Come eliminare i falsi positivi nel monitoraggio dell'integrità dei file su WordPress

Pubblicato: 2020-01-17

Il monitoraggio dell'integrità dei file (FIM) ti consente di rilevare rapidamente le modifiche ai file sul tuo sito WordPress. È una parte importante della protezione di un sito WordPress e il modo in cui funziona è molto semplice: confronta gli hash crittografici di base con l'hash corrente dei file monitorati. Quando si verifica una modifica, ricevi un avviso.

Tuttavia, c'è un grosso problema con gli approcci non sofisticati al monitoraggio dell'integrità dei file: i falsi positivi (ovvero i falsi allarmi). Non tutte le modifiche ai file su un sito Web WordPress sono dannose o un segno di un attacco. Molti sono parti di manutenzione innocue e previste. Quindi i falsi positivi portano a una serie di problemi:

  • gli amministratori potrebbero potenzialmente ignorare le modifiche dannose ai file (una situazione di cry wolf),
  • non tutti gli amministratori di siti Web WordPress possono identificare un avviso legittimo da un avviso non legittimo, portando così a falsi allarmi.

In questo articolo spiegheremo come funziona il monitoraggio dell'integrità dei file, la struttura di file e directory di WordPress e come configurare correttamente il plug-in di monitoraggio delle modifiche ai file di WordPress.

Monitoraggio dell'integrità dei file e hash dei file 101

Comprendere gli hash e i checksum dei file può aiutarti a capire come funziona FIM. In poche parole, l'hashing crittografico produce un output specifico basato su un input specifico. Le funzioni hash sono funzioni unidirezionali non reversibili. Cioè, il solo fatto di conoscere il risultato non ti consentirà di tornare indietro all'input.

Ad esempio, possiamo utilizzare un hash MD5 per verificare l'integrità del testo. Nell'esempio seguente utilizziamo un generatore di checksum MD5 per creare l'hash della frase The quick brown fox.

Generatore di hash MD5

Possiamo inserire lo stesso testo più volte e ottenere lo stesso risultato, come mostrato nello screenshot qui sotto:

Generazione di un hash MD5 per lo stesso testo

Tuttavia, aggiungi o togli un singolo carattere e l'hash che otteniamo cambia completamente, anche se è ancora lungo lo stesso numero di caratteri. Nell'esempio seguente abbiamo cambiato il testo sorgente in Le volpi marroni veloci.

Testo diverso genera hash MD5 diversi

Quindi, perché questo è importante per il monitoraggio delle modifiche ai file di WordPress? Semplice: l'output di una funzione hash viene utilizzato per determinare se un file è stato modificato. Se viene apportata anche una piccola modifica a un file, l'hash del file sarà diverso. I plug-in di monitoraggio dell'integrità dei file semplificano questi confronti.

NOTA: per saperne di più su FIM, leggi il monitoraggio dell'integrità dei file per i siti Web WordPress.

Perché si verificano falsi positivi?

Tuttavia, non è sufficiente accettare ciecamente i risultati dei nostri strumenti di monitoraggio. Dobbiamo essere in grado di interpretare ciò che significano ed escludere potenziali falsi negativi e falsi positivi. In sicurezza un falso positivo è un falso allarme, in cui i nostri strumenti rilevano qualcosa che finisce per essere un disastro. È come bruciare toast in cucina, far scattare l'allarme antincendio e svegliare tutti gli altri. Un falso negativo sarebbe l'opposto, dove c'è un'attività dannosa, ma non viene rilevata dai nostri strumenti. In generale, a causa del funzionamento del monitoraggio dell'integrità dei file, i falsi positivi sono un problema più comune.

I falsi allarmi si verificano quando i plug-in monitorano le modifiche ai file senza contesto. Non tutte le modifiche ai file sono errate. Ad esempio, se aggiorni WordPress o un plugin alcuni file cambieranno. In questo caso sono necessarie modifiche al file e non è un allarme.

