So schützen Sie WordPress mit Fail2Ban
English version: How to protect WordPress with Fail2Ban
Durch die gemeinsame Verwendung von WP Cerber Security und Fail2Ban können Sie den Schutz auf der effektivsten Ebene verstärken. Auf diese Weise können Sie ein WordPress mit iptables auf Betriebssystemebene vor Brute-Force- und DoS-Angriffen schützen.
Lesen Sie mehr über Angriffe: Brute-Force-, DoS- und DDoS-Angriffe – was ist der Unterschied?
Hinweis: Sie müssen Root-Zugriff auf Ihren Linux-Server haben, um Fail2Ban einzurichten.
Mit WP Cerber Security haben Sie drei Möglichkeiten, Fail2Ban zu verwenden
- Verwenden von HTTP 403-Antwortheadern, wenn Sie das Apache-Zugriffsprotokoll überwachen möchten
- Verwendung von Syslog-Dateien zur Überwachung fehlgeschlagener Anmeldeversuche
- Verwenden einer benutzerdefinierten Protokolldatei zum Überwachen fehlgeschlagener Anmeldeversuche
Überwachen Sie das Apache-Zugriffsprotokoll auf HTTP 403-Antworten
Wenn ein Anmeldeversuch fehlschlägt, gibt WP Cerber die Antwort 403 im HTTP-Header zurück. Diese Antwort wird in das Apache-Zugriffsprotokoll geschrieben und diese Aufzeichnungen können von Fail2Ban überwacht werden. Dieses Verhalten von WP Cerber ist standardmäßig aktiviert. Der Nachteil dieses Ansatzes ist, dass Fail2Ban das gesamte access.log parsen muss, um diese Versuche zu finden.
Verwendung von Syslog zur Überwachung fehlgeschlagener Anmeldeversuche
Standardmäßig verwendet WP Cerber die LOG_AUTH-Funktion , wenn es fehlgeschlagene Versuche in der Syslog-Datei protokolliert. Sie können jedoch eine Einrichtung mit Ihrem eigenen Wert angeben. Um einen neuen Wert einzurichten, müssen Sie die Konstante CERBER_LOG_FACILITY mit einem ganzzahligen Wert definieren. Hinweis: Um das Schreiben in das Syslog oder eine benutzerdefinierte Datei (siehe unten) zu aktivieren, müssen Sie im Abschnitt Aktivität der Plugin-Einstellungen die Option Fehlgeschlagene Anmeldeversuche in die Datei schreiben aktivieren.
define('CERBER_LOG_FACILITY', LOG_AUTHPRIV);
Verwenden einer benutzerdefinierten Datei zum Überwachen fehlgeschlagener Anmeldeversuche
Wenn Sie alle fehlgeschlagenen Versuche in eine benutzerdefinierte Protokolldatei schreiben möchten, müssen Sie einen Dateinamen mit einem absoluten Pfad angeben, indem Sie die Konstante CERBER_FAIL_LOG verwenden . Vergessen Sie nicht, die Schreibberechtigung für den Apache-Prozess für den Ordner oder die Protokolldatei festzulegen, und aktivieren Sie die Option „ Fehlgeschlagene Anmeldeversuche in die Datei schreiben“ . Wenn die Datei nicht existiert, versucht das Plugin, sie zu erstellen. Wenn CERBER_FAIL_LOG definiert ist, schreibt das Plugin keine Meldungen in das Standard-Syslog.
define('CERBER_FAIL_LOG','/var/log/fail2ban.log');
Stellen Sie sicher, dass der Webserverprozess (Apache) die Berechtigung hat, in eine angegebene Datei zu schreiben.
Zusätzliche Information: