Cómo eliminar falsos positivos en el monitoreo de integridad de archivos en WordPress

Publicado: 2020-01-17

El monitoreo de integridad de archivos (FIM) le permite detectar rápidamente los cambios de archivos en su sitio de WordPress. Es una parte importante de la seguridad de un sitio de WordPress y la forma en que funciona es muy simple: compara los hash criptográficos de referencia con el hash actual de los archivos monitoreados. Cuando ocurre un cambio, recibe una alerta.

Sin embargo, existe un problema importante con los enfoques no sofisticados para monitorear la integridad de los archivos: los falsos positivos (también conocidos como falsas alarmas). No todos los cambios de archivos en un sitio web de WordPress son dañinos o una señal de un ataque. Muchas son partes inofensivas y esperadas del mantenimiento. Entonces, los falsos positivos conducen a una serie de problemas:

  • los administradores pueden potencialmente ignorar los cambios de archivos maliciosos (una situación de grito de lobo),
  • no todos los administradores de sitios web de WordPress pueden identificar una alerta legítima de una no legítima, lo que genera falsas alarmas.

En este artículo, explicaremos cómo funciona el monitoreo de integridad de archivos, la estructura de archivos y directorios de WordPress, y cómo puede configurar correctamente el complemento de monitoreo de cambios de archivos de WordPress.

Monitoreo de integridad de archivos y hash de archivos 101

Comprender los valores hash y las sumas de verificación de los archivos puede ayudarlo a comprender cómo funciona FIM. En pocas palabras, el hashing criptográfico produce una salida específica basada en una entrada específica. Las funciones hash son funciones unidireccionales no reversibles. Es decir, el simple hecho de conocer el resultado no le permitirá retroceder hasta la entrada.

Por ejemplo, podemos usar un hash MD5 para verificar la integridad del texto. En el siguiente ejemplo, usamos un generador de suma de comprobación MD5 para crear un hash de la oración The quick brown fox.

Generador de hash MD5

Podemos ingresar el mismo texto varias veces y obtener el mismo resultado, como se muestra en la siguiente captura de pantalla:

Generando un hash MD5 para el mismo texto

Sin embargo, agregue o elimine un solo carácter, y el hash que obtenemos cambia por completo, aunque sigue teniendo la misma cantidad de caracteres. En el siguiente ejemplo, cambiamos el texto de origen a The quick brown foxes.

Texto diferente genera hash MD5 diferentes

Entonces, ¿por qué es importante esto para el monitoreo de cambios de archivos de WordPress? Simple: la salida de una función hash se usa para determinar si un archivo ha cambiado. Si se realiza incluso un ligero cambio en un archivo, el hash del archivo será diferente. Los complementos de monitoreo de integridad de archivos simplifican estas comparaciones.

NOTA: para obtener más información sobre FIM, lea Monitoreo de integridad de archivos para sitios web de WordPress.

¿Por qué se producen falsos positivos?

Sin embargo, no es suficiente aceptar ciegamente los resultados de nuestras herramientas de monitoreo. Debemos ser capaces de interpretar lo que significan y descartar posibles falsos negativos y falsos positivos. En seguridad, un falso positivo es una falsa alarma, donde nuestras herramientas detectan algo que termina siendo un fiasco. Esto es similar a quemar tostadas en la cocina, activar la alarma contra incendios y despertar a todos los demás. Un falso negativo sería todo lo contrario, donde hay actividad maliciosa, pero no es detectada por nuestras herramientas. En términos generales, debido a cómo funciona la supervisión de la integridad de los archivos, los falsos positivos son un problema más común.

Las falsas alarmas ocurren cuando los complementos monitorean los cambios de archivos sin contexto. No todos los cambios de archivos son malos. Por ejemplo, si actualiza WordPress o un complemento, algunos archivos cambiarán. En este caso, los cambios de archivo son necesarios y no es una alarma.

