So beseitigen Sie Fehlalarme bei der Überwachung der Dateiintegrität in WordPress

Veröffentlicht: 2020-01-17

Mit File Integrity Monitoring (FIM) können Sie Dateiänderungen auf Ihrer WordPress-Site schnell erkennen. Es ist ein wichtiger Teil der Sicherung einer WordPress-Site und funktioniert sehr einfach: Es vergleicht grundlegende kryptografische Hashes mit dem aktuellen Hash der überwachten Dateien. Wenn eine Änderung eintritt, erhalten Sie eine Benachrichtigung.

Es gibt jedoch ein großes Problem mit einfachen Ansätzen zur Überwachung der Dateiintegrität: Fehlalarme (auch bekannt als Fehlalarme). Nicht alle Dateiänderungen auf einer WordPress-Website sind schädlich oder ein Zeichen für einen Angriff. Viele sind harmlos und Teile der erwarteten Wartung. False Positives führen also zu einer Reihe von Problemen:

  • Administratoren könnten möglicherweise böswillige Dateiänderungen ignorieren (eine Cry-Wolf-Situation),
  • Nicht alle Administratoren von WordPress-Websites können eine legitime von einer nicht legitimen Warnung unterscheiden, was zu Fehlalarmen führt.

In diesem Artikel erklären wir, wie die Dateiintegritätsüberwachung funktioniert, die Datei- und Verzeichnisstruktur von WordPress und wie Sie das WordPress-Plugin zur Überwachung von Dateiänderungen richtig konfigurieren können.

Überwachung der Dateiintegrität und Datei-Hashing 101

Das Verständnis von Dateihashes und Prüfsummen kann Ihnen helfen, die Funktionsweise von FIM zu verstehen. Einfach ausgedrückt, erzeugt kryptografisches Hashing eine bestimmte Ausgabe basierend auf einer bestimmten Eingabe. Hash-Funktionen sind nicht umkehrbare Einwegfunktionen. Das heißt, wenn Sie nur das Ergebnis kennen, können Sie nicht rückwärts zur Eingabe arbeiten.

Beispielsweise können wir einen MD5-Hash verwenden, um die Integrität von Text zu überprüfen. Im folgenden Beispiel verwenden wir einen MD5-Prüfsummengenerator, um einen Hash des Satzes The quick brown fox zu erstellen.

MD5-Hash-Generator

Wir können denselben Text mehrmals eingeben und dasselbe Ergebnis erhalten, wie im folgenden Screenshot gezeigt:

Generieren eines MD5-Hash für denselben Text

Fügen Sie jedoch ein einzelnes Zeichen hinzu oder entfernen Sie es, und der Hash, den wir erhalten, ändert sich vollständig, obwohl er immer noch die gleiche Anzahl von Zeichen lang ist. Im folgenden Beispiel haben wir den Quelltext in Die schnellen braunen Füchse geändert.

Unterschiedlicher Text generiert unterschiedliche MD5-Hashes

Warum ist das also wichtig für die Überwachung von WordPress-Dateiänderungen? Einfach: Die Ausgabe einer Hash-Funktion wird verwendet, um festzustellen, ob sich eine Datei geändert hat. Wenn auch nur eine geringfügige Änderung an einer Datei vorgenommen wird, ist der Datei-Hash anders. Plugins zur Überwachung der Dateiintegrität machen diese Vergleiche einfach.

HINWEIS: Um mehr über FIM zu erfahren, lesen Sie Dateiintegritätsüberwachung für WordPress-Websites.

Warum treten falsch positive Ergebnisse auf?

