Ce este monitorizarea integrității fișierelor și de ce aveți nevoie de ea pe site-ul dvs. WordPress?
Publicat: 2019-05-22Ați trebuit vreodată să vă curățați site-ul WordPress de o infecție cu malware? Știți cum să aflați ce cod a fost compromis? Știți dacă dezvoltatorii sau agenția dvs. au lăsat fișiere de rezervă și rămase pe site-ul dvs. web care vă pot lăsa expus?
Această postare explică modul în care monitorizarea integrității fișierelor (FIM) vă ajută să răspundeți la astfel de întrebări. Vom vedea cum un plugin pentru monitorizarea integrității fișierelor este esențial pentru a vă ajuta să gestionați mai bine fișierele site-ului dvs. WordPress. Detectarea problemelor într-un stadiu incipient este foarte importantă – vă permite să atenuați și să limitați daunele atacului sau problemei.
Notă: Monitorizarea integrității fișierelor este termenul tehnic pentru ceea ce este mai cunoscut sub numele de scanare a modificărilor fișierelor, monitorizarea modificărilor fișierelor și termeni similari.
Ce este monitorizarea și scanarea integrității fișierelor?
Scanarea sau monitorizarea integrității fișierelor se referă la procesul care compară amprentele unui fișier pentru a afla dacă acesta s-a schimbat. Software-ul de verificare a integrității fișierelor funcționează prin crearea unui hash criptografic sau a unei amprente a fișierelor dintr-un sistem. Când conținutul unui fișier se modifică, se schimbă și amprenta lui. După ce observă modificarea amprentei fișierului, scanerul de integritate a fișierului anunță administratorul.
De ce aveți nevoie de verificări ale integrității fișierelor pe site-urile WordPress?
Modificările la fișiere au loc frecvent pe site-urile WordPress aglomerate. Desigur, majoritatea acestor schimbări sunt dorite. De exemplu, când adăugați fișiere media noi, instalați sau actualizați un plugin și modificați în mod intenționat codul temei. Cu toate acestea, alte modificări pot fi departe de a fi benigne sau făcute din greșeală.
Un scaner de integritate a fișierelor vă ajută să urmăriți integritatea site-ului dvs. WordPress. Cu alte cuvinte, te ajută să garantezi că noul plugin sau temă pe care ai instalat-o nu a modificat fișierele site-ului tău.
Monitorizare și scanare proactivă și reactivă a integrității fișierelor
În primul rând, există două moduri principale în care sunt utilizate monitorizarea integrității fișierelor (FIM) și scanarea: proactiv și reactiv. Ambele metode sunt explicate în acest post.
Acțiuni proactive de securitate
Când scanarea integrității fișierelor este utilizată în mod proactiv, aceasta previne să se întâmple lucruri rele. Următoarele sunt câteva scenarii în care monitorizarea proactivă a integrității fișierelor detectează și vă anunță greșelile. Acest lucru vă permite să remediați problemele înainte ca atacatorii să identifice vulnerabilitatea sau să existe o problemă cu site-ul.
- Un dezvoltator copiază accidental un text sau un alt tip de fișier care conține informații sensibile. Acest tip de fișiere pot fi găsite și descărcate cu ușurință de hackeri rău intenționați.
- Un administrator al bazei de date lasă o copie de rezervă a bazei de date MySQL (.sql) pe site. Acest lucru ar permite unui atacator să descarce întreaga bază de date WordPress.
- Un webmaster face o copie a wp-config.php și o numește wp-config.bak. Deoarece nu mai este un fișier PHP, acest lucru ar permite unui atacator să descarce fișierul de rezervă.
- Cineva editează un fișier PHP direct pe server cu editorul Vim și nu iese corect din editor. Aceasta lasă în urmă un fișier .swp. Un atacator poate descărca un astfel de fișier, deoarece serverul web nu îl tratează ca cod PHP.
Acțiuni de securitate reactive
Mulți asociază măsurile de securitate reactive cu întârzierea prea mare . Cu toate acestea, în realitate, acțiunile de securitate reactive în timp util sunt cruciale pentru atenuarea unui atac. De asemenea, ajută la oprirea daunelor înainte ca lucrurile să se agraveze.
