Comment éliminer les faux positifs dans la surveillance de l'intégrité des fichiers sur WordPress

Publié: 2020-01-17

La surveillance de l'intégrité des fichiers (FIM) vous permet de détecter rapidement les modifications de fichiers sur votre site WordPress. C'est une partie importante de la sécurisation d'un site WordPress et son fonctionnement est très simple : il compare les hachages cryptographiques de base au hachage actuel des fichiers surveillés. Lorsqu'un changement se produit, vous recevez une alerte.

Cependant, il existe un problème majeur avec les approches non sophistiquées de la surveillance de l'intégrité des fichiers : les faux positifs (c'est-à-dire les fausses alarmes). Toutes les modifications de fichiers sur un site Web WordPress ne sont pas nuisibles ou ne sont pas le signe d'une attaque. Beaucoup sont des pièces inoffensives et attendues de l'entretien. Ainsi, les faux positifs entraînent un certain nombre de problèmes :

  • les administrateurs peuvent potentiellement ignorer les modifications de fichiers malveillantes (une situation criant au loup),
  • tous les administrateurs de sites Web WordPress ne peuvent pas identifier une alerte légitime à partir d'une alerte non légitime, entraînant ainsi de fausses alarmes.

Dans cet article, nous expliquerons comment fonctionne la surveillance de l'intégrité des fichiers, la structure des fichiers et des répertoires de WordPress et comment vous pouvez configurer correctement le plugin de surveillance des modifications de fichiers WordPress.

Surveillance de l'intégrité des fichiers et hachage de fichiers 101

Comprendre les hachages de fichiers et les sommes de contrôle peut vous aider à comprendre le fonctionnement de FIM. En termes simples, le hachage cryptographique produit une sortie spécifique basée sur une entrée spécifique. Les fonctions de hachage sont des fonctions unidirectionnelles non réversibles. Autrement dit, le simple fait de connaître le résultat ne vous permettra pas de revenir à l'entrée.

Par exemple, nous pouvons utiliser un hachage MD5 pour vérifier l'intégrité du texte. Dans l'exemple ci-dessous, nous utilisons un générateur de somme de contrôle MD5 pour créer un hachage de la phrase The quick brown fox.

Générateur de hachage MD5

Nous pouvons saisir le même texte plusieurs fois et obtenir le même résultat, comme indiqué dans la capture d'écran ci-dessous :

Génération d'un hachage MD5 pour le même texte

Cependant, ajoutez ou supprimez un seul caractère, et le hachage que nous obtenons change complètement, même s'il contient toujours le même nombre de caractères. Dans l'exemple ci-dessous, nous avons changé le texte source en Les renards bruns rapides.

Un texte différent génère différents hachages MD5

Alors, pourquoi est-ce important pour la surveillance des modifications de fichiers WordPress ? Simple : la sortie d'une fonction de hachage est utilisée pour déterminer si un fichier a changé. Si même une légère modification est apportée à un fichier, le hachage du fichier sera différent. Les plugins de surveillance de l'intégrité des fichiers simplifient ces comparaisons.

REMARQUE : pour en savoir plus sur FIM, lisez Surveillance de l'intégrité des fichiers pour les sites Web WordPress.

Pourquoi les faux positifs se produisent-ils ?

Cependant, il ne suffit pas d'accepter aveuglément les résultats de nos outils de surveillance. Nous devons être capables d'interpréter ce qu'ils signifient et d'exclure les faux négatifs et les faux positifs potentiels. En sécurité, un faux positif est une fausse alerte, où nos outils détectent quelque chose qui finit par être un raté. Cela revient à brûler des toasts dans la cuisine, à déclencher l'alarme incendie et à réveiller tout le monde. Un faux négatif serait le contraire, où il y a une activité malveillante, mais qui n'est pas détectée par nos outils. De manière générale, en raison du fonctionnement de la surveillance de l'intégrité des fichiers, les faux positifs sont un problème plus courant.

Les fausses alarmes se produisent lorsque les plugins surveillent les modifications de fichiers sans contexte. Toutes les modifications de fichiers ne sont pas mauvaises. Par exemple, si vous mettez à jour WordPress ou un plugin, certains fichiers changeront. Dans ce cas, des modifications de fichiers sont nécessaires et ce n'est pas une alarme.

Comprendre la structure des répertoires WordPress

Alors, comment savez-vous quelles modifications de fichiers vous devez prendre en compte ? Cela commence par comprendre la structure des répertoires WordPress et les changements de scénarios susceptibles de se produire. Les répertoires de fichiers les plus importants à surveiller incluent :

  • /wp-content/uploads/ – Les téléchargements de fichiers statiques (images, vidéos, documents, etc.) sont courants dans ce répertoire et peuvent être exclus des alertes. Les fichiers exécutables, comme les fichiers PHP, sont ce que vous devez rechercher ici.
  • /wp-content/cache/ – Si vous utilisez un plugin de mise en cache, la surveillance de ce répertoire devient difficile. En effet, les plugins de mise en cache peuvent légitimement utiliser des fichiers exécutables. Si vous n'utilisez pas de plugins de mise en cache, la surveillance de ce répertoire pour les modifications est plus simple.
  • /wp-content/plugins – Les modifications dans ce répertoire ne se produisent que lors de l'installation, de la mise à jour ou de la désinstallation d'un plugin. Il convient de noter que les plugins ne doivent généralement modifier que les fichiers dans leurs propres répertoires (ou dans le cache dans le cas d'un plugin de mise en cache, ou dans le répertoire des téléchargements s'il stocke des données).
  • /wp-content/themes/ – Comme pour le répertoire précédent, les modifications ici ne devraient se produire que lors de l'installation, de la mise à jour, de la modification ou de la désinstallation d'un thème.
  • Racine WordPress - En tant que tel, il ne devrait y avoir aucun changement dans ce répertoire, à moins que vous n'ayez une solution ou un code personnalisé.
  • Fichiers WordPress Core – Les mises à jour WordPress sont la seule raison pour laquelle ces fichiers doivent changer.

Avec les informations ci-dessus, vous devriez maintenant être en mesure de déterminer si les modifications de fichiers sont bénignes par rapport au moment où elles peuvent être préoccupantes. Par exemple, si vous mettez à jour un plugin, il est normal de voir un fichier de plugin dans le dossier de ce plugin changer. Cependant, il ne serait pas dans les attentes de voir un changement de fichier principal ou un changement de dossier d'un autre plugin. De même, vous ne devriez pas voir les modifications apportées au plug-in, au noyau ou à d'autres fichiers lorsque vous n'avez lancé aucune mise à jour. Ce type de modifications de fichiers inattendues peut indiquer un logiciel malveillant ou une compromission de site Web.

L'utilisation du bon outil peut grandement contribuer à minimiser les faux positifs sans sacrifier la sécurité. Par exemple, l'un des avantages du plugin Website File Changes Monitor pour WordPress est la capacité de détecter les mises à jour de WordPress, des plugins et des thèmes pour éviter les faux positifs et les alarmes intempestives.

Exemples concrets de surveillance des modifications de fichiers WordPress

Maintenant que vous comprenez comment fonctionne la surveillance de l'intégrité des fichiers et à quelles modifications de fichiers vous attendre, examinons le moniteur de modifications de fichiers de site Web en action. Pour commencer, le plugin effectue automatiquement une analyse de base initiale une fois que vous l'activez.

Confirmation de la première analyse de surveillance de l'intégrité des fichiers

Signaler les modifications de fichiers dues aux plugins et thèmes installés, mis à jour et désinstallés

Si nous installons un nouveau plugin, le plugin Website File Changes Monitor signale clairement les changements dans le système de fichiers comme une nouvelle installation de plugin. Il signale également le chemin où les nouveaux fichiers ont été détectés, ainsi que le nom du plugin. Cela aide ceux qui ne sont pas familiers avec le fonctionnement interne de WordPress à mieux comprendre le changement de fichier signalé, réduisant ainsi les fausses alarmes.

Changement de fichier signalé en raison d'une nouvelle installation de plugin

Vous pouvez également cliquer sur l'icône d' information pour voir la liste complète des fichiers qui ont été ajoutés lors de l'installation du nouveau plug-in. Le plugin signale également le nombre de fichiers associés à cette mise à jour.

Liste des fichiers ajoutés à un site Web lors d'une nouvelle installation de plug-in

Le plugin signale toutes les autres mises à jour de plugins et de thèmes de la même manière. Cela signifie que le plugin marque clairement l'installation, la mise à jour ou la suppression d'un plugin ou d'un thème, ce qui vous permet de prendre une décision éclairée quant à savoir si les modifications du fichier sont légitimes ou non.

