Como proteger o WordPress com o Fail2Ban
English version: How to protect WordPress with Fail2Ban
Ao usar o WP Cerber Security e o Fail2Ban em conjunto, você pode reforçar a proteção no nível mais eficaz. Isso permite proteger o WordPress contra ataques de força bruta e DoS no nível do sistema operacional com o iptables .
Leia mais sobre ataques: Ataques de força bruta, DoS e DDoS – qual a diferença?
Observação: você precisa ter acesso root ao seu servidor Linux para configurar o Fail2Ban.
Com o WP Cerber Security, você tem três opções para usar o Fail2Ban.
- Utilize os cabeçalhos de resposta HTTP 403 se desejar monitorar o log de acesso do Apache.
- Utilizando arquivos syslog para monitorar tentativas de login falhas.
- Utilizando um arquivo de log personalizado para monitorar tentativas de login falhas.
Monitore o log de acesso do Apache em busca de respostas HTTP 403.
Quando uma tentativa de login falha, o WP Cerber retorna uma resposta 403 no cabeçalho HTTP. Essa resposta será registrada no log de acesso do Apache e esses registros podem ser monitorados pelo Fail2Ban. Esse comportamento do WP Cerber está habilitado por padrão. A desvantagem dessa abordagem é que o Fail2Ban precisa analisar todo o arquivo access.log para encontrar essas tentativas.
Utilizando o syslog para monitorar tentativas de login falhas.
Por padrão, o WP Cerber usa o recurso LOG_AUTH ao registrar tentativas de login falhas no arquivo syslog. No entanto, você pode especificar um recurso com seu próprio valor. Para configurar um novo valor, você precisa definir a constante CERBER_LOG_FACILITY com um valor inteiro. Observação: para habilitar a gravação no syslog ou em um arquivo personalizado (veja abaixo), você precisa habilitar a opção "Gravar tentativas de login falhas no arquivo" na seção "Atividade" das configurações do plugin.
define('CERBER_LOG_FACILITY', LOG_AUTHPRIV);
Utilizando um arquivo personalizado para monitorar tentativas de login falhas.
Se você deseja registrar todas as tentativas de login falhas em um arquivo de log personalizado, especifique o nome do arquivo com o caminho absoluto usando a constante `CERBER_FAIL_LOG` . Não se esqueça de definir a permissão de escrita para o processo do Apache na pasta ou no arquivo de log e habilitar a opção "Gravar tentativas de login falhas no arquivo" . Se o arquivo não existir, o plugin tentará criá-lo. Se `CERBER_FAIL_LOG` estiver definido, o plugin não gravará mensagens no syslog padrão.
define('CERBER_FAIL_LOG','/var/log/fail2ban.log');
Certifique-se de que o processo do servidor web (Apache) tenha permissão para escrever no arquivo especificado.
Informações adicionais:
Limitar tentativas de login sem um plugin?
WP Cerber Security 2.7.2
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.