Como proteger o WordPress com Fail2Ban
English version: How to protect WordPress with Fail2Ban
Ao usar o WP Cerber Security e o Fail2Ban juntos, você pode reforçar a proteção no nível mais eficaz. Isso permite que você proteja um WordPress contra ataques de força bruta e DoS no nível do sistema operacional com iptables .
Leia mais sobre ataques: Ataques de força bruta, DoS e DDoS – qual é a diferença?
Nota: você precisa ter acesso root ao seu servidor Linux para configurar o Fail2Ban.
Com o WP Cerber Security você tem três opções para usar o Fail2Ban
- Usando cabeçalhos de resposta HTTP 403 se você deseja monitorar o log de acesso do Apache
- Usando arquivos syslog para monitorar tentativas de login com falha
- Usando um arquivo de log personalizado para monitorar tentativas de login com falha
Monitore o log de acesso do Apache para respostas HTTP 403
Quando uma tentativa de login falha, o WP Cerber retorna a resposta 403 no cabeçalho HTTP. Essa resposta será gravada no log de acesso do Apache e esses registros poderão ser monitorados pelo Fail2Ban. Esse comportamento do WP Cerber é ativado por padrão. A desvantagem dessa abordagem é que o Fail2Ban precisa analisar todo o access.log para encontrar essas tentativas.
Usando syslog para monitorar tentativas de login com falha
Por padrão, o WP Cerber usa o recurso LOG_AUTH quando registra tentativas com falha no arquivo syslog. No entanto, você pode especificar uma instalação com seu próprio valor. Para configurar um novo valor, você deve definir a constante CERBER_LOG_FACILITY com um valor inteiro. Observação: para habilitar a gravação no syslog ou em um arquivo personalizado (veja abaixo), você deve habilitar Gravar tentativas de login com falha no arquivo na seção Atividade das configurações do plug-in.
define('CERBER_LOG_FACILITY', LOG_AUTHPRIV);
Usando um arquivo personalizado para monitorar tentativas de login com falha
Se você deseja gravar todas as tentativas com falha em qualquer arquivo de log personalizado, é necessário especificar um nome de arquivo com um caminho absoluto usando a constante CERBER_FAIL_LOG . Não se esqueça de definir a permissão de gravação para o processo Apache na pasta ou arquivo de log e ativar Gravar tentativas de login com falha no arquivo . Se o arquivo não existir, o plug-in tentará criá-lo. Se CERBER_FAIL_LOG for definido, o plug-in não grava mensagens no syslog padrão.
define('CERBER_FAIL_LOG','/var/log/fail2ban.log');
Certifique-se de que o processo do servidor web (Apache) tenha permissão para gravar em um arquivo especificado.
Informação adicional: