Co to jest monitorowanie integralności plików i dlaczego potrzebujesz go na swojej stronie WordPress?
Opublikowany: 2019-05-22Czy kiedykolwiek musiałeś wyczyścić swoją witrynę WordPress przed infekcją złośliwym oprogramowaniem? Czy wiesz, jak sprawdzić, który kod został naruszony? Czy wiesz, czy Twoi programiści lub agencja pozostawili na Twojej stronie kopie zapasowe i resztki plików, które mogą Cię narazić?
W tym poście wyjaśniono, w jaki sposób monitorowanie integralności plików (FIM) pomaga odpowiedzieć na takie pytania. Zobaczymy, jak wtyczka do monitorowania integralności plików jest pomocna w lepszym zarządzaniu plikami witryny WordPress. Wykrywanie problemów na wczesnym etapie jest bardzo ważne – pozwala złagodzić i ograniczyć obrażenia ataku lub problemu.
Uwaga: Monitorowanie integralności plików to termin techniczny, który jest powszechnie znany jako skanowanie zmian plików, monitorowanie zmian plików i podobne terminy.
Co to jest monitorowanie i skanowanie integralności plików?
Skanowanie lub monitor integralności plików odnosi się do procesu, który porównuje odciski palców plików, aby dowiedzieć się, czy uległy one zmianie. Oprogramowanie do sprawdzania integralności plików działa poprzez tworzenie skrótu kryptograficznego lub odcisku palca plików w systemie. Gdy zmienia się zawartość pliku, zmienia się też jego odcisk palca. Po zauważeniu zmiany w odcisku palca skaner integralności pliku powiadamia administratora.
Dlaczego potrzebujesz kontroli integralności plików w witrynach WordPress?
Zmiany w plikach zdarzają się często w ruchliwych witrynach WordPress. Oczywiście większość z tych zmian jest pożądana. Na przykład, gdy dodajesz nowe pliki multimedialne, instalujesz lub aktualizujesz wtyczkę i celowo modyfikujesz kod motywu. Jednak inne zmiany mogą być dalekie od łagodnych lub być wykonane przez pomyłkę.
Skaner integralności plików pomaga śledzić integralność witryny WordPress. Innymi słowy, pomaga to zagwarantować, że nowa wtyczka lub motyw, który zainstalowałeś, nie zmodyfikował plików Twojej witryny.
Proaktywne i reaktywne monitorowanie i skanowanie integralności plików
Podstawowe Istnieją dwa podstawowe sposoby wykorzystania monitorowania integralności plików (FIM) i skanowania: proaktywnie i reaktywnie. Obie te metody są wyjaśnione w tym poście.
Proaktywne działania zabezpieczające
Kiedy skanowanie integralności plików jest używane proaktywnie, zapobiega występowaniu złych rzeczy. Poniżej przedstawiono kilka scenariuszy, w których proaktywne monitorowanie integralności plików wykrywa błędy i powiadamia o nich. Pozwala to naprawić problemy, zanim atakujący zidentyfikują lukę lub wystąpi problem z witryną.
- Deweloper przypadkowo kopiuje tekst lub inny typ pliku, który zawiera poufne informacje. Tego typu pliki mogą łatwo znaleźć i pobrać złośliwi hakerzy.
- Administrator bazy danych pozostawia kopię zapasową bazy danych MySQL (.sql) na stronie internetowej. Umożliwiłoby to atakującemu pobranie całej bazy danych WordPress.
- Webmaster tworzy kopię pliku wp-config.php i nadaje mu nazwę wp-config.bak. Ponieważ nie jest to już plik PHP, umożliwiłoby to osobie atakującej pobranie pliku kopii zapasowej.
- Ktoś edytuje plik PHP bezpośrednio na serwerze za pomocą edytora Vima i nie wychodzi z niego poprawnie. Pozostaje plik .swp. Atakujący może pobrać taki plik, ponieważ serwer WWW nie traktuje go jako kodu PHP.
Reaktywne działania zabezpieczające
Wiele osób kojarzy reaktywne środki bezpieczeństwa ze spóźnieniem . Jednak w rzeczywistości szybkie działania zabezpieczające mają kluczowe znaczenie dla złagodzenia ataku. Pomagają również zatrzymać uszkodzenia, zanim sytuacja się pogorszy.
Poniżej przedstawiono kilka scenariuszy, w których można użyć skanera integralności plików, aby szybko przeanalizować podejrzaną aktywność i reagować na ataki w trakcie lub po ich wystąpieniu.
