Jak wyeliminować fałszywe alarmy w monitorowaniu integralności plików na WordPressie

Opublikowany: 2020-01-17

Monitorowanie integralności plików (FIM) umożliwia szybkie wykrywanie zmian w plikach w witrynie WordPress. Jest to ważna część zabezpieczania witryny WordPress, a sposób jej działania jest bardzo prosty: porównuje podstawowe skróty kryptograficzne z bieżącym hashem monitorowanych plików. Gdy nastąpi zmiana, otrzymasz alert.

Istnieje jednak poważny problem z nieskomplikowanymi podejściami do monitorowania integralności plików: fałszywe alarmy (inaczej fałszywe alarmy). Nie wszystkie zmiany plików w witrynie WordPress są szkodliwe lub są oznaką ataku. Wiele z nich to nieszkodliwe i oczekiwane elementy konserwacji. Tak więc fałszywe alarmy prowadzą do wielu problemów:

  • administratorzy mogą potencjalnie zignorować złośliwe zmiany w plikach (sytuacja płaczącego wilka),
  • nie wszyscy administratorzy witryn WordPress mogą zidentyfikować legalny alert z nieprawdziwego alertu, co prowadzi do fałszywych alarmów.

W tym artykule wyjaśnimy, jak działa monitorowanie integralności plików, strukturę plików i katalogów WordPress oraz jak poprawnie skonfigurować wtyczkę do monitorowania zmian plików WordPress.

Monitorowanie integralności plików i haszowanie plików 101

Zrozumienie skrótów plików i sum kontrolnych może pomóc w zrozumieniu działania FIM. Mówiąc najprościej, haszowanie kryptograficzne generuje określone dane wyjściowe na podstawie określonych danych wejściowych. Funkcje skrótu to jednokierunkowe, nieodwracalne funkcje. Oznacza to, że sama wiedza o wyniku nie pozwoli ci pracować wstecz do danych wejściowych.

Na przykład możemy użyć skrótu MD5, aby sprawdzić integralność tekstu. W poniższym przykładzie używamy generatora sum kontrolnych MD5 do utworzenia skrótu zdania Szybki brązowy lis.

Generator skrótu MD5

Możemy wprowadzić ten sam tekst wiele razy i uzyskać ten sam wynik, jak pokazano na poniższym zrzucie ekranu:

Generowanie skrótu MD5 dla tego samego tekstu

Jednak dodaj lub zabierz pojedynczy znak, a hash, który otrzymujemy, całkowicie się zmienia, choć nadal jest to ta sama liczba znaków. W poniższym przykładzie zmieniliśmy tekst źródłowy na Szybkie brązowe lisy.

Inny tekst generuje różne skróty MD5

Dlaczego więc ma to znaczenie dla monitorowania zmian plików WordPress? Proste: dane wyjściowe funkcji mieszającej są używane do określenia, czy plik się zmienił. Jeśli nawet niewielka zmiana zostanie dokonana w pliku, skrót pliku będzie inny. Wtyczki do monitorowania integralności plików ułatwiają te porównania.

UWAGA: aby dowiedzieć się więcej o FIM, przeczytaj Monitorowanie integralności plików dla witryn WordPress.

Dlaczego pojawiają się fałszywe alarmy?

Jednak nie wystarczy ślepo zaakceptować wyniki naszych narzędzi monitorujących. Musimy być w stanie zinterpretować ich znaczenie i wykluczyć potencjalne wyniki fałszywie negatywne i fałszywie pozytywne. W kwestiach bezpieczeństwa fałszywy alarm to fałszywy alarm, w którym nasze narzędzia wykrywają coś, co kończy się niewypałem. Przypomina to palenie tostów w kuchni, uruchamianie alarmu przeciwpożarowego i budzenie wszystkich innych. Fałszywy negatywny wynik byłby odwrotny, gdy istnieje złośliwa aktywność, która jednak pozostaje niewykryta przez nasze narzędzia. Ogólnie rzecz biorąc, ze względu na sposób, w jaki działa monitorowanie integralności plików, częstszym problemem są fałszywe alarmy.

Fałszywe alarmy pojawiają się, gdy wtyczki monitorują zmiany plików bez kontekstu. Nie wszystkie zmiany w plikach są złe. Na przykład, jeśli zaktualizujesz WordPress lub wtyczkę, niektóre pliki ulegną zmianie. W tym przypadku konieczne są zmiany w plikach i nie jest to alarm.

