Che cos'è il monitoraggio dell'integrità dei file e perché ne hai bisogno sul tuo sito Web WordPress?
Pubblicato: 2019-05-22Hai mai dovuto pulire il tuo sito Web WordPress da un'infezione da malware? Sai come scoprire quale codice è stato compromesso? Sai se i tuoi sviluppatori o la tua agenzia hanno lasciato file di backup e residui sul tuo sito Web che possono lasciarti esposto?
Questo post spiega come il monitoraggio dell'integrità dei file (FIM) ti aiuta a rispondere a tali domande. Vedremo come un plug-in per il monitoraggio dell'integrità dei file è determinante per aiutarti a gestire meglio i file del tuo sito WordPress. Il rilevamento dei problemi in una fase iniziale è molto importante: consente di mitigare e limitare i danni dell'attacco o del problema.
Nota: il monitoraggio dell'integrità dei file è il termine tecnico per ciò che è più comunemente noto come scansione delle modifiche ai file, monitoraggio delle modifiche ai file e termini simili.
Che cos'è il monitoraggio e la scansione dell'integrità dei file?
La scansione o il monitoraggio dell'integrità dei file si riferisce al processo che confronta le impronte digitali di un file per capire se è cambiato. Il software di controllo dell'integrità dei file funziona creando un hash crittografico o un'impronta digitale dei file su un sistema. Quando il contenuto di un file cambia, cambia anche la sua impronta digitale. Dopo aver notato la modifica nell'impronta digitale del file, lo scanner per l'integrità del file informa l'amministratore.
Perché hai bisogno di controlli di integrità dei file sui siti WordPress?
Le modifiche ai file avvengono frequentemente su siti Web WordPress molto affollati. Naturalmente, la maggior parte di questi cambiamenti sono desiderati. Ad esempio, quando aggiungi nuovi file multimediali, installi o aggiorni un plug-in e modifichi di proposito il codice del tema. Altre modifiche, tuttavia, possono essere tutt'altro che benigne o apportate per errore.
Uno scanner di integrità dei file ti aiuta a tenere traccia dell'integrità del tuo sito Web WordPress. In altre parole, ti aiuta a garantire che il nuovo plugin o tema che hai installato non abbia modificato i file del tuo sito.
Monitoraggio e scansione dell'integrità dei file proattivi e reattivi
Principalmente ci sono due modi principali in cui vengono utilizzati il monitoraggio dell'integrità dei file (FIM) e la scansione: in modo proattivo e reattivo. Entrambi questi metodi sono spiegati in questo post.
Azioni di sicurezza proattive
Quando la scansione dell'integrità dei file viene utilizzata in modo proattivo, impedisce che accadano cose brutte. Di seguito sono riportati alcuni scenari in cui il monitoraggio proattivo dell'integrità dei file rileva e notifica gli errori. Ciò ti consente di risolvere i problemi prima che gli aggressori identifichino la vulnerabilità o si sia verificato un problema con il sito.
- Uno sviluppatore copia accidentalmente un testo o un altro tipo di file che contiene informazioni riservate. Questo tipo di file può essere facilmente trovato e scaricato da hacker malintenzionati.
- Un amministratore di database lascia un backup del database MySQL (.sql) sul sito Web. Ciò consentirebbe a un utente malintenzionato di scaricare l'intero database di WordPress.
- Un webmaster fa una copia di wp-config.php e lo nomina wp-config.bak. Poiché non è più un file PHP, ciò consentirebbe a un utente malintenzionato di scaricare il file di backup.
- Qualcuno modifica un file PHP direttamente sul server con l'editor Vim e non esce correttamente dall'editor. Questo lascia un file .swp dietro. Un utente malintenzionato può scaricare tale file poiché il server Web non lo tratta come codice PHP.
Azioni di sicurezza reattive
Molti associano misure di sicurezza reattive all'essere troppo tardi . Tuttavia, in realtà, azioni di sicurezza reattive tempestive sono fondamentali per mitigare un attacco. Aiutano anche a fermare il danno prima che le cose peggiorino.