Următoarele sunt câteva scenarii în care un scaner de integritate a fișierelor poate fi utilizat pentru a explora rapid activitățile suspecte și pentru a acționa asupra atacurilor în timpul sau după ce acestea au loc.
Scenariul de atac WordPress 1
Un plugin pentru monitorizarea integrității fișierelor detectează un fișier PHP nou. Are un nume obscur și este stocat în directorul /wp-content/uploads . După inspecție, administratorul WordPress nu poate atribui acest fișier unei modificări făcute de el sau de echipa. Fișierul conține cod ofuscat, care rezultă a fi un shell web . Administratorul trebuie să acționeze rapid.
Mai întâi face o copie a dosarului pentru analiză ulterioară. Apoi îl șterge pentru a întrerupe accesul atacatorului la site-ul WordPress. După ce a investigat jurnalele serverului web, administratorul își dă seama că acest fișier a fost încărcat de un atacator care a abuzat de o vulnerabilitate într-un formular de încărcare a fișierelor de pe site-ul său. Cu toate informațiile în mână, administratorul poate vorbi cu dezvoltatorii pentru a remedia problema.
Scenariul de atac WordPress 2
Un plugin pentru monitorizarea modificărilor fișierelor WordPress alertează administratorul cu privire la modificările fișierelor de bază ale WordPress. Acest lucru nu ar trebui să se întâmple decât în timpul actualizărilor WordPress. Totuși, acest lucru s-a întâmplat imediat după ce un alt administrator WordPress a instalat un nou plugin.
După ce a investigat, webmasterul află că alții au experimentat un comportament similar și a raportat pluginul rău intenționat: este conceput pentru a fura acreditările WordPress și a le trimite atacatorului atunci când un utilizator se conectează.
Webmasterul elimină imediat pluginul rouge și restaurează fișierele modificate. De asemenea, resetează parolele tuturor utilizatorilor WordPress cu un plugin pentru liniște.
Scenariul de atac WordPress 3
Un plugin pentru monitorizarea integrității fișierelor notifică administratorul despre un fișier obscur din directorul protejat cu parolă din rădăcina WordPress. Directorul stochează fișiere statice cu informații sensibile și este protejat cu o parolă puternică folosind autentificarea HTTP.
După câteva investigații, webmasterul realizează că fișierul a fost încărcat printr-un server FTP configurat greșit, care permite accesul la scriere anonim . Administratorul fixează imediat configurația serverului FTP și dezactivează autentificarea anonimă.
La ce fișiere WordPress trebuie să fii atent?
Un alt factor important de reținut este că nu toate modificările fișierelor sunt indicatori ai activităților rău intenționate sau problematice. De exemplu, nu există probleme dacă un plugin de rezervă scrie fișiere SQL într-un director interzis utilizatorilor neautorizați. Următoarele sunt câteva indicații pentru a diferenția între modificările benigne și cele rău intenționate în directoarele WordPress.
/wp-content/uploads/ directorul WordPress
Site-urile WordPress tind să fie foarte active. Prin urmare, monitorizarea fiecărui fișier creat sau modificat va duce probabil la un flux nesfârșit de alerte. În aproape toate cazurile, este logic să excludeți fișierele statice din directorul /wp-content/uploads/ .
Fișierele statice includ fișiere media, cum ar fi imagini, videoclipuri și audio, precum și documente precum prezentări, foi de calcul și PDF-uri. Este sigur să ignorați astfel de fișiere, dar nu și directorul de încărcări . Chiar doriți să știți dacă fișierele executabile, cum ar fi fișierele PHP, sunt încărcate în acest director.
/wp-content/cache/ directorul WordPress
Acest director este unul complicat. Este folosit de pluginurile de cache WordPress. În funcție de configurația pluginului dvs. de stocare în cache, este posibil să vedeți o varietate de fișiere în subdirectoare ale /wp-content/cache/ , inclusiv fișiere PHP legitime. Acestea sunt adăugate de pluginurile dvs. de stocare în cache, mai ales dacă activați stocarea în cache a obiectelor. Dacă acesta este cazul, studiați comportamentul sau pluginurile dvs. de cache și ce fișiere stochează și configurați scanerul de integritate a fișierelor în funcție de constatările dvs. Dacă nu utilizați pluginuri de cache sau dacă pluginurile dvs. nu stochează fișiere PHP și alte coduri sursă, atunci este mult mai ușor să monitorizați acest director.
