O que é o monitoramento de integridade de arquivos e por que você precisa dele em seu site WordPress?
Publicados: 2019-05-22Você já teve que limpar seu site WordPress de uma infecção por malware? Você sabe como descobrir qual código foi comprometido? Você sabe se seus desenvolvedores ou agência deixaram arquivos de backup e sobras em seu site que podem deixá-lo exposto?
Esta postagem explica como o monitoramento de integridade de arquivos (FIM) ajuda a responder a essas perguntas. Veremos como um plug-in de monitoramento de integridade de arquivos é fundamental para ajudá-lo a gerenciar melhor os arquivos do seu site WordPress. Detectar problemas em um estágio inicial é muito importante – permite mitigar e limitar os danos do ataque ou do problema.
Observação: Monitoramento de integridade de arquivo é o termo técnico para o que é mais comumente conhecido como verificação de alterações de arquivo, monitor de alterações de arquivo e termos semelhantes.
O que é monitoramento e verificação de integridade de arquivos?
A verificação ou monitor de integridade do arquivo refere-se ao processo que compara as impressões digitais de um arquivo para descobrir se ele foi alterado. O software de verificação de integridade de arquivos funciona criando um hash criptográfico ou uma impressão digital dos arquivos em um sistema. Quando o conteúdo de um arquivo muda, sua impressão digital também muda. Ao perceber a alteração na impressão digital do arquivo, o scanner de integridade do arquivo notifica o administrador.
Por que você precisa de verificações de integridade de arquivos em sites WordPress?
As alterações nos arquivos acontecem com frequência em sites WordPress ocupados. Claro, a maioria dessas mudanças são desejadas. Por exemplo, quando você adiciona novos arquivos de mídia, instala ou atualiza um plug-in e modifica propositalmente o código do tema. Outras mudanças, no entanto, podem estar longe de ser benignas ou feitas por engano.
Um scanner de integridade de arquivos ajuda você a acompanhar a integridade do seu site WordPress. Em outras palavras, ajuda a garantir que o novo plugin ou tema que você instalou não modificou os arquivos do seu site.
Monitoramento e verificação de integridade de arquivos proativos e reativos
Primário, existem duas maneiras principais de usar o Monitoramento de integridade de arquivos (FIM) e a verificação: de forma proativa e reativa. Ambos os métodos são explicados neste post.
Ações de segurança proativas
Quando a verificação de integridade de arquivos é usada proativamente, ela evita que coisas ruins aconteçam. A seguir estão alguns cenários em que o monitoramento proativo de integridade de arquivos detecta e notifica sobre erros. Isso permite que você corrija os problemas antes que os invasores identifiquem a vulnerabilidade ou haja um problema com o site.
- Um desenvolvedor acidentalmente copia um texto ou outro tipo de arquivo que contém informações confidenciais. Esses tipos de arquivos podem ser facilmente encontrados e baixados por hackers maliciosos.
- Um administrador de banco de dados deixa um backup de banco de dados MySQL (.sql) no site. Isso permitiria que um invasor baixasse todo o seu banco de dados do WordPress.
- Um webmaster faz uma cópia de wp-config.php e o nomeia wp-config.bak. Como não é mais um arquivo PHP, isso permitiria que um invasor baixasse o arquivo de backup.
- Alguém edita um arquivo PHP diretamente no servidor com o editor Vim e não sai do editor corretamente. Isso deixa um arquivo .swp para trás. Um invasor pode baixar esse arquivo, pois o servidor da Web não o trata como código PHP.
Ações de segurança reativas
Muitos associam as medidas de segurança reativas ao atraso . No entanto, na realidade, ações de segurança reativas oportunas são cruciais para mitigar um ataque. Eles também ajudam a parar o dano antes que as coisas piorem.
A seguir estão alguns cenários em que um verificador de integridade de arquivos pode ser usado para pesquisar rapidamente atividades suspeitas e agir em ataques durante ou após eles ocorrerem.
Cenário de ataque do WordPress 1
Um plug-in de monitor de integridade de arquivo detecta um novo arquivo PHP. Ele tem um nome obscuro e é armazenado no diretório /wp-content/uploads . Após a inspeção, o administrador do WordPress não pode atribuir este arquivo a uma alteração feita por ele ou pela equipe. O arquivo contém código ofuscado, que resulta em um web shell . O administrador precisa agir rapidamente.
Primeiro, ele faz uma cópia do arquivo para análise posterior. Em seguida, exclui-o para cortar o acesso do invasor ao site WordPress. Depois de investigar os logs do servidor da Web, o administrador percebe que esse arquivo foi carregado por um invasor que abusou de uma vulnerabilidade em um formulário de upload de arquivo em seu site. Com todas as informações em mãos, o administrador pode falar com os desenvolvedores para corrigir o problema.
Cenário de ataque do WordPress 2
Um plug-in de monitoramento de alterações de arquivos do WordPress alerta o administrador sobre as alterações dos arquivos principais do WordPress. Isso nunca deve ocorrer, exceto durante as atualizações do WordPress. No entanto, isso aconteceu logo depois que outro administrador do WordPress instalou um novo plugin.
Depois de investigar, o webmaster descobre que outros tiveram comportamento semelhante e relataram o plugin malicioso: ele foi projetado para roubar credenciais do WordPress e enviá-las ao invasor quando um usuário fizer login.
O webmaster remove imediatamente o plugin rouge e restaura os arquivos adulterados. Ele também redefine as senhas de todos os usuários do WordPress com um plugin para ficar tranquilo.
Cenário de ataque do WordPress 3
Um plug-in de monitor de integridade de arquivo notifica o administrador de um arquivo obscuro no diretório protegido por senha na raiz do WordPress. O diretório armazena arquivos estáticos com informações confidenciais e é protegido por uma senha forte usando autenticação HTTP.
Após alguma investigação, o webmaster percebe que o arquivo foi carregado por meio de um servidor FTP mal configurado que permite acesso de gravação anônimo . O administrador corrige imediatamente a configuração do servidor FTP e desativa a autenticação anônima.
Em quais arquivos do WordPress você precisa ficar de olho?
Semelhante aos logs de atividades do WordPres, com os plug-ins de verificação de integridade de arquivos, você precisa saber o que procurar para que seja eficaz. Acompanhe cada alteração de arquivo e você terá um fluxo interminável de alertas. Acompanhe muito pouco e você perderá todos os benefícios do plug-in do monitor de alterações de arquivos.
Outro fator importante a ter em mente é que nem todas as alterações de arquivos são indicadores de atividades maliciosas ou problemáticas. Por exemplo, não há problemas se um plug-in de backup gravar arquivos SQL em um diretório proibido para usuários não autorizados. A seguir estão algumas dicas para diferenciar entre alterações benignas e maliciosas nos diretórios do WordPress.
/wp-content/uploads/ diretório WordPress
Sites WordPress tendem a ser muito ativos. Portanto, monitorar cada arquivo criado ou modificado provavelmente resultará em um fluxo interminável de alertas. Em quase todos os casos, faz sentido excluir arquivos estáticos do diretório /wp-content/uploads/ .
Os arquivos estáticos incluem arquivos de mídia, como imagens, vídeos e áudio, e também documentos como apresentações, planilhas e PDFs. É seguro ignorar esses arquivos, mas não o diretório de uploads . Você realmente quer saber se arquivos executáveis, como arquivos PHP, são carregados neste diretório.
