WordPress vor Brute-Force Attacken schützen

WordPress Server vor Brute-Force Login versuche durch fail2ban schützen.

WordPress Schutz bietet sich durch mehrere Methoden an, neben LockDown Plugins, die IP-Adressen und Zeitstempel jedes fehlgeschlagenen Anmeldeversuchs aufzeichnen und blockieren, wird mit fail2ban die Kernel Firewall gesteuert, und damit der host für eine vorgegebene Zeit gesperrt.

  Zur Installation von fail2ban auf CentOS 7 muss das EPEL Repository hinzugefügt werden:

Die Installation hier wie folgt als root, es wird eine Standard Konfiguration bereitgestellt, und erfordert keine weiteren Anpassungen:

Nachdem fail2ban auf dem Server ist, sollen die Apache access_log Dateien nach Anmeldeversuche untersucht werden.

Damit fail2ban weiss nach welchen parser in der Logdatei gesucht werden soll, wird ein Filter erzeugt, durch editieren mit vim oder anderen bevorzugten Editor, erstellen wir die Filter Datei mit vi /etc/fail2ban/filter.d/wp-auth.conf:

Die Hauptkonfiguration von fail2ban befindet sich in der Datei /etc/fail2ban/jail.conf, diese kann kopiert werden als jail.local, oder es genügt nur die zusätzliche Filter Einstellung einzutragen, die Konfiguration hinzufügen mit vi /etc/fail2ban/jail.local

Nach 6 Anmeldeversuche (maxretry) wird für 30 min. blockiert.

Bevor fail2ban genutzt wird, ist ein blick in /etc/fail2ban/jail.conf gegeben, unter der Sektion [INCLUDES] sind die Pfade der eingesetzten Linux Distribution definiert, bei before = paths-distro.conf, wir verwenden bei CentOS7 die Datei /etc/fail2ban/paths-fedora.conf :

Die Datei paths-fedora.conf   kopieren zu paths-centos.conf. Es werden alle Logs unter /home/web/*/logs ausgelesen, die Pfade zu den Apache Logs ggf. anpassen:

Nun fail2ban neu starten um den Filter zu aktivieren.

fail2ban Status überprüfen wie folgt.

Der iptables Status des Filters in der Kette ausgeben.

Die iptables Ausgabe des Filter AuthFailures in etwa viel folgt.

Hat man sich selber durch zu viel Fehlversuche und Tests ausgesperrt, kann man sich mit folgendem Command wieder entsperren.

  Der vorteil dieser Methode ist es, durch fail2ban wird der host und alle Dienste blockiert, der Bot wird in der regel zur nächsten Webseite gehen, um die Attacken fortzusetzen, auch ssh und ftp anfragen gehen ins leere, und ICMP anfragen bleiben für die IP-Adresse unbeantwortet.

Wie nützlich war dieser Beitrag?

Klicke auf einen Stern, um ihn zu bewerten!

Durchschnittliche Bewertung / 5. Stimmenanzahl:

Vielen Dank für deine Bewertung!

Vielleicht möchtest Du mir in den sozialen Netzwerken folgen!

Es tut mir leid, dass dieser Beitrag für dich nicht nützlich war!

Lass uns diesen Beitrag verbessern!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.