Qu'est-ce que la surveillance de l'intégrité des fichiers et pourquoi en avez-vous besoin sur votre site Web WordPress ?
Publié: 2019-05-22Avez-vous déjà dû nettoyer votre site Web WordPress d'une infection par un logiciel malveillant ? Savez-vous comment savoir quel code a été compromis ? Savez-vous si vos développeurs ou votre agence ont laissé des sauvegardes et des fichiers restants sur votre site Web qui peuvent vous exposer ?
Cet article explique comment la surveillance de l'intégrité des fichiers (FIM) vous aide à répondre à ces questions. Nous verrons comment un plugin de surveillance de l'intégrité des fichiers est essentiel pour vous aider à mieux gérer les fichiers de votre site WordPress. Détecter les problèmes à un stade précoce est très important - cela vous permet d'atténuer et de limiter les dommages de l'attaque ou du problème.
Remarque : la surveillance de l'intégrité des fichiers est le terme technique désignant ce que l'on appelle plus communément l'analyse des modifications de fichiers, la surveillance des modifications de fichiers et des termes similaires.
Qu'est-ce que la surveillance et l'analyse de l'intégrité des fichiers ?
L'analyse ou la surveillance de l'intégrité des fichiers fait référence au processus qui compare les empreintes digitales d'un fichier pour déterminer s'il a changé. Le logiciel de vérification de l'intégrité des fichiers fonctionne en créant un hachage cryptographique ou une empreinte digitale des fichiers sur un système. Lorsque le contenu d'un fichier change, son empreinte digitale change également. Dès qu'il remarque le changement dans l'empreinte digitale du fichier, le scanner d'intégrité de fichier en informe l'administrateur.
Pourquoi avez-vous besoin de vérifications de l'intégrité des fichiers sur les sites WordPress ?
Les modifications apportées aux fichiers se produisent fréquemment sur les sites Web WordPress très fréquentés. Bien sûr, la plupart de ces changements sont souhaités. Par exemple, lorsque vous ajoutez de nouveaux fichiers multimédias, installez ou mettez à jour un plug-in et modifiez délibérément le code du thème. Cependant, d'autres changements peuvent être loin d'être bénins ou faits par erreur.
Un scanner d'intégrité de fichier vous aide à suivre l' intégrité de votre site Web WordPress. En d'autres termes, cela vous aide à garantir que le nouveau plugin ou thème que vous avez installé n'a pas modifié les fichiers de votre site.
Surveillance et analyse proactives et réactives de l'intégrité des fichiers
Principalement, il existe deux manières principales d'utiliser la surveillance de l'intégrité des fichiers (FIM) et l'analyse : de manière proactive et réactive. Ces deux méthodes sont expliquées dans cet article.
Actions de sécurité proactives
Lorsque l'analyse de l'intégrité des fichiers est utilisée de manière proactive, elle empêche les mauvaises choses de se produire. Voici quelques scénarios dans lesquels la surveillance proactive de l'intégrité des fichiers détecte et vous signale les erreurs. Cela vous permet de résoudre les problèmes avant que les attaquants n'identifient la vulnérabilité ou qu'il y ait un problème avec le site.
- Un développeur copie accidentellement un texte ou un autre type de fichier contenant des informations sensibles. Ces types de fichiers peuvent être facilement trouvés et téléchargés par des pirates malveillants.
- Un administrateur de base de données laisse une sauvegarde de base de données MySQL (.sql) sur le site Web. Cela permettrait à un attaquant de télécharger l'intégralité de votre base de données WordPress.
- Un webmaster fait une copie de wp-config.php et le nomme wp-config.bak. Comme il ne s'agit plus d'un fichier PHP, cela permettrait à un attaquant de télécharger le fichier de sauvegarde.
- Quelqu'un édite un fichier PHP directement sur le serveur avec l'éditeur Vim et ne quitte pas correctement l'éditeur. Cela laisse un fichier .swp derrière. Un attaquant peut télécharger un tel fichier car le serveur web ne le traite pas comme du code PHP.
Actions de sécurité réactives
Beaucoup associent les mesures de sécurité réactives au fait d'être trop tard . Cependant, en réalité, des actions de sécurité réactives en temps opportun sont cruciales pour atténuer une attaque. Ils aident également à arrêter les dégâts avant que les choses n'empirent.
Voici quelques scénarios dans lesquels un analyseur d'intégrité des fichiers peut être utilisé pour explorer rapidement les activités suspectes et agir sur les attaques pendant ou après qu'elles se produisent.
Scénario d'attaque WordPress 1
Un plugin de surveillance de l'intégrité des fichiers détecte un nouveau fichier PHP. Il a un nom obscur et est stocké dans le répertoire /wp-content/uploads . Après inspection, l'administrateur WordPress ne peut pas attribuer ce fichier à une modification que lui-même ou l'équipe a apportée. Le fichier contient du code obscurci, qui se transforme en un shell Web . L'administrateur doit agir rapidement.
Il fait d'abord une copie du dossier pour une analyse plus approfondie. Puis le supprime pour couper l'accès de l'attaquant au site WordPress. Après avoir examiné les journaux du serveur Web, l'administrateur se rend compte que ce fichier a été téléchargé par un attaquant qui a abusé d'une vulnérabilité dans un formulaire de téléchargement de fichier sur son site. Avec toutes les informations en main, l'administrateur peut parler aux développeurs pour résoudre le problème.
Scénario d'attaque WordPress 2
Un plug-in de surveillance des modifications de fichiers WordPress alerte l'administrateur des modifications apportées aux fichiers principaux de WordPress. Cela ne devrait jamais se produire, sauf lors des mises à jour de WordPress. Cependant, cela s'est produit juste après qu'un autre administrateur WordPress a installé un nouveau plugin.
Après enquête, le webmaster découvre que d'autres ont eu un comportement similaire et a signalé le plugin malveillant : il est conçu pour voler les informations d'identification WordPress et les envoyer à l'attaquant lorsqu'un utilisateur se connecte.
Le webmaster supprime immédiatement le plugin rouge et restaure les fichiers falsifiés. Il réinitialise également les mots de passe de tous les utilisateurs de WordPress avec un plugin pour la tranquillité d'esprit.
Scénario d'attaque WordPress 3
Un plugin de surveillance de l'intégrité des fichiers informe l'administrateur d'un fichier obscur dans un répertoire protégé par mot de passe à la racine de WordPress. Le répertoire stocke des fichiers statiques contenant des informations sensibles et est protégé par un mot de passe fort utilisant l'authentification HTTP.
Après quelques recherches, le webmaster se rend compte que le fichier a été téléchargé via un serveur FTP mal configuré qui permet un accès en écriture anonyme . L'administrateur corrige immédiatement la configuration du serveur FTP et désactive l'authentification anonyme.
Quels fichiers WordPress devez-vous surveiller ?
Un autre facteur important à garder à l'esprit est que toutes les modifications de fichiers ne sont pas des indicateurs d'activités malveillantes ou problématiques. Par exemple, il n'y a aucun problème si un plugin de sauvegarde écrit des fichiers SQL dans un répertoire interdit aux utilisateurs non autorisés. Voici quelques indications pour différencier les changements bénins et malveillants dans les répertoires WordPress.
/wp-content/uploads/ Répertoire WordPress
Les sites Web WordPress ont tendance à être très actifs. Ainsi, en surveillant chaque fichier créé ou modifié, vous obtiendrez probablement un flux infini d'alertes. Dans presque tous les cas, il est logique d'exclure les fichiers statiques du répertoire /wp-content/uploads/ .
Les fichiers statiques incluent des fichiers multimédias tels que des images, des vidéos et des fichiers audio, ainsi que des documents tels que des présentations, des feuilles de calcul et des fichiers PDF. Il est prudent d'ignorer ces fichiers, mais pas le répertoire des téléchargements . Vous voulez vraiment savoir si des fichiers exécutables tels que des fichiers PHP sont téléchargés dans ce répertoire.
/wp-content/cache/ Répertoire WordPress
Ce répertoire est délicat. Il est utilisé par les plugins de mise en cache WordPress. Selon la configuration de votre plugin de mise en cache, vous pouvez voir une variété de fichiers dans les sous-répertoires de /wp-content/cache/ , y compris des fichiers PHP légitimes. Ceux-ci sont ajoutés par vos plugins de mise en cache, surtout si vous activez la mise en cache des objets. Si tel est le cas, étudiez le comportement de vos plugins de mise en cache et les fichiers qu'ils stockent et configurez le scanner d'intégrité des fichiers en fonction de vos conclusions. Si vous n'utilisez aucun plugin de mise en cache, ou si vos plugins ne stockent pas PHP et d'autres fichiers de code source, il est alors beaucoup plus facile de surveiller ce répertoire.
