Как защитить WordPress с помощью Fail2Ban
English version: How to protect WordPress with Fail2Ban
Используя вместе WP Cerber Security и Fail2Ban , вы можете усилить защиту на самом эффективном уровне. Это позволяет защитить WordPress от грубой силы и DoS-атак на уровне ОС с помощью iptables .
Подробнее об атаках: Брутфорс, DoS и DDoS-атаки — в чем разница?
Примечание: для установки Fail2Ban у вас должен быть root-доступ к вашему серверу Linux.
С WP Cerber Security у вас есть три варианта использования Fail2Ban.
- Использование заголовков ответа HTTP 403, если вы хотите отслеживать журнал доступа Apache
- Использование файлов системного журнала для отслеживания неудачных попыток входа в систему
- Использование пользовательского файла журнала для отслеживания неудачных попыток входа в систему
Мониторинг журнала доступа Apache для ответов HTTP 403
Когда попытка входа не удалась, WP Cerber возвращает ответ 403 в заголовке HTTP. Этот ответ будет записан в журнал доступа Apache, и эти записи могут отслеживаться Fail2Ban. Такое поведение WP Cerber включено по умолчанию. Недостатком этого подхода является то, что Fail2Ban должен анализировать весь файл access.log, чтобы найти эти попытки.
Использование системного журнала для отслеживания неудачных попыток входа в систему
По умолчанию WP Cerber использует средство LOG_AUTH , когда регистрирует неудачные попытки в файле системного журнала. Однако вы можете указать объект со своим собственным значением. Чтобы установить новое значение, вы должны определить константу CERBER_LOG_FACILITY с целочисленным значением. Примечание: чтобы включить запись в системный журнал или пользовательский файл (см. ниже), вы должны включить Запись неудачных попыток входа в файл в разделе «Активность» настроек плагина.
определить('CERBER_LOG_FACILITY', LOG_AUTHPRIV);
Использование пользовательского файла для отслеживания неудачных попыток входа в систему
Если вы хотите записывать все неудачные попытки в какой-либо пользовательский файл журнала, вам необходимо указать имя файла с абсолютным путем, используя константу CERBER_FAIL_LOG . Не забудьте установить разрешение на запись для процесса Apache в папку или файл журнала и включить запись неудачных попыток входа в файл . Если файл не существует, плагин пытается его создать. Если CERBER_FAIL_LOG определен, плагин не записывает сообщения в системный журнал по умолчанию.
определить('CERBER_FAIL_LOG','/var/log/fail2ban.log');
Убедитесь, что процесс веб-сервера (Apache) имеет разрешение на запись в указанный файл.
Дополнительная информация: