วิธีกำจัดผลบวกปลอมในการตรวจสอบความสมบูรณ์ของไฟล์บน WordPress
เผยแพร่แล้ว: 2020-01-17การตรวจสอบความสมบูรณ์ของไฟล์ (FIM) ช่วยให้คุณตรวจจับการเปลี่ยนแปลงของไฟล์บนไซต์ WordPress ของคุณได้อย่างรวดเร็ว เป็นส่วนสำคัญในการรักษาความปลอดภัยให้กับไซต์ WordPress และวิธีการทำงานนั้นง่ายมาก: เปรียบเทียบแฮชการเข้ารหัสพื้นฐานกับแฮชปัจจุบันของไฟล์ที่ถูกตรวจสอบ เมื่อมีการเปลี่ยนแปลง คุณจะได้รับการแจ้งเตือน
อย่างไรก็ตาม มีปัญหาสำคัญเกี่ยวกับวิธีการตรวจสอบความสมบูรณ์ของไฟล์ที่ไม่ซับซ้อน: ผลบวกที่ผิดพลาด (หรือที่รู้จักว่าการเตือนที่ผิดพลาด) ไม่ใช่การเปลี่ยนแปลงไฟล์ทั้งหมดบนเว็บไซต์ WordPress ที่เป็นอันตรายหรือเป็นสัญญาณของการโจมตี หลายชิ้นเป็นชิ้นส่วนที่ไม่เป็นอันตรายและคาดว่าจะได้รับการบำรุงรักษา ดังนั้นผลบวกที่ผิดพลาดจึงนำไปสู่ปัญหาหลายประการ:
- ผู้ดูแลระบบอาจเพิกเฉยต่อการเปลี่ยนแปลงไฟล์ที่เป็นอันตราย (สถานการณ์หมาป่าร้องไห้)
- ไม่ใช่ผู้ดูแลเว็บไซต์ WordPress ทุกคนที่สามารถระบุการเตือนที่ไม่ถูกกฎหมายได้ จึงนำไปสู่การเตือนที่ผิดพลาด
ในบทความนี้ เราจะอธิบายวิธีการทำงานของการตรวจสอบความสมบูรณ์ของไฟล์ โครงสร้างไฟล์และไดเรกทอรีของ WordPress และวิธีที่คุณสามารถกำหนดค่าปลั๊กอินตรวจสอบการเปลี่ยนแปลงไฟล์ WordPress ได้อย่างถูกต้อง
การตรวจสอบความสมบูรณ์ของไฟล์ & การแฮชไฟล์ 101
การทำความเข้าใจแฮชไฟล์และเช็คซัมสามารถช่วยให้คุณเข้าใจว่า FIM ทำงานอย่างไร พูดง่ายๆ ก็คือ การแฮชแบบเข้ารหัสจะสร้างเอาต์พุตเฉพาะตามอินพุตเฉพาะ ฟังก์ชันแฮชเป็นฟังก์ชันทางเดียวที่ไม่สามารถย้อนกลับได้ นั่นคือการรู้ผลลัพธ์จะไม่ทำให้คุณสามารถย้อนกลับไปยังอินพุตได้
ตัวอย่างเช่น เราสามารถใช้แฮช MD5 เพื่อตรวจสอบความสมบูรณ์ของข้อความ ในตัวอย่างด้านล่าง เราใช้ตัวสร้างเช็คซัม MD5 เพื่อสร้างแฮชของประโยค Th e quick brown fox
เราสามารถป้อนข้อความเดียวกันหลายครั้งและได้ผลลัพธ์เดียวกันดังที่แสดงในภาพหน้าจอด้านล่าง:
อย่างไรก็ตาม เพิ่มหรือลบอักขระตัวเดียว และแฮชที่เราจะได้รับการเปลี่ยนแปลงทั้งหมด แม้ว่าจะยังคงมีจำนวนอักขระที่ยาวเท่าเดิม ในตัวอย่างด้านล่าง เราได้เปลี่ยนข้อความต้นฉบับเป็น The quick brown foxes
เหตุใดจึงสำคัญสำหรับไฟล์ WordPress ที่เปลี่ยนแปลงการตรวจสอบ อย่างง่าย: เอาต์พุตของฟังก์ชันแฮชใช้เพื่อระบุว่าไฟล์มีการเปลี่ยนแปลงหรือไม่ หากมีการเปลี่ยนแปลงเล็กน้อยในไฟล์ แฮชของไฟล์จะแตกต่างออกไป ปลั๊กอินการตรวจสอบความสมบูรณ์ของไฟล์ทำให้การเปรียบเทียบเหล่านี้ง่ายขึ้น
หมายเหตุ: หากต้องการเรียนรู้รายละเอียดเพิ่มเติมเกี่ยวกับ FIM โปรดอ่านการตรวจสอบความสมบูรณ์ของไฟล์สำหรับเว็บไซต์ WordPress
ทำไมผลบวกลวงจึงเกิดขึ้น?
อย่างไรก็ตาม การสุ่มสี่สุ่มห้ายอมรับผลลัพธ์ของเครื่องมือตรวจสอบของเรานั้นไม่เพียงพอ เราต้องสามารถตีความความหมายและแยกแยะผลเชิงลบที่ผิดพลาดที่อาจเกิดขึ้นและผลบวกปลอมที่อาจเกิดขึ้นได้ ในการรักษาความปลอดภัย ผลบวกที่ผิดพลาดคือการเตือนที่ผิดพลาด โดยที่เครื่องมือของเราจะตรวจจับบางสิ่งที่จบลงด้วยการเป็นคนโง่ ซึ่งคล้ายกับการปิ้งขนมปังในครัว การตั้งสัญญาณเตือนไฟไหม้ และปลุกทุกคนให้ตื่น เชิงลบที่ผิดพลาดจะเป็นสิ่งที่ตรงกันข้ามที่มีกิจกรรมที่เป็นอันตราย แต่เครื่องมือของเราตรวจไม่พบ โดยทั่วไป เนื่องจากการตรวจสอบความสมบูรณ์ของไฟล์ทำงาน ผลบวกที่ผิดพลาดจึงเป็นปัญหาที่พบได้บ่อยกว่า
การแจ้งเตือนที่ผิดพลาดเกิดขึ้นเมื่อปลั๊กอินตรวจสอบการเปลี่ยนแปลงไฟล์โดยไม่มีบริบท ไม่ใช่การเปลี่ยนