Como eliminar falsos positivos no monitoramento de integridade de arquivos no WordPress

Publicados: 2020-01-17

O monitoramento de integridade de arquivos (FIM) permite detectar rapidamente alterações de arquivos em seu site WordPress. É uma parte importante da segurança de um site WordPress e a maneira como funciona é muito simples: compara hashes criptográficos de linha de base com o hash atual dos arquivos monitorados. Quando uma mudança acontece, você recebe um alerta.

No entanto, há um grande problema com abordagens não sofisticadas para monitoramento de integridade de arquivos: falsos positivos (também conhecidos como alarmes falsos). Nem todas as alterações de arquivo em um site WordPress são prejudiciais ou um sinal de ataque. Muitos são partes inofensivas e esperadas de manutenção. Portanto, os falsos positivos levam a vários problemas:

  • os administradores podem potencialmente ignorar alterações de arquivos maliciosos (uma situação de lobo chorão),
  • nem todos os administradores de sites WordPress podem identificar um alerta legítimo de um alerta não legítimo, levando a alarmes falsos.

Neste artigo, explicaremos como funciona o monitoramento de integridade de arquivos, a estrutura de arquivos e diretórios do WordPress e como você pode configurar corretamente o plug-in de monitoramento de alterações de arquivos do WordPress.

Monitoramento de integridade de arquivos e hash de arquivos 101

Compreender hashes de arquivos e somas de verificação pode ajudá-lo a entender como o FIM funciona. Simplificando, o hash criptográfico produz uma saída específica com base em uma entrada específica. As funções de hash são funções não reversíveis unidirecionais. Ou seja, apenas conhecer o resultado não permitirá que você trabalhe de trás para a entrada.

Por exemplo, podemos usar um hash MD5 para verificar a integridade do texto. No exemplo abaixo, usamos um gerador de soma de verificação MD5 para criar o hash da sentença The quick brown fox.

Gerador de hash MD5

Podemos inserir o mesmo texto várias vezes e obter o mesmo resultado, conforme mostrado na captura de tela abaixo:

Gerando um hash MD5 para o mesmo texto

No entanto, adicione ou retire um único caractere, e o hash que obtemos muda completamente, embora ainda tenha o mesmo número de caracteres. No exemplo abaixo, alteramos o texto de origem para The quick brown foxes.

Texto diferente gera diferentes hashes MD5

Então, por que isso importa para o monitoramento de alterações de arquivos do WordPress? Simples: a saída de uma função hash é usada para determinar se um arquivo foi alterado. Se mesmo uma pequena alteração for feita em um arquivo, o hash do arquivo será diferente. Os plug-ins de monitoramento de integridade de arquivos simplificam essas comparações.

OBSERVAÇÃO: para saber mais detalhes sobre o FIM, leia o monitoramento de integridade de arquivos para sites WordPress.

Por que ocorrem falsos positivos?

No entanto, não basta aceitar cegamente os resultados de nossas ferramentas de monitoramento. Devemos ser capazes de interpretar o que eles significam e descartar potenciais falsos negativos e falsos positivos. Em segurança um falso positivo é um alarme falso, onde nossas ferramentas detectam algo que acaba sendo um fracasso. Isso é semelhante a queimar torradas na cozinha, acionar o alarme de incêndio e acordar todos os outros. Um falso negativo seria o oposto, onde há atividade maliciosa, mas não é detectada por nossas ferramentas. De um modo geral, devido à forma como o monitoramento da integridade do arquivo funciona, os falsos positivos são um problema mais comum.

Os alarmes falsos ocorrem quando os plugins monitoram as alterações de arquivos sem contexto. Nem todas as alterações de arquivo são ruins. Por exemplo, se você atualizar o WordPress ou um plugin, alguns arquivos serão alterados. Neste caso, as alterações de arquivo são necessárias e não é um alarme.

