Pleins feux sur la fonctionnalité iThemes Security Pro – Journalisation des utilisateurs

Dans les publications Feature Spotlight, nous mettrons en évidence une fonctionnalité du plug-in iThemes Security Pro et partagerons un peu les raisons pour lesquelles nous avons développé la fonctionnalité, à qui elle est destinée et comment l'utiliser.

Aujourd'hui, nous couvrons la fonctionnalité de journalisation des utilisateurs dans iThemes Security Pro.

Pourquoi nous avons développé la journalisation des utilisateurs

Le plugin iThemes Security Pro peut empêcher la plupart des attaques sur votre site WordPress de réussir, mais il ne peut pas garantir qu'il arrêtera 100% des attaques. Vous ne trouverez pas d'outil ou de méthode de sécurité efficace à 100 % contre toutes les attaques. Malheureusement, même si vous suivez toutes les meilleures pratiques de sécurité WordPress, votre site Web pourrait être piraté. Comme il n'existe pas de méthode de sécurité à toute épreuve, nous devons surveiller et enregistrer les événements de sécurité sur notre site Web.

La journalisation est un élément essentiel de votre stratégie de sécurité WordPress. Une journalisation et une surveillance insuffisantes peuvent entraîner un retard dans la détection d'une faille de sécurité. La plupart des études sur les violations montrent que le temps de détection d'une violation est de plus de 200 jours ! Ce laps de temps permet à un attaquant de violer d'autres systèmes, de modifier, de voler ou de détruire davantage de données. C'est pour ces raisons qu'Insufficient Logging a atterri dans le top 10 OWASP des risques de sécurité des applications Web.

Il existe plusieurs types d'événements de sécurité que vous devez surveiller et enregistrer dans vos journaux de sécurité WordPress, notamment les attaques par force brute, les modifications de fichiers, les analyses de logiciels malveillants et l'activité des utilisateurs. Cependant, dans cet article, nous allons nous concentrer sur l'enregistrement de l'activité des utilisateurs.

Garder un enregistrement de l'activité des utilisateurs dans vos journaux de sécurité WordPress peut être votre grâce salvatrice après une attaque réussie.

Qu'est-ce que la journalisation des utilisateurs ?

La fonction de journalisation des utilisateurs surveille et enregistre automatiquement les actions spécifiques des utilisateurs dans les journaux de sécurité d'iThemes Security Pro.

5 actions utilisateur enregistrées par iThemes Security Pro

1. Connexion / Déconnexion

Le premier type d'activité d'utilisateur enregistré est lorsque les utilisateurs se connectent et se déconnectent de votre site Web et d'où. La surveillance de l'heure et de l'emplacement des connexions de l'utilisateur peut vous aider à repérer un utilisateur compromis. Cet utilisateur s'est-il connecté à un moment inhabituel ou depuis un nouvel endroit ? Si c'est le cas, vous voudrez peut-être commencer votre enquête avec eux.

2. Création d'utilisateur / Enregistrement

La prochaine activité dont vous devez garder une trace est la création d'utilisateurs, en particulier la création d'utilisateurs Administrateur. Si un pirate informatique peut compromettre un utilisateur légitime, il peut créer son propre utilisateur administrateur pour tenter de se cacher. Il est facile pour vous de remarquer quelque chose d'étrange avec votre compte, mais il est beaucoup plus difficile d'identifier une activité malveillante sur un autre utilisateur.

La surveillance de l'enregistrement des utilisateurs est également essentielle. Certaines vulnérabilités permettent aux pirates de changer le nouveau rôle d'utilisateur par défaut d'Abonné à Administrateur.

Si vous avez configuré la journalisation des utilisateurs uniquement pour surveiller l'activité des utilisateurs administrateurs, seule l'inscription des nouveaux utilisateurs administrateur sera enregistrée dans les journaux de sécurité. Ainsi, si jamais vous voyez un utilisateur nouvellement enregistré dans vos journaux de sécurité, quelque chose ne va pas.

