WordPress/Joomla/404 + Fail2Ban = Ochrona przed brute force attacks

O samym fail2ban już pisałem przy okazji postfix-a. Teraz czas przyszedł na WordPress i Joomle oraz inne dziwne wynalazki :)

Oczywiście fail2ban musi być zainstalowany :)

To na początek. W przypadku obu skryptów musimy dodać odpowiednie dodatki które nam do logów wyplują info o nie udanej próbie logowania. Tak więc:

Joomla: http://extensions.joomla.org/extension/fail2ban
oraz
WordPress: https://pl.wordpress.org/plugins/wp-fail2ban/

Ważna informacja. Domyślnie plugin WordPress-a info leci do /var/log/auth.log natomiast plugin Joomli error.log danego virtualnego serwera, najmniej w moim przypadku tak było.

1. Joomla

edytujemy plik /etc/fail2ban/jail.conf

Dodajemy wpis:

Musimy dopasować logpath, w moim przypadku ma czytać z * czyli każdego podkatalogu plik error.log znajdujący się w podkatalogu log. Parametr maxretry to już mówi sam za siebie :) – dopasować też trzeba pod siebie

Teraz musimy utworzyć filtr:

wrzucamy:

wsio :)

2. WordPess

Ponownie idziemy do edycji konfiguracji jail-a.

dodajemy:

Następnie dorzucamy filtry:

jak poniżej:

Opis tego też znajduje się w plugin-ie.

3. Coś extra

Zdarza się, co miałem ostatnio, iż boty latały po stronie i szukały admina lub phpmyadmina w root strony lub w w kombinacji z url co dawało 404. Na takie zachowanie też jest prosta metoda, co znalazłem jakiś czas temu na gicie i lekko coś dodałem od siebie.

Więc idziemy do edycji konfiguracji i dorzucamy:

Tutaj widać, że badany jest access.log witryny.

Tworzymy filtr:

i dodajemy:

I wrzucam link do oryginału :) co by nie było: https://github.com/miniwark/miniwark-howtos/wiki/Fail2Ban-setup-for-Apache.

Wszystko :)


Linux, Windows, WordPress