Что такое мониторинг целостности файлов и зачем он нужен на вашем сайте WordPress?
Опубликовано: 2019-05-22Вам когда-нибудь приходилось очищать свой сайт WordPress от заражения вредоносным ПО? Вы знаете, как узнать, какой код был скомпрометирован? Знаете ли вы, оставили ли ваши разработчики или агентство резервные копии и оставшиеся файлы на вашем веб-сайте, которые могут сделать вас незащищенными?
В этом посте объясняется, как мониторинг целостности файлов (FIM) помогает ответить на такие вопросы. Мы увидим, как плагин мониторинга целостности файлов помогает вам лучше управлять файлами вашего сайта WordPress. Обнаружение проблем на ранней стадии очень важно — это позволяет смягчить и ограничить ущерб от атаки или проблемы.
Примечание. Мониторинг целостности файлов — это технический термин, обозначающий то, что более известно как сканирование изменений файлов, мониторинг изменений файлов и подобные термины.
Что такое мониторинг и сканирование целостности файлов?
Сканирование или мониторинг целостности файлов относится к процессу, который сравнивает отпечатки пальцев файла, чтобы выяснить, изменился ли он. Программное обеспечение для проверки целостности файлов работает путем создания криптографического хэша или отпечатка пальца файлов в системе. Когда содержимое файла меняется, меняется и его отпечаток. Заметив изменение отпечатка файла, сканер целостности файла уведомляет об этом администратора.
Зачем вам нужны проверки целостности файлов на сайтах WordPress?
Изменения в файлах часто происходят на загруженных сайтах WordPress. Конечно, большинство из этих изменений желательны. Например, когда вы добавляете новые медиафайлы, устанавливаете или обновляете плагин и намеренно изменяете код темы. Однако другие изменения могут быть далеко не безобидными или сделаны по ошибке.
Сканер целостности файлов поможет вам отслеживать целостность вашего веб-сайта WordPress. Другими словами, это помогает вам гарантировать, что новый плагин или тема, которые вы установили, не изменили файлы вашего сайта.
Упреждающий и реактивный мониторинг и сканирование целостности файлов
Существует два основных способа использования мониторинга целостности файлов (FIM) и сканирования: упреждающий и реактивный. Оба этих метода описаны в этом посте.
Упреждающие меры безопасности
Когда сканирование целостности файлов используется упреждающе, оно предотвращает возникновение плохих вещей. Ниже приведены несколько сценариев, в которых упреждающий мониторинг целостности файлов обнаруживает и уведомляет вас об ошибках. Это позволяет устранить проблемы до того , как злоумышленники обнаружат уязвимость или возникнут проблемы с сайтом.
- Разработчик случайно скопировал текст или файл другого типа, содержащий конфиденциальную информацию. Файлы такого типа могут быть легко найдены и загружены злоумышленниками.
- Администратор базы данных оставляет резервную копию базы данных MySQL (.sql) на веб-сайте. Это позволит злоумышленнику загрузить всю вашу базу данных WordPress.
- Веб-мастер делает копию wp-config.php и называет ее wp-config.bak. Поскольку это больше не файл PHP, это позволит злоумышленнику загрузить файл резервной копии.
- Кто-то редактирует файл PHP непосредственно на сервере с помощью редактора Vim и не выходит из редактора должным образом. Это оставляет файл .swp позади. Злоумышленник может загрузить такой файл, так как веб-сервер не воспринимает его как PHP-код.
Реактивные действия безопасности
Многие связывают реактивные меры безопасности с опозданием . Однако на самом деле своевременные ответные меры безопасности имеют решающее значение для смягчения атаки. Они также помогают остановить ущерб до того, как ситуация ухудшится.
Ниже приведены несколько сценариев, в которых можно использовать сканер целостности файлов для быстрого выявления подозрительной активности и реагирования на атаки во время или после их возникновения.
Сценарий атаки WordPress 1
Плагин мониторинга целостности файлов обнаруживает новый файл PHP. Он имеет неясное имя и хранится в каталоге /wp-content/uploads . После проверки администратор WordPress не может связать этот файл с изменением, внесенным им или командой. Файл содержит запутанный код, в результате чего получается веб-шелл . Администратору нужно действовать быстро.
Сначала он делает копию файла для дальнейшего анализа. Затем удаляет его, чтобы лишить злоумышленника доступа к сайту WordPress. После изучения журналов веб-сервера администратор понимает, что этот файл был загружен злоумышленником, который воспользовался уязвимостью в форме загрузки файлов на своем сайте. Имея всю информацию на руках, администратор может поговорить с разработчиками, чтобы решить проблему.
Сценарий атаки WordPress 2
Плагин мониторинга изменений файлов WordPress предупреждает администратора об изменениях основных файлов WordPress. Это никогда не должно происходить, кроме как во время обновлений WordPress. Однако это произошло сразу после того, как другой администратор WordPress установил новый плагин.
После расследования веб-мастер узнает, что другие сталкивались с подобным поведением и сообщили о вредоносном плагине: он предназначен для кражи учетных данных WordPress и отправки их злоумышленнику при входе пользователя в систему.
Веб-мастер немедленно удаляет плагин rouge и восстанавливает поврежденные файлы. Он также сбрасывает пароли всех пользователей WordPress с помощью плагина для спокойствия.
Сценарий атаки WordPress 3
Плагин мониторинга целостности файлов уведомляет администратора о неясном файле в защищенном паролем каталоге в корне WordPress. Каталог хранит статические файлы с конфиденциальной информацией и защищен надежным паролем с использованием HTTP-аутентификации.
