WordPress是一个非常强大的内容管理系统(CMS),是免费和开源的。因为任何人都可以发表评论,创建一个帐户,并在WordPress上发帖,许多恶意行为者已经创建了机器人和服务器网络,这些网络通过暴力攻击来破坏和篡改WordPress网站。Fail2ban工具可用于防止未经授权访问腾讯CVM和WordPress站点。它注意到可疑或重复登录失败,并通过修改腾讯CVM的防火墙规则主动禁止这些IP。
在本指南中,我们将在Ubuntu 14.04 LAMP服务器上使用版本0.9.3的Fail2ban,并使用垃圾邮件日志插件将其与WordPress集成。
要完成本指南,您需要
首先,通过访问浏览器的https://your_server_ip/wp-admin
网址并使用您在安装WordPress时创建的管理凭据登录到WordPress网站。登录后,您将看到以下屏幕,即您的WordPress仪表板。
在左侧边栏上查看单词Plugins,它将出现在侧边栏的一半左右。单击插件后,您将看到以下屏幕:
在顶部附近,在右侧部分,您可以单击“ 添加新”。这允许您向WordPress站点添加可以自定义,保护或扩展站点的新插件。在这种情况下,我们将搜索Fail2ban插件。下一个屏幕将显示如下:
在搜索字段中输入Fail2ban,然后按键盘上的ENTER
。结果应该返回一个显示一些插件的屏幕,其中一个要安装的是WP fail2ban。
单击立即安装以开始安装,您将在其中看到两个提示:激活插件并返回到插件安装程序。选择激活插件,浏览器将返回已安装插件列表,列表中包含新的WP fail2ban插件。目前,您可以单击“ 查看详细信息”以查看有关新插件的更多信息。还有一个常见问题解答可以帮助您了解如何启用功能,例如阻止可能用于通过内容或评论向您的WordPress网站发送垃圾邮件的特定用户。
此WordPress插件包含一个新的自定义Fail2ban过滤器。在此步骤中,我们将安装该过滤器,以便Fail2ban可以正确解析并使用发送到syslog的身份验证日志。
首先,将过滤器从WordPress插件目录移动到相应的Fail2ban过滤器位置。我们将使用“硬”WordPress过滤器来获得更好的保护:
sudo cp /var/www/html/wp-content/plugins/wp-fail2ban/filters.d/wordpress-hard.conf /etc/fail2ban/filter.d/
正确使用新的wordpress-hard.conf
过滤器后,您可以通过编辑/etc/fail2ban/jail.local
文件将Fail2ban指向相应的身份验证日志。Fail2ban中的jail是指为IP地址提供过滤器的一系列规则和操作。
使用nano或您喜欢的文本编辑器打开jail.local
文件。
sudo nano /etc/fail2ban/jail.local
文件打开后,滚动到底部并将以下行追加到末尾。这些行启用插件,将过滤器设置为我们先前复制到filters.d
目录的wordpress-hard.conf
过滤器,为访问尝试设置适当的日志记录目标,并指定此流量将进入http
和https
端口。
[wordpress-hard]
enabled = true
filter = wordpress-hard
logpath = /var/log/auth.log
maxretry = 3
port = http,https
保存并关闭文件。
接下来,您可以通过在终端中运行此命令来重新启动Fail2ban以确保新过滤器已就位:
sudo service fail2ban restart
为了防止您或其他已知用户因意外身份验证失败而被禁止,我们建议您忽略您自己的本地计算机的公共IP地址。
如果您使用的是基于Linux的操作系统,请使用以下命令:
curl ipecho.net/plain ; echo
否则,请访问http://checkip.dyndns.org
以确定计算机的公共IP地址。如果您的WordPress网站的其他任何用户位于其他位置,您可能也想查找他们的地址。
再次打开jail.local
进行编辑:
sudo nano /etc/fail2ban/jail.local
以下行将列出以本地服务器IP(localhost)开头的任何被忽略的IP地址,其中一个空格将您想要访问WordPress的已知主机的每个其他值分隔开来。将此添加到DEFAULT部分,在您在WordPress插件设置步骤中添加的ignoreip语句下。
ignoreip = 127.0.0.1/8 your_computer_ip
保存并退出编辑器。
要测试过滤器是否正常工作,您可以注销WordPress站点的wp-admin站点并再次登录。
您可以使用此Fail2ban监狱状态,以确保过滤器未记录您的成功登录。
sudo fail2ban-client status wordpress-hard
您应该看到与此类似的结果:
Status for the jail: wordpress-hard
|- filter
| |- File list: /var/log/auth.log
| |- Currently failed: 0
| `- Total failed: 0
`- action
|- Currently banned: 0
| `- IP list:
`- Total banned: 0
如果您查看该auth.log
文件,通过使用tail
您将看到您在文件底部附近成功登录,因为tail
将显示最后10行输出:
sudo tail /var/log/auth.log
成功的身份验证将如下所示:
Month Day Hour:Minute:Second your_server wordpress(your_server_ip)[PID]: Accepted password for admin from your_computer_ip
如果日志中出现未经授权的用户或身份验证失败,则新插件将通过相应地更改防火墙规则来确保阻止此IP访问您的站点。
如果您发现WordPress网站遭到大量未经授权的登录尝试并且您的日志文件正在快速增长,则可以通过编辑该/etc/logrotate.conf
文件将日志文件旋转为新文件。
sudo nano /etc/logrotate.conf
附加这些行,这些行会将文件设置为最大,日志权限和周数。例如,您可以将4设置为文件在刷新之前存在的周数:
/var/log/auth.log {
size 30k
create 0600 root root
rotate 4
}
适当保存并退出文件。
按照本指南中的步骤,您安装并配置了Fail2ban插件,排除了本地IP地址,并测试了您的工作。您还可以设置日志轮换以使日志文件无限期增长。现在,您的WordPress实例更加强大和安全,可防止未经授权的登录尝试,评论垃圾邮件和入侵您的网站。
更多Ubuntu教程请前往腾讯云+社区学习更多知识。
参考文献:《How To Protect WordPress with Fail2Ban on Ubuntu 14.04》
#
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。