Como proteger o WordPress com Fail2Ban
English version: How to protect WordPress with Fail2Ban
Ao usar WP Cerber Security e Fail2Ban juntos, você pode reforçar a proteção no nível mais eficaz. Isso permite proteger um WordPress contra ataques de força bruta e DoS no nível do sistema operacional com iptables .
Leia mais sobre ataques: Ataques de força bruta, DoS e DDoS – qual a diferença?
Nota: você precisa ter acesso root ao seu servidor Linux para configurar o Fail2Ban.
Com WP Cerber Security você tem três opções para usar Fail2Ban
- Usando cabeçalhos de resposta HTTP 403 se desejar monitorar o log de acesso do Apache
- Usando arquivos syslog para monitorar tentativas de login malsucedidas
- Usando um arquivo de log personalizado para monitorar tentativas de login malsucedidas
Monitore o log de acesso do Apache para respostas HTTP 403
Quando uma tentativa de login falha, o WP Cerber retorna uma resposta 403 no cabeçalho HTTP. Essa resposta será escrita no log de acesso do Apache e esses registros poderão ser monitorados pelo Fail2Ban. Esse comportamento do WP Cerber está habilitado por padrão. A desvantagem dessa abordagem é que o Fail2Ban precisa analisar todo o access.log para encontrar essas tentativas.
Usando o syslog para monitorar tentativas de login malsucedidas
Por padrão, WP Cerber usa o recurso LOG_AUTH quando registra tentativas malsucedidas no arquivo syslog. No entanto, você pode especificar um recurso com seu próprio valor. Para configurar um novo valor você deve definir a constante CERBER_LOG_FACILITY com um valor inteiro. Nota: para habilitar a gravação no syslog ou em um arquivo personalizado (veja abaixo), você deve habilitar Gravar tentativas de login com falha no arquivo na seção Atividade das configurações do plugin.
define('CERBER_LOG_FACILITY', LOG_AUTHPRIV);
Usando um arquivo personalizado para monitorar tentativas de login malsucedidas
Se quiser gravar todas as tentativas malsucedidas em qualquer arquivo de log personalizado, será necessário especificar um nome de arquivo com um caminho absoluto usando a constante CERBER_FAIL_LOG . Não se esqueça de definir a permissão de gravação para o processo Apache na pasta ou arquivo de log e ativar Gravar tentativas de login com falha no arquivo . Se o arquivo não existir, o plugin tenta criá-lo. Se CERBER_FAIL_LOG estiver definido, o plugin não grava mensagens no syslog padrão.
define('CERBER_FAIL_LOG','/var/log/fail2ban.log');
Certifique-se de que o processo do servidor web (Apache) tenha permissão para gravar em um arquivo especificado.
Informação adicional: