fail2ban bloquear tentativas de login wp-auth

WP-Auth Fail2ban

Se você tiver controle sobre o seu servidor da web, poderá bloquear as tentativas de login com base na frequência com fail2ban.

Crie wp-auth.conf

No Ubuntu, navegue /etc/fail2ban/filter.d/e crie o wp-auth.confarquivo. Próxima edição o arquivo com seu editor de linha de comando favorito ( pip, vi, etc …).

[Definition]
failregex
= ^<HOST> .* "POST /(wp/||wordpress/)wp-login.php
ignoreregex =

Salve este arquivo e saia.

Em seguida, você precisará determinar onde você acessa os arquivos de log. Eu geralmente encontro em algum lugar ao redor /var/log/nginx/. Isso pode ser diferente com base em muitos cenários, por isso é importante encontrar o patch correto e não simplesmente copiar e colar as linhas abaixo.

Acesse e edite . adicionando as seguintes linhas./etc/fail2ban/jail.local

[wp-auth]
enabled
= true
filter
= wp-auth
action
= iptables-multiport[name=NoAuthFailures, port="http,https"]
logpath
= /var/log/nginx/*access*.log*
bantime = 1200

maxretry = 2

As linhas são importantes logpath, bantimee maxretry. Eles são todos autoexplicativos, mas você inserirá o caminho de registro que encontrou acima. Certifique-se de observar no meu exemplo que eu tenho . Este é o regex que basicamente diz qualquer arquivo que tenha a palavra com a extensão. Isso irá capturar todas as seguintes variações, por exemplo:*access*.log*access.log
access.log
access.log.1
access.log.2.gz
site2.access.log
site2.access.log.1
site2.access.log.2.gz

Salve este arquivo e saia.

Você pode testar seu novo filtro em relação aos registros atuais com o seguinte comando (substitua o caminho do registro pelo seu):

fail2ban-regex /var/log/nginx/access.log.1 /etc/fail2ban/filter.d/wp-auth.conf

Mais abaixo, na parte inferior da saída, você verá algo semelhante a:

Linhas: 750 linhas, 0 ignorado, 10 correspondido , 740 perdido

Com base no meu exemplo, temos 10 correspondências que seriam afetadas por seu novo filtro.

Assim que estiver satisfeito com os resultados e saber que está funcionando, você precisará aplicar seu novo filtro reiniciando o serviço fail2ban.

service fail2ban restart

Você pode monitorar seus registros fail2ban por meio do seguinte caminho:

tail -f /var/log/fail2ban.log

Monitore atores mal-intencionados sendo banidos em tempo real. Aproveitar.