Как исключить ложные срабатывания при мониторинге целостности файлов на WordPress

Опубликовано: 2020-01-17

Мониторинг целостности файлов (FIM) позволяет быстро обнаруживать изменения файлов на вашем сайте WordPress. Это важная часть защиты сайта WordPress, и принцип его работы очень прост: он сравнивает базовые криптографические хэши с текущим хэшем отслеживаемых файлов. Когда происходит изменение, вы получаете предупреждение.

Однако есть серьезная проблема с несложными подходами к мониторингу целостности файлов: ложные срабатывания (также известные как ложные тревоги). Не все изменения файлов на веб-сайте WordPress опасны или являются признаком атаки. Многие из них безвредны и являются ожидаемыми частями технического обслуживания. Итак, ложные срабатывания приводят к ряду проблем:

  • администраторы потенциально могут игнорировать вредоносные изменения файлов (ситуация крика волка),
  • не все администраторы веб-сайтов WordPress могут отличить законное предупреждение от нелегального, что приводит к ложным тревогам.

В этой статье мы объясним, как работает мониторинг целостности файлов, структуру файлов и каталогов WordPress и как правильно настроить плагин мониторинга изменений файлов WordPress.

Мониторинг целостности файлов и хеширование файлов 101

Понимание хэшей файлов и контрольных сумм может помочь вам понять, как работает FIM. Проще говоря, криптографическое хеширование дает определенный результат на основе определенного ввода. Хеш-функции — это односторонние необратимые функции. То есть простое знание результата не позволит вам вернуться к входным данным.

Например, мы можем использовать хэш MD5 для проверки целостности текста. В приведенном ниже примере мы используем генератор контрольной суммы MD5 для создания хэша предложения The quick brown fox.

Генератор хэшей MD5

Мы можем ввести один и тот же текст несколько раз и получить один и тот же результат, как показано на скриншоте ниже:

Генерация хэша MD5 для того же текста

Однако, добавьте или уберите один символ, и хэш, который мы получим, полностью изменится, хотя он останется прежним. В приведенном ниже примере мы изменили исходный текст на «Быстрые коричневые лисы».

Разный текст генерирует разные хэши MD5

Итак, почему это важно для мониторинга изменений файлов WordPress? Просто: выходные данные хеш-функции используются для определения того, изменился ли файл. Если в файл будет внесено даже небольшое изменение, хэш файла будет другим. Плагины мониторинга целостности файлов упрощают эти сравнения.

ПРИМЕЧАНИЕ: чтобы узнать больше о FIM, прочитайте статью о мониторинге целостности файлов для веб-сайтов WordPress.

Почему возникают ложные срабатывания?

Однако недостаточно слепо принимать результаты наших инструментов мониторинга. Мы должны уметь интерпретировать их значение и исключать возможные ложноотрицательные и ложноположительные результаты. В сфере безопасности ложное срабатывание — это ложная тревога, когда наши инструменты обнаруживают что-то, что в конечном итоге оказывается фальшивкой. Это все равно, что поджечь тост на кухне, включить пожарную сигнализацию и разбудить всех остальных. Ложный отрицательный результат будет противоположным, когда есть вредоносная активность, но она остается незамеченной нашими инструментами. Вообще говоря, из-за того, как работает мониторинг целостности файлов, ложные срабатывания являются более распространенной проблемой.

Ложные тревоги возникают, когда плагины отслеживают изменения файлов без контекста. Не все изменения файлов являются плохими. Например, если вы обновите WordPress или плагин, некоторые файлы изменятся. В этом случае необходимы изменения файлов, и это не является тревогой.