Entendendo a estrutura de diretórios do WordPress

Então, como você sabe com quais alterações de arquivo você deve se preocupar? Ele começa com a compreensão da estrutura de diretórios do WordPress e as alterações de cenários provavelmente ocorrerão. Os diretórios de arquivos mais importantes para monitorar incluem:

  • /wp-content/uploads/ – Uploads de arquivos estáticos (imagens, vídeos, documentos, etc.) são comuns neste diretório e podem ser excluídos dos alertas. Arquivos executáveis, como arquivos PHP, são o que você precisa estar atento aqui.
  • /wp-content/cache/ – Se você estiver usando um plug-in de cache, fica difícil monitorar esse diretório. Isso ocorre porque os plug-ins de cache podem usar arquivos executáveis ​​legitimamente. Se você não estiver usando plugins de cache, monitorar este diretório para alterações é mais simples.
  • /wp-content/plugins – As alterações neste diretório só acontecem ao instalar, atualizar ou desinstalar um plugin. Vale a pena notar que os plugins geralmente só devem alterar os arquivos em seus próprios diretórios (ou no cache no caso de um plugin de cache, ou no diretório de uploads no caso de armazenar alguns dados).
  • /wp-content/themes/ – Assim como no diretório anterior, as alterações aqui devem ocorrer apenas ao instalar, atualizar, modificar ou desinstalar um tema.
  • WordPress root- Como tal, não deve haver nenhuma alteração neste diretório, a menos que você tenha alguma solução ou código personalizado.
  • Arquivos do WordPress Core – as atualizações do WordPress são a única razão pela qual esses arquivos devem ser alterados.

Com as informações acima, agora você deve ser capaz de determinar se as alterações de arquivo são benignas ou quando podem ser uma preocupação. Por exemplo, se você atualizar um plug-in, é esperado que um arquivo de plug-in na pasta desse plug-in seja alterado. No entanto, não seria esperado ver uma alteração no arquivo principal ou a alteração da pasta de outro plug-in. Da mesma forma, você não deve ver as alterações de plug-in, núcleo ou outras alterações de arquivo quando não tiver iniciado nenhuma atualização. Esse tipo de alteração inesperada de arquivo pode indicar malware ou comprometimento do site.

Usar a ferramenta certa pode ajudar bastante a minimizar falsos positivos sem sacrificar a segurança. Por exemplo, um dos benefícios do plug-in de monitoramento de alterações de arquivos do site para WordPress é a capacidade de detectar atualizações do WordPress, plugins e temas para evitar falsos positivos e alarmes incômodos.

Exemplos do mundo real de monitoramento de alterações de arquivos do WordPress

Agora que você entende como o monitoramento de integridade de arquivos funciona e quais alterações de arquivo esperar, vamos verificar o Monitor de alterações de arquivos do site em ação. Para começar, o plug-in faz automaticamente uma verificação inicial da linha de base assim que você o ativa.

Confirmação da primeira verificação de monitoramento de integridade de arquivo

Relatório de alterações de arquivos devido a instalação, atualização e desinstalação de plugins e temas

Se instalarmos um novo plugin, o plugin Website File Changes Monitor relata claramente as alterações no sistema de arquivos como uma nova instalação de plugin. Ele também informa o caminho onde os novos arquivos foram detectados e também o nome do plugin. Isso ajuda aqueles que não estão familiarizados com o funcionamento interno do WordPress a entender melhor a alteração de arquivo relatada, reduzindo assim os alarmes falsos.

Alteração de arquivo relatada devido à instalação de um novo plug-in

Você também pode clicar no ícone Informações para ver a lista completa de arquivos que foram adicionados durante a instalação do novo plugin. O plug-in também informa o número de arquivos associados a esta atualização.

Lista de arquivos adicionados a um site durante a instalação de um novo plug-in

O plug-in relata todos os outros plug-ins e atualizações de temas da mesma maneira. Isso significa que o plug-in marca claramente a instalação, atualização ou exclusão de um plug-in ou tema, permitindo que você tome uma decisão informada sobre se as alterações no arquivo são legítimas ou não.

Relatório de alterações de arquivo devido a uma atualização do núcleo do WordPress

Agora vamos atualizar o núcleo do WordPress. Ao atualizar o WordPress, esperamos alterações nos arquivos, especialmente no diretório raiz. Depois de executar uma atualização do WordPress, vemos o seguinte na seção Arquivos adicionados:

Alterações no arquivo de atualização do núcleo do WordPress

  1. Vários arquivos foram adicionados na pasta /wp-content/themes/twentytwenty/ . Isso significa que a atualização incluiu um novo tema. O plug-in não relatou isso como uma instalação de tema porque os arquivos foram copiados diretamente para o sistema de arquivos por meio da atualização.
  2. Vários novos arquivos principais do WordPress nas pastas wp-admin e wp-includes (marcadas em verde). Você pode ver a lista completa de arquivos clicando no ícone de informações .

