ファイルの整合性の監視とは何ですか?WordPressのWebサイトでそれが必要な理由は何ですか?

公開: 2019-05-22

マルウェア感染からWordPressWebサイトをクリーンアップする必要があったことはありますか? どのコードが侵害されたかを見つける方法を知っていますか? あなたの開発者やエージェンシーがあなたのウェブサイトにあなたをさらけ出してしまう可能性のあるバックアップや残りのファイルを残したかどうか知っていますか?

この投稿では、ファイル整合性監視(FIM)がこのような質問への回答にどのように役立つかについて説明します。 ファイル整合性モニタープラグインが、WordPressサイトのファイルをより適切に管理するのにどのように役立つかを見ていきます。 問題を早期に検出することは非常に重要です。これにより、攻撃または問題の被害を軽減および制限できます。

注:ファイル整合性の監視は、ファイル変更スキャン、ファイル変更モニターなどの一般的な用語の専門用語です。

ファイルの整合性の監視とスキャンとは何ですか?

ファイル整合性スキャンまたはモニターは、ファイルのフィンガープリントを比較して、ファイルが変更されたかどうかを判断するプロセスを指します。 ファイル整合性チェックソフトウェアは、暗号化ハッシュ、またはシステム上のファイルのフィンガープリントを作成することによって機能します。 ファイルの内容が変更されると、そのフィンガープリントも変更されます。 ファイルのフィンガープリントの変更に気付くと、ファイル整合性スキャナーは管理者に通知します。

WordPressサイトでファイルの整合性チェックが必要なのはなぜですか?

ファイルへの変更は、忙しいWordPressWebサイトで頻繁に発生します。 もちろん、これらの変更のほとんどは望ましいものです。 たとえば、新しいメディアファイルを追加するときは、プラグインをインストールまたは更新し、テーマのコードを意図的に変更します。 ただし、他の変更は、良性とはほど遠い場合や、誤って行われる場合があります。

ファイル整合性スキャナーは、WordPressWebサイトの整合性を追跡するのに役立ちます。 つまり、インストールした新しいプラグインまたはテーマがサイトのファイルを変更していないことを保証するのに役立ちます。

プロアクティブおよびリアクティブなファイル整合性の監視とスキャン

主にファイル整合性監視(FIM)とスキャンの使用方法には主に2つの方法があります。予防的および事後対応的です。 この投稿では、これらの方法の両方について説明します。

プロアクティブなセキュリティアクション

ファイル整合性スキャンをプロアクティブに使用すると、問題が発生するのを防ぐことができます。 以下は、プロアクティブなファイル整合性監視が間違いを検出して通知するいくつかのシナリオです。 これにより、攻撃者が脆弱性を特定する、またはサイトに問題が発生する前に、問題を修正できます。

  • 開発者は、機密情報を含むテキストまたは別の種類のファイルを誤ってコピーします。 これらのタイプのファイルは、悪意のあるハッカーによって簡単に見つけられ、ダウンロードされる可能性があります。
  • データベース管理者は、MySQLデータベースのバックアップ(.sql)をWebサイトに残します。 これにより、攻撃者はWordPressデータベース全体をダウンロードできるようになります。
  • ウェブマスターはwp-config.phpのコピーを作成し、wp-config.bakという名前を付けます。 これはPHPファイルではなくなったため、攻撃者がバックアップファイルをダウンロードできるようになります。
  • 誰かがVimエディターを使用してサーバー上でPHPファイルを直接編集し、エディターを適切に終了しません。 これにより、.swpファイルが残ります。 WebサーバーはファイルをPHPコードとして扱わないため、攻撃者はそのようなファイルをダウンロードできます。

リアクティブなセキュリティアクション

多くの人は、事後対応型のセキュリティ対策を遅すぎると関連付けています。 ただし、実際には、攻撃を軽減するためには、タイムリーな事後対応型のセキュリティアクションが不可欠です。 また、事態が悪化する前に被害を食い止めるのにも役立ちます。