/wp-content/cache/ diretório WordPress
Este diretório é complicado. É usado pelos plugins de cache do WordPress. Dependendo da configuração do seu plugin de cache, você pode ver uma variedade de arquivos em subdiretórios de /wp-content/cache/ , incluindo arquivos PHP legítimos. Eles são adicionados por seus plugins de cache, especialmente se você habilitar o cache de objetos. Se este for o caso, estude o comportamento ou seus plugins de cache e quais arquivos eles armazenam e configure o scanner de integridade de arquivos de acordo com suas descobertas. Se você não usa nenhum plug-in de cache ou se seus plug-ins não armazenam PHP e outros arquivos de código-fonte, é muito mais fácil monitorar esse diretório.
/wp-content/plugins e /wp-content/themes/ Diretório WordPress
Ao adicionar, excluir ou atualizar um plugin, você verá as alterações no diretório /wp-content/plugins/ WordPress. Se você fizer alterações em uma equipe, notará alterações no arquivo no diretório /wp-content/themes/ .
Isso não significa que todas as alterações que ocorrem nesses diretórios sejam sempre benignas. No entanto, como regra geral, as alterações de arquivos nesses dois diretórios devem ocorrer apenas como resultado de algumas ações administrativas com o WordPress.
Observação: nosso plug-in Monitor de alterações de arquivos do site para WordPress tem um recurso exclusivo. Ele reconhece as alterações do núcleo, plugins e temas do WordPress. Portanto, ele não envia alarmes falsos sobre centenas de alterações de arquivos. Ele avisa que as alterações no arquivo foram resultado de uma alteração no site, permitindo que você revise a alteração.
O diretório raiz do WordPress
O diretório raiz do WordPress é a instalação real do WordPress no servidor web. Este é um local importante para prestar atenção. Na maioria das vezes, as alterações de arquivo feitas aqui fornecem um bom sinal para você investigar, a menos que as alterações tenham sido feitas por você.
Arquivos principais do WordPress
Os arquivos do WordPress Core são os arquivos reais que compõem o aplicativo da web do WordPress. A modificação nos arquivos principais só deve ocorrer como resultado de uma atualização do WordPress. Eles nunca devem ocorrer sob qualquer outra condição.
Portanto, a menos que você tenha editado manualmente um arquivo WordPress Core (evite fazer isso, existem maneiras melhores de personalizar o WordPress), isso deve ser um sinal de alta qualidade de que algo suspeito está acontecendo.
Como faço para monitorar meu site WordPress para alterações de arquivos?
Embora a verificação de integridade de arquivos possa ser obtida por várias ferramentas não específicas do WordPress, muitas geralmente exigem uma curva de aprendizado para executar, configurar e operar.
Em vez disso, uma abordagem mais simples, se não melhor, com resultados mais ajustados, seria usar o plugin Website File Changes Monitor para WordPress. Este plugin possui tecnologia inteligente exclusiva que reconhece o núcleo do WordPress, atualizações de plugins e temas, instalações e exclusões. Portanto, não relata falsos positivos gerando falsos alarmes! Consulte falsos positivos no monitoramento de integridade de arquivos para obter mais informações sobre falsos positivos e nossa tecnologia inteligente.
O plug-in reconhece as alterações na estrutura do site. Portanto, quando há uma alteração, o plugin notifica você sobre a alteração da estrutura do site, e não sobre as centenas de arquivos que foram adicionados ou modificados em seu site WordPress. Ele automatiza o trabalho para você, não gera nenhum alarme falso e você não precisa filtrar manualmente os resultados.
Baixe o Free Website File Changes Monitor for WordPress hoje para gerenciar melhor e melhorar a segurança de seus sites.
E se eu já usar um plugin de segurança do WordPress?
Se você já usa um plugin de segurança do WordPress, ótimo, continue fazendo isso. No entanto, o monitoramento da integridade do arquivo não é o foco de um plug-in de segurança. Ao usar um plug-in do WordPress projetado especificamente para monitoramento de integridade de arquivos com desempenho em mente, você ainda pode colher todos os benefícios de usar plug-ins de segurança genéricos do WordPress, com a adição de todas as informações valiosas que o monitoramento de integridade de arquivos fornece.