WordPress mit Fail2Ban absichern

Vor einiger Zeit hab eich eine Beitrag verfasst wie man ownCloud mit Fail2Ban absichern kann nun möchte ich zeigen wie man das selbe mit WordPress macht.

Wen man sich über die /wp-admin Seite erfolgreich einloggt wird man mit einem 302-Redirect auf die wp-login.php Datei weitergeleitet, bei fehlgeschlagenen Login versuchen wird ein HTTP-Status-Code 200 im Access-Log aufgezeichnet.

Genau das nehmen wir uns zu Hilfe und fügen Fail2Ban einen weiteren Filter hinzu der die Logs auf den HTTP-Status-Code 200 überwacht.

Erstellen der Filterdatei und Konfiguration in Fail2Ban

Erstellen der Datei /etc/fail2ban/filter.d/wordpress.conf  mit folgenden Inhalt:

[Definition]
failregex = <HOST>.*] \"POST */wp-login\.php HTTP.* 200 .*$
ignoreregex =

Und in der Datei /etc/fail2ban/jail.conf folgendes hinzufügen:

[wordpress]
enabled = true
filter  = wordpress
logpath = /var/log/httpd/access_log
maxretry = 3

Neue Regeln für Fail2Ban testen

Welches natürlich nur geht, wenn man sich mal falsch anmeldet, sonst kann nichts gefunden werden.

root@w2k.test:/# fail2ban-regex /var/log/httpd/access_log /etc/fail2ban/filter.d/wordpress.conf

Running tests
=============

Use failregex filter file : wordpress, basedir: /etc/fail2ban
Use log file : /var/log/httpd/access_log
Use encoding : UTF-8


Results
=======

Failregex: 3 total
|- #) [# of hits] regular expression
| 1) [3] <HOST>.*] \"POST */wp-login\.php HTTP.* 200 .*$
`-

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
| [34961] Day(?P<_sep>[-/])MON(?P=_sep)Year[ :]?24hour:Minute:Second(?:\.Microseconds)?(?: Zone offset)?
`-

Lines: 4961 lines, 0 ignored, 3 matched, 34958 missed [processed in 71.98 sec]

Die Regeln funktionieren. Der Service/Daemon Fail2ban kann neu gestartet werden:

root@w2k.test:/# systemctl restart fail2ban