以下は、ファイル整合性スキャナーを使用して疑わしいアクティビティにすばやくドリルダウンし、攻撃の発生または発生に攻撃に対処できるいくつかのシナリオです。

WordPress攻撃シナリオ1

ファイル整合性モニタープラグインは、新しいPHPファイルを検出します。 名前はあいまいで、 / wp-content / uploadsディレクトリに保存されます。 検査の結果、WordPress管理者は、このファイルを自分またはチームが行った変更に帰することはできません。 このファイルには難読化されたコードが含まれているため、 Webシェルになります。 管理者は迅速に行動する必要があります。

最初に、彼はさらに分析するためにファイルのコピーを作成します。 次に、それを削除して、WordPressサイトへの攻撃者のアクセスを遮断します。 管理者は、Webサーバーのログを調査した後、このファイルが、サイトのファイルアップロードフォームの脆弱性を悪用した攻撃者によってアップロードされたことに気付きました。 すべての情報が手元にあれば、管理者は開発者と話し合って問題を解決できます。

WordPress攻撃シナリオ2

WordPressファイル変更モニタープラグインは、WordPressコアファイルの変更を管理者に警告します。 これは、WordPressの更新中を除いて発生しないはずです。 ただし、これは別のWordPress管理者が新しいプラグインをインストールした直後に発生しました。

調査した後、ウェブマスターは他の人が同様の動作を経験し、悪意のあるプラグインを報告したことを発見しました。これは、WordPressの資格情報を盗み、ユーザーがログインしたときに攻撃者に送信するように設計されています。

ウェブマスターはすぐにルージュプラグインを削除し、改ざんされたファイルを復元します。 彼はまた、心の一部のためのプラグインを使用して、すべてのWordPressユーザーのパスワードをリセットします。

WordPress攻撃シナリオ3

ファイル整合性モニタープラグインは、WordPressルートのパスワードで保護されたディレクトリにあるあいまいなファイルを管理者に通知します。 ディレクトリには機密情報を含む静的ファイルが保存され、HTTP認証を使用して強力なパスワードで保護されます。

いくつかの調査の後、ウェブマスターは、ファイルが匿名の書き込みアクセスを許可する誤って構成されたFTPサーバーを介してアップロードされたことを認識します。 管理者はすぐにFTPサーバーの構成を修正し、匿名認証を無効にします。

監視する必要があるWordPressファイルはどれですか?

ウェブサイトのファイルとフォルダのスキャン WordPresアクティビティログと同様に、ファイル整合性スキャンプラグインを使用すると、効果を発揮するために何を探すべきかを知る必要があります。 すべてのファイル変更を追跡すると、アラートの終わりのないストリームがあります。 追跡が少なすぎると、ファイル変更モニタープラグインのすべての利点が失われます。

覚えておくべきもう1つの重要な要素は、すべてのファイル変更が悪意のあるまたは問題のあるアクティビティの指標であるとは限らないということです。 たとえば、バックアッププラグインが許可されていないユーザーに禁止されているディレクトリにSQLファイルを書き込んでも問題はありません。 以下は、WordPressディレクトリの良性の変更と悪意のある変更を区別するためのいくつかの指針です。

/ wp-content / uploads / WordPressディレクトリ

WordPressのウェブサイトは非常に活発になる傾向があります。 したがって、作成または変更されたすべてのファイルを監視することにより、アラートの無限のストリームが発生する可能性があります。 ほとんどの場合、静的ファイルを/ wp-content / uploads /ディレクトリから除外することは理にかなっています。

静的ファイルには、画像、ビデオ、オーディオなどのメディアファイルのほか、プレゼンテーション、スプレッドシート、PDFなどのドキュメントが含まれます。 このようなファイルは無視しても安全ですが、アップロードディレクトリは無視できません。 PHPファイルなどの実行可能ファイルがこのディレクトリにアップロードされているかどうかを本当に知りたいと思います。

