: Ataki Brute-force, DoS i DDoS – jaka jest różnica?
Uwaga: aby skonfigurować Fail2Ban, musisz mieć dostęp root do swojego serwera Linux.
Dzięki WP Cerber Security masz trzy opcje korzystania z Fail2Ban
- Używanie nagłówków odpowiedzi HTTP 403, jeśli chcesz monitorować dziennik dostępu Apache
- Używanie plików syslog do monitorowania nieudanych prób logowania
- Używanie niestandardowego pliku dziennika do monitorowania nieudanych prób logowania
Monitoruj dziennik dostępu Apache pod kątem odpowiedzi HTTP 403
Gdy próba logowania się nie powiedzie, WP Cerber zwraca odpowiedź 403 w nagłówku HTTP. Odpowiedź ta zostanie zapisana w dzienniku dostępu Apache, a zapisy te mogą być monitorowane przez Fail2Ban. To zachowanie WP Cerber jest domyślnie włączone. Wadą tego podejścia jest to, że Fail2Ban musi przeanalizować cały plik access.log, aby znaleźć te próby.
Używanie syslog do monitorowania nieudanych prób logowania
Domyślnie WP Cerber używa funkcji LOG_AUTH podczas rejestrowania nieudanych prób w pliku syslog. Można jednak określić obiekt z własną wartością. Aby ustawić nową wartość, należy zdefiniować stałą CERBER_LOG_FACILITY o wartości całkowitej. Uwaga: aby włączyć zapis do sysloga lub pliku niestandardowego (patrz poniżej), musisz włączyć opcję Zapisuj nieudane próby logowania do pliku w sekcji Aktywność w ustawieniach wtyczki.
zdefiniuj('CERBER_LOG_FACILITY', LOG_AUTHPRIV);
Używanie pliku niestandardowego do monitorowania nieudanych prób logowania
Jeśli chcesz zapisać wszystkie nieudane próby w dowolnym niestandardowym pliku dziennika, musisz podać nazwę pliku ze ścieżką bezwzględną , używając stałej CERBER_FAIL_LOG . Nie zapomnij ustawić uprawnień do zapisu dla procesu Apache w folderze lub pliku dziennika i włączyć opcję Zapisz nieudane próby logowania do pliku . Jeśli plik nie istnieje, wtyczka spróbuje go utworzyć. Jeżeli zdefiniowano CERBER_FAIL_LOG , wtyczka nie zapisuje komunikatów do domyślnego sysloga.
zdefiniuj('CERBER_FAIL_LOG','/var/log/fail2ban.log');
Upewnij się, że proces serwera WWW (Apache) ma uprawnienia do zapisu w określonym pliku.
Dodatkowe informacje: