如何在Ubuntu 14.04上使用Fail2Ban保护WordPress

介绍

WordPress是一个非常强大的内容管理系统（CMS），是免费和开源的。因为任何人都可以发表评论，创建一个帐户，并在WordPress上发帖，许多恶意行为者已经创建了机器人和服务器网络，这些网络通过暴力攻击来破坏和篡改WordPress网站。Fail2ban工具可用于防止未经授权访问腾讯CVM和WordPress站点。它注意到可疑或重复登录失败，并通过修改腾讯CVM的防火墙规则主动禁止这些IP。

在本指南中，我们将在Ubuntu 14.04 LAMP服务器上使用版本0.9.3的Fail2ban，并使用垃圾邮件日志插件将其与WordPress集成。

先决条件

要完成本指南，您需要

• 一个Ubuntu 14.04 腾讯CVM使用一键式WordPress实例。没有服务器的同学可以在这里购买，不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验，学会安装后再购买服务器。
• 为管理任务配置了sudo权限的非root用户。
• 在Ubuntu 14.04上设置和配置Fail2ban 。
• 按照腾讯云+社区中的相关如何在Ubuntu上的WordPress中配置安全更新和安装的指南操作。

第1步 - 安装WordPress Fail2ban插件

首先，通过访问浏览器的https://your_server_ip/wp-admin网址并使用您在安装WordPress时创建的管理凭据登录到WordPress网站。登录后，您将看到以下屏幕，即您的WordPress仪表板。

在左侧边栏上查看单词Plugins，它将出现在侧边栏的一半左右。单击插件后，您将看到以下屏幕：

在顶部附近，在右侧部分，您可以单击“ 添加新”。这允许您向WordPress站点添加可以自定义，保护或扩展站点的新插件。在这种情况下，我们将搜索Fail2ban插件。下一个屏幕将显示如下：

在搜索字段中输入Fail2ban，然后按键盘上的ENTER。结果应该返回一个显示一些插件的屏幕，其中一个要安装的是WP fail2ban。

单击立即安装以开始安装，您将在其中看到两个提示：激活插件并返回到插件安装程序。选择激活插件，浏览器将返回已安装插件列表，列表中包含新的WP fail2ban插件。目前，您可以单击“ 查看详细信息”以查看有关新插件的更多信息。还有一个常见问题解答可以帮助您了解如何启用功能，例如阻止可能用于通过内容或评论向您的WordPress网站发送垃圾邮件的特定用户。

第2步 - 将WordPress过滤器应用于Fail2ban

此WordPress插件包含一个新的自定义Fail2ban过滤器。在此步骤中，我们将安装该过滤器，以便Fail2ban可以正确解析并使用发送到syslog的身份验证日志。

首先，将过滤器从WordPress插件目录移动到相应的Fail2ban过滤器位置。我们将使用“硬”WordPress过滤器来获得更好的保护：

sudo cp /var/www/html/wp-content/plugins/wp-fail2ban/filters.d/wordpress-hard.conf /etc/fail2ban/filter.d/

正确使用新的wordpress-hard.conf过滤器后，您可以通过编辑/etc/fail2ban/jail.local文件将Fail2ban指向相应的身份验证日志。Fail2ban中的jail是指为IP地址提供过滤器的一系列规则和操作。

使用nano或您喜欢的文本编辑器打开jail.local文件。

sudo nano /etc/fail2ban/jail.local

文件打开后，滚动到底部并将以下行追加到末尾。这些行启用插件，将过滤器设置为我们先前复制到filters.d目录的wordpress-hard.conf过滤器，为访问尝试设置适当的日志记录目标，并指定此流量将进入http和https端口。

[wordpress-hard]
​
enabled = true
filter = wordpress-hard
logpath = /var/log/auth.log
maxretry = 3
port = http,https

保存并关闭文件。

接下来，您可以通过在终端中运行此命令来重新启动Fail2ban以确保新过滤器已就位：

sudo service fail2ban restart

第3步 - 忽略计算机上的登录尝试

为了防止您或其他已知用户因意外身份验证失败而被禁止，我们建议您忽略您自己的本地计算机的公共IP地址。

如果您使用的是基于Linux的操作系统，请使用以下命令：

curl ipecho.net/plain ; echo

否则，请访问http://checkip.dyndns.org以确定计算机的公共IP地址。如果您的WordPress网站的其他任何用户位于其他位置，您可能也想查找他们的地址。

再次打开jail.local进行编辑：

sudo nano /etc/fail2ban/jail.local

以下行将列出以本地服务器IP（localhost）开头的任何被忽略的IP地址，其中一个空格将您想要访问WordPress的已知主机的每个其他值分隔开来。将此添加到DEFAULT部分，在您在WordPress插件设置步骤中添加的ignoreip语句下。

ignoreip = 127.0.0.1/8 your_computer_ip

保存并退出编辑器。

第4步 - 测试过滤器

要测试过滤器是否正常工作，您可以注销WordPress站点的wp-admin站点并再次登录。

您可以使用此Fail2ban监狱状态，以确保过滤器未记录您的成功登录。

sudo fail2ban-client status wordpress-hard

您应该看到与此类似的结果：

Status for the jail: wordpress-hard
|- filter
|  |- File list:    /var/log/auth.log 
|  |- Currently failed: 0
|  `- Total failed: 0
`- action
   |- Currently banned: 0
   |  `- IP list:   
   `- Total banned: 0

如果您查看该auth.log文件，通过使用tail您将看到您在文件底部附近成功登录，因为tail将显示最后10行输出：

sudo tail /var/log/auth.log

成功的身份验证将如下所示：

Month Day Hour:Minute:Second your_server wordpress(your_server_ip)[PID]: Accepted password for admin from your_computer_ip

如果日志中出现未经授权的用户或身份验证失败，则新插件将通过相应地更改防火墙规则来确保阻止此IP访问您的站点。

第5步 - 旋转日志文件

如果您发现WordPress网站遭到大量未经授权的登录尝试并且您的日志文件正在快速增长，则可以通过编辑该/etc/logrotate.conf文件将日志文件旋转为新文件。

sudo nano /etc/logrotate.conf

附加这些行，这些行会将文件设置为最大，日志权限和周数。例如，您可以将4设置为文件在刷新之前存在的周数：

/var/log/auth.log {
    size 30k
    create 0600 root root
    rotate 4
}

适当保存并退出文件。

结论

按照本指南中的步骤，您安装并配置了Fail2ban插件，排除了本地IP地址，并测试了您的工作。您还可以设置日志轮换以使日志文件无限期增长。现在，您的WordPress实例更加强大和安全，可防止未经授权的登录尝试，评论垃圾邮件和入侵您的网站。

更多Ubuntu教程请前往腾讯云+社区学习更多知识。

参考文献：《How To Protect WordPress with Fail2Ban on Ubuntu 14.04》

#