Di seguito sono riportati alcuni scenari in cui uno scanner dell'integrità dei file può essere utilizzato per analizzare rapidamente le attività sospette e agire in caso di attacchi durante o dopo che si sono verificati.
Scenario di attacco WordPress 1
Un plug-in di monitoraggio dell'integrità dei file rileva un nuovo file PHP. Ha un nome oscuro ed è memorizzato nella directory /wp-content/uploads . Dopo l'ispezione, l'amministratore di WordPress non può attribuire questo file a una modifica apportata da lui o dal team. Il file contiene codice offuscato, che risulta essere una web shell . L'amministratore deve agire rapidamente.
Per prima cosa fa una copia del file per ulteriori analisi. Quindi lo elimina per bloccare l'accesso dell'attaccante al sito WordPress. Dopo aver esaminato i registri del server Web, l'amministratore si rende conto che questo file è stato caricato da un utente malintenzionato che ha abusato di una vulnerabilità in un modulo di caricamento file sul proprio sito. Con tutte le informazioni in mano, l'amministratore può parlare con gli sviluppatori per risolvere il problema.
Scenario di attacco WordPress 2
Un plug-in di monitoraggio delle modifiche ai file di WordPress avvisa l'amministratore delle modifiche ai file core di WordPress. Questo non dovrebbe mai verificarsi se non durante gli aggiornamenti di WordPress. Tuttavia questo è successo subito dopo che un altro amministratore di WordPress ha installato un nuovo plugin.
Dopo aver indagato, il webmaster scopre che altri hanno avuto comportamenti simili e hanno segnalato il plugin dannoso: è progettato per rubare le credenziali di WordPress e inviarle all'attaccante quando un utente effettua il login.
Il webmaster rimuove immediatamente il plugin rouge e ripristina i file manomessi. Reimposta anche le password di tutti gli utenti di WordPress con un plug-in per la tranquillità.
Scenario di attacco WordPress 3
Un plug-in di monitoraggio dell'integrità dei file notifica all'amministratore un file oscuro nella directory protetta da password nella radice di WordPress. La directory memorizza file statici con informazioni riservate ed è protetta con una password complessa tramite l'autenticazione HTTP.
Dopo alcune indagini, il webmaster si rende conto che il file è stato caricato tramite un server FTP configurato in modo errato che consente l'accesso in scrittura anonima . L'amministratore corregge immediatamente la configurazione del server FTP e disabilita l'autenticazione anonima.
Quali file WordPress devi tenere d'occhio?
Un altro fattore importante da tenere a mente è che non tutte le modifiche ai file sono indicatori di attività dannose o problematiche. Ad esempio non ci sono problemi se un plug-in di backup scrive file SQL in una directory vietata agli utenti non autorizzati. Di seguito sono riportati alcuni suggerimenti per distinguere tra modifiche benigne e dannose nelle directory di WordPress.
/wp-content/uploads/ Directory di WordPress
I siti Web WordPress tendono ad essere molto attivi. Quindi, il monitoraggio di ogni singolo file creato o modificato si tradurrà probabilmente in un flusso infinito di avvisi. In quasi tutti i casi, ha senso escludere i file statici dalla directory /wp-content/uploads/ .
I file statici includono file multimediali come immagini, video e audio e anche documenti come presentazioni, fogli di calcolo e PDF. È sicuro ignorare tali file, ma non la directory dei caricamenti . Vuoi davvero sapere se i file eseguibili come i file PHP vengono caricati in questa directory.
/wp-content/cache/ Directory di WordPress
Questa directory è complicata. Viene utilizzato dai plugin di memorizzazione nella cache di WordPress. A seconda della configurazione del tuo plug-in di memorizzazione nella cache, potresti vedere una varietà di file nelle sottodirectory di /wp-content/cache/ , inclusi file PHP legittimi. Questi vengono aggiunti dai plug-in di memorizzazione nella cache, specialmente se abiliti la memorizzazione nella cache degli oggetti. In questo caso, studia il comportamento o i plug-in di memorizzazione nella cache e quali file archiviano e configura lo scanner di integrità dei file in base ai risultati. Se non utilizzi alcun plug-in di memorizzazione nella cache, o se i tuoi plug-in non memorizzano PHP e altri file di codice sorgente, è molto più semplice monitorare questa directory.
