WordPress의 파일 무결성 모니터링에서 가양성을 제거하는 방법
게시 됨: 2020-01-17FIM(파일 무결성 모니터링)을 사용하면 WordPress 사이트에서 파일 변경 사항을 빠르게 감지할 수 있습니다. 이것은 WordPress 사이트를 보호하는 데 중요한 부분이며 작동 방식은 매우 간단합니다. 기준 암호화 해시를 모니터링되는 파일의 현재 해시와 비교합니다. 변경 사항이 발생하면 알림을 받습니다.
그러나 파일 무결성 모니터링에 대한 정교하지 않은 접근 방식에는 큰 문제가 있습니다. 즉, 오탐지(오탐지라고도 함)입니다. WordPress 웹 사이트의 모든 파일 변경 사항이 유해하거나 공격의 징후는 아닙니다. 많은 부분이 무해하고 예상되는 유지 관리 부분입니다. 따라서 오탐은 다음과 같은 여러 문제를 야기합니다.
- 관리자는 잠재적으로 악의적인 파일 변경 사항을 무시할 수 있습니다(Cry Wolf 상황).
- 모든 WordPress 웹 사이트 관리자가 합법적이지 않은 경고와 합법적이지 않은 경고를 식별할 수 있는 것은 아니므로 잘못된 경보가 발생합니다.
이 기사에서는 파일 무결성 모니터링이 작동하는 방식, WordPress의 파일 및 디렉토리 구조, WordPress 파일 변경 모니터링 플러그인을 올바르게 구성하는 방법에 대해 설명합니다.
파일 무결성 모니터링 및 파일 해싱 101
파일 해시와 체크섬을 이해하면 FIM이 작동하는 방식을 이해하는 데 도움이 됩니다. 간단히 말해서 암호화 해싱은 특정 입력을 기반으로 특정 출력을 생성합니다. 해시 함수는 단방향 비가역 함수입니다. 즉, 결과를 아는 것만으로는 입력으로 거꾸로 작업할 수 없습니다.
예를 들어 MD5 해시를 사용하여 텍스트의 무결성을 확인할 수 있습니다. 아래 예에서 MD5 체크섬 생성기를 사용하여 The quick brown fox라는 문장의 해시를 생성합니다.
아래 스크린샷과 같이 동일한 텍스트를 여러 번 입력하고 동일한 결과를 얻을 수 있습니다.
그러나 단일 문자를 추가하거나 제거하면 여전히 동일한 문자 수이지만 해시가 완전히 변경됩니다. 아래 예에서 소스 텍스트를 빠른 갈색 여우로 변경했습니다.
그렇다면 이것이 WordPress 파일 변경 모니터링에 중요한 이유는 무엇입니까? 단순: 해시 함수의 출력은 파일이 변경되었는지 확인하는 데 사용됩니다. 파일에 약간의 변경만 가해도 파일 해시가 달라집니다. 파일 무결성 모니터링 플러그인은 이러한 비교를 간단하게 만듭니다.
참고: FIM에 대해 자세히 알아보려면 WordPress 웹 사이트에 대한 파일 무결성 모니터링을 읽으십시오.
오탐지가 발생하는 이유는 무엇입니까?
그러나 우리의 모니터링 도구의 결과를 맹목적으로 받아들이는 것만으로는 충분하지 않습니다. 우리는 그들이 의미하는 바를 해석할 수 있어야 하고 잠재적인 거짓 부정과 거짓 긍정을 배제할 수 있어야 합니다. 보안에서 가양성은 잘못된 경보로, 우리 도구가 결국 잘못된 것으로 끝나는 것을 감지합니다. 이것은 부엌에서 토스트를 태우고, 화재 경보기를 울리고, 다른 모든 사람들을 깨우는 것과 비슷합니다. 위음성은 악의적인 활동이 있지만 우리 도구에서 감지되지 않는 반대입니다. 일반적으로 말해서 파일 무결성 모니터링이 작동하는 방식 때문에 가양성이 더 일반적인 문제입니다.
플러그인이 컨텍스트 없이 파일 변경 사항을 모니터링할 때 잘못된 경보가 발생합니다. 모든 파일 변경 사항이 나쁜 것은 아닙니다. 예를 들어 WordPress 또는 플러그인을 업데이트하면 일부 파일이 변경됩니다. 이 경우 파일 변경이 필요하며 이는 알람이 아닙니다.
워드프레스 디렉토리 구조 이해하기
그렇다면 어떤 파일 변경 사항에 주의해야 하는지 어떻게 알 수 있습니까? WordPress 디렉토리 구조를 이해하는 것으로 시작하고 시나리오 변경이 발생할 수 있습니다. 모니터링할 가장 중요한 파일 디렉토리는 다음과 같습니다.