Comprendere la struttura delle directory di WordPress

Quindi, come fai a sapere quali modifiche ai file dovresti preoccuparti? Inizia con la comprensione della struttura della directory di WordPress ed è probabile che si verifichino modifiche agli scenari. Le directory di file più importanti da monitorare includono:

  • /wp-content/uploads/ – I caricamenti di file statici (immagini, video, documenti, ecc.) sono comuni in questa directory e possono essere esclusi dagli avvisi. I file eseguibili, come i file PHP, sono ciò che devi cercare qui.
  • /wp-content/cache/ – Se si utilizza un plug-in di memorizzazione nella cache, il monitoraggio di questa directory diventa difficile. Questo perché i plug-in di memorizzazione nella cache possono utilizzare legittimamente file eseguibili. Se non stai utilizzando plug-in di memorizzazione nella cache, il monitoraggio di questa directory per le modifiche è più semplice.
  • /wp-content/plugins – Le modifiche in questa directory si verificano solo durante l'installazione, l'aggiornamento o la disinstallazione di un plug-in. Vale la pena notare che i plug-in dovrebbero generalmente modificare i file solo nelle proprie directory (o nella cache nel caso di un plug-in di memorizzazione nella cache o nella directory dei caricamenti nel caso in cui memorizzi alcuni dati).
  • /wp-content/themes/ – Come nella directory precedente, le modifiche qui dovrebbero verificarsi solo durante l'installazione, l'aggiornamento, la modifica o la disinstallazione di un tema.
  • Root di WordPress- In quanto tale non dovrebbero esserci modifiche in questa directory, a meno che tu non abbia una soluzione o un codice personalizzato.
  • File WordPress Core : gli aggiornamenti di WordPress sono l'unico motivo per cui questi file dovrebbero cambiare.

Con le informazioni di cui sopra, ora dovresti essere in grado di determinare se le modifiche ai file sono benigne e quando possono essere un problema. Ad esempio, se aggiorni un plug-in, è previsto che un file di plug-in venga modificato nella cartella di quel plug-in. Tuttavia, non sarebbe previsto vedere una modifica del file principale o una modifica della cartella di un altro plug-in. Allo stesso modo, non dovresti vedere modifiche a plug-in, core o altri file se non hai avviato alcun aggiornamento. Questo tipo di modifiche impreviste ai file potrebbe indicare malware o compromissione del sito Web.

L'utilizzo dello strumento giusto può fare molto per ridurre al minimo i falsi positivi senza sacrificare la sicurezza. Ad esempio, uno dei vantaggi del plug-in di monitoraggio delle modifiche ai file del sito Web per WordPress è la capacità di rilevare gli aggiornamenti di WordPress, plug-in e temi per evitare falsi positivi e allarmi fastidiosi.

Esempi reali di monitoraggio delle modifiche ai file di WordPress

Ora che comprendi come funziona il monitoraggio dell'integrità dei file e quali modifiche ai file aspettarsi, diamo un'occhiata al monitoraggio delle modifiche ai file del sito Web in azione. Per iniziare, il plug-in esegue automaticamente una scansione di base iniziale una volta attivato.

Prima conferma della scansione del monitoraggio dell'integrità dei file

Segnalazione delle modifiche ai file dovute a installazioni, aggiornamenti e disinstallazioni di plugin e temi

Se installiamo un nuovo plug-in, il plug-in Website File Changes Monitor segnala chiaramente le modifiche nel file system come installazione di un nuovo plug-in. Riporta anche il percorso in cui sono stati rilevati i nuovi file e anche il nome del plug-in. Questo aiuta coloro che non hanno familiarità con il funzionamento interno di WordPress a comprendere meglio la modifica del file segnalata, riducendo così i falsi allarmi.

Modifica del file segnalata a causa dell'installazione di un nuovo plug-in

Puoi anche fare clic sull'icona Informazioni per visualizzare l'elenco completo dei file aggiunti durante l'installazione del nuovo plug-in. Il plug-in riporta anche il numero di file associati a questo aggiornamento.

Elenco di file aggiunti a un sito Web durante l'installazione di un nuovo plug-in

Il plug-in riporta tutti gli altri plug-in e gli aggiornamenti dei temi allo stesso modo. Ciò significa che il plug-in contrassegna chiaramente l'installazione, l'aggiornamento o l'eliminazione di un plug-in o di un tema, consentendoti di prendere una decisione informata sul fatto che le modifiche al file siano legittime o meno.