Es reicht jedoch nicht aus, die Ergebnisse unserer Monitoring-Tools blind zu akzeptieren. Wir müssen in der Lage sein, ihre Bedeutung zu interpretieren und mögliche falsch negative und falsch positive Ergebnisse auszuschließen. In der Sicherheit ist ein Fehlalarm ein Fehlalarm, bei dem unsere Tools etwas erkennen, das sich als Blindgänger herausstellt. Das ist vergleichbar damit, Toast in der Küche zu verbrennen, den Feueralarm auszulösen und alle anderen aufzuwecken. Ein falsches Negativ wäre das Gegenteil, wenn böswillige Aktivitäten vorliegen, die jedoch von unseren Tools nicht erkannt werden. Im Allgemeinen sind Fehlalarme aufgrund der Funktionsweise der Dateiintegritätsüberwachung ein häufigeres Problem.

Fehlalarme treten auf, wenn Plugins Dateiänderungen ohne Kontext überwachen. Nicht alle Dateiänderungen sind schlecht. Wenn Sie beispielsweise WordPress oder ein Plugin aktualisieren, werden sich einige Dateien ändern. In diesem Fall sind Dateiänderungen erforderlich und es handelt sich nicht um einen Alarm.

Verstehen der WordPress-Verzeichnisstruktur

Woher wissen Sie also, welche Dateiänderungen Sie beachten sollten? Es beginnt mit dem Verständnis der WordPress-Verzeichnisstruktur und der Szenarioänderungen, die wahrscheinlich auftreten werden. Zu den wichtigsten zu überwachenden Dateiverzeichnissen gehören:

  • /wp-content/uploads/ – Uploads statischer Dateien (Bilder, Videos, Dokumente usw.) sind in diesem Verzeichnis üblich und können von Warnungen ausgeschlossen werden. Ausführbare Dateien wie PHP-Dateien sind das, wonach Sie hier Ausschau halten müssen.
  • /wp-content/cache/ – Wenn Sie ein Caching-Plugin verwenden, wird die Überwachung dieses Verzeichnisses schwierig. Dies liegt daran, dass Caching-Plugins legitimerweise ausführbare Dateien verwenden können. Wenn Sie keine Caching-Plugins verwenden, ist die Überwachung dieses Verzeichnisses auf Änderungen einfacher.
  • /wp-content/plugins – Änderungen in diesem Verzeichnis werden nur beim Installieren, Aktualisieren oder Deinstallieren eines Plugins vorgenommen. Es ist erwähnenswert, dass Plugins im Allgemeinen nur Dateien in ihren eigenen Verzeichnissen ändern sollten (oder im Cache im Falle eines Caching-Plugins oder im Uploads-Verzeichnis, falls es einige Daten speichert).
  • /wp-content/themes/ – Genauso wie beim vorherigen Verzeichnis sollten hier nur Änderungen vorgenommen werden, wenn ein Design installiert, aktualisiert, geändert oder deinstalliert wird.
  • WordPress-Root – Daher sollten in diesem Verzeichnis keine Änderungen vorgenommen werden, es sei denn, Sie haben eine benutzerdefinierte Lösung oder einen benutzerdefinierten Code.
  • WordPress Core-Dateien – WordPress-Updates sind der einzige Grund, warum sich diese Dateien ändern sollten.

Mit den obigen Informationen sollten Sie jetzt in der Lage sein, festzustellen, ob Dateiänderungen gutartig sind oder wann sie ein Problem darstellen könnten. Wenn Sie beispielsweise ein Plug-in aktualisieren, ist es zu erwarten, dass sich eine Plug-in-Datei im Ordner dieses Plug-ins ändert. Es wäre jedoch nicht zu erwarten, dass sich eine Kerndatei oder der Ordner eines anderen Plugins ändert. Ebenso sollten Sie keine Plugin-, Kern- oder anderen Dateiänderungen sehen, wenn Sie keine Aktualisierungen initiiert haben. Diese Art von unerwarteten Dateiänderungen können auf Malware oder eine Kompromittierung der Website hinweisen.

