Jak chronić WordPressa za pomocą Fail2Ban
English version: How to protect WordPress with Fail2Ban
Używając razem WP Cerber Security i Fail2Ban , możesz wzmocnić ochronę na najbardziej efektywnym poziomie. To pozwala chronić WordPressa przed atakami typu brute-force i DoS na poziomie systemu operacyjnego za pomocą iptables .
Przeczytaj więcej o atakach: Brute-force, DoS i DDoS – jaka jest różnica?
Uwaga: aby skonfigurować Fail2Ban, musisz mieć uprawnienia administratora do serwera Linux.
Dzięki WP Cerber Security masz trzy opcje korzystania z Fail2Ban
- Używanie nagłówków odpowiedzi HTTP 403, jeśli chcesz monitorować dziennik dostępu Apache
- Używanie plików syslog do monitorowania nieudanych prób logowania
- Używanie niestandardowego pliku dziennika do monitorowania nieudanych prób logowania
Monitoruj dziennik dostępu Apache pod kątem odpowiedzi HTTP 403
Gdy próba logowania się nie powiedzie, WP Cerber zwraca odpowiedź 403 w nagłówku HTTP. Ta odpowiedź zostanie zapisana w dzienniku dostępu Apache, a zapisy te mogą być monitorowane przez Fail2Ban. To zachowanie WP Cerber jest domyślnie włączone. Wadą tego podejścia jest to, że Fail2Ban musi przeanalizować cały dziennik dostępu, aby znaleźć te próby.
Używanie syslog do monitorowania nieudanych prób logowania
Domyślnie WP Cerber używa funkcji LOG_AUTH , gdy rejestruje nieudane próby w pliku syslog. Można jednak określić obiekt z własną wartością. Aby ustawić nową wartość należy zdefiniować stałą CERBER_LOG_FACILITY wartością całkowitą. Uwaga: aby włączyć zapis do dziennika systemowego lub pliku niestandardowego (patrz poniżej), musisz włączyć opcję Zapisz nieudane próby logowania do pliku w sekcji Aktywność w ustawieniach wtyczki.
zdefiniuj('CERBER_LOG_FACILITY', LOG_AUTHPRIV);
Używanie niestandardowego pliku do monitorowania nieudanych prób logowania
Jeśli chcesz zapisać wszystkie nieudane próby w dowolnym niestandardowym pliku dziennika, musisz określić nazwę pliku ze ścieżką bezwzględną , używając stałej CERBER_FAIL_LOG . Nie zapomnij ustawić uprawnień do zapisu dla procesu Apache w folderze lub pliku dziennika i włączyć opcję Zapisz nieudane próby logowania do pliku . Jeśli plik nie istnieje, wtyczka próbuje go utworzyć. Jeśli zdefiniowano CERBER_FAIL_LOG , wtyczka nie zapisuje wiadomości do domyślnego dziennika systemowego.
define('CERBER_FAIL_LOG','/var/log/fail2ban.log');
Upewnij się, że proces serwera WWW (Apache) ma uprawnienia do zapisu w określonym pliku.
Dodatkowe informacje: