Обзор функций iThemes Security Pro - Журналы безопасности WordPress
Опубликовано: 2021-06-23В сообщениях Feature Spotlight мы выделим функцию в плагине iThemes Security Pro и расскажем, почему мы разработали эту функцию, для кого эта функция предназначена и как ее использовать.
Сегодня мы рассмотрим журналы безопасности WordPress iThemes Security Pro - отличный способ отслеживать события безопасности на вашем веб-сайте.
Почему мы разработали журналы безопасности WordPress
Ведение журнала - важная часть вашей стратегии безопасности WordPress. Недостаточное ведение журнала и мониторинг могут привести к задержке обнаружения нарушения безопасности. Большинство исследований показывают, что время обнаружения нарушения составляет более 200 дней! Это время позволяет злоумышленнику взломать другие системы, изменить, украсть или уничтожить больше данных. Именно по этим причинам недостаточное ведение журнала попало в топ-10 рисков безопасности веб-приложений по версии OWASP.
Журналы безопасности WordPress имеют несколько преимуществ в вашей общей стратегии безопасности.
- Идентификация и пресечение злонамеренного поведения.
- Выявляйте действия, которые могут предупредить вас о взломе.
- Оцените, какой ущерб был нанесен.
- Помощник по ремонту взломанного сайта.
Если ваш сайт все-таки взломали, вам понадобится лучшая информация, которая поможет вам в быстром расследовании и восстановлении.
Что такое журналы безопасности WordPress?
Журналы безопасности WordPress в iThemes Security Pro отслеживают важные события безопасности, которые происходят на вашем веб-сайте. Эти события важно отслеживать, чтобы указать, когда или когда происходит нарушение безопасности.
Журналы безопасности вашего веб-сайта являются важной частью любой стратегии безопасности. Информация, содержащаяся в этих записях, может использоваться для блокировки злоумышленников, выделения нежелательных изменений на сайте и помощи в выявлении и исправлении точки входа успешной атаки.
События безопасности, отслеживаемые и регистрируемые iThemes Security
Вот список событий безопасности, отслеживаемых плагином iThemes Security Pro.
1. Атаки методом перебора WordPress
Атаки грубой силы относятся к методу проб и ошибок, который используется для обнаружения имен пользователей и паролей для взлома веб-сайта. WordPress не отслеживает никакую активность пользователей в системе, поэтому в WordPress нет ничего, что могло бы защитить вас от атаки методом грубой силы. Вы должны следить за безопасностью входа в систему, чтобы защитить свой сайт WordPress.

К счастью, атака методом грубой силы не очень сложна, и ее довольно легко идентифицировать в ваших журналах. Вам нужно будет записать имя пользователя и IP-адрес, который пытается войти в систему, и был ли вход успешным. Если вы видите, что одно имя пользователя или IP-адрес имеют последовательные неудачные попытки входа в систему, скорее всего, вы подверглись атаке методом грубой силы.
Функция локальной защиты от грубой силы iThemes Security Pro отслеживает недействительные попытки входа в систему с хоста / IP-адреса или имени пользователя. Если IP-адрес или имя пользователя сделали слишком много последовательных неудачных попыток входа в систему, они будут заблокированы, и им будет запрещено делать больше попыток в течение установленного периода времени.
Важно помнить, что невозможно предотвратить атаку на ваш сайт. Но, отслеживая недействительные попытки входа в систему, вы можете предотвратить успех этих атак.
iThemes Security Pro отлично справляется с блокировкой плохих парней. Однако, если злоумышленник использовал имя пользователя Боб в атаке методом грубой силы, а Боб является фактическим пользователем сайта, Боб, к сожалению, будет заблокирован вместе со злоумышленником.
Несмотря на то, что здорово мешать злоумышленникам взломать сайт, нам не нравится, когда безопасность влияет на работу реальных пользователей. Мы создали Magic Links, чтобы позволить легитимным пользователям обойти блокировку имени пользователя, в то время как злоумышленник остается заблокированным.
2. Изменения файлов
Даже если вы будете следовать рекомендациям по обеспечению безопасности WordPress, все равно существует вероятность взлома вашего сайта. Компрометация означает, что хакер взломал ваш сайт и заразил его вредоносным ПО.
Нарушение безопасности - это когда киберпреступник может получить несанкционированный доступ к вашему сайту или серверу. Нарушения безопасности могут происходить по-разному, поскольку хакеры используют некоторые из наиболее распространенных проблем безопасности WordPress. От запуска устаревших версий плагинов и тем до более сложных SQL-инъекций - нарушение безопасности может произойти даже с самыми бдительными владельцами сайтов.
Время обнаружения нарушения безопасности является критическим фактором при очистке зараженного веб-сайта. К сожалению, чем дольше вы заметите нарушение, тем больший ущерб хакер может нанести вашему сайту, вашим клиентам и вам. Вредоносная программа может нанести ошеломляющий ущерб за 200 дней. Вот почему так важно сократить время, необходимое для обнаружения нарушения безопасности.