Comprender la estructura de directorios de WordPress

Entonces, ¿cómo sabe qué cambios en los archivos deberían importarle? Comienza con la comprensión de la estructura de directorios de WordPress y los cambios de escenarios que es probable que ocurran. Los directorios de archivos más importantes para monitorear incluyen:

  • /wp-content/uploads/ : las cargas de archivos estáticos (imágenes, videos, documentos, etc.) son comunes en este directorio y se pueden excluir de las alertas. Los archivos ejecutables, como los archivos PHP, son lo que debe buscar aquí.
  • /wp-content/cache/ : si está utilizando un complemento de almacenamiento en caché, monitorear este directorio se vuelve difícil. Esto se debe a que los complementos de almacenamiento en caché pueden usar legítimamente archivos ejecutables. Si no está utilizando complementos de almacenamiento en caché, monitorear este directorio en busca de cambios es más sencillo.
  • /wp-content/plugins : los cambios en este directorio solo ocurren al instalar, actualizar o desinstalar un complemento. Vale la pena señalar que los complementos generalmente solo deben cambiar archivos en sus propios directorios (o en caché en el caso de un complemento de almacenamiento en caché, o en el directorio de carga en caso de que almacene algunos datos).
  • /wp-content/themes/ : al igual que con el directorio anterior, los cambios aquí solo deben ocurrir al instalar, actualizar, modificar o desinstalar un tema.
  • Raíz de WordPress: como tal, no debería haber ningún cambio en este directorio, a menos que tenga alguna solución o código personalizado.
  • Archivos de WordPress Core : las actualizaciones de WordPress son la única razón por la que estos archivos deberían cambiar.

Con la información anterior, ahora debería poder determinar si los cambios en los archivos son benignos y cuándo pueden ser una preocupación. Por ejemplo, si actualiza un complemento, se espera que cambie un archivo de complemento en la carpeta de ese complemento. Sin embargo, no estaría dentro de las expectativas ver un cambio de archivo principal o un cambio de carpeta de otro complemento. Del mismo modo, no debería ver cambios en el complemento, el núcleo u otros archivos cuando no haya iniciado ninguna actualización. Ese tipo de cambios inesperados en los archivos podría indicar malware o compromiso del sitio web.

El uso de la herramienta adecuada puede contribuir en gran medida a minimizar los falsos positivos sin sacrificar la seguridad. Por ejemplo, uno de los beneficios del complemento Monitor de cambios de archivos del sitio web para WordPress es la capacidad de detectar actualizaciones de WordPress, complementos y temas para evitar falsos positivos y alarmas molestas.

Ejemplos del mundo real de monitoreo de cambios de archivos de WordPress

Ahora que comprende cómo funciona la supervisión de la integridad de los archivos y qué cambios de archivos se esperan, veamos el Monitor de cambios de archivos del sitio web en acción. Para comenzar, el complemento realiza automáticamente un escaneo de referencia inicial una vez que lo activa.

Primera confirmación de escaneo de monitoreo de integridad de archivos

Informes de cambios en los archivos debido a la instalación, actualización y desinstalación de complementos y temas

Si instalamos un nuevo complemento, el complemento Monitor de cambios de archivos del sitio web informa claramente los cambios en el sistema de archivos como una nueva instalación del complemento. También informa la ruta donde se detectaron los nuevos archivos y también el nombre del complemento. Esto ayuda a aquellos que no están familiarizados con el funcionamiento interno de WordPress a comprender mejor el cambio de archivo informado, lo que reduce las falsas alarmas.

Cambio de archivo informado debido a la instalación de un nuevo complemento

También puede hacer clic en el ícono de Información para ver la lista completa de archivos que se agregaron durante la instalación del nuevo complemento. El complemento también informa la cantidad de archivos asociados con esta actualización.

Lista de archivos agregados a un sitio web durante la instalación de un nuevo complemento

El complemento informa de todos los demás complementos y actualizaciones de temas de la misma manera. Esto significa que el complemento marca claramente la instalación, actualización o eliminación de un complemento o tema, lo que le permite tomar una decisión informada sobre si los cambios en el archivo son legítimos o no.

Informe de cambios de archivos debido a una actualización del núcleo de WordPress

Ahora vamos a actualizar el núcleo de WordPress. Al actualizar WordPress, esperamos cambios en los archivos, especialmente en el directorio raíz. Después de ejecutar una actualización de WordPress, vemos lo siguiente en la sección Archivos agregados:

Cambios en el archivo de actualización del núcleo de WordPress

  1. Se agregaron varios archivos en la carpeta /wp-content/themes/twentytwenty/ . Esto significa que la actualización incluyó un nuevo tema. El complemento no informó esto como una instalación de tema porque los archivos se copiaron directamente al sistema de archivos a través de la actualización.
  2. Una serie de nuevos archivos principales de WordPress en las carpetas wp-admin y wp-includes (marcadas en verde). Puede ver la lista completa de archivos haciendo clic en el icono de información .