Scenariusz ataku WordPress 1
Wtyczka monitora integralności plików wykrywa nowy plik PHP. Ma niejasną nazwę i jest przechowywany w katalogu /wp-content/uploads . Po sprawdzeniu administrator WordPressa nie może przypisać tego pliku do zmiany dokonanej przez siebie lub zespół. Plik zawiera zaciemniony kod, który w efekcie jest powłoką WWW . Administrator musi działać szybko.
Najpierw robi kopię akt do dalszej analizy. Następnie usuwa go, aby odciąć atakującemu dostęp do witryny WordPress. Po zbadaniu dzienników serwera WWW administrator zdaje sobie sprawę, że plik ten został przesłany przez atakującego, który wykorzystał lukę w formularzu przesyłania plików na swojej stronie. Mając wszystkie informacje pod ręką, administrator może porozmawiać z programistami, aby rozwiązać problem.
Scenariusz ataku WordPress 2
Wtyczka do monitorowania zmian plików WordPress ostrzega administratora o zmianach w głównych plikach WordPress. To nie powinno mieć miejsca, z wyjątkiem aktualizacji WordPress. Stało się to jednak zaraz po tym, jak inny administrator WordPressa zainstalował nową wtyczkę.
Po przeprowadzeniu dochodzenia webmaster dowiaduje się, że inni doświadczyli podobnego zachowania i zgłosili złośliwą wtyczkę: ma ona na celu kradzież danych uwierzytelniających WordPressa i wysyłanie ich do atakującego, gdy użytkownik się zaloguje.
Webmaster natychmiast usuwa wtyczkę Rouge i przywraca zmodyfikowane pliki. Resetuje również hasła wszystkich użytkowników WordPressa za pomocą wtyczki dla kawałka umysłu.
Scenariusz ataku WordPress 3
Wtyczka do monitorowania integralności plików powiadamia administratora o ukrytym pliku w katalogu chronionym hasłem w katalogu głównym WordPress. Katalog przechowuje statyczne pliki z poufnymi informacjami i jest chroniony silnym hasłem przy użyciu uwierzytelniania HTTP.
Po pewnym dochodzeniu webmaster zdaje sobie sprawę, że plik został przesłany przez źle skonfigurowany serwer FTP, który umożliwia anonimowy dostęp do zapisu. Administrator natychmiast naprawia konfigurację serwera FTP i wyłącza anonimowe uwierzytelnianie.
Które pliki WordPress musisz mieć na oku?
Podobnie jak w przypadku dzienników aktywności WordPres, w przypadku wtyczek do skanowania integralności plików musisz wiedzieć, czego szukać, aby były skuteczne. Śledź każdą zmianę pliku, a będziesz mieć niekończący się strumień alertów. Śledź zbyt mało, a stracisz wszystkie korzyści płynące z wtyczki monitora zmian plików.
Innym ważnym czynnikiem, o którym należy pamiętać, jest to, że nie wszystkie zmiany w plikach są wskaźnikami złośliwych lub problematycznych działań. Na przykład nie ma problemów, jeśli wtyczka do tworzenia kopii zapasowych zapisuje pliki SQL w katalogu zabronionym nieautoryzowanym użytkownikom. Poniżej znajduje się kilka wskazówek, które pozwalają odróżnić łagodne i złośliwe zmiany w katalogach WordPress.
/wp-content/uploads/ WordPress katalog
Witryny WordPress są bardzo aktywne. Tak więc monitorowanie każdego utworzonego lub zmodyfikowanego pliku prawdopodobnie spowoduje niekończący się strumień alertów. W prawie wszystkich przypadkach sensowne jest wykluczenie plików statycznych z katalogu /wp-content/uploads/ .
Pliki statyczne obejmują pliki multimedialne, takie jak obrazy, wideo i audio, a także dokumenty, takie jak prezentacje, arkusze kalkulacyjne i pliki PDF. Bezpiecznie jest zignorować takie pliki, ale nie katalog przesyłania . Naprawdę chcesz wiedzieć, czy pliki wykonywalne, takie jak pliki PHP, są przesyłane do tego katalogu.
