Jak chronić WordPress za pomocą Fail2Ban
English version: How to protect WordPress with Fail2Ban
Używając WP Cerber Security i Fail2Ban razem możesz wzmocnić ochronę na najbardziej efektywnym poziomie. Pozwala to chronić WordPress przed atakami brute-force i DoS na poziomie systemu operacyjnego za pomocą iptables .
Dowiedz się więcej o atakach: Ataki siłowe, DoS i DDoS – jaka jest różnica?
Uwaga: aby skonfigurować Fail2Ban, musisz mieć dostęp do roota swojego serwera Linux.
Dzięki WP Cerber Security masz trzy możliwości wykorzystania Fail2Ban
- Korzystanie z nagłówków odpowiedzi HTTP 403, jeśli chcesz monitorować dziennik dostępu Apache
- Korzystanie z plików syslog w celu monitorowania nieudanych prób logowania
- Korzystanie z niestandardowego pliku dziennika w celu monitorowania nieudanych prób logowania
Monitoruj dziennik dostępu Apache pod kątem odpowiedzi HTTP 403
Gdy próba zalogowania się nie powiedzie, WP Cerber zwraca odpowiedź 403 w nagłówku HTTP. Ta odpowiedź zostanie zapisana w dzienniku dostępu Apache, a te rekordy mogą być monitorowane przez Fail2Ban. To zachowanie WP Cerber jest domyślnie włączone. Wadą tego podejścia jest to, że Fail2Ban musi przeanalizować cały access.log, aby znaleźć te próby.
Monitorowanie nieudanych prób logowania za pomocą syslog
Domyślnie WP Cerber używa obiektu LOG_AUTH , gdy rejestruje nieudane próby w pliku syslog. Możesz jednak określić obiekt z własną wartością. Aby skonfigurować nową wartość, musisz zdefiniować stałą CERBER_LOG_FACILITY z wartością całkowitą. Uwaga: aby włączyć zapis do syslog lub niestandardowego pliku (patrz poniżej), musisz włączyć opcję Write failed login trying to the file w sekcji Activity ustawień wtyczki.
zdefiniuj('CERBER_LOG_FACILITY', LOG_AUTHPRIV);
Korzystanie z pliku niestandardowego w celu monitorowania nieudanych prób logowania
Jeśli chcesz zapisać wszystkie nieudane próby do dowolnego niestandardowego pliku dziennika, musisz określić nazwę pliku ze ścieżką bezwzględną , używając stałej CERBER_FAIL_LOG . Nie zapomnij ustawić uprawnień zapisu dla procesu Apache w folderze lub pliku dziennika i włączyć opcję Write failed login trying to the file . Jeśli plik nie istnieje, wtyczka próbuje go utworzyć. Jeśli zdefiniowano CERBER_FAIL_LOG , wtyczka nie zapisuje wiadomości do domyślnego syslog.
zdefiniuj('CERBER_FAIL_LOG','/var/log/fail2ban.log');
Upewnij się, że proces serwera WWW (Apache) ma uprawnienia do zapisu do określonego pliku.
Informacje dodatkowe:
Ograniczyć próby logowania bez wtyczki?
WP Cerber Security 2.7.2
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.