in Linux

WordPress – BruteForce mit fail2ban verhindern

fail2ban ist ein in Python geschriebenes Framework zur Vorbeugung gegen Einbrüche. Es analysiert Log-Dateien und führt nach definierten Regeln und Filtern Aktionen aus, in der Regel um verdächtige Login – Versuche mithilfe von Firewall – Regeln zu blockieren. Es eignet sich prima, um Brute-Force Attacken vorzubeugen.

WordPress unterstützt mit einem tollen Plugin die Implementierung von fail2ban.

Die Installation ist kinderleicht, das gilt für alle Linux – Distributionen. Ich werde das anhand von Gentoo kurz beschreiben.

Vorraussetzungen:

  • eine laufende WordPress – Installation
  • ein zugrunde liegendes Linux Betriebssystem
  • iptables Support im Kernel
  • ein System-Logger wie syslog-ng oder rsyslog

Notwendige Installationen:

  • Unter Gentoo: Installation der notwendigen Pakete:
    • iptables
    • fail2ban
    • (optional) gamin
  • Im WordPress: Installation des Plugins WP fail2ban

Die Installation der Pakete unter Gentoo ist kinderleicht (wie immer):

emerge -avq iptables gamin fail2ban

Im WordPress wird das Plugin einfach über den Plugin Manager installiert, fertig.

Anschließend muss fail2ban konfiguriert werden, dafür legen wir nur eine Datei an: /etc/fail2ban/jail.local

Folgenden Inhalt könnte die Datei haben:

[DEFAULT]
bantime = 86400
findtime  = 600
maxretry = 5
backend = gamin
 
[wordpress]
enabled = true
maxretry = 3
filter = wordpress
# logpath: wo werden Login-Versuche gelogged, hängt von der
# Konfiguration des sysloggers ab
logpath = /var/log/auth.log
port = http,https

Jetzt brauchen wir noch die mitgelieferte Konfigurationsdatei für die Filterregeln von fail2ban:

# Achtung! Pfad anpassen!
find /var/www/Pfad/zum/Wordpress/docroot/ -name wordpress.conf -exec cp {} /etc/fail2ban/filter.d/ \;

Nun noch fail2ban starten und die /var/log/fail2ban.log nach folgender Zeile durchsuchen:

.... fail2ban.jail           [18062]: INFO    Jail 'wordpress' started

Zum Abschluss einfach nochmal testen, einfach 3x ein falsches Kennwort eingeben, dann sollte der Server automatisch eine iptables – Regel erstellen und die IP-Adresse sprerren.

Schreibe einen Kommentar

Kommentar