Zrozumienie struktury katalogów WordPress

Skąd więc wiesz, na jakich zmianach w plikach powinieneś się martwić? Zaczyna się od zrozumienia struktury katalogów WordPress i możliwych zmian scenariuszy. Do najważniejszych katalogów plików do monitorowania należą:

  • /wp-content/uploads/ – Przesyłanie plików statycznych (obrazów, filmów, dokumentów itp.) jest powszechne w tym katalogu i można je wykluczyć z alertów. Pliki wykonywalne, takie jak pliki PHP, są tym, czego potrzebujesz tutaj.
  • /wp-content/cache/ – Jeśli używasz wtyczki buforującej, monitorowanie tego katalogu staje się trudne. Dzieje się tak, ponieważ wtyczki buforujące mogą legalnie wykorzystywać pliki wykonywalne. Jeśli nie używasz wtyczek do buforowania, monitorowanie tego katalogu pod kątem zmian jest prostsze.
  • /wp-content/plugins — zmiany w tym katalogu zachodzą tylko podczas instalowania, aktualizowania lub odinstalowywania wtyczki. Warto zauważyć, że wtyczki powinny generalnie zmieniać pliki tylko we własnych katalogach (lub w pamięci podręcznej w przypadku wtyczki buforującej lub w katalogu uploads, jeśli przechowuje jakieś dane).
  • /wp-content/themes/ – Tak samo jak w poprzednim katalogu, tutaj zmiany powinny wystąpić tylko podczas instalowania, aktualizowania, modyfikowania lub odinstalowywania motywu.
  • WordPress root- W związku z tym nie powinno być żadnych zmian w tym katalogu, chyba że masz jakieś niestandardowe rozwiązanie lub kod.
  • Pliki WordPress Core – aktualizacje WordPress to jedyny powód, dla którego te pliki powinny się zmienić.

Dzięki powyższym informacjom powinieneś być teraz w stanie określić, czy zmiany w plikach są łagodne, a kiedy mogą stanowić problem. Na przykład, jeśli zaktualizujesz wtyczkę, można oczekiwać zmiany pliku wtyczki w folderze tej wtyczki. Jednak nie można się spodziewać zmiany podstawowego pliku lub zmiany folderu innej wtyczki. Podobnie, nie powinieneś widzieć zmian wtyczek, rdzenia lub innych plików, jeśli nie zainicjowałeś żadnych aktualizacji. Tego rodzaju nieoczekiwane zmiany plików mogą wskazywać na złośliwe oprogramowanie lub włamanie do witryny.

Korzystanie z odpowiedniego narzędzia może znacznie ograniczyć liczbę fałszywych alarmów bez poświęcania bezpieczeństwa. Na przykład jedną z zalet wtyczki Monitor zmian plików witryny dla WordPress jest możliwość wykrywania aktualizacji WordPress, wtyczek i motywów w celu uniknięcia fałszywych alarmów i uciążliwych alarmów.

Rzeczywiste przykłady monitorowania zmian w plikach WordPress

Teraz, gdy już wiesz, jak działa monitorowanie integralności plików i jakich zmian w plikach można się spodziewać, sprawdźmy, jak działa Monitor zmian plików witryny. Na początek wtyczka automatycznie wykonuje wstępne skanowanie linii bazowej po jej aktywacji.

Pierwsze potwierdzenie skanowania monitorowania integralności pliku

Zgłaszanie zmian w plikach spowodowanych instalacją, aktualizacją i odinstalowaniem wtyczek i motywów

Jeśli zainstalujemy nową wtyczkę, wtyczka Monitor zmian plików witryny wyraźnie zgłasza zmiany w systemie plików jako instalację nowej wtyczki. Zgłasza również ścieżkę, w której wykryto nowe pliki, a także nazwę wtyczki. Pomaga to osobom, które nie są zaznajomione z wewnętrznym działaniem WordPressa, lepiej zrozumieć zgłoszoną zmianę pliku, zmniejszając w ten sposób fałszywe alarmy.

Zgłoszono zmianę pliku z powodu nowej instalacji wtyczki

Możesz także kliknąć ikonę Informacje , aby zobaczyć pełną listę plików, które zostały dodane podczas instalacji nowej wtyczki. Wtyczka zgłasza również liczbę plików powiązanych z tą aktualizacją.

Lista plików dodanych do witryny podczas instalacji nowej wtyczki

Wtyczka zgłasza wszystkie inne aktualizacje wtyczek i motywów w ten sam sposób. Oznacza to, że wtyczka wyraźnie oznacza instalację, aktualizację lub usunięcie wtyczki lub motywu, umożliwiając podjęcie świadomej decyzji o tym, czy zmiany w plikach są zgodne z prawem, czy nie.

Zgłaszanie zmian w plikach z powodu aktualizacji rdzenia WordPress

Teraz zaktualizujmy rdzeń WordPressa. Podczas aktualizacji WordPressa spodziewamy się zmian w plikach, szczególnie w katalogu głównym. Po uruchomieniu aktualizacji WordPress, w sekcji Dodane pliki widzimy:

Zmiany w pliku aktualizacji rdzenia WordPress

  1. Do folderu /wp-content/themes/twentytwenty/ dodano pewną liczbę plików. Oznacza to, że aktualizacja zawierała nowy motyw. Wtyczka nie zgłosiła tego jako instalacji motywu, ponieważ pliki zostały skopiowane bezpośrednio do systemu plików za pośrednictwem aktualizacji.
  2. Szereg nowych plików core WordPress w folderach wp-admin i wp-includes (oznaczonych na zielono). Możesz zobaczyć pełną listę plików, klikając ikonę informacji .