После некоторого расследования веб-мастер понимает, что файл был загружен через неправильно настроенный FTP-сервер, который разрешает анонимный доступ для записи. Администратор немедленно исправляет конфигурацию FTP-сервера и отключает анонимную аутентификацию.
За какими файлами WordPress вам нужно следить?
Подобно журналам активности WordPres, с плагинами для проверки целостности файлов вам нужно знать, на что обращать внимание, чтобы они были эффективными. Отслеживайте каждое изменение файла, и у вас будет бесконечный поток предупреждений. Отслеживайте слишком мало, и вы потеряете все преимущества плагина мониторинга изменений файлов.
Еще один важный фактор, о котором следует помнить, заключается в том, что не все изменения файлов являются индикаторами вредоносных или проблемных действий. Например, нет проблем, если плагин резервного копирования записывает файлы SQL в каталог, запрещенный для неавторизованных пользователей. Ниже приведены некоторые подсказки, позволяющие различать доброкачественные и вредоносные изменения в каталогах WordPress.
/wp-content/uploads/ директория WordPress
Веб-сайты WordPress, как правило, очень активны. Таким образом, отслеживание каждого отдельного созданного или измененного файла, скорее всего, приведет к бесконечному потоку предупреждений. Почти во всех случаях имеет смысл исключить статические файлы из каталога /wp-content/uploads/ .
Статические файлы включают мультимедийные файлы, такие как изображения, видео и аудио, а также документы, такие как презентации, электронные таблицы и PDF-файлы. Безопасно игнорировать такие файлы, но не каталог загрузки . Вы действительно хотите знать, загружены ли исполняемые файлы, такие как файлы PHP, в этот каталог.
/wp-content/cache/ директория WordPress
Этот каталог является сложным. Он используется плагинами кеширования WordPress. В зависимости от конфигурации вашего плагина кэширования вы можете увидеть различные файлы в подкаталогах /wp-content/cache/ , включая легитимные файлы PHP. Они добавляются вашими плагинами кэширования, особенно если вы включаете кэширование объектов. Если это так, изучите поведение или ваши плагины кэширования и файлы, которые они хранят, и настройте сканер целостности файлов в соответствии с вашими выводами. Если вы не используете какие-либо кеширующие плагины или ваши плагины не хранят PHP и другие файлы исходного кода, то отслеживать этот каталог намного проще.
/wp-content/plugins и /wp-content/themes/ Каталог WordPress
Когда вы добавляете, удаляете или обновляете плагин, вы увидите изменения в каталоге /wp-content/plugins/ WordPress. Если вы вносите изменения в команду, вы заметите изменения файлов в каталоге /wp-content/themes/ .
Это не означает, что все изменения, происходящие в этих каталогах, всегда безобидны. Однако, как правило, изменения файлов в этих двух каталогах должны происходить только в результате некоторых административных действий с WordPress.
Примечание. У нашего плагина Website File Changes Monitor для WordPress есть уникальная функция. Он распознает изменения ядра WordPress, плагинов и тем. Поэтому он не посылает ложных тревог о сотнях изменений файлов. Он предупреждает вас о том, что изменения в файле произошли в результате изменения на сайте, позволяя вам просмотреть это изменение.
Корневой каталог WordPress
Корневой каталог WordPress — это фактическая установка WordPress на веб-сервере. Это важное место, на которое стоит обратить внимание. Чаще всего сделанные здесь изменения файлов дают вам хороший сигнал для расследования, если только эти изменения не были внесены вами.
Основные файлы WordPress
Файлы ядра WordPress — это фактические файлы, из которых состоит веб-приложение WordPress. Модификация основных файлов должна происходить только в результате обновления WordPress. Они никогда не должны возникать ни при каких других условиях.
Поэтому, если вы вручную не редактировали основной файл WordPress (избегайте этого, есть лучшие способы настройки WordPress), это должно быть качественным сигналом о том, что что-то не так.
Как отслеживать изменения файлов на моем сайте WordPress?
В то время как проверка целостности файлов может быть достигнута с помощью ряда инструментов, не относящихся к WordPress, многие из них обычно требуют довольно длительного обучения для запуска, настройки и работы.
Вместо этого более простым подходом, если не лучшим, с более точными результатами, было бы использование плагина Website File Changes Monitor для WordPress. Этот плагин имеет эксклюзивную интеллектуальную технологию, которая распознает обновления, установки и удаления ядра WordPress, плагинов и тем. Таким образом, он не сообщает о ложных срабатываниях, вызывающих ложные тревоги! См. ложные срабатывания в мониторинге целостности файлов для получения дополнительной информации о ложных срабатываниях и нашей интеллектуальной технологии.
Плагин распознает изменения структуры сайта. Поэтому, когда происходит изменение, плагин уведомляет вас об изменении структуры сайта, а не о сотнях файлов, которые были добавлены или изменены на вашем сайте WordPress. Он автоматизирует работу за вас, не вызывает ложных срабатываний, и вам не нужно вручную фильтровать результаты.
Загрузите бесплатный Монитор изменений файлов веб-сайта для WordPress сегодня, чтобы лучше управлять своими сайтами и повышать их безопасность.
Что, если я уже использую плагин безопасности WordPress?
Если вы уже используете плагин безопасности WordPress, это здорово, продолжайте в том же духе. Однако мониторинг целостности файлов не является целью подключаемого модуля безопасности. Используя плагин WordPress, специально разработанный для мониторинга целостности файлов с учетом производительности, вы по-прежнему можете воспользоваться всеми преимуществами использования общих плагинов безопасности WordPress с добавлением всех ценных сведений, которые предоставляет вам мониторинг целостности файлов.