Понимание структуры каталогов WordPress

Так как же узнать, какие изменения файлов вам следует учитывать? Это начинается с понимания структуры каталогов WordPress и возможных изменений сценариев. Наиболее важные каталоги файлов для мониторинга включают в себя:

  • /wp-content/uploads/ — загрузка статических файлов (изображений, видео, документов и т. д.) в этот каталог является обычным явлением и может быть исключена из предупреждений. Исполняемые файлы, такие как файлы PHP, — это то, на что вам нужно обращать внимание.
  • /wp-content/cache/ — если вы используете плагин кеширования, мониторинг этого каталога становится затруднительным. Это связано с тем, что плагины кэширования могут законно использовать исполняемые файлы. Если вы не используете плагины кэширования, отслеживать изменения в этом каталоге будет проще.
  • /wp-content/plugins — изменения в этом каталоге происходят только при установке, обновлении или удалении плагина. Стоит отметить, что плагины обычно должны изменять файлы только в своих собственных каталогах (или в кеше в случае кеширующего плагина или в каталоге загрузки, если он хранит какие-то данные).
  • /wp-content/themes/ — так же, как и в предыдущем каталоге, изменения здесь должны происходить только при установке, обновлении, изменении или удалении темы.
  • Корень WordPress. Таким образом, в этом каталоге не должно быть никаких изменений, если только у вас нет специального решения или кода.
  • Файлы ядра WordPress — обновления WordPress — единственная причина, по которой эти файлы должны изменяться.

С помощью приведенной выше информации вы теперь сможете определить, являются ли изменения файлов безопасными, а когда они могут вызывать беспокойство. Например, если вы обновляете плагин, можно ожидать, что файл плагина в папке этого плагина изменится. Тем не менее, нельзя было ожидать изменения основного файла или изменения папки другого плагина. Точно так же вы не должны видеть плагины, ядра или другие изменения файлов, если вы не инициировали никаких обновлений. Такие неожиданные изменения файлов могут указывать на вредоносное ПО или компрометацию веб-сайта.

Использование правильного инструмента может иметь большое значение для минимизации ложных срабатываний без ущерба для безопасности. Например, одним из преимуществ плагина Website File Changes Monitor для WordPress является возможность обнаруживать обновления WordPress, плагинов и тем, чтобы избежать ложных срабатываний и ложных срабатываний.

Реальные примеры мониторинга изменений файлов WordPress

Теперь, когда вы понимаете, как работает мониторинг целостности файлов и какие изменения файлов следует ожидать, давайте проверим Монитор изменений файлов веб-сайта в действии. Для начала плагин автоматически выполняет начальное базовое сканирование после его активации.

Подтверждение первого сканирования проверки целостности файла

Сообщения об изменениях файлов из-за установки, обновления и удаления плагинов и тем

Если мы устанавливаем новый плагин, плагин Website File Changes Monitor четко сообщает об изменениях в файловой системе как об установке нового плагина. Он также сообщает путь, по которому были обнаружены новые файлы, а также имя плагина. Это помогает тем, кто не знаком с внутренней работой WordPress, лучше понять сообщение об изменении файла, тем самым уменьшая количество ложных тревог.

Сообщается об изменении файла из-за установки нового плагина

Вы также можете щелкнуть значок « Информация », чтобы просмотреть полный список файлов, которые были добавлены во время установки нового плагина. Плагин также сообщает о количестве файлов, связанных с этим обновлением.

Список файлов, добавляемых на сайт при установке нового плагина

Плагин сообщает об обновлениях всех других плагинов и тем таким же образом. Это означает, что плагин четко помечает установку, обновление или удаление плагина или темы, что позволяет вам принять обоснованное решение о том, являются ли изменения файла законными или нет.

Отчет об изменениях файла из-за обновления ядра WordPress

Теперь давайте обновим ядро ​​WordPress. При обновлении WordPress мы ожидаем изменения файлов, особенно в корневом каталоге. После запуска обновления WordPress мы видим в разделе «Добавленные файлы» следующее:

Изменения в файле обновления ядра WordPress

  1. Ряд файлов был добавлен в папку /wp-content/themes/twentytwenty/ . Это означает, что обновление включало новую тему. Плагин не сообщил об этом как об установке темы, потому что файлы были скопированы непосредственно в файловую систему через обновление.
  2. Ряд новых основных файлов WordPress в папках wp-admin и wp-includes (отмечены зеленым). Вы можете увидеть полный список файлов, нажав на значок информации .