/wp-content/plugin e /wp-content/themes/ Directory di WordPress
Quando aggiungi, elimini o aggiorni un plugin vedrai le modifiche nella directory /wp-content/plugins/ WordPress. Se apporti modifiche a un team, noterai modifiche ai file nella directory /wp-content/themes/ .
Ciò non significa che tutte le modifiche che si verificano in queste directory siano sempre benigne. Tuttavia, come regola generale, le modifiche ai file all'interno di queste due directory dovrebbero verificarsi solo come risultato di alcune azioni amministrative con WordPress.
Nota: il nostro plug-in per il monitoraggio delle modifiche ai file del sito Web per WordPress ha una caratteristica unica. Riconosce il core di WordPress, i plugin e le modifiche ai temi. Pertanto non invia falsi allarmi su centinaia di modifiche ai file. Ti avvisa che le modifiche ai file sono state il risultato di una modifica nel sito, consentendoti di rivedere la modifica.
La directory principale di WordPress
La directory principale di WordPress è l'effettiva installazione di WordPress sul server web. Questo è un luogo importante a cui prestare attenzione. Il più delle volte, le modifiche ai file eseguite qui forniscono un buon segnale per indagare, a meno che le modifiche non siano state apportate da te.
File di base di WordPress
I file core di WordPress sono i file effettivi che compongono l'applicazione Web di WordPress. La modifica nei file core dovrebbe avvenire solo come risultato di un aggiornamento di WordPress. Non dovrebbero mai verificarsi in nessun'altra condizione.
Pertanto, a meno che tu non abbia modificato manualmente un file Core di WordPress (evita di farlo, ci sono modi migliori per personalizzare WordPress), questo dovrebbe essere un segnale di alta qualità che sta succedendo qualcosa di sospetto.
Come faccio a monitorare il mio sito WordPress per le modifiche ai file?
Sebbene la scansione dell'integrità dei file possa essere ottenuta con una serie di strumenti non specifici di WordPress, molti di solito richiedono una certa curva di apprendimento per essere eseguiti, configurati e operativi.
Invece, un approccio più semplice, se non migliore con risultati più precisi, sarebbe quello di utilizzare il plug-in Website File Changes Monitor per WordPress. Questo plugin ha una tecnologia intelligente esclusiva che riconosce il core di WordPress, gli aggiornamenti, le installazioni e le eliminazioni di plugin e temi. Quindi non segnala falsi positivi generando falsi allarmi! Fare riferimento ai falsi positivi nel monitoraggio dell'integrità dei file per ulteriori informazioni sui falsi positivi e sulla nostra tecnologia intelligente.
Il plugin riconosce le modifiche alla struttura del sito. Quindi, quando c'è una modifica, il plug-in ti avvisa della modifica della struttura del sito e non delle centinaia di file che sono stati aggiunti o modificati sul tuo sito WordPress. Automatizza il lavoro per te, non genera falsi allarmi e non devi filtrare manualmente i risultati.
Scarica oggi il monitoraggio gratuito delle modifiche ai file dei siti Web per WordPress per gestire e migliorare la sicurezza dei tuoi siti.
Cosa succede se utilizzo già un plug-in di sicurezza di WordPress?
Se utilizzi già un plug-in di sicurezza di WordPress, è fantastico, continua a farlo. Tuttavia, il monitoraggio dell'integrità dei file non è l'obiettivo di un plug-in di sicurezza. Utilizzando un plug-in WordPress progettato specificamente per il monitoraggio dell'integrità dei file tenendo conto delle prestazioni, puoi comunque sfruttare tutti i vantaggi dell'utilizzo di plug-in di sicurezza WordPress generici, con l'aggiunta di tutte le preziose informazioni fornite dal monitoraggio dell'integrità dei file.