Observando os arquivos modificados durante a atualização, vemos apenas alterações nos arquivos do tipo Core Update. Novamente, comportamento esperado para uma atualização do WordPress.

Arquivos modificados no núcleo do WordPress por causa de uma atualização

O take-away aqui? Comportamento normal. As alterações são claramente marcadas pelo plugin Website File Changes Monitor, não há alarmes falsos. Se, por outro lado, o plug-in relatar uma lista de alterações de arquivos sem qualquer indicação de por que elas aconteceram, o usuário ficará alarmado.

Ajuste fino do plug-in do Monitor de alterações de arquivos do site

O WordPress é usado em uma variedade de aplicativos com uma ampla variedade de plugins e modificações. Como resultado, as soluções de plug-in de monitoramento de integridade de arquivos também devem ser flexíveis o suficiente para acomodar alterações e necessidades personalizadas. Por exemplo, as preferências de frequência de varredura podem ser diferentes para um blog pessoal e um grande site de comércio eletrônico. Além disso, pode ser necessário incluir ou excluir um conjunto específico de arquivos e pastas personalizados.

Um plug-in de alterações de arquivos do WordPress configurável e fácil de usar

Um bom plugin orienta os usuários e os ajuda a entender melhor os resultados. Por exemplo, por padrão, o plug-in deve excluir arquivos não executáveis ​​da verificação. Arquivos como arquivos de log, arquivos de texto e arquivos de mídia não são perigosos e os administradores não precisam saber se eles são alterados, porque as alterações em um arquivo de texto nunca podem ser maliciosas. Portanto, não há necessidade de o plug-in alertar um usuário quando um arquivo de log for alterado, pois isso apenas gera perguntas e alarmes falsos.

É isso que faz com que o plug-in Monitor de alterações de arquivos do site se destaque dos demais. Foi desenvolvido para todos os níveis de usuários. Você não precisa conhecer os detalhes técnicos e quais alterações de arquivo são maliciosas ou não para se beneficiar deste plugin. Qualquer pessoa pode se beneficiar deste plugin e entender os resultados. Além disso, o plugin é totalmente personalizável. Você pode:

  • configurar o agendamento e a frequência da verificação,
  • selecione quais diretórios o plugin deve verificar,
  • excluir arquivos em um diretório específico ou por extensão.

O monitoramento eficaz da integridade do arquivo é um aspecto importante da segurança do WordPress

Uma solução de segurança eficaz do WordPress é uma solução que não relata falsos positivos e seus relatórios podem ser facilmente entendidos por usuários de qualquer nível. É por isso que o plugin Website File Changes Monitor se destaca de todos os outros plugins FIM; é fácil de usar e destaca claramente os diferentes tipos de alterações de arquivo para ajudar os usuários a entender os relatórios. Além disso, não relata falsos positivos.

Baixe o plugin Website File Changes Monitor agora para ser alertado sobre alterações de arquivos em seu site WordPress.

O monitoramento de integridade de arquivos é apenas uma peça do quebra-cabeça de segurança

Tal como acontece com muitas outras coisas, um plugin por si só não compõe todo o seu kit de ferramentas de segurança do WordPress. O monitoramento da integridade do arquivo também deve ser complementado por:

  • logs de atividades do WordPress,
  • Políticas de senha fortes para usuários do WordPress,
  • Autenticação de dois fatores no WordPress,
  • Firewall do WordPress (consulte o guia de firewalls do WordPress para obter mais informações sobre os diferentes tipos de firewalls, etc.)
  • Por último, mas não menos importante, uma boa solução de backup do WordPress.

Se você acabar sendo comprometido, nossa ferramenta de integridade de arquivos pode ajudá-lo a descobrir onde ocorreram as alterações. Isso, por sua vez, permite uma resposta, correção e documentação eficazes a incidentes.