¿Qué es el monitoreo de integridad de archivos y por qué lo necesita en su sitio web de WordPress?
Publicado: 2019-05-22¿Alguna vez ha tenido que limpiar su sitio web de WordPress de una infección de malware? ¿Sabes cómo averiguar qué código fue comprometido? ¿Sabes si tus desarrolladores o agencia dejaron copias de seguridad y archivos sobrantes en tu sitio web que pueden dejarte expuesto?
Esta publicación explica cómo el monitoreo de integridad de archivos (FIM) lo ayuda a responder tales preguntas. Veremos cómo un complemento de monitor de integridad de archivos es fundamental para ayudarlo a administrar mejor los archivos de su sitio de WordPress. La detección de problemas en una etapa temprana es muy importante: le permite mitigar y limitar el daño del ataque o del problema.
Nota: Monitoreo de integridad de archivos es el término técnico para lo que comúnmente se conoce como análisis de cambios de archivos, monitor de cambios de archivos y términos similares.
¿Qué es el monitoreo y escaneo de integridad de archivos?
El escaneo o monitoreo de integridad de archivos se refiere al proceso que compara las huellas digitales de un archivo para determinar si ha cambiado. El software de verificación de integridad de archivos funciona mediante la creación de un hash criptográfico o una huella digital de los archivos en un sistema. Cuando cambia el contenido de un archivo, también lo hace su huella digital. Al notar el cambio en la huella digital del archivo, el escáner de integridad de archivos notifica al administrador.
¿Por qué necesita verificaciones de integridad de archivos en los sitios de WordPress?
Los cambios en los archivos ocurren con frecuencia en los sitios web ocupados de WordPress. Por supuesto, la mayoría de estos cambios son deseados. Por ejemplo, cuando agrega nuevos archivos multimedia, instala o actualiza un complemento y modifica deliberadamente el código del tema. Sin embargo, otros cambios pueden estar lejos de ser benignos o ser realizados por error.
Un escáner de integridad de archivos lo ayuda a realizar un seguimiento de la integridad de su sitio web de WordPress. En otras palabras, te ayuda a garantizar que el nuevo complemento o tema que instalaste no haya modificado los archivos de tu sitio.
Monitoreo y escaneo de integridad de archivos proactivos y reactivos
Principalmente, hay dos formas principales de usar el Monitoreo de integridad de archivos (FIM) y el escaneo: de manera proactiva y reactiva. Ambos métodos se explican en esta publicación.
Acciones de seguridad proactivas
Cuando el escaneo de integridad de archivos se usa de manera proactiva, evita que sucedan cosas malas. Los siguientes son algunos escenarios en los que la supervisión proactiva de la integridad de los archivos detecta y le notifica los errores. Esto le permite solucionar los problemas antes de que los atacantes identifiquen la vulnerabilidad o haya un problema con el sitio.
- Un desarrollador copia accidentalmente un texto u otro tipo de archivo que contiene información confidencial. Los hackers maliciosos pueden encontrar y descargar fácilmente este tipo de archivos.
- Un administrador de la base de datos deja una copia de seguridad de la base de datos MySQL (.sql) en el sitio web. Esto permitiría a un atacante descargar toda su base de datos de WordPress.
- Un webmaster hace una copia de wp-config.php y lo llama wp-config.bak. Dado que ya no es un archivo PHP, esto permitiría a un atacante descargar el archivo de copia de seguridad.
- Alguien edita un archivo PHP directamente en el servidor con el editor Vim y no sale del editor correctamente. Esto deja atrás un archivo .swp. Un atacante puede descargar dicho archivo ya que el servidor web no lo trata como código PHP.
Acciones de seguridad reactivas
Muchos asocian las medidas de seguridad reactivas con llegar demasiado tarde . Sin embargo, en realidad, las acciones de seguridad reactivas oportunas son cruciales para mitigar un ataque. También ayudan a detener el daño antes de que las cosas empeoren.