Die Verwendung des richtigen Tools kann einen großen Beitrag zur Minimierung von Fehlalarmen leisten, ohne die Sicherheit zu opfern. Einer der Vorteile des Website File Changes Monitor Plugin für WordPress ist beispielsweise die Fähigkeit, WordPress-, Plugin- und Theme-Updates zu erkennen, um Fehlalarme und Fehlalarme zu vermeiden.

Beispiele aus der Praxis für die Überwachung von WordPress-Dateiänderungen

Nachdem Sie nun verstanden haben, wie die Dateiintegritätsüberwachung funktioniert und welche Dateiänderungen zu erwarten sind, sehen wir uns den Website-Dateiänderungsmonitor in Aktion an. Zu Beginn führt das Plugin automatisch einen anfänglichen Baseline-Scan durch, sobald Sie es aktivieren.

Bestätigung des Scans der ersten Dateiintegritätsüberwachung

Melden von Dateiänderungen aufgrund von Plug-in- und Theme-Installationen, -Aktualisierungen und -Deinstallationen

Wenn wir ein neues Plug-in installieren, meldet das Website File Changes Monitor-Plug-in die Änderungen im Dateisystem eindeutig als neue Plug-in-Installation. Es meldet auch den Pfad, in dem die neuen Dateien erkannt wurden, sowie den Namen des Plugins. Dies hilft denjenigen, die mit dem Innenleben von WordPress nicht vertraut sind, die gemeldete Dateiänderung besser zu verstehen und so Fehlalarme zu reduzieren.

Dateiänderung aufgrund einer neuen Plugin-Installation gemeldet

Sie können auch auf das Informationssymbol klicken, um die vollständige Liste der Dateien anzuzeigen, die während der Installation des neuen Plugins hinzugefügt wurden. Das Plugin meldet auch die Anzahl der Dateien, die mit diesem Update verbunden sind.

Liste der Dateien, die einer Website während einer neuen Plugin-Installation hinzugefügt wurden

Das Plugin meldet alle anderen Plugins und Themen-Updates auf die gleiche Weise. Dies bedeutet, dass das Plug-in eine Plug-in- oder Theme-Installation, -Aktualisierung oder -Löschung eindeutig markiert, sodass Sie eine fundierte Entscheidung darüber treffen können, ob die Dateiänderungen legitim sind oder nicht.

Melden von Dateiänderungen aufgrund eines WordPress-Core-Updates

Lassen Sie uns nun den WordPress-Kern aktualisieren. Beim Aktualisieren von WordPress erwarten wir Dateiänderungen, insbesondere im Stammverzeichnis. Nach dem Ausführen eines WordPress-Updates sehen wir im Abschnitt Hinzugefügte Dateien Folgendes:

Änderungen der WordPress-Core-Update-Datei

  1. Eine Reihe von Dateien wurde im Ordner /wp-content/themes/twentytwenty/ hinzugefügt . Dies bedeutet, dass das Update ein neues Thema enthielt. Das Plugin hat dies nicht als Theme-Installation gemeldet, da die Dateien über das Update direkt in das Dateisystem kopiert wurden.
  2. Eine Reihe neuer WordPress-Kerndateien in den Ordnern wp-admin und wp-includes (grün markiert). Sie können die vollständige Liste der Dateien anzeigen, indem Sie auf das Informationssymbol klicken.

Wenn wir uns während des Updates geänderte Dateien ansehen, sehen wir nur Änderungen an Dateien vom Typ Core Update. Wieder erwartetes Verhalten für ein WordPress-Update.

Geänderte Dateien im WordPress-Kern aufgrund eines Updates

Der Imbiss hier? Normales Verhalten. Die Änderungen werden durch das Plugin Website File Changes Monitor deutlich gekennzeichnet, es gibt keine Fehlalarme. Wenn das Plugin andererseits eine Liste von Dateiänderungen ohne Angabe des Grundes meldet, wird der Benutzer alarmiert.

