Grâce à CrowdSec, on va pouvoir protéger notre site WordPress contre toutes les attaques courantes, notamment les scans avec des outils de sécurité, mais aussi les attaques par brute force sur le formulaire de connexion de WordPress.
Commandes à saisir pour l’installer sur votre serveur Web Linux :
- sudo apt-get update –> Mises à jour Système pour être sûr de bénéficier de la dernière version de paquet disponible pour votre distribution Linux
- sudo apt-get install -y crowdsec –> Installation CrowdSec
- sudo cscli hub update et sudo cscli hub upgrade –> Mise à jour des collections pour être certain de bénéficier des dernières versions et de tous les scénarios de détection
Une fois ceci fait, il vous faut installer l’extension CrowdSec depuis votre interface Admin WordPress (procédure « WordPress – Installation d’une extension).
Retournez ensuite sur votre machine Linux pour saisir la commande suivante : sudo cscli bouncers add wordpress-bouncer ; afin de récupérer la Bouncer API Key.
Configurer ensuite CrowdSec comme illustré ci-dessous :
LAPI URL : http://localhost:8080 dans le cas où CrowdSec est installé en local sur le serveur qui héberge votre site Web. Sinon remplacer localhost par l’adresse IP du serveur sur lequel est installé CrowdSec (il faut bien entendu que votre serveur Web puisse communiquer avec ce dernier).
PS : Si le port 8080 est déjà utilisé, il vous faut le modifier dans les fichiers /etc/crowdsec/config.yaml et /etc/crowdsec/local_api_credentials.yaml, et faire un systemctl restart crowdsec. Et bien sûr renseigner le bon port dans ce champ LAPI URL.
Bouncer API Key : Saisir la Bouncer API Key généré précédemment.
Bouncing Level : Normal bouncing
Public website only : Décochée, pour que même le wp-admin soit protégé.
Une fois votre configuration mise en place, je vous invite à la tester.
Le Test bouncing devrait être OK.
Pour le Test geolocation, il faut au préalable activer la Géolocalisation.
Il vous faudra renseigner le chemin exact de la base de données GeoLite2-Country.mmdb (téléchargeable via ce lien GitHub).
Si à terme vous voulez connaître les IP bannies par CrowdSec pour vous protéger, il vous faut utiliser la commande : sudo cscli decisions list
Et si vous souhaitez ne plus bannir une IP qui l’a été par CrowdSec, veuillez saisir la commande : sudo cscli decisions delete –ip X.X.X.X