Was ist Dateiintegritätsüberwachung und warum brauchen Sie sie auf Ihrer WordPress-Website?

Mussten Sie Ihre WordPress-Website jemals von einer Malware-Infektion befreien? Wissen Sie, wie Sie herausfinden können, welcher Code kompromittiert wurde? Wissen Sie, ob Ihre Entwickler oder Agentur Sicherungskopien und übrig gebliebene Dateien auf Ihrer Website hinterlassen haben, die Sie ungeschützt zurücklassen können?

Dieser Beitrag erklärt, wie File Integrity Monitoring (FIM) Ihnen hilft, solche Fragen zu beantworten. Wir werden sehen, wie ein Plugin zur Überwachung der Dateiintegrität dazu beiträgt, dass Sie die Dateien Ihrer WordPress-Site besser verwalten können. Das frühzeitige Erkennen von Problemen ist sehr wichtig – damit können Sie den Schaden des Angriffs oder des Problems mindern und begrenzen.

Hinweis: Überwachung der Dateiintegrität ist der Fachbegriff für das, was allgemein als Scannen von Dateiänderungen, Überwachung von Dateiänderungen und ähnliche Begriffe bekannt ist.

Was ist Dateiintegritätsüberwachung und -scanning?

Das Scannen oder Überwachen der Dateiintegrität bezieht sich auf den Prozess, der die Fingerabdrücke einer Datei vergleicht, um herauszufinden, ob sie sich geändert hat. Die Software zur Überprüfung der Dateiintegrität erstellt einen kryptografischen Hash oder einen Fingerabdruck der Dateien auf einem System. Wenn sich der Inhalt einer Datei ändert, ändert sich auch ihr Fingerabdruck. Bei Feststellung der Änderung im Fingerabdruck der Datei benachrichtigt der Dateiintegritätsscanner den Administrator.

Warum brauchen Sie Dateiintegritätsprüfungen auf WordPress-Sites?

Änderungen an Dateien kommen häufig auf stark frequentierten WordPress-Websites vor. Natürlich sind die meisten dieser Änderungen erwünscht. Zum Beispiel, wenn Sie neue Mediendateien hinzufügen, ein Plugin installieren oder aktualisieren und den Code des Themas absichtlich ändern. Andere Änderungen können jedoch alles andere als harmlos sein oder versehentlich vorgenommen werden.

Ein Dateiintegritätsscanner hilft Ihnen, die Integrität Ihrer WordPress-Website im Auge zu behalten. Mit anderen Worten, es hilft Ihnen sicherzustellen, dass das neue Plugin oder Design, das Sie installiert haben, die Dateien Ihrer Website nicht verändert hat.

Proaktive und reaktive Überwachung und Überprüfung der Dateiintegrität

Primär gibt es zwei Möglichkeiten, wie File Integrity Monitoring (FIM) und Scans verwendet werden: proaktiv und reaktiv. Beide Methoden werden in diesem Beitrag erklärt.

Proaktive Sicherheitsmaßnahmen

Wenn das Scannen der Dateiintegrität proaktiv verwendet wird, verhindert es, dass schlimme Dinge passieren. Im Folgenden sind einige Szenarien aufgeführt, in denen die proaktive Dateiintegritätsüberwachung Fehler erkennt und Sie darüber benachrichtigt. Auf diese Weise können Sie die Probleme beheben, bevor Angreifer die Schwachstelle identifizieren oder ein Problem mit der Site vorliegt.

• Ein Entwickler kopiert versehentlich einen Text oder einen anderen Dateityp, der vertrauliche Informationen enthält. Diese Art von Dateien kann leicht von böswilligen Hackern gefunden und heruntergeladen werden.
• Ein Datenbankadministrator hinterlässt ein MySQL-Datenbank-Backup (.sql) auf der Website. Dies würde es einem Angreifer ermöglichen, Ihre gesamte WordPress-Datenbank herunterzuladen.
• Ein Webmaster erstellt eine Kopie von wp-config.php und nennt sie wp-config.bak. Da es sich nicht mehr um eine PHP-Datei handelt, würde dies einem Angreifer ermöglichen, die Sicherungsdatei herunterzuladen.
• Jemand bearbeitet eine PHP-Datei direkt auf dem Server mit dem Vim-Editor und beendet den Editor nicht ordnungsgemäß. Dies hinterlässt eine .swp-Datei. Ein Angreifer kann eine solche Datei herunterladen, da der Webserver sie nicht als PHP-Code behandelt.

Reaktive Sicherheitsaktionen

Viele assoziieren reaktive Sicherheitsmaßnahmen mit zu spät . In Wirklichkeit sind jedoch rechtzeitig reaktive Sicherheitsmaßnahmen entscheidend, um einen Angriff abzuschwächen. Sie helfen auch, den Schaden zu stoppen, bevor es schlimmer wird.

Im Folgenden sind einige Szenarien aufgeführt, in denen ein Dateiintegritätsscanner verwendet werden kann, um verdächtige Aktivitäten schnell aufzuschlüsseln und während oder nach Angriffen auf Angriffe zu reagieren.