Segnalazione delle modifiche ai file dovute a un aggiornamento principale di WordPress

Ora aggiorniamo il core di WordPress. Quando aggiorniamo WordPress ci aspettiamo modifiche ai file, specialmente nella directory principale. Dopo aver eseguito un aggiornamento di WordPress, vediamo quanto segue nella sezione File aggiunti:

Modifiche al file di aggiornamento principale di WordPress

  1. Un certo numero di file è stato aggiunto nella cartella /wp-content/themes/twentytwenty/ . Ciò significa che l'aggiornamento includeva un nuovo tema. Il plug-in non lo ha segnalato come installazione di un tema perché i file sono stati copiati direttamente nel file system tramite l'aggiornamento.
  2. Un certo numero di nuovi file core di WordPress nelle cartelle wp-admin e wp-includes (contrassegnate in verde). È possibile visualizzare l'elenco completo dei file facendo clic sull'icona delle informazioni .

Esaminando i file modificati durante l'aggiornamento, vediamo solo le modifiche ai file di tipo Core Update. Ancora una volta, comportamento previsto per un aggiornamento di WordPress.

File modificati nel core di WordPress a causa di un aggiornamento

L'asporto qui? Comportamento normale. Le modifiche sono chiaramente contrassegnate dal plug-in Website File Changes Monitor, non ci sono falsi allarmi. Se invece il plugin riporta un elenco di modifiche ai file senza alcuna indicazione del motivo per cui sono avvenute, l'utente si allarmerà.

Ottimizzazione del plug-in di monitoraggio delle modifiche ai file del sito Web

WordPress è utilizzato in una varietà di applicazioni con un'ampia gamma di plugin e modifiche. Di conseguenza, anche le soluzioni di plug-in per il monitoraggio dell'integrità dei file dovrebbero essere sufficientemente flessibili da soddisfare le esigenze e le modifiche personalizzate. Ad esempio, le preferenze relative alla frequenza di scansione possono essere diverse per un blog personale e un sito di e-commerce di grandi dimensioni. Inoltre, potrebbe essere necessario includere o escludere un insieme specifico di file e cartelle personalizzati.

Un plug-in per la modifica dei file di WordPress configurabile ma facile da usare

Un buon plugin guida gli utenti e li aiuta a capire meglio i risultati. Ad esempio, per impostazione predefinita, il plug-in dovrebbe escludere dalla scansione i file non eseguibili. File come file di registro, file di testo e file multimediali non sono pericolosi e gli amministratori non devono sapere se cambiano, perché le modifiche in un file di testo non possono mai essere dannose. Quindi non è necessario che il plug-in avvisi un utente quando un file di registro cambia poiché solleva solo domande e falsi allarmi.

Questo è ciò che distingue il plugin Website File Changes Monitor dal resto. È stato sviluppato per tutti i livelli di utenti. Non è necessario conoscere i tecnicismi e quali modifiche ai file sono dannose o non per beneficiare di questo plugin. Chiunque può beneficiare di questo plugin e comprenderne i risultati. Inoltre, il plugin è completamente personalizzabile. Puoi:

  • configurare la pianificazione e la frequenza della scansione,
  • seleziona le directory che il plug-in deve scansionare,
  • escludere i file in una directory specifica o per estensione.

Un monitoraggio efficace dell'integrità dei file è un aspetto importante della sicurezza di WordPress

Una soluzione di sicurezza WordPress efficace è una soluzione che non segnala falsi positivi e le sue segnalazioni possono essere facilmente comprese dagli utenti di qualsiasi livello. Questo è il motivo per cui il plug-in Website File Changes Monitor si distingue da tutti gli altri plug-in FIM; è facile da usare ed evidenzia chiaramente i diversi tipi di modifiche ai file per aiutare gli utenti a comprendere i report. Inoltre, non riporta falsi positivi.

Scarica ora il plug-in Monitoraggio modifiche file del sito Web per essere avvisato delle modifiche ai file sul tuo sito Web WordPress.

Il monitoraggio dell'integrità dei file è solo un pezzo del puzzle della sicurezza

Come per molte altre cose, un plug-in di per sé non costituisce tutto il tuo toolkit di sicurezza di WordPress. Il monitoraggio dell'integrità dei file dovrebbe inoltre essere integrato da:

  • Registri delle attività di WordPress,
  • Politiche di password complesse per gli utenti di WordPress,
  • Autenticazione a due fattori su WordPress,
  • Firewall di WordPress (fare riferimento alla guida ai firewall di WordPress per maggiori informazioni sui diversi tipi di firewall, ecc.)
  • Ultimo ma non meno importante, una buona soluzione di backup di WordPress.

Se finisci per essere compromesso, il nostro strumento per l'integrità dei file può aiutarti a trovare dove si sono verificate le modifiche. Ciò, a sua volta, consente un'efficace risposta agli incidenti, riparazione e documentazione.