Cum să eliminați fals pozitive în monitorizarea integrității fișierelor pe WordPress

Publicat: 2020-01-17

Monitorizarea integrității fișierelor (FIM) vă permite să detectați rapid modificările fișierelor pe site-ul dvs. WordPress. Este o parte importantă a securizării unui site WordPress și modul în care funcționează este foarte simplu: compară hashurile criptografice de bază cu hash-ul curent al fișierelor monitorizate. Când are loc o schimbare, primești o alertă.

Cu toate acestea, există o problemă majoră cu abordările nesofisticate ale monitorizării integrității fișierelor: false pozitive (alias false alarme). Nu toate modificările fișierelor de pe un site web WordPress sunt dăunătoare sau un semn al unui atac. Multe sunt părți inofensive și așteptate ale întreținerii. Deci fals pozitive duc la o serie de probleme:

  • administratorii ar putea ignora modificările rău intenționate ale fișierelor (o situație de cry wolf),
  • nu toți administratorii de site-uri WordPress pot identifica o alertă legitimă dintr-o alertă nelegală, ducând astfel la alarme false.

În acest articol vom explica cum funcționează monitorizarea integrității fișierelor, structura fișierelor și directoarelor WordPress și cum puteți configura corect pluginul de monitorizare a modificărilor fișierelor WordPress.

Monitorizarea integrității fișierelor și hashingul fișierelor 101

Înțelegerea hashurilor de fișiere și a sumelor de verificare vă poate ajuta să înțelegeți cum funcționează FIM. Mai simplu spus, hashingul criptografic produce o ieșire specifică bazată pe o intrare specifică. Funcțiile hash sunt funcții unidirecționale nereversibile. Adică, doar cunoașterea rezultatului nu vă va permite să lucrați înapoi la intrare.

De exemplu, putem folosi un hash MD5 pentru a verifica integritatea textului. În exemplul de mai jos, folosim un generator de sumă de control MD5 pentru a crea hash al propoziției The quick brown fox.

Generator de hash MD5

Putem introduce același text de mai multe ori și obține același rezultat, așa cum se arată în captura de ecran de mai jos:

Generarea unui hash MD5 pentru același text

Cu toate acestea, adăugați sau eliminați un singur caracter, iar hash-ul pe care îl obținem se schimbă complet, deși are tot același număr de caractere. În exemplul de mai jos am schimbat textul sursă în Vulpile brune rapide.

Text diferit generează hashuri MD5 diferite

Deci, de ce contează acest lucru pentru monitorizarea modificărilor fișierelor WordPress? Simplu: ieșirea unei funcții hash este utilizată pentru a determina dacă un fișier s-a modificat. Dacă se face chiar și o modificare ușoară într-un fișier, hash-ul fișierului va fi diferit. Pluginurile de monitorizare a integrității fișierelor fac aceste comparații simple.

NOTĂ: pentru a afla mai multe despre FIM, citiți monitorizarea integrității fișierelor pentru site-urile WordPress.

De ce apar fals pozitive?

Cu toate acestea, nu este suficient să acceptăm orbește rezultatele instrumentelor noastre de monitorizare. Trebuie să fim capabili să interpretăm ce înseamnă ele și să excludem potențialele fals negative și fals pozitive. În securitate, un fals pozitiv este o alarmă falsă, în care instrumentele noastre detectează ceva care ajunge să fie o greșeală. Este asemănător cu arderea pâinei prăjite în bucătărie, declanșarea alarmei de incendiu și trezirea tuturor celorlalți. Un fals negativ ar fi invers, acolo unde există activitate rău intenționată, dar nu este detectată de instrumentele noastre. În general, din cauza modului în care funcționează monitorizarea integrității fișierelor, falsele pozitive sunt o problemă mai frecventă.

Alarme false apar atunci când pluginurile monitorizează modificările fișierelor fără context. Nu toate modificările fișierelor sunt proaste. De exemplu, dacă actualizați WordPress sau un plugin, unele fișiere se vor schimba. În acest caz, modificările fișierelor sunt necesare și nu este o alarmă.