WordPress-Angriffsszenario 1

Ein Plugin zur Überwachung der Dateiintegrität erkennt eine neue PHP-Datei. Es hat einen obskuren Namen und wird im Verzeichnis /wp-content/uploads gespeichert. Nach Prüfung kann der WordPress-Administrator diese Datei nicht einer von ihm oder dem Team vorgenommenen Änderung zuordnen. Die Datei enthält verschleierten Code, der zu einer Web-Shell führt. Der Administrator muss schnell handeln.

Zunächst erstellt er eine Kopie der Datei zur weiteren Analyse. Löscht es dann, um den Zugriff des Angreifers auf die WordPress-Site zu unterbrechen. Nach der Untersuchung der Webserver-Protokolle stellt der Administrator fest, dass diese Datei von einem Angreifer hochgeladen wurde, der eine Schwachstelle in einem Datei-Upload-Formular auf seiner Website missbraucht hat. Mit allen Informationen in der Hand kann der Administrator mit den Entwicklern sprechen, um das Problem zu beheben.

WordPress-Angriffsszenario 2

Ein Plugin zur Überwachung von WordPress-Dateiänderungen benachrichtigt den Administrator über Änderungen der WordPress-Kerndateien. Dies sollte niemals auftreten, außer während WordPress-Updates. Dies geschah jedoch unmittelbar nachdem ein anderer WordPress-Administrator ein neues Plugin installiert hatte.

Nach einer Untersuchung findet der Webmaster heraus, dass andere ein ähnliches Verhalten erlebt haben, und meldete das bösartige Plugin: Es soll WordPress-Anmeldeinformationen stehlen und sie an den Angreifer senden, wenn sich ein Benutzer anmeldet.

Der Webmaster entfernt sofort das Rouge-Plugin und stellt die manipulierten Dateien wieder her. Er setzt auch die Passwörter aller WordPress-Benutzer mit einem Plugin zur Beruhigung zurück.

WordPress-Angriffsszenario 3

Ein Plugin zur Überwachung der Dateiintegrität benachrichtigt den Administrator über eine obskure Datei in einem passwortgeschützten Verzeichnis im WordPress-Root. Das Verzeichnis speichert statische Dateien mit vertraulichen Informationen und ist mit einem starken Passwort unter Verwendung der HTTP-Authentifizierung geschützt.

Nach einigen Nachforschungen stellt der Webmaster fest, dass die Datei über einen falsch konfigurierten FTP-Server hochgeladen wurde, der anonymen Schreibzugriff zulässt. Der Administrator korrigiert sofort die Konfiguration des FTP-Servers und deaktiviert die anonyme Authentifizierung.

Welche WordPress-Dateien müssen Sie im Auge behalten?

Ähnlich wie bei WordPres-Aktivitätsprotokollen müssen Sie bei Plugins zum Scannen der Dateiintegrität wissen, wonach Sie suchen müssen, damit sie effektiv sind. Verfolgen Sie jede Dateiänderung und Sie erhalten einen nie endenden Strom von Warnungen. Wenn Sie zu wenig nachverfolgen, verlieren Sie alle Vorteile des Plugins zur Überwachung von Dateiänderungen.

Ein weiterer wichtiger Faktor ist, dass nicht alle Dateiänderungen Indikatoren für böswillige oder problematische Aktivitäten sind. Beispielsweise gibt es keine Probleme, wenn ein Backup-Plugin SQL-Dateien in ein Verzeichnis schreibt, das für nicht autorisierte Benutzer verboten ist. Im Folgenden finden Sie einige Hinweise zur Unterscheidung zwischen gutartigen und böswilligen Änderungen in WordPress-Verzeichnissen.

/wp-content/uploads/ WordPress-Verzeichnis

WordPress-Websites sind in der Regel sehr aktiv. Die Überwachung jeder einzelnen erstellten oder geänderten Datei führt also wahrscheinlich zu einem endlosen Strom von Warnungen. In fast allen Fällen ist es sinnvoll, statische Dateien aus dem Verzeichnis /wp-content/uploads/ auszuschließen.

Statische Dateien umfassen Mediendateien wie Bilder, Videos und Audio sowie Dokumente wie Präsentationen, Tabellenkalkulationen und PDFs. Es ist sicher, solche Dateien zu ignorieren, aber nicht das Uploads- Verzeichnis. Sie möchten wirklich wissen, ob ausführbare Dateien wie PHP-Dateien in dieses Verzeichnis hochgeladen werden.