Al observar los archivos modificados durante la actualización, solo vemos cambios en los archivos de tipo Core Update. Nuevamente, comportamiento esperado para una actualización de WordPress.

Archivos modificados en el núcleo de WordPress debido a una actualización

¿La comida para llevar aquí? Comportamiento habitual. Los cambios están claramente marcados por el complemento Monitor de cambios de archivos del sitio web, no hay falsas alarmas. Si, por otro lado, el complemento informa una lista de cambios en los archivos sin ninguna indicación de por qué ocurrieron, el usuario se alarmará.

Ajuste fino del complemento Monitor de cambios de archivos del sitio web

WordPress se utiliza en una variedad de aplicaciones con una amplia gama de complementos y modificaciones. Como resultado, las soluciones de complementos de monitoreo de integridad de archivos también deben ser lo suficientemente flexibles para adaptarse a cambios y necesidades personalizados. Por ejemplo, las preferencias de frecuencia de escaneo pueden ser diferentes para un blog personal y un sitio de comercio electrónico grande. Además, es posible que deba incluir o excluir un conjunto específico de archivos y carpetas personalizados.

Un complemento de cambios de archivos de WordPress configurable pero fácil de usar

Un buen complemento guía a los usuarios y les ayuda a comprender mejor los resultados. Por ejemplo, de forma predeterminada, el complemento debe excluir del análisis los archivos no ejecutables. Archivos como archivos de registro, archivos de texto y archivos multimedia no son peligrosos y los administradores no necesitan saber si cambian, porque los cambios en un archivo de texto nunca pueden ser maliciosos. Por lo tanto, no es necesario que el complemento avise a un usuario cuando cambia un archivo de registro, ya que solo genera preguntas y falsas alarmas.

Esto es lo que hace que el complemento Monitor de cambios de archivos del sitio web se destaque del resto. Fue desarrollado para todos los niveles de usuarios. No necesita conocer los tecnicismos y qué cambios de archivos son maliciosos o no para beneficiarse de este complemento. Cualquiera puede beneficiarse de este complemento y comprender los resultados. Además de eso, el complemento es totalmente personalizable. Usted puede:

  • configurar el programa y la frecuencia de escaneo,
  • seleccione qué directorios debe escanear el complemento,
  • excluir archivos en un directorio específico o por extensión.

El monitoreo efectivo de la integridad de los archivos es un aspecto importante de la seguridad de WordPress

Una solución de seguridad efectiva de WordPress es una solución que no informa falsos positivos y sus informes pueden ser fácilmente entendidos por usuarios de cualquier nivel. Esta es la razón por la que el complemento Monitor de cambios de archivos del sitio web se destaca de todos los demás complementos de FIM; es fácil de usar y destaca claramente los diferentes tipos de cambios en los archivos para ayudar a los usuarios a comprender los informes. Además de eso, no reporta falsos positivos.

Descargue el complemento Monitor de cambios de archivos del sitio web ahora para recibir alertas de cambios de archivos en su sitio web de WordPress.

El monitoreo de la integridad de los archivos es solo una pieza del rompecabezas de seguridad

Al igual que con muchas otras cosas, un complemento por sí solo no constituye todo el conjunto de herramientas de seguridad de WordPress. La supervisión de la integridad de los archivos también debe complementarse con:

  • Registros de actividad de WordPress,
  • Fuertes políticas de contraseña para usuarios de WordPress,
  • Autenticación de dos factores en WordPress,
  • Cortafuegos de WordPress (consulte la guía de cortafuegos de WordPress para obtener más información sobre los diferentes tipos de cortafuegos, etc.)
  • Por último, pero no menos importante, una buena solución de copia de seguridad de WordPress.

Si finalmente se ve comprometido, nuestra herramienta de integridad de archivos puede ayudarlo a encontrar dónde ocurrieron los cambios. Esto, a su vez, permite una respuesta, remediación y documentación efectivas ante incidentes.