/wp-content/cache/ katalog WordPress
Ten katalog jest trudny. Jest używany przez wtyczki buforujące WordPress. W zależności od konfiguracji wtyczki buforującej możesz zobaczyć różne pliki w podkatalogach /wp-content/cache/ , w tym legalne pliki PHP. Są one dodawane przez wtyczki buforujące, zwłaszcza jeśli włączysz buforowanie obiektów. W takim przypadku przeanalizuj zachowanie wtyczek buforujących i jakie pliki przechowują, a następnie skonfiguruj skaner integralności plików zgodnie z Twoimi ustaleniami. Jeśli nie używasz żadnych wtyczek buforujących lub twoje wtyczki nie przechowują plików PHP i innych plików kodu źródłowego, znacznie łatwiej jest monitorować ten katalog.
/wp-content/plugins i /wp-content/themes/ Katalog WordPressa
Po dodaniu, usunięciu lub aktualizacji wtyczki zobaczysz zmiany w katalogu /wp-content/plugins/ WordPress. Jeśli wprowadzisz zmiany w zespole, zauważysz zmiany w plikach w katalogu /wp-content/themes/ .
Nie oznacza to, że wszystkie zmiany zachodzące w tych katalogach są zawsze korzystne. Jednak zgodnie z ogólną zasadą zmiany plików w tych dwóch katalogach powinny następować tylko w wyniku niektórych działań administracyjnych w WordPress.
Uwaga: Nasza wtyczka Monitor zmian plików witryny dla WordPress ma unikalną funkcję. Rozpoznaje rdzeń WordPressa, wtyczki i zmiany motywów. Dlatego nie wysyła fałszywych alarmów o setkach zmian w plikach. Informuje, że zmiany w plikach są wynikiem zmian w witrynie, umożliwiając przeglądanie zmian.
Katalog główny WordPress
Katalog główny WordPressa to rzeczywista instalacja WordPressa na serwerze WWW. To ważna lokalizacja, na którą należy zwrócić uwagę. Najczęściej zmiany w plikach wprowadzone tutaj stanowią dobry sygnał do zbadania, chyba że zmiany zostały wykonane przez Ciebie.
Pliki WordPress Core
Pliki WordPress Core to rzeczywiste pliki, które składają się na aplikację internetową WordPress. Modyfikacja w plikach podstawowych powinna zawsze następować tylko w wyniku aktualizacji WordPress. Nigdy nie powinny wystąpić pod żadnym innym warunkiem.
Dlatego, chyba że ręcznie edytowałeś plik WordPress Core (unikaj tego, istnieją lepsze sposoby na dostosowanie WordPressa), powinien to być wysokiej jakości sygnał, że coś jest podejrzane.
Jak monitorować moją witrynę WordPress pod kątem zmian w plikach?
Podczas gdy skanowanie integralności plików można uzyskać za pomocą wielu narzędzi innych niż WordPress, wiele z nich zwykle wymaga sporo nauki, aby uruchomić, skonfigurować i obsługiwać.
Zamiast tego prostszym podejściem, jeśli nie lepszym z dokładniejszymi wynikami, byłoby użycie wtyczki Monitor zmian plików witryny dla WordPress. Ta wtyczka ma wyjątkową inteligentną technologię, która rozpoznaje rdzeń WordPressa, aktualizacje wtyczek i motywów, instalacje i usunięcia. Więc nie zgłasza fałszywych alarmów, wywołujących fałszywe alarmy! Więcej informacji na temat fałszywych alarmów i naszej inteligentnej technologii można znaleźć w sekcji Fałszywe alarmy w monitorowaniu integralności plików.
Wtyczka rozpoznaje zmiany struktury serwisu. Kiedy więc nastąpi zmiana, wtyczka powiadomi Cię o zmianie struktury witryny, a nie o setkach plików, które zostały dodane lub zmodyfikowane w Twojej witrynie WordPress. Automatyzuje pracę za Ciebie, nie wywołuje fałszywych alarmów i nie musisz ręcznie filtrować wyników.
Pobierz bezpłatny monitor zmian plików witryny dla WordPress już dziś, aby lepiej zarządzać i poprawiać bezpieczeństwo swoich witryn.
Co jeśli już używam wtyczki zabezpieczającej WordPress?
Jeśli już korzystasz z wtyczki zabezpieczającej WordPress, to świetnie, rób to dalej. Jednak monitorowanie integralności plików nie jest celem wtyczki bezpieczeństwa. Korzystając z wtyczki WordPress, która jest specjalnie zaprojektowana do monitorowania integralności plików z myślą o wydajności, nadal możesz czerpać wszystkie korzyści z używania ogólnych wtyczek bezpieczeństwa WordPress, z dodatkiem wszystkich cennych informacji, jakie zapewnia monitorowanie integralności plików.