Security Blog
Security Blog

Jak chronić WordPress z fail2ban


English version: How to protect WordPress with Fail2Ban


Używając WP Cerber Security i Fail2Ban razem możesz wzmocnić ochronę na najbardziej efektywnym poziomie. Pozwala to chronić WordPress przed atakami brute-force i DoS na poziomie systemu operacyjnego za pomocą iptables .

Przeczytaj więcej o atakach: ataki Brute-force, DoS i DDoS – jaka jest różnica?

Uwaga: musisz mieć dostęp roota do swojego serwera Linux, aby skonfigurować Fail2Ban.

Z WP Cerber Security masz trzy opcje użycia Fail2Ban

  1. Używanie nagłówków odpowiedzi HTTP 403, jeśli chcesz monitorować dziennik dostępu Apache
  2. Używanie plików syslog do monitorowania nieudanych prób logowania
  3. Używanie niestandardowego pliku dziennika do monitorowania nieudanych prób logowania

Monitoruj dziennik dostępu Apache dla odpowiedzi HTTP 403

Gdy próba zalogowania się nie powiedzie, WP Cerber zwraca 403 odpowiedzi w nagłówku HTTP. Ta odpowiedź zostanie zapisana w dzienniku dostępu Apache i te rekordy mogą być monitorowane przez Fail2Ban. To zachowanie WP Cerbera jest domyślnie włączone. Wadą tego podejścia jest to, że Fail2Ban musi przeanalizować cały access.log, aby znaleźć te próby.

Używanie syslog do monitorowania nieudanych prób logowania

Domyślnie WP Cerber używa obiektu LOG_AUTH , gdy rejestruje nieudane próby w pliku syslog. Można jednak określić obiekt za pomocą własnej wartości. Aby ustawić nową wartość, musisz zdefiniować stałą CERBER_LOG_FACILITY z wartością całkowitą. Uwaga: aby umożliwić zapisywanie do pliku syslog lub pliku niestandardowego (patrz poniżej), należy włączyć zapisywanie nieudanych prób logowania do pliku w sekcji Aktywność ustawień wtyczki.

 define ('CERBER_LOG_FACILITY', LOG_AUTHPRIV); 

Używanie pliku niestandardowego do monitorowania nieudanych prób logowania

Jeśli chcesz zapisać wszystkie nieudane próby do dowolnego niestandardowego pliku dziennika, musisz podać nazwę pliku z bezwzględną ścieżką, używając stałej CERBER_FAIL_LOG . Nie zapomnij ustawić uprawnienia do zapisu dla procesu Apache w folderze lub pliku dziennika i włączyć zapisywanie nieudanych prób logowania do pliku . Jeśli plik nie istnieje, wtyczka próbuje go utworzyć. Jeśli zdefiniowano CERBER_FAIL_LOG , wtyczka nie zapisuje wiadomości do domyślnego dziennika syslog.

 define ('CERBER_FAIL_LOG', '/ var / log / fail2ban.log'); 

Upewnij się, że proces serwera WWW (Apache) ma uprawnienia do zapisu w określonym pliku.

Dodatkowe informacje:

https://timnash.co.uk/using-fail2ban-wordpress/

http://www.fail2ban.org

https://www.digitalocean.com/community/tutorials/how-fail2ban-works-to-protect-services-on-a-linux-server


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.