Хотя типы вредоносных программ, наносящих ущерб вашему веб-сайту, сильно различаются, их действия можно свести к одному или к комбинации следующих трех вещей.
- Добавить файлы. Вредоносное ПО в виде шпионского ПО может добавить вредоносный файл, который будет записывать нажатия клавиш вашего клиента при вводе данных своей кредитной карты.
- Удалить файлы - некоторые вредоносные программы удаляют законный файл и заменяют его вредоносным файлом с тем же именем.
- Изменить файлы. Вредоносное ПО будет пытаться скрыть свой вредоносный код, пряча его в существующем файле, который оно изменяет.
Ключом к быстрому обнаружению нарушения безопасности является отслеживание изменений файлов на вашем веб-сайте. Функция обнаружения изменений файлов в iThemes Security Pro будет сканировать файлы вашего веб-сайта и предупреждать вас, когда на вашем веб-сайте происходят изменения.
3. Сканирование на вредоносное ПО
Вы должны не только запускать сканирование на наличие вредоносных программ, но также записывать результаты каждого сканирования на наличие вредоносных программ в журналах безопасности WordPress. Некоторые журналы безопасности будут записывать только результаты сканирования, обнаружившего вредоносное ПО, но этого недостаточно. Крайне важно как можно быстрее получать уведомления о взломе вашего веб-сайта. Чем дольше вы узнаете о взломе, тем больший ущерб он нанесет.

Хотя приятно видеть, как история упреждающего подхода к обеспечению безопасности окупается, это всего лишь бонус, а не причина записывать каждое сканирование на наличие вредоносных программ. Если вы не документируете запланированные сканирования, у вас не будет возможности узнать, есть ли какие-либо сбои сканирования. Отсутствие записи неудачных сканирований может привести к тому, что вы подумаете, что ваш сайт ежедневно проверяется на наличие вредоносных программ, но на самом деле сканирование не завершается.
4. Активность пользователей
Ведение записей об активности пользователей в журналах безопасности WordPress может быть вашей спасительной возможностью после успешной атаки.
Если вы отслеживаете правильную активность пользователей, он может провести вас через временную шкалу взлома и показать все, что изменил хакер, от добавления новых пользователей до добавления нежелательной фармацевтической рекламы на ваш сайт.
iThemes Security Pro отслеживает 5 типов активности пользователей:
1. Войти / выйти

Первый тип регистрируемой активности пользователя - это когда пользователи входят и выходят из вашего веб-сайта и откуда. Отслеживание времени и места входа пользователя в систему может помочь вам обнаружить пользователя, который был скомпрометирован. Этот пользователь вошел в систему в необычное время или с нового места? Если да, вы можете начать с них расследование.
2. Создание / регистрация пользователя

Следующее действие, о котором вы должны вести учет, - это создание пользователей, особенно пользователей с правами администратора. Если хакер может скомпрометировать законного пользователя, он может создать там собственного администратора в попытке скрыться. Вам легко заметить что-то странное со своей учетной записью, но гораздо сложнее определить вредоносную активность другого пользователя.

Также важен мониторинг регистрации пользователей. Некоторые уязвимости позволяют хакерам изменить новую роль пользователя по умолчанию с подписчика на администратора.
Если у вас настроено ведение журнала пользователей только для наблюдения за активностью пользователей-администраторов, в журналы безопасности будут записываться только новые регистрации пользователей-администраторов. Итак, если вы когда-либо видите недавно зарегистрированного пользователя в своих журналах безопасности, что-то пошло не так.
3. Добавление и удаление плагинов

Очень важно записывать, кто добавляет и удаляет плагины. После взлома вашего сайта злоумышленник может легко добавить свой собственный плагин для внедрения вредоносного кода на сайт.
Даже если у хакера нет доступа к вашему серверу или базе данных, он все равно сможет вносить в них изменения с вашей панели управления WordPress. Используя плагин, они могут добавить перенаправления на ваш сайт для использования в своей следующей кампании по рассылке спама или внедрить вредоносное ПО в вашу базу данных. После выполнения своего вредоносного кода они могут удалить плагин, чтобы удалить доказательства своего преступления. К счастью для нас, мы не пропустим ничего из этого, потому что все это было задокументировано в наших журналах безопасности WordPress.
4. Переключение тем