Înțelegerea structurii directoarelor WordPress

Deci, de unde știi ce modificări de fișier ar trebui să-ți pese? Începe cu înțelegerea structurii directoarelor WordPress și a schimbărilor scenariilor probabil să apară. Cele mai importante directoare de fișiere de monitorizat includ:

  • /wp-content/uploads/ – Încărcările de fișiere statice (imagini, clipuri video, documente etc.) sunt frecvente în acest director și se pot exclude din alerte. Fișierele executabile, cum ar fi fișierele PHP, sunt ceea ce trebuie să fii atent aici.
  • /wp-content/cache/ – Dacă utilizați un plugin de stocare în cache, monitorizarea acestui director devine dificilă. Acest lucru se datorează faptului că pluginurile de stocare în cache pot folosi în mod legitim fișiere executabile. Dacă nu utilizați pluginuri de cache, monitorizarea acestui director pentru modificări este mai simplă.
  • /wp-content/plugins – Modificările în acest director au loc numai la instalarea, actualizarea sau dezinstalarea unui plugin. Este de remarcat că pluginurile ar trebui, în general, să schimbe fișierele numai în propriile directoare (sau în cache în cazul unui plugin de stocare în cache, sau în directorul de încărcări în cazul în care stochează unele date).
  • /wp-content/themes/ – La fel ca și în directorul anterior, modificările aici ar trebui să apară numai la instalarea, actualizarea, modificarea sau dezinstalarea unei teme.
  • Rădăcină WordPress - Ca atare, nu ar trebui să existe nicio modificare în acest director, cu excepția cazului în care aveți o soluție sau un cod personalizat.
  • Fișiere WordPress Core – Actualizările WordPress sunt singurul motiv pentru care aceste fișiere ar trebui să se schimbe.

Cu informațiile de mai sus, acum ar trebui să puteți determina dacă modificările fișierelor sunt benigne față de când ar putea fi o problemă. De exemplu, dacă actualizați un plugin, este de așteptat să vedeți modificarea fișierului plugin în folderul respectiv. Cu toate acestea, nu ar fi de așteptat să vedem o schimbare a fișierului de bază sau modificarea folderului unui alt plugin. În mod similar, nu ar trebui să vedeți modificări de plugin, de bază sau alte fișiere atunci când nu ați inițiat nicio actualizare. Acele fel de modificări neașteptate ale fișierelor ar putea indica un malware sau un compromis al site-ului.

Utilizarea instrumentului potrivit poate contribui în mare măsură la minimizarea falselor pozitive fără a sacrifica securitatea. De exemplu, unul dintre beneficiile pluginului de monitorizare a modificărilor fișierelor site-ului pentru WordPress este capacitatea de a detecta actualizările WordPress, plugin-uri și teme pentru a evita falsele pozitive și alarmele neplăcute.

Exemple reale de monitorizare a modificărilor fișierelor WordPress

Acum că înțelegeți cum funcționează monitorizarea integrității fișierelor și la ce modificări de fișiere vă așteptați, să vedem în acțiune Monitorul modificărilor fișierelor pe site. Pentru a începe, pluginul efectuează automat o scanare inițială de bază odată ce îl activați.

Prima confirmare a scanării monitorizării integrității fișierului

Raportarea modificărilor fișierelor din cauza instalărilor, actualizărilor și dezinstalărilor de pluginuri și teme

Dacă instalăm un nou plugin, pluginul Website File Changes Monitor raportează în mod clar modificările din sistemul de fișiere ca instalare nouă de plugin. De asemenea, raportează calea în care noile fișiere au fost detectate și, de asemenea, numele pluginului. Acest lucru îi ajută pe cei care nu sunt familiarizați cu funcționarea interioară a WordPress mai bine să înțeleagă modificarea raportată a fișierului, reducând astfel alarmele false.

Schimbarea fișierului a fost raportată din cauza instalării unui nou plugin

De asemenea, puteți face clic pe pictograma Informații pentru a vedea lista completă a fișierelor care au fost adăugate în timpul instalării noului plugin. Pluginul raportează, de asemenea, numărul de fișiere asociate cu această actualizare.

Lista fișierelor adăugate pe un site web în timpul instalării unui plugin nou

Pluginul raportează toate celelalte pluginuri și actualizări de teme în același mod. Aceasta înseamnă că pluginul marchează în mod clar instalarea, actualizarea sau ștergerea unui plugin sau a unei teme, permițându-vă să luați o decizie informată dacă modificările fișierului sunt legitime sau nu.

Raportarea modificărilor fișierelor din cauza unei actualizări de bază WordPress

Acum să actualizăm nucleul WordPress. La actualizarea WordPress ne așteptăm la modificări ale fișierelor, în special în directorul rădăcină. După rularea unei actualizări WordPress, vedem următoarele în secțiunea Fișiere adăugate:

Modificări ale fișierului de actualizare de bază WordPress

  1. Un număr de fișiere au fost adăugate în folderul /wp-content/themes/twentytwenty/ . Aceasta înseamnă că actualizarea a inclus o nouă temă. Pluginul nu a raportat acest lucru ca instalare a temei, deoarece fișierele au fost copiate direct în sistemul de fișiere prin intermediul actualizării.
  2. Un număr de fișiere de bază WordPress noi în folderele wp-admin și wp-includes (marcate cu verde). Puteți vedea lista completă a fișierelor făcând clic pe pictograma de informații .