/wp-content/cache/ WordPress-Verzeichnis

Dieses Verzeichnis ist knifflig. Es wird von WordPress-Caching-Plugins verwendet. Abhängig von der Konfiguration Ihres Caching-Plugins sehen Sie möglicherweise eine Vielzahl von Dateien in Unterverzeichnissen von /wp-content/cache/ , einschließlich legitimer PHP-Dateien. Diese werden von Ihren Caching-Plugins hinzugefügt, insbesondere wenn Sie Objekt-Caching aktivieren. Wenn dies der Fall ist, untersuchen Sie das Verhalten Ihrer Caching-Plugins und welche Dateien sie speichern, und konfigurieren Sie den Dateiintegritätsscanner gemäß Ihren Erkenntnissen. Wenn Sie keine Caching-Plugins verwenden oder Ihre Plugins keine PHP- und andere Quellcodedateien speichern, ist es viel einfacher, dieses Verzeichnis zu überwachen.

/wp-content/plugins und /wp-content/themes/ WordPress-Verzeichnis

Wenn du ein Plugin hinzufügst, löschst oder aktualisierst, siehst du Änderungen im WordPress-Verzeichnis /wp-content/plugins/ . Wenn Sie Änderungen an einem Team vornehmen, werden Sie Dateiänderungen im Verzeichnis /wp-content/themes/ bemerken.

Dies bedeutet nicht, dass alle Änderungen, die in diesen Verzeichnissen auftreten, immer harmlos sind. Als Faustregel gilt jedoch, dass Dateiänderungen innerhalb dieser beiden Verzeichnisse nur als Folge einiger administrativer Aktionen mit WordPress auftreten sollten.

Hinweis: Unser Website File Changes Monitor-Plugin für WordPress hat eine einzigartige Funktion. Es erkennt WordPress-Core-, Plugins- und Theme-Änderungen. Daher sendet es keine Fehlalarme über Hunderte von Dateiänderungen. Es weist Sie darauf hin, dass die Dateiänderungen auf eine Änderung der Website zurückzuführen sind, sodass Sie die Änderung überprüfen können.

Das WordPress-Root-Verzeichnis

Das WordPress-Stammverzeichnis ist die eigentliche WordPress-Installation auf dem Webserver. Dies ist ein wichtiger Ort, auf den Sie achten sollten. In den meisten Fällen sind hier vorgenommene Dateiänderungen ein gutes Signal, das Sie untersuchen können, es sei denn, die Änderungen wurden von Ihnen vorgenommen.

WordPress Core-Dateien

WordPress Core-Dateien sind die eigentlichen Dateien, aus denen die WordPress-Webanwendung besteht. Änderungen in Kerndateien sollten immer nur als Ergebnis eines WordPress-Updates erfolgen. Sie sollten niemals unter anderen Bedingungen auftreten.

Daher sollte dies ein qualitativ hochwertiges Signal dafür sein, dass etwas faul ist, es sei denn, Sie haben eine WordPress Core-Datei manuell bearbeitet (vermeiden Sie dies, es gibt bessere Möglichkeiten, WordPress anzupassen).

Wie überwache ich meine WordPress-Site auf Dateiänderungen?

Während das Scannen der Dateiintegrität durch eine Reihe von nicht WordPress-spezifischen Tools erreicht werden kann, erfordern viele normalerweise eine ziemliche Lernkurve, um ausgeführt, konfiguriert und betrieben zu werden.

Stattdessen wäre ein einfacherer Ansatz, wenn nicht sogar besser mit feiner abgestimmten Ergebnissen, die Verwendung des Website File Changes Monitor-Plugins für WordPress. Dieses Plugin verfügt über eine exklusive intelligente Technologie, die Aktualisierungen, Installationen und Löschungen von WordPress-Kern, Plugins und Themen erkennt. Es werden also keine Fehlalarme gemeldet! Weitere Informationen zu Fehlalarmen und unserer intelligenten Technologie finden Sie unter Fehlalarme in der Überwachung der Dateiintegrität.

Das Plugin erkennt Seitenstrukturänderungen. Wenn es also eine Änderung gibt, benachrichtigt Sie das Plugin über die Änderung der Site-Struktur und nicht über die Hunderte von Dateien, die auf Ihrer WordPress-Site hinzugefügt oder geändert wurden. Es automatisiert den Job für Sie, löst keine Fehlalarme aus und Sie müssen die Ergebnisse nicht manuell filtern.

Laden Sie noch heute den kostenlosen Monitor für Website-Dateiänderungen für WordPress herunter, um die Sicherheit Ihrer Websites besser zu verwalten und zu verbessern.

Was ist, wenn ich bereits ein WordPress-Sicherheits-Plugin verwende?

Wenn Sie bereits ein WordPress-Sicherheits-Plugin verwenden, ist das großartig, machen Sie weiter so. Die Überwachung der Dateiintegrität steht jedoch nicht im Fokus eines Sicherheits-Plugins. Durch die Verwendung eines WordPress-Plugins, das speziell für die Dateiintegritätsüberwachung mit Blick auf die Leistung entwickelt wurde, können Sie dennoch alle Vorteile der Verwendung generischer WordPress-Sicherheits-Plugins nutzen, zusätzlich zu all den wertvollen Erkenntnissen, die Ihnen die Dateiintegritätsüberwachung bietet.