Глядя на измененные файлы во время обновления, мы видим только изменения файлов типа Core Update. Опять же, ожидаемое поведение для обновления WordPress.

Измененные файлы в ядре WordPress из-за обновления

Вынос здесь? Нормальное поведение. Изменения четко отмечаются плагином Website File Changes Monitor, ложных срабатываний нет. Если, с другой стороны, плагин сообщает список изменений файлов без каких-либо указаний, почему они произошли, пользователь будет встревожен.

Тонкая настройка плагина Website File Changes Monitor

WordPress используется во множестве приложений с широким набором плагинов и модификаций. В результате плагины для мониторинга целостности файлов также должны быть достаточно гибкими, чтобы приспосабливаться к индивидуальным изменениям и потребностям. Например, настройки частоты сканирования могут различаться для личного блога и крупного сайта электронной коммерции. Кроме того, может потребоваться включить или исключить определенный набор пользовательских файлов и папок.

Настраиваемый, но простой в использовании плагин WordPress для изменения файлов.

Хороший плагин направляет пользователей и помогает им лучше понять результаты. Например, по умолчанию плагин должен исключать из проверки неисполняемые файлы. Такие файлы, как файлы журналов, текстовые файлы и мультимедийные файлы, не представляют опасности, и администраторам не нужно знать, если они изменяются, поскольку изменения в текстовом файле никогда не могут быть вредоносными. Таким образом, плагину не нужно предупреждать пользователя об изменении файла журнала, поскольку он вызывает только вопросы и ложные тревоги.

Это то, что отличает плагин Website File Changes Monitor от остальных. Он был разработан для всех уровней пользователей. Вам не нужно знать технические подробности и знать, какие изменения файлов являются вредоносными или бесполезными для использования этого плагина. Любой может извлечь выгоду из этого плагина и понять результаты. Кроме того, плагин полностью настраиваемый. Ты сможешь:

  • настроить расписание и частоту сканирования,
  • выберите, какие каталоги плагин должен сканировать,
  • исключить файлы в определенном каталоге или по расширению.

Эффективный мониторинг целостности файлов — важный аспект безопасности WordPress.

Эффективное решение для безопасности WordPress — это решение, которое не сообщает о ложных срабатываниях, и его отчеты могут быть легко поняты пользователями любого уровня. Вот почему плагин Website File Changes Monitor отличается от всех других плагинов FIM; он прост в использовании и четко выделяет различные типы изменений файлов, чтобы помочь пользователям понять отчеты. Кроме того, он не сообщает о ложных срабатываниях.

Загрузите плагин Website File Changes Monitor прямо сейчас, чтобы получать уведомления об изменениях файлов на вашем сайте WordPress.

Мониторинг целостности файлов — это всего лишь часть головоломки безопасности

Как и во многих других вещах, один плагин сам по себе не составляет весь ваш инструментарий безопасности WordPress. Мониторинг целостности файлов также должен быть дополнен:

  • журналы активности WordPress,
  • Надежные политики паролей для пользователей WordPress,
  • Двухфакторная аутентификация на WordPress,
  • Брандмауэр WordPress (обратитесь к руководству по брандмауэрам WordPress для получения дополнительной информации о различных типах брандмауэров и т. д.)
  • И последнее, но не менее важное: хорошее решение для резервного копирования WordPress.

Если вы в конечном итоге подверглись компрометации, наш инструмент проверки целостности файлов поможет вам найти, где произошли изменения. Это, в свою очередь, обеспечивает эффективное реагирование на инциденты, исправление и документирование.