Los siguientes son algunos escenarios en los que se puede usar un escáner de integridad de archivos para profundizar rápidamente en la actividad sospechosa y actuar sobre los ataques durante o después de que ocurran.
Escenario de ataque de WordPress 1
Un complemento de monitor de integridad de archivos detecta un nuevo archivo PHP. Tiene un nombre oscuro y se almacena en el directorio /wp-content/uploads . Tras la inspección, el administrador de WordPress no puede atribuir este archivo a un cambio realizado por él o el equipo. El archivo contiene código ofuscado, que resulta ser un shell web . El administrador debe actuar rápidamente.
Primero hace una copia del archivo para su posterior análisis. Luego lo elimina para cortar el acceso del atacante al sitio de WordPress. Después de investigar los registros del servidor web, el administrador se da cuenta de que este archivo fue cargado por un atacante que abusó de una vulnerabilidad en un formulario de carga de archivos en su sitio. Con toda la información disponible, el administrador puede hablar con los desarrolladores para solucionar el problema.
Escenario de ataque de WordPress 2
Un complemento de monitor de cambios de archivos de WordPress alerta al administrador de los cambios en los archivos principales de WordPress. Esto nunca debería ocurrir excepto durante las actualizaciones de WordPress. Sin embargo, esto sucedió justo después de que otro administrador de WordPress instalara un nuevo complemento.
Después de investigar, el webmaster descubre que otros experimentaron un comportamiento similar y reportaron el complemento malicioso: está diseñado para robar las credenciales de WordPress y enviarlas al atacante cuando un usuario inicia sesión.
El webmaster elimina inmediatamente el complemento rouge y restaura los archivos alterados. También restablece las contraseñas de todos los usuarios de WordPress con un complemento para su tranquilidad.
Escenario de ataque de WordPress 3
Un complemento de monitor de integridad de archivos notifica al administrador de un archivo oscuro en el directorio protegido con contraseña en la raíz de WordPress. El directorio almacena archivos estáticos con información confidencial y está protegido con una contraseña segura mediante autenticación HTTP.
Después de investigar un poco, el webmaster se da cuenta de que el archivo se cargó a través de un servidor FTP mal configurado que permite el acceso de escritura anónimo . El administrador corrige inmediatamente la configuración del servidor FTP y deshabilita la autenticación anónima.
¿Qué archivos de WordPress necesitas vigilar?
Otro factor importante a tener en cuenta es que no todos los cambios en los archivos son indicadores de actividades maliciosas o problemáticas. Por ejemplo, no hay problemas si un complemento de copia de seguridad escribe archivos SQL en un directorio prohibido a usuarios no autorizados. Los siguientes son algunos indicadores para diferenciar entre cambios benignos y maliciosos en los directorios de WordPress.
/wp-content/uploads/ Directorio de WordPress
Los sitios web de WordPress tienden a ser muy activos. Por lo tanto, monitorear cada archivo creado o modificado probablemente generará un flujo interminable de alertas. En casi todos los casos, tiene sentido excluir los archivos estáticos del directorio /wp-content/uploads/ .
Los archivos estáticos incluyen archivos multimedia como imágenes, videos y audio, y también documentos como presentaciones, hojas de cálculo y PDF. Es seguro ignorar dichos archivos, pero no el directorio de carga . Realmente desea saber si los archivos ejecutables, como los archivos PHP, se cargan en este directorio.
/wp-content/cache/ directorio de WordPress
Este directorio es complicado. Es utilizado por los complementos de almacenamiento en caché de WordPress. Dependiendo de la configuración de su complemento de almacenamiento en caché, puede ver una variedad de archivos en subdirectorios de /wp-content/cache/ , incluidos archivos PHP legítimos. Estos son agregados por sus complementos de almacenamiento en caché, especialmente si habilita el almacenamiento en caché de objetos. Si este es el caso, estudie el comportamiento de sus complementos de almacenamiento en caché y qué archivos almacenan y configure el escáner de integridad de archivos de acuerdo con sus hallazgos. Si no usa ningún complemento de almacenamiento en caché, o sus complementos no almacenan PHP y otros archivos de código fuente, entonces es mucho más fácil monitorear este directorio.