/wp-content/plugins et /wp-content/themes/ Annuaire WordPress
Lorsque vous ajoutez, supprimez ou mettez à jour un plugin, vous verrez des changements dans le répertoire /wp-content/plugins/ WordPress. Si vous apportez des modifications à une équipe, vous remarquerez des modifications de fichiers dans le répertoire /wp-content/themes/ .
Cela ne signifie pas que tous les changements qui se produisent dans ces répertoires sont toujours bénins. Cependant, en règle générale, les modifications de fichiers dans ces deux répertoires ne devraient se produire qu'à la suite de certaines actions administratives avec WordPress.
Remarque : Notre plugin Website File Changes Monitor pour WordPress a une fonctionnalité unique. Il reconnaît le noyau WordPress, les plugins et les changements de thèmes. Par conséquent, il n'envoie pas de fausses alarmes sur des centaines de modifications de fichiers. Il vous avertit que les modifications apportées au fichier sont le résultat d'une modification du site, vous permettant d'examiner la modification.
Le répertoire racine de WordPress
Le répertoire racine de WordPress est l'installation réelle de WordPress sur le serveur Web. C'est un endroit important auquel il faut prêter attention. Le plus souvent, les modifications de fichiers effectuées ici vous donnent un bon signal pour enquêter, à moins que les modifications n'aient été effectuées par vous.
Fichiers de base WordPress
Les fichiers WordPress Core sont les fichiers réels qui composent l'application Web WordPress. La modification des fichiers principaux ne devrait se produire qu'à la suite d'une mise à jour de WordPress. Ils ne doivent jamais se produire dans d'autres conditions.
Par conséquent, à moins que vous n'ayez modifié manuellement un fichier WordPress Core (évitez de le faire, il existe de meilleures façons de personnaliser WordPress), cela devrait être un signal de haute qualité que quelque chose de louche se passe.
Comment surveiller mon site WordPress pour les modifications de fichiers ?
Bien que l'analyse de l'intégrité des fichiers puisse être réalisée par un certain nombre d'outils spécifiques non WordPress, beaucoup nécessitent généralement une courbe d'apprentissage assez longue pour être exécutés, configurés et exploités.
Au lieu de cela, une approche plus simple, sinon meilleure avec des résultats plus précis, consisterait à utiliser le plugin Website File Changes Monitor pour WordPress. Ce plugin possède une technologie intelligente exclusive qui reconnaît le cœur de WordPress, les mises à jour, les installations et les suppressions de plugins et de thèmes. Ainsi, il ne signale pas les faux positifs déclenchant de fausses alertes ! Reportez-vous aux faux positifs dans la surveillance de l'intégrité des fichiers pour plus d'informations sur les faux positifs et notre technologie intelligente.
Le plugin reconnaît les changements de structure du site. Ainsi, lorsqu'il y a un changement, le plugin vous informe du changement de structure du site, et non des centaines de fichiers qui ont été ajoutés ou modifiés sur votre site WordPress. Il automatise le travail pour vous, ne déclenche aucune fausse alarme et vous n'avez pas à filtrer manuellement les résultats.
Téléchargez dès aujourd'hui le moniteur gratuit de modifications de fichiers de site Web pour WordPress pour mieux gérer et améliorer la sécurité de vos sites.
Et si j'utilise déjà un plugin de sécurité WordPress ?
Si vous utilisez déjà un plugin de sécurité WordPress, c'est très bien, continuez à le faire. Cependant, la surveillance de l'intégrité des fichiers n'est pas l'objectif d'un plugin de sécurité. En utilisant un plugin WordPress spécialement conçu pour la surveillance de l'intégrité des fichiers en tenant compte des performances, vous pouvez toujours profiter de tous les avantages de l'utilisation de plugins de sécurité WordPress génériques, avec en plus toutes les précieuses informations que la surveillance de l'intégrité des fichiers vous fournit.