Privind fișierele modificate în timpul actualizării, vedem doar modificări ale fișierelor de tip Core Update. Din nou, comportament așteptat pentru o actualizare WordPress.

Fișiere modificate în miezul WordPress din cauza unei actualizări

La pachet aici? Comportament normal. Modificările sunt marcate clar de plugin-ul Website File Changes Monitor, nu există alarme false. Dacă, pe de altă parte, pluginul raportează o listă de modificări ale fișierelor fără nicio indicație despre motivul pentru care s-au întâmplat, utilizatorul va fi alarmat.

Reglarea fină a pluginului Website File Changes Monitor

WordPress este utilizat într-o varietate de aplicații cu o gamă largă de pluginuri și modificări. Ca rezultat, soluțiile de plugin de monitorizare a integrității fișierelor ar trebui să fie, de asemenea, suficient de flexibile pentru a se adapta modificărilor și nevoilor personalizate. De exemplu, preferințele de frecvență de scanare pot fi diferite pentru un blog personal și un site de comerț electronic mare. În plus, poate fi necesar să includeți sau să excludeți un anumit set de fișiere și foldere personalizate.

Un plugin de modificare a fișierelor WordPress configurabil, dar ușor de utilizat

Un plugin bun ghidează utilizatorii și îi ajută să înțeleagă mai bine rezultatele. De exemplu, în mod implicit, pluginul ar trebui să excludă fișierele neexecutabile din scanare. Fișierele precum fișierele jurnal, fișierele text și fișierele media nu sunt periculoase și administratorii nu trebuie să știe dacă se modifică, deoarece modificările într-un fișier text nu pot fi niciodată rău intenționate. Prin urmare, nu este nevoie ca pluginul să alerteze un utilizator atunci când un fișier jurnal se modifică, deoarece ridică doar întrebări și alarme false.

Acesta este ceea ce face ca pluginul Website File Changes Monitor să iasă în evidență de restul. A fost dezvoltat pentru toate nivelurile de utilizatori. Nu trebuie să cunoașteți detaliile tehnice și ce modificări ale fișierelor sunt rău intenționate sau nu pentru a beneficia de acest plugin. Oricine poate beneficia de acest plugin și poate înțelege rezultatele. În plus, pluginul este complet personalizabil. Puteți:

  • configurați programul și frecvența de scanare,
  • selectați ce directoare trebuie să scaneze pluginul,
  • excludeți fișierele dintr-un anumit director sau prin extensie.

Monitorizarea eficientă a integrității fișierelor este un aspect important al securității WordPress

O soluție eficientă de securitate WordPress este o soluție care nu raportează false pozitive și rapoartele sale pot fi ușor înțelese de utilizatorii de orice nivel. Acesta este motivul pentru care pluginul Website File Changes Monitor iese în evidență față de toate celelalte plugin-uri FIM; este ușor de utilizat și evidențiază în mod clar diferitele tipuri de modificări ale fișierelor pentru a ajuta utilizatorii să înțeleagă rapoartele. În plus, nu raportează false pozitive.

Descărcați acum pluginul Website File Changes Monitor pentru a fi avertizat cu privire la modificările fișierelor de pe site-ul dvs. WordPress.

Monitorizarea integrității fișierelor este doar o piesă a puzzle-ului de securitate

Ca și în cazul multor alte lucruri, un singur plugin nu alcătuiește tot setul de instrumente de securitate WordPress. Monitorizarea integrității fișierelor ar trebui, de asemenea, completată de:

  • jurnalele de activitate WordPress,
  • Politici de parole puternice pentru utilizatorii WordPress,
  • Autentificare cu doi factori pe WordPress,
  • Paravan de protecție WordPress (consultați ghidul paravanelor de protecție WordPress pentru mai multe informații despre diferitele tipuri de paravane de protecție etc.)
  • Nu în ultimul rând, o soluție bună de backup pentru WordPress.

Dacă ajungeți să fiți compromis, instrumentul nostru de integritate a fișierelor vă poate ajuta să găsiți unde au avut loc modificările. Acest lucru permite, la rândul său, un răspuns eficient la incident, remedierea și documentarea.