/wp-content/plugins y /wp-content/themes/ Directorio de WordPress
Cuando agrega, elimina o actualiza un complemento, verá los cambios en el directorio /wp-content/plugins/ WordPress. Si realiza cambios en un equipo, notará cambios en los archivos en el directorio /wp-content/themes/ .
Esto no significa que todos los cambios que se produzcan en estos directorios sean siempre benignos. Sin embargo, como regla general, los cambios de archivos dentro de estos dos directorios solo deberían ocurrir como resultado de algunas acciones administrativas con WordPress.
Nota: Nuestro complemento Monitor de cambios de archivos del sitio web para WordPress tiene una característica única. Reconoce el núcleo de WordPress, los complementos y los cambios de temas. Por lo tanto, no envía falsas alarmas sobre cientos de cambios de archivos. Le avisa que los cambios en el archivo fueron el resultado de un cambio en el sitio, lo que le permite revisar el cambio.
El directorio raíz de WordPress
El directorio raíz de WordPress es la instalación real de WordPress en el servidor web. Esta es una ubicación importante a la que prestar atención. La mayoría de las veces, los cambios de archivo realizados aquí proporcionan una buena señal para que investigue, a menos que usted haya realizado los cambios.
Archivos del núcleo de WordPress
Los archivos de WordPress Core son los archivos reales que componen la aplicación web de WordPress. La modificación en los archivos principales solo debería ocurrir como resultado de una actualización de WordPress. Nunca deben ocurrir bajo ninguna otra condición.
Por lo tanto, a menos que haya editado manualmente un archivo de WordPress Core (evite hacer esto, hay mejores formas de personalizar WordPress), esto debería ser una señal de alta calidad de que algo sospechoso está pasando.
¿Cómo controlo mi sitio de WordPress en busca de cambios en los archivos?
Si bien el análisis de integridad de archivos se puede lograr con una serie de herramientas no específicas de WordPress, muchas generalmente requieren una curva de aprendizaje considerable para ejecutarse, configurarse y operar.
En cambio, un enfoque más simple, si no mejor con resultados más ajustados, sería usar el complemento Monitor de cambios de archivos del sitio web para WordPress. Este complemento tiene tecnología inteligente exclusiva que reconoce el núcleo de WordPress, complementos y actualizaciones de temas, instalaciones y eliminaciones. ¡Así que no reporta falsos positivos generando falsas alarmas! Consulte falsos positivos en el monitoreo de integridad de archivos para obtener más información sobre falsos positivos y nuestra tecnología inteligente.
El complemento reconoce los cambios en la estructura del sitio. Entonces, cuando hay un cambio, el complemento le notifica el cambio de estructura del sitio, y no los cientos de archivos que se agregaron o modificaron en su sitio de WordPress. Automatiza el trabajo por usted, no genera falsas alarmas y no tiene que filtrar manualmente los resultados.
Descargue el Monitor de cambios de archivos de sitios web gratuito para WordPress hoy para administrar mejor y mejorar la seguridad de sus sitios.
¿Qué sucede si ya uso un complemento de seguridad de WordPress?
Si ya utiliza un complemento de seguridad de WordPress, eso es genial, siga haciéndolo. Sin embargo, el monitoreo de la integridad de los archivos no es el enfoque de un complemento de seguridad. Al usar un complemento de WordPress que está diseñado específicamente para monitorear la integridad de los archivos teniendo en cuenta el rendimiento, aún puede obtener todos los beneficios del uso de complementos de seguridad genéricos de WordPress, con la adición de todos los conocimientos valiosos que le brinda el monitoreo de la integridad de los archivos.