Signaler les modifications de fichiers dues à une mise à jour du noyau de WordPress

Maintenant, mettons à jour le noyau de WordPress. Lors de la mise à jour de WordPress, nous nous attendons à des modifications de fichiers, en particulier dans le répertoire racine. Après avoir exécuté une mise à jour de WordPress, nous voyons ce qui suit dans la section Fichiers ajoutés :

Modifications du fichier de mise à jour principal de WordPress

  1. Un certain nombre de fichiers ont été ajoutés dans le dossier /wp-content/themes/twentytwenty/ . Cela signifie que la mise à jour comprenait un nouveau thème. Le plugin n'a pas signalé cela comme une installation de thème car les fichiers ont été copiés directement dans le système de fichiers via la mise à jour.
  2. Un certain nombre de nouveaux fichiers principaux de WordPress dans les dossiers wp-admin et wp-includes (marqués en vert). Vous pouvez voir la liste complète des fichiers en cliquant sur l'icône d' information .

En regardant les fichiers modifiés lors de la mise à jour, nous ne voyons que les modifications apportées aux fichiers de type Core Update. Encore une fois, comportement attendu pour une mise à jour WordPress.

Fichiers modifiés dans le noyau WordPress en raison d'une mise à jour

Le plat à emporter ici? Comportement normal. Les changements sont clairement marqués par le plugin Website File Changes Monitor, il n'y a pas de fausses alarmes. Si, d'autre part, le plugin signale une liste de modifications de fichiers sans aucune indication de la raison pour laquelle elles se sont produites, l'utilisateur sera alarmé.

Réglage fin du plugin Website File Changes Monitor

WordPress est utilisé dans une variété d'applications avec une large gamme de plugins et de modifications. Par conséquent, les solutions de plug-in de surveillance de l'intégrité des fichiers doivent également être suffisamment flexibles pour s'adapter aux modifications et aux besoins personnalisés. Par exemple, les préférences de fréquence d'analyse peuvent être différentes pour un blog personnel et un grand site de commerce électronique. En outre, vous devrez peut-être inclure ou exclure un ensemble spécifique de fichiers et de dossiers personnalisés.

Un plugin de changements de fichiers WordPress configurable mais facile à utiliser

Un bon plugin guide les utilisateurs et les aide à mieux comprendre les résultats. Par exemple, par défaut, le plugin doit exclure les fichiers non exécutables de l'analyse. Les fichiers tels que les fichiers journaux, les fichiers texte et les fichiers multimédias ne sont pas dangereux et les administrateurs n'ont pas besoin de savoir s'ils changent, car les modifications apportées à un fichier texte ne peuvent jamais être malveillantes. Il n'est donc pas nécessaire que le plugin alerte un utilisateur lorsqu'un fichier journal change car il ne fait que soulever des questions et de fausses alarmes.

C'est ce qui distingue le plugin Website File Changes Monitor des autres. Il a été développé pour tous les niveaux d'utilisateurs. Vous n'avez pas besoin de connaître les détails techniques et quels changements de fichiers sont malveillants ou non pour bénéficier de ce plugin. Tout le monde peut bénéficier de ce plugin et comprendre les résultats. De plus, le plugin est entièrement personnalisable. Tu peux:

  • configurer le calendrier et la fréquence d'analyse,
  • sélectionner les répertoires que le plugin doit analyser,
  • exclure les fichiers dans un répertoire spécifique ou par extension.

La surveillance efficace de l'intégrité des fichiers est un aspect important de la sécurité de WordPress

Une solution de sécurité WordPress efficace est une solution qui ne signale pas les faux positifs et ses rapports peuvent être facilement compris par les utilisateurs de tout niveau. C'est pourquoi le plugin Website File Changes Monitor se démarque de tous les autres plugins FIM; il est facile à utiliser et met clairement en évidence les différents types de modifications de fichiers pour aider les utilisateurs à comprendre les rapports. De plus, il ne rapporte pas de faux positifs.

Téléchargez dès maintenant le plugin Website File Changes Monitor pour être alerté des modifications de fichiers sur votre site WordPress.

La surveillance de l'intégrité des fichiers n'est qu'une pièce du puzzle de la sécurité

Comme pour beaucoup d'autres choses, un plugin à lui seul ne constitue pas tout votre kit d'outils de sécurité WordPress. La surveillance de l'intégrité des fichiers doit également être complétée par :

  • Journaux d'activité WordPress,
  • Politiques de mots de passe solides pour les utilisateurs de WordPress,
  • Authentification à deux facteurs sur WordPress,
  • Pare-feu WordPress (consultez le guide des pare-feu WordPress pour plus d'informations sur les différents types de pare-feu, etc.)
  • Enfin et surtout, une bonne solution de sauvegarde WordPress.

Si vous finissez par être compromis, notre outil d'intégrité des fichiers peut vous aider à trouver où les changements se sont produits. Cela permet à son tour une réponse, une correction et une documentation efficaces en cas d'incident.