Feinabstimmung des Website File Changes Monitor-Plugins

WordPress wird in einer Vielzahl von Anwendungen mit einer Vielzahl von Plugins und Modifikationen verwendet. Daher sollten Plug-in-Lösungen zur Überwachung der Dateiintegrität auch flexibel genug sein, um benutzerdefinierte Änderungen und Anforderungen zu berücksichtigen. Beispielsweise können die Einstellungen für die Scanhäufigkeit für einen persönlichen Blog und eine große E-Commerce-Website unterschiedlich sein. Darüber hinaus müssen Sie möglicherweise einen bestimmten Satz benutzerdefinierter Dateien und Ordner einschließen oder ausschließen.

Ein konfigurierbares und dennoch einfach zu verwendendes WordPress-Plugin für Dateiänderungen

Ein gutes Plugin führt die Benutzer und hilft ihnen, die Ergebnisse besser zu verstehen. Beispielsweise sollte das Plugin standardmäßig nicht ausführbare Dateien vom Scan ausschließen. Dateien wie Protokolldateien, Textdateien und Mediendateien sind nicht gefährlich und Administratoren müssen nicht wissen, ob sie sich ändern, da Änderungen in einer Textdatei niemals böswillig sein können. Es ist also nicht erforderlich, dass das Plugin einen Benutzer benachrichtigt, wenn sich eine Protokolldatei ändert, da dies nur Fragen und Fehlalarme aufwirft.

Das unterscheidet das Website File Changes Monitor Plugin von den anderen. Es wurde für alle Benutzerebenen entwickelt. Sie müssen die technischen Einzelheiten nicht kennen und wissen, welche Dateiänderungen bösartig sind oder nicht, um von diesem Plugin zu profitieren. Jeder kann von diesem Plugin profitieren und die Ergebnisse verstehen. Darüber hinaus ist das Plugin vollständig anpassbar. Sie können:

  • Konfigurieren Sie den Scan-Zeitplan und die Häufigkeit,
  • wählen Sie aus, welche Verzeichnisse das Plugin scannen soll,
  • Dateien in einem bestimmten Verzeichnis oder nach Erweiterung ausschließen.

Eine effektive Überwachung der Dateiintegrität ist ein wichtiger Aspekt der WordPress-Sicherheit

Eine effektive WordPress-Sicherheitslösung ist eine Lösung, die keine Fehlalarme meldet und deren Berichte von Benutzern aller Ebenen leicht verstanden werden können. Aus diesem Grund hebt sich das Website File Changes Monitor-Plugin von allen anderen FIM-Plugins ab; Es ist einfach zu bedienen und hebt die verschiedenen Arten von Dateiänderungen deutlich hervor, um den Benutzern das Verständnis der Berichte zu erleichtern. Darüber hinaus werden keine Fehlalarme gemeldet.

Laden Sie jetzt das Plugin Website File Changes Monitor herunter , um über Dateiänderungen auf Ihrer WordPress-Website benachrichtigt zu werden.

Die Überwachung der Dateiintegrität ist nur ein Teil des Sicherheitspuzzles

Wie bei vielen anderen Dingen macht ein Plugin allein nicht das gesamte WordPress-Sicherheits-Toolkit aus. Die Dateiintegritätsüberwachung sollte auch ergänzt werden durch:

  • WordPress-Aktivitätsprotokolle,
  • Starke Passwortrichtlinien für WordPress-Benutzer,
  • Zwei-Faktor-Authentifizierung auf WordPress,
  • WordPress-Firewall (weitere Informationen zu den verschiedenen Arten von Firewalls usw. finden Sie im Leitfaden zu WordPress-Firewalls)
  • Zu guter Letzt eine gute WordPress-Backup-Lösung.

Wenn Sie kompromittiert werden, kann Ihnen unser Dateiintegritätstool dabei helfen, festzustellen, wo Änderungen aufgetreten sind. Dies wiederum ermöglicht eine effektive Reaktion auf Vorfälle, Behebung und Dokumentation.