3. Ajout et suppression de plugins

Il est essentiel de noter qui ajoute et supprime des plugins. Une fois que votre site a été piraté, il sera facile pour l'attaquant d'ajouter son plugin personnalisé pour injecter du code malveillant dans le site Web.

Même si un pirate informatique n'a pas accès à votre serveur ou à votre base de données, il peut toujours y apporter des modifications à partir de votre tableau de bord WordPress. À l'aide d'un plugin, ils peuvent ajouter des redirections vers votre site à utiliser dans leur prochaine campagne de spam ou injecter des logiciels malveillants dans votre base de données. Une fois leur code malveillant exécuté, ils peuvent alors supprimer le plugin pour supprimer les preuves de leur crime. Heureusement pour nous, nous ne manquerons rien car tout a été documenté dans nos journaux de sécurité WordPress.

4. Changer de thème

Une autre activité de l'utilisateur surveillée par la journalisation des utilisateurs d'iThemes Security Pro est lorsque quelqu'un change le thème du site Web. Si jamais vous constatez que votre thème a changé de manière inattendue, vous pouvez consulter vos journaux de sécurité WordPress pour savoir qui a effectué le changement.

5. Modifications apportées aux articles et aux pages

Enfin, vous souhaitez surveiller les modifications apportées à votre article et à vos pages. Des liens ont-ils été ajoutés pour rediriger votre trafic vers d'autres sites ? La surveillance des publications et des pages peut vous aider à trouver les pages embarrassantes ou les liens malveillants ajoutés à votre site Web après une violation.

Pour savoir quelle publication a été modifiée, cliquez sur les liens Afficher les détails pour trouver l'ID de la publication.

Comment utiliser la connexion utilisateur dans iThemes Security Pro

Pour commencer à enregistrer les actions des utilisateurs dans iThemes Security Pro, accédez au menu Fonctionnalités des paramètres de sécurité et activez la journalisation des utilisateurs.

Après avoir activé la journalisation des utilisateurs, cliquez sur le lien Groupes d'utilisateurs pour décider quelle activité vous souhaitez surveiller.

Conseil : lors de l'ajout de la journalisation des utilisateurs, gardez à l'esprit que vous souhaiterez peut-être uniquement surveiller les utilisateurs qui peuvent apporter des modifications à votre site. La surveillance de l'activité des clients ou des abonnés peut entraîner des journaux gonflés, rendant les informations plus difficiles à analyser.

Pour afficher l'activité utilisateur enregistrée, accédez aux journaux de sécurité et cliquez sur le lien Tous les événements . Ensuite, sélectionnez User Logging dans le menu déroulant, puis cliquez sur le bouton Filter .

Survolez l'adresse IP ou le nom d'utilisateur et cliquez sur l'icône Filtre pour afficher uniquement l'activité de cette adresse IP ou de ce nom d'utilisateur.

Emballer

Malheureusement, même si vous suivez à 100% les meilleures pratiques de sécurité WordPress, il y a toujours une chance que votre site Web soit piraté. Garder un enregistrement de l'activité des utilisateurs dans vos journaux de sécurité WordPress peut être votre grâce salvatrice après une attaque réussie.

La surveillance de l'activité correcte des utilisateurs peut vous guider tout au long de la chronologie d'un piratage et montrer tout ce que le pirate a changé, de l'ajout de nouveaux utilisateurs à l'ajout de publicités pharmaceutiques indésirables sur votre site.

Avoir un calendrier de compromis réduira considérablement les temps d'arrêt subis après un piratage.

Michael Moore

Chaque semaine, Michael rédige le rapport de vulnérabilité WordPress pour vous aider à protéger vos sites. En tant que chef de produit chez iThemes, il nous aide à continuer à améliorer la gamme de produits iThemes. C'est un nerd géant et il adore apprendre tout ce qui touche à la technologie, ancienne et nouvelle. Vous pouvez trouver Michael traîner avec sa femme et sa fille, lire ou écouter de la musique lorsqu'il ne travaille pas.