- /wp-content/uploads/ – 정적 파일(이미지, 비디오, 문서 등) 업로드는 이 디렉토리에서 일반적이며 경고에서 제외해도 좋습니다. PHP 파일과 같은 실행 파일은 여기에서 주의해야 하는 파일입니다.
- /wp-content/cache/ – 캐싱 플러그인을 사용하는 경우 이 디렉토리를 모니터링하기가 어렵습니다. 캐싱 플러그인이 실행 파일을 합법적으로 사용할 수 있기 때문입니다. 캐싱 플러그인을 사용하지 않는 경우 이 디렉토리에서 변경 사항을 모니터링하는 것이 더 간단합니다.
- /wp-content/plugins – 이 디렉토리의 변경 사항은 플러그인을 설치, 업데이트 또는 제거할 때만 발생합니다. 플러그인은 일반적으로 자체 디렉토리(캐싱 플러그인의 경우 캐시에서, 또는 일부 데이터를 저장하는 경우 업로드 디렉토리)에서만 파일을 변경해야 한다는 점에 주목할 가치가 있습니다.
- /wp-content/themes/ – 이전 디렉토리와 마찬가지로 여기에서 변경은 테마를 설치, 업데이트, 수정 또는 제거할 때만 발생해야 합니다.
- WordPress 루트 - 사용자 정의 솔루션이나 코드가 없는 한 이 디렉토리에 변경 사항이 없어야 합니다.
- WordPress 핵심 파일 – WordPress 업데이트는 이러한 파일이 변경되어야 하는 유일한 이유입니다.
위의 정보를 통해 이제 파일 변경 사항이 문제가 되지 않는지 여부를 결정할 수 있습니다. 예를 들어 플러그인을 업데이트하면 해당 플러그인의 폴더에서 플러그인 파일이 변경되는 것을 볼 수 있습니다. 그러나 코어 파일이 변경되거나 다른 플러그인의 폴더가 변경되는 것은 예상할 수 없습니다. 마찬가지로 업데이트를 시작하지 않은 경우 플러그인, 코어 또는 기타 파일 변경 사항이 표시되지 않아야 합니다. 이러한 종류의 예기치 않은 파일 변경은 맬웨어 또는 웹 사이트 손상을 나타낼 수 있습니다.
올바른 도구를 사용하면 보안을 희생하지 않고도 오탐을 최소화할 수 있습니다. 예를 들어 WordPress용 웹 사이트 파일 변경 모니터 플러그인의 이점 중 하나는 오탐지 및 성가신 경보를 피하기 위해 WordPress, 플러그인 및 테마 업데이트를 감지하는 기능입니다.
WordPress 파일 변경 모니터링의 실제 예
이제 파일 무결성 모니터링이 작동하는 방식과 예상되는 파일 변경 사항을 이해했으므로 웹 사이트 파일 변경 사항 모니터가 작동하는지 확인해 보겠습니다. 시작하려면 플러그인을 활성화하면 플러그인이 자동으로 초기 기준 스캔을 수행합니다.
플러그인 및 테마 설치, 업데이트 및 제거로 인한 파일 변경 보고
새 플러그인을 설치하면 웹사이트 파일 변경 모니터 플러그인은 파일 시스템의 변경 사항을 새 플러그인 설치로 명확하게 보고합니다. 또한 새 파일이 감지된 경로와 플러그인 이름도 보고합니다. 이것은 WordPress의 내부 작동에 익숙하지 않은 사람들이 보고된 파일 변경 사항을 더 잘 이해하여 잘못된 경보를 줄이는 데 도움이 됩니다.
정보 아이콘을 클릭하여 새 플러그인 설치 중에 추가된 전체 파일 목록을 볼 수도 있습니다. 플러그인은 또한 이 업데이트와 관련된 파일 수를 보고합니다.
플러그인은 동일한 방식으로 다른 모든 플러그인 및 테마 업데이트를 보고합니다. 이는 플러그인이 플러그인 또는 테마 설치, 업데이트 또는 삭제를 명확하게 표시하여 파일 변경 사항이 합법적인지 여부에 대해 정보에 입각한 결정을 내릴 수 있음을 의미합니다.
WordPress 핵심 업데이트로 인한 파일 변경 보고
이제 WordPress 코어를 업데이트하겠습니다. WordPress를 업데이트할 때 특히 루트 디렉토리에서 파일 변경이 예상됩니다. WordPress 업데이트를 실행한 후 추가된 파일 섹션에 다음이 표시됩니다.
- /wp-content/themes/twentytwenty/ 폴더에 여러 파일이 추가되었습니다. 이는 업데이트에 새 테마가 포함되었음을 의미합니다. 파일이 업데이트를 통해 파일 시스템에 직접 복사되었기 때문에 플러그인은 이것을 테마 설치로 보고하지 않았습니다.