Patrząc na zmodyfikowane pliki podczas aktualizacji, widzimy tylko zmiany w plikach typu Core Update. Ponownie oczekiwane zachowanie dla aktualizacji WordPress.

Zmodyfikowane pliki w rdzeniu WordPressa z powodu aktualizacji

Tutaj na wynos? Normalne zachowanie. Zmiany są wyraźnie zaznaczone przez wtyczkę Website File Changes Monitor, nie ma fałszywych alarmów. Z drugiej strony, jeśli wtyczka zgłosi listę zmian w plikach bez wskazania przyczyny ich wystąpienia, użytkownik zostanie zaniepokojony.

Dostrajanie wtyczki Monitor zmian plików witryny

WordPress jest używany w różnych aplikacjach z szeroką gamą wtyczek i modyfikacji. W rezultacie rozwiązania wtyczek do monitorowania integralności plików powinny być również wystarczająco elastyczne, aby dostosować się do niestandardowych zmian i potrzeb. Na przykład preferencje częstotliwości skanowania mogą być inne w przypadku osobistego bloga i dużej witryny e-commerce. Ponadto może być konieczne uwzględnienie lub wykluczenie określonego zestawu niestandardowych plików i folderów.

Konfigurowalna, ale łatwa w użyciu wtyczka do zmiany plików WordPress

Dobra wtyczka prowadzi użytkowników i pomaga im lepiej zrozumieć wyniki. Na przykład domyślnie wtyczka powinna wykluczać ze skanowania pliki niewykonywalne. Pliki takie jak pliki dziennika, pliki tekstowe i pliki multimedialne nie są niebezpieczne, a administratorzy nie muszą wiedzieć, czy się zmieniają, ponieważ zmiany w pliku tekstowym nigdy nie mogą być złośliwe. Nie ma więc potrzeby, aby wtyczka ostrzegała użytkownika o zmianie pliku dziennika, ponieważ powoduje to tylko pytania i fałszywe alarmy.

To właśnie wyróżnia wtyczkę Website File Changes Monitor na tle innych. Został opracowany dla wszystkich poziomów użytkowników. Nie musisz znać szczegółów technicznych i które zmiany plików są złośliwe lub nie korzystać z tej wtyczki. Każdy może skorzystać z tej wtyczki i zrozumieć wyniki. Co więcej, wtyczka jest w pełni konfigurowalna. Możesz:

  • skonfigurować harmonogram i częstotliwość skanowania,
  • wybierz katalogi, które wtyczka ma skanować,
  • wyklucz pliki w określonym katalogu lub według rozszerzenia.

Skuteczne monitorowanie integralności plików jest ważnym aspektem bezpieczeństwa WordPress

Skuteczne rozwiązanie zabezpieczające WordPress to rozwiązanie, które nie zgłasza fałszywych alarmów, a jego raporty mogą być łatwo zrozumiałe dla użytkowników na każdym poziomie. Właśnie dlatego wtyczka Monitor zmian plików witryny wyróżnia się na tle wszystkich innych wtyczek FIM; jest łatwy w użyciu i wyraźnie podkreśla różne typy zmian w plikach, aby pomóc użytkownikom zrozumieć raporty. Ponadto nie zgłasza fałszywych alarmów.

Pobierz teraz wtyczkę Monitor zmian plików witryny , aby otrzymywać powiadomienia o zmianach plików w witrynie WordPress.

Monitorowanie integralności plików to tylko element układanki bezpieczeństwa

Podobnie jak w przypadku wielu innych rzeczy, jedna wtyczka sama w sobie nie stanowi całego zestawu narzędzi bezpieczeństwa WordPress. Monitorowanie integralności plików należy również uzupełnić o:

  • dzienniki aktywności WordPressa,
  • Silne zasady haseł dla użytkowników WordPress,
  • Uwierzytelnianie dwuskładnikowe na WordPressie,
  • Zapora WordPress (zapoznaj się z przewodnikiem po zaporze WordPress, aby uzyskać więcej informacji na temat różnych typów zapór itp.)
  • Wreszcie dobre rozwiązanie do tworzenia kopii zapasowych WordPress.

Jeśli zostaniesz naruszony, nasze narzędzie do sprawdzania integralności plików pomoże Ci znaleźć miejsce, w którym nastąpiły zmiany. To z kolei umożliwia skuteczną reakcję na incydenty, naprawę i dokumentację.