Brute force rules for mod security

Привет отново!

В продължение на предния ми пост за оптимизация на WHM сървъри, сега ще споделя и как се защитавам срещу brute force атаки към wordpress сайтове, хостнати на WHM сървър, с помощта на modsecurity!

За целта е нужно първо да имаме инсталиран modsecurity с активиран OWASP ModSecurity Core Rule Set V3.0.

Правилата се добавят от : Home »Security Center »ModSecurity™ Tools »Rules List - Add Rule

Следва рестарт на apache сървъра и тест дали работят правилата. Резултата при мен след няколко неуспешни опита за влизане във /wp-login.php беше следния :

[Thu Mar 29 20:56:41.299561 2018] [:error] [pid 25498:tid 140498557667072] [client 87.97.123.123:36841] [client 87.97.123.123] ModSecurity: Access denied with code 401 (phase 2). Operator GT matched 0 at IP:bf_block. [file "/etc/apache2/conf.d/modsec/modsec2.user.conf"] [line "37"] [id "5000135"] [msg "ip address blocked for 5 minutes, more than 10 login attempts in 3 minutes."] [hostname "qksite.com"] [uri "/wp-login.php"] [unique_id "Wr1E@aRFYAyVlLe-TFRsggAAAZI"], referer: http://qksite.com/wp-login.php

Същата работа е и със заявките към /xmlrpc.php

Да подчертая, горните са правила са няколко на брой, и може да се окажат доста чуствителни! Хубаво е да се изтестват едно по едно преди да се сложат на продукшън среда!

Това е! 🙂