Обзор функций iThemes Security Pro - ведение журнала пользователей

Опубликовано: 2021-06-24

В сообщениях Feature Spotlight мы выделим функцию в плагине iThemes Security Pro и расскажем, почему мы разработали эту функцию, для кого эта функция предназначена и как ее использовать.

Сегодня мы рассмотрим функцию регистрации пользователей в iThemes Security Pro.

Почему мы разработали ведение журнала пользователей

Плагин iThemes Security Pro может предотвратить большинство атак на ваш веб-сайт WordPress, но он не может гарантировать, что он остановит 100% атак. Вы не найдете инструмента или метода безопасности, который на 100% эффективен против всех атак. К сожалению, даже если вы будете следовать всем рекомендациям по безопасности WordPress, ваш сайт может быть взломан. Поскольку полностью защищенного метода безопасности не существует, нам необходимо отслеживать и записывать события безопасности на нашем веб-сайте.

Ведение журнала - важная часть вашей стратегии безопасности WordPress. Недостаточное ведение журнала и мониторинг могут привести к задержке обнаружения нарушения безопасности. Большинство исследований показывают, что время обнаружения нарушения составляет более 200 дней! Это время позволяет злоумышленнику взломать другие системы, изменить, украсть или уничтожить больше данных. Именно по этим причинам недостаточное ведение журнала попало в топ-10 рисков безопасности веб-приложений по версии OWASP.

Большинство исследований показывают, что время обнаружения нарушения составляет более 200 дней! Это время позволяет злоумышленнику взломать другие системы, изменить, украсть или уничтожить больше данных.

Существует несколько различных типов событий безопасности, которые вы должны отслеживать и записывать в журналы безопасности WordPress, включая атаки методом грубой силы, изменения файлов, сканирование на наличие вредоносных программ и активность пользователей. Однако в этом посте мы сосредоточимся на записи активности пользователей.

Ведение записей об активности пользователей в журналах безопасности WordPress может быть вашей спасительной возможностью после успешной атаки.

Что такое ведение журнала пользователей?

Функция ведения журнала пользователей автоматически отслеживает и записывает определенные действия пользователя в журналы безопасности iThemes Security Pro.

5 действий пользователя, записанных iThemes Security Pro

1. Войти / выйти

Первый тип регистрируемой активности пользователя - это когда пользователи входят и выходят из вашего веб-сайта и откуда. Отслеживание времени и места входа пользователя в систему может помочь вам обнаружить пользователя, который был скомпрометирован. Этот пользователь вошел в систему в необычное время или с нового места? Если да, вы можете начать с них расследование.

2. Создание / регистрация пользователя

Следующее действие, о котором вы должны вести учет, - это создание пользователей, особенно пользователей с правами администратора. Если хакер может скомпрометировать законного пользователя, он может создать там собственного администратора в попытке скрыться. Вам легко заметить что-то странное со своей учетной записью, но гораздо сложнее определить вредоносную активность другого пользователя.

Также важен мониторинг регистрации пользователей. Некоторые уязвимости позволяют хакерам изменить новую роль пользователя по умолчанию с подписчика на администратора.

Если у вас настроено ведение журнала пользователей только для наблюдения за активностью пользователей-администраторов, в журналы безопасности будут записываться только новые регистрации пользователей-администраторов. Итак, если вы когда-либо видите недавно зарегистрированного пользователя в своих журналах безопасности, что-то пошло не так.

3. Добавление и удаление плагинов

Очень важно записывать, кто добавляет и удаляет плагины. После взлома вашего сайта злоумышленник может легко добавить свой собственный плагин для внедрения вредоносного кода на сайт.

Даже если у хакера нет доступа к вашему серверу или базе данных, он все равно сможет вносить в них изменения с вашей панели управления WordPress. Используя плагин, они могут добавить перенаправления на ваш сайт для использования в своей следующей кампании по рассылке спама или внедрить вредоносное ПО в вашу базу данных. После выполнения своего вредоносного кода они могут удалить плагин, чтобы удалить доказательства своего преступления. К счастью для нас, мы не пропустим ничего из этого, потому что все это было задокументировано в наших журналах безопасности WordPress.

4. Переключение тем

Еще одна активность пользователя, отслеживаемая iThemes Security Pro User Logging, - это когда кто-то переключает тему веб-сайта. Если вы когда-нибудь обнаружите, что ваша тема неожиданно изменилась, вы можете посмотреть в журналах безопасности WordPress, чтобы узнать, кто внес это изменение.

5. Изменения в сообщениях и страницах

Наконец, вы хотите отслеживать любые изменения в своем сообщении и страницах. Были ли добавлены ссылки для отправки вашего трафика на другие сайты? Мониторинг сообщений и страниц может помочь вам найти любые неловкие страницы или вредоносные ссылки, добавленные на ваш сайт после взлома.

Чтобы узнать, какое сообщение было изменено, щелкните ссылку « Просмотреть подробности», чтобы найти идентификатор сообщения.

Как использовать вход пользователей в iThemes Security Pro

Чтобы начать регистрацию действий пользователя в iThemes Security Pro, перейдите в меню «Функции» в настройках безопасности и включите «Ведение журнала».

После включения ведения журнала пользователей щелкните ссылку Группы пользователей, чтобы решить, чью активность вы хотите отслеживать.

Совет: при добавлении регистрации пользователей имейте в виду, что вы можете захотеть отслеживать только тех пользователей, которые могут вносить изменения на ваш сайт. Мониторинг активности клиентов или подписчиков может привести к раздуванию журналов, что затрудняет анализ информации.

Чтобы просмотреть записанную активность пользователя, перейдите к журналам безопасности и щелкните ссылку Все события . Затем в раскрывающемся меню выберите « Ведение журнала» и нажмите кнопку « Фильтр» .

Наведите указатель мыши на IP-адрес или имя пользователя и щелкните значок фильтра, чтобы просмотреть активность только с этого IP-адреса или имени пользователя.

Заключение

К сожалению, даже если вы будете на 100% следовать рекомендациям по безопасности WordPress, все равно есть шанс, что ваш сайт будет взломан. Ведение записей об активности пользователей в журналах безопасности WordPress может быть вашей спасительной возможностью после успешной атаки.

Отслеживание правильной активности пользователей может помочь вам пройти через временную шкалу взлома и показать все, что изменил хакер, от добавления новых пользователей до добавления нежелательной фармацевтической рекламы на ваш сайт.

Наличие графика компромисса значительно сократит время простоя после взлома.

Особенности