fail2ban für Wordpress

tbc233 · 27. Oktober 2018

Die Angriffe auf Wordpress Installationen begannen mich immer mehr zu nerven. Wenn ich selbst mit wordpress was mache, installiere ich stets "Wordfence", das macht einen ganz guten Job. Aber bei nicht direkt betreuten Kunden hab ich das natürlich nicht unter Kontrolle. Daher hab ich mir mit fail2ban was gebaut und zwar wie folgt (Ziel waren die Angriffe auf das login sowie auf die xmlrpc zu minimieren):

File: /etc/fail2ban/jail.d/wordpress.conf

Code

[wordpress]
enabled = true
port = http,https
filter = wordpress
action = iptables-multiport[name=wordpress, port="http,https", protocol=tcp]
logpath = /usr/local/pd-admin2/logs/access_log
maxretry = 10
findtime = 600

File: /etc/fail2ban/filter.d/wordpress.conf

Code

[Definition]
failregex = ^[-/\w]+.*(?:[a-z]{2,6}) <HOST> .*/xmlrpc\.php.*
^[-/\w]+.*(?:[a-z]{2,6}) <HOST> .*POST.*/wp-login\.php HTTP.*
ignoreregex =

Arbeitet bis jetzt ganz gut und blockt permanent irgendwen.

Freu mich über eure Meinungen bzw. vielleicht hilft es mal jemand.

Eisenherz · 27. Oktober 2018

Ich denke ist ein guter Ansatz.

Ich habe oft einfach das /wp-admin-Verzeichnis durch die .htaccess gesperrt.

Sumeragi · 27. Oktober 2018

Wordpress Logins werden bei mir ebenfalls geloggt und bei zu vielen Fehlschlägen per fail2ban gesperrt. Dabei nutze ich folgendes Plugin:

https://de.wordpress.org/plugins/wp-fail2ban/

Bei der xmlrpc.php habe ich folgendes in die httpd.conf eingefügt:

Code

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
Allow from 192.0.64.0/18
Satisfy All
</Files>

Damit wird der Zugriff auf die xmlrpc.php nur aus dem WordPress Subnetz gestattet.

tbc233 · 27. Oktober 2018

Dieses wp-fail2ban Plugin ist mir bei meiner Recherche auch untergekommen. Aber auch hier wieder das selbe Problem wie beim "Wordfence" Plugin (das ich wie gesagt sehr empfehlen kann): Ich hab nicht unter Kontrolle, ob die Kunden die nicht direkt von mir betreut werden, das auch installieren.

Daher wollte ich einen Ansatz bauen, der ohne Wordpress Plugin auskommt und daher direkt auf die access_log los geht.

Sumeragi · 28. Oktober 2018

Hab es jetzt ~~nicht~~ getestet, ~~aber~~ bei mir matched

Code

^[-/\w]+.*(?:[a-z]{2,6}) <HOST> .*POST.*/wp-login\.php HTTP.*

bei jedem Login? Könnte also zu Problemen bei regulären Logins bei Kunden führen.

Aus meiner Sicht ist die Absicherung der xmlrpc.php wichtig. Dort kann ich regelmäßig Zugriffsversuche feststellen.

Ansonsten hat Wordpress selbst etliche Tipps zum absichern der Login Seite:

https://codex.wordpress.org/Brute_Force_Attacks

tbc233 · 28. Oktober 2018

Korrekt, es matcht bei jedem Login. Das nehme ich aber bei 10 Versuchen innerhalb 600 Sekunden in Kauf.

Die Tipps unter https://codex.wordpress.org/Brute_Force_Attacks sind gut, aber auch hier das Problem dass ich nicht direkt von mir betreute Hostingkunden diese Maßnahmen schwer aufdrängen kann.

Sumeragi · 28. Oktober 2018

Aufdrängen geht vielleicht nicht, aber man kann Kunden zumindest Empfehlungen an die Hand geben. Wie Caching einrichten oder eben den Login absichern. Solche Maßnahmen sollten ja auch im Interesse der Kunden sein.