/ wp-content / cache / WordPressディレクトリ

このディレクトリは注意が必要です。 これは、WordPressキャッシングプラグインによって使用されます。 キャッシュプラグインの構成に応じて、正規のPHPファイルを含むさまざまなファイルが/ wp-content / cache /のサブディレクトリに表示される場合があります。 これらは、特にオブジェクトキャッシングを有効にした場合に、キャッシングプラグインによって追加されます。 これがケーススタディである場合は、動作またはキャッシングプラグイン、およびそれらが保存するファイルと、結果に応じてファイル整合性スキャナーを構成します。 キャッシュプラグインを使用しない場合、またはプラグインがPHPやその他のソースコードファイルを保存しない場合は、このディレクトリを監視する方がはるかに簡単です。

/ wp-content / pluginsおよび/ wp-content / themes / WordPressディレクトリ

プラグインを追加、削除、または更新すると、 / wp-content / plugins / WordPressディレクトリに変更が表示されます。 チームに変更を加えると、 / wp-content / themes /ディレクトリ内のファイルが変更されていることに気付くでしょう。

これは、これらのディレクトリで発生するすべての変更が常に無害であることを意味するものではありません。 ただし、一般的な経験則として、これら2つのディレクトリ内でのファイルの変更は、WordPressでのいくつかの管理アクションの結果としてのみ発生するはずです。

注: WordPress用のWebサイトファイル変更モニタープラグインには、独自の機能があります。 WordPressコア、プラグイン、テーマの変更を認識します。 したがって、何百ものファイル変更について誤ったアラームを送信することはありません。 ファイルの変更がサイトの変更の結果であることが警告され、変更を確認できます。

WordPressのルートディレクトリ

WordPressルートディレクトリは、Webサーバーへの実際のWordPressインストールです。 これは注意を払うべき重要な場所です。 多くの場合、ここで行われたファイルの変更は、変更が自分で行われた場合を除いて、調査するための良いシグナルを提供します。

WordPressコアファイル

WordPressコアファイルは、WordPressWebアプリケーションを構成する実際のファイルです。 コアファイルの変更は、WordPressの更新の結果としてのみ発生するはずです。 他の条件下では決して発生しないはずです。

したがって、WordPressコアファイルを手動で編集しない限り(これは避けてください。WordPressをカスタマイズするためのより良い方法があります)、これは何か怪しいものが起きていることを示す高品質の信号であるはずです。

WordPressサイトでファイルの変更を監視するにはどうすればよいですか?

ファイルの整合性スキャンは、WordPress固有ではない多くのツールで実現できますが、多くの場合、実行、構成、および操作するには、通常、かなりの学習曲線が必要です。

代わりに、より簡単なアプローチは、より細かく調整された結果では良くない場合でも、WordPress用のWebサイトファイル変更モニタープラグインを使用することです。 このプラグインには、WordPressコア、プラグイン、テーマの更新、インストール、削除を認識する独自のスマートテクノロジーが搭載されています。 したがって、誤警報を発生させる誤検知は報告されません。 誤検知と当社のスマートテクノロジーの詳細については、ファイル整合性監視の誤検知を参照してください。

プラグインはサイト構造の変更を認識します。 したがって、変更があると、プラグインはサイト構造の変更を通知しますが、WordPressサイトで追加または変更された何百ものファイルは通知しません。 それはあなたのために仕事を自動化し、誤警報を発することはなく、あなたは手動で結果をフィルタリングする必要はありません。

WordPress用のウェブサイトファイル変更モニタープラグイン

WordPress用の無料のWebサイトファイル変更モニターを今すぐダウンロードして、サイトのセキュリティをより適切に管理および改善してください。

すでにWordPressセキュリティプラグインを使用している場合はどうなりますか?

すでにWordPressセキュリティプラグインを利用している場合、それは素晴らしいことです。それを続けてください。 ただし、ファイルの整合性の監視はセキュリティプラグインの焦点では​​ありません。 パフォーマンスを念頭に置いてファイル整合性監視用に特別に設計されたWordPressプラグインを使用することで、ファイル整合性監視が提供するすべての貴重な洞察に加えて、一般的なWordPressセキュリティプラグインを使用することのすべての利点を享受できます。