Еще одна активность пользователя, отслеживаемая iThemes Security Pro User Logging, - это когда кто-то переключает тему веб-сайта. Если вы когда-нибудь обнаружите, что ваша тема неожиданно изменилась, вы можете посмотреть в журналах безопасности WordPress, чтобы узнать, кто внес это изменение.
5. Изменения в сообщениях и страницах

Наконец, вы хотите отслеживать любые изменения в своем сообщении и страницах. Были ли добавлены ссылки для отправки вашего трафика на другие сайты? Мониторинг сообщений и страниц может помочь вам найти любые неловкие страницы или вредоносные ссылки, добавленные на ваш сайт после взлома.
Чтобы узнать, какое сообщение было изменено, щелкните ссылку « Просмотреть подробности», чтобы найти идентификатор сообщения.

Как использовать журналы безопасности WordPress
Включите следующие функции в iThemes Security Pro, чтобы максимально эффективно использовать журналы безопасности:
- Локальная защита от грубой силы
- Забаненные пользователи
- Резервное копирование базы данных
- Обнаружение изменения файла
- Планирование сканирования на вредоносное ПО
- Ведение журнала пользователей
- Управление версиями
- reCAPTCHA
- Надежные устройства
Чтобы просмотреть журналы безопасности WordPress, нажмите кнопку « Просмотр журналов» в верхней части настроек безопасности.

Теперь давайте подробнее рассмотрим страницу журналов iThemes Security Pro.

1. Параметры экрана
При нажатии кнопки « Параметры экрана» отобразятся параметры, которые позволят вам настроить журналы безопасности WordPress.

2. Ссылки журнала
Щелчок по ссылке журнала отобразит события, связанные с типом журнала ссылки. Например, щелчок по ссылке « Все события» отобразит все записанные события безопасности.

3. Фильтр модуля
Фильтр «Модуль» позволяет отображать события, записанные конкретным модулем безопасности. Например, если выбрать в раскрывающемся меню пункт « Грубая сила» и нажать кнопку « Фильтр» , будут отображаться только записанные события грубой силы.

4. Запись в журнале
Запись журнала отображает важную информацию о записанном событии.

- Модуль - параметр безопасности, в котором записана запись в журнале.
- Тип - тип события, связанный с записью журнала.
- Описание - простое описание записи журнала.
- Время - когда в журналах безопасности записано событие.
- Хост - IP-адрес, по которому произошло событие.
- Пользователь - Пользователь, инициировавший событие.
- Подробности - щелкните ссылку «Просмотреть подробности», чтобы просмотреть дополнительные сведения о журнале.
Визуальный просмотр журналов безопасности: панель управления безопасностью WordPress
Если вы один из тех, кто пытается проанализировать данные, хранящиеся в журналах безопасности, немного не по себе, вы не одиноки. Мы слышали от многих из вас, кто считал, что копание в журналах безопасности занимает много времени, а иногда информацию, хранящуюся в журналах, бывает сложно понять.
Имея все это в виду, мы хотели создать простой и быстрый способ для пользователей iThemes Security Pro видеть активность безопасности и состояние своего веб-сайта WordPress без необходимости рыться в своих журналах.
iThemes Security Pro также включает панель безопасности WordPress в реальном времени, которая помогает извлекать данные из ваших журналов безопасности в графики и диаграммы прямо из панели администратора WordPress.

Панель безопасности iThemes - это динамическая панель со всей статистикой безопасности вашего веб-сайта WordPress в одном месте. Цель панели управления безопасностью - предоставить вам нужную информацию в понятном для вас виде. Вы можете начать с чистого листа и добавлять только важные для вас карточки.
Чтобы начать использовать панель управления безопасностью, убедитесь, что она включена на главной странице настроек безопасности. После включения вы можете создать свою первую панель безопасности как в меню панели администратора, так и в настройках безопасности в меню администратора WordPress .
Заключение
Недостаточное ведение журнала - одна из 10 основных угроз безопасности веб-приложений OWASP. Мониторинг правильного поведения поможет вам выявлять и останавливать атаки, обнаруживать нарушение, а также получать доступ и устранять ущерб, нанесенный вашему веб-сайту после успешной атаки.
iThemes Security Pro упрощает ведение журнала безопасности WordPress, автоматически отслеживая и записывая атаки методом перебора, активность пользователей, сканирование вредоносных программ, изменения файлов и многое другое.
Получите iThemes Security Pro
Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.