/wp-content/plugins și /wp-content/themes/ Directorul WordPress
Când adăugați, ștergeți sau actualizați un plugin, veți vedea modificări în directorul /wp-content/plugins/ WordPress. Dacă faceți modificări unei echipe, veți observa modificări ale fișierelor în directorul /wp-content/themes/ .
Acest lucru nu înseamnă că toate modificările care apar în aceste directoare sunt întotdeauna benigne. Cu toate acestea, ca regulă generală, modificările fișierelor din aceste două directoare ar trebui să apară numai ca urmare a unor acțiuni administrative cu WordPress.
Notă: Pluginul nostru de monitorizare a modificărilor fișierelor pe site pentru WordPress are o caracteristică unică. Recunoaște nucleul WordPress, pluginurile și modificările temelor. Prin urmare, nu trimite alarme false despre sute de modificări ale fișierelor. Vă avertizează că modificările fișierului au fost rezultatul unei modificări a site-ului, permițându-vă să revizuiți modificarea.
Directorul rădăcină WordPress
Directorul rădăcină WordPress este instalarea WordPress reală pe serverul web. Aceasta este o locație importantă la care să acordați atenție. De cele mai multe ori, modificările de fișiere efectuate aici vă oferă un semnal bun de investigat, cu excepția cazului în care modificările au fost făcute de dvs.
Fișiere WordPress Core
Fișierele WordPress Core sunt fișierele reale care alcătuiesc aplicația web WordPress. Modificarea fișierelor de bază ar trebui să apară doar ca urmare a unei actualizări WordPress. Ele nu ar trebui să apară niciodată sub nicio altă condiție.
Prin urmare, cu excepția cazului în care ați editat manual un fișier WordPress Core (evitați să faceți acest lucru, există modalități mai bune de a personaliza WordPress), acesta ar trebui să fie un semnal de înaltă calitate că ceva de pește se întâmplă.
Cum îmi monitorizez site-ul WordPress pentru modificări de fișiere?
În timp ce scanarea integrității fișierelor poate fi realizată printr-un număr de instrumente care nu sunt specifice WordPress, multe necesită de obicei o curbă de învățare pentru a rula, configura și opera.
În schimb, o abordare mai simplă, dacă nu chiar mai bună cu rezultate mai precise, ar fi să utilizați pluginul Website File Changes Monitor pentru WordPress. Acest plugin are o tehnologie inteligentă exclusivă care recunoaște actualizările, instalările și ștergerile de bază ale WordPress, pluginuri și teme. Deci nu raportează false pozitive care să tragă alarme false! Consultați false pozitive în monitorizarea integrității fișierelor pentru mai multe informații despre fals pozitive și tehnologia noastră inteligentă.
Plugin-ul recunoaște modificările structurii site-ului. Deci, atunci când există o schimbare, pluginul vă anunță despre modificarea structurii site-ului, și nu despre sutele de fișiere care au fost adăugate sau modificate pe site-ul dvs. WordPress. Automatizează munca pentru tine, nu declanșează alarme false și nu trebuie să filtrezi manual rezultatele.
Descărcați astăzi Monitorul gratuit de modificări ale fișierelor site-ului web pentru WordPress pentru a gestiona și îmbunătăți securitatea site-urilor dvs.
Ce se întâmplă dacă folosesc deja un plugin de securitate WordPress?
Dacă utilizați deja un plugin de securitate WordPress, este grozav, continuați să faceți asta. Cu toate acestea, monitorizarea integrității fișierelor nu este punctul central al unui plugin de securitate. Folosind un plugin WordPress care este special conceput pentru monitorizarea integrității fișierelor, având în vedere performanța, puteți în continuare să beneficiați de toate beneficiile utilizării pluginurilor de securitate generice WordPress, cu adăugarea tuturor informațiilor valoroase pe care vi le oferă monitorizarea integrității fișierelor.