- wp-admin 및 wp-includes 폴더(녹색으로 표시)에 있는 여러 개의 새로운 WordPress 코어 파일. 정보 아이콘을 클릭하면 전체 파일 목록을 볼 수 있습니다.
업데이트 중 수정된 파일을 보면 Core Update 유형 파일에 대한 변경 사항만 표시됩니다. 다시 말하지만 WordPress 업데이트에 대한 예상 동작입니다.
여기 테이크아웃? 정상적인 행동입니다. 변경 사항은 웹 사이트 파일 변경 사항 모니터 플러그인에 의해 명확하게 표시되며 잘못된 경보가 없습니다. 반면에 플러그인이 발생한 이유에 대한 표시 없이 파일 변경 목록을 보고하는 경우 사용자는 경고를 받게 됩니다.
웹사이트 파일 변경 모니터 플러그인 미세 조정
WordPress는 광범위한 플러그인 및 수정으로 다양한 응용 프로그램에서 사용됩니다. 결과적으로 파일 무결성 모니터링 플러그인 솔루션은 사용자 지정 변경 사항과 요구 사항을 수용할 수 있을 만큼 충분히 유연해야 합니다. 예를 들어 스캔 빈도 기본 설정은 개인 블로그와 대규모 전자 상거래 사이트에서 다를 수 있습니다. 또한 특정 사용자 지정 파일 및 폴더 집합을 포함하거나 제외해야 할 수도 있습니다.
구성 가능하지만 사용하기 쉬운 WordPress 파일 변경 플러그인
좋은 플러그인은 사용자를 안내하고 결과를 더 잘 이해할 수 있도록 도와줍니다. 예를 들어 기본적으로 플러그인은 스캔에서 실행 불가능한 파일을 제외해야 합니다. 로그 파일, 텍스트 파일 및 미디어 파일과 같은 파일은 위험하지 않으며 관리자는 텍스트 파일의 변경이 악의적일 수 없기 때문에 변경 여부를 알 필요가 없습니다. 따라서 로그 파일이 변경될 때 질문과 잘못된 경보만 발생시키기 때문에 플러그인이 사용자에게 경고할 필요가 없습니다.
이것이 웹사이트 파일 변경 모니터 플러그인이 나머지 플러그인과 차별화되는 이유입니다. 모든 수준의 사용자를 위해 개발되었습니다. 이 플러그인의 이점을 얻기 위해 기술과 어떤 파일 변경이 악의적인지 알 필요가 없습니다. 누구나 이 플러그인의 혜택을 받고 결과를 이해할 수 있습니다. 또한 플러그인은 완전히 사용자 정의할 수 있습니다. 다음을 수행할 수 있습니다.
- 스캔 일정과 빈도를 구성하고,
- 플러그인이 스캔해야 하는 디렉토리를 선택하고,
- 특정 디렉토리 또는 확장자로 파일을 제외합니다.
효과적인 파일 무결성 모니터링은 WordPress 보안의 중요한 측면입니다.
효과적인 워드프레스 보안 솔루션은 가양성을 보고하지 않는 솔루션이며 보고서의 보고서는 모든 수준의 사용자가 쉽게 이해할 수 있습니다. 이것이 웹사이트 파일 변경 모니터 플러그인이 다른 모든 FIM 플러그인과 차별화되는 이유입니다. 사용하기 쉽고 사용자가 보고서를 이해하는 데 도움이 되도록 다양한 유형의 파일 변경 사항을 명확하게 강조 표시합니다. 게다가 거짓 긍정을 보고하지 않습니다.
지금 웹사이트 파일 변경 모니터 플러그인을 다운로드 하여 WordPress 웹사이트의 파일 변경에 대한 알림을 받으세요.
파일 무결성 모니터링은 보안 퍼즐의 일부일 뿐입니다.
다른 많은 것들과 마찬가지로 플러그인 하나만으로는 WordPress 보안 툴킷 전체를 구성하지 않습니다. 파일 무결성 모니터링은 다음으로 보완되어야 합니다.
- 워드프레스 활동 로그,
- WordPress 사용자를 위한 강력한 암호 정책,
- WordPress의 이중 인증,
- WordPress 방화벽(다양한 유형의 방화벽 등에 대한 자세한 내용은 WordPress 방화벽 가이드 참조)
- 마지막으로 좋은 WordPress 백업 솔루션입니다.
결국 보안 침해를 당하는 경우 당사의 파일 무결성 도구가 변경 사항이 발생한 위치를 찾는 데 도움이 될 수 있습니다. 이는 결과적으로 효과적인 사고 대응, 수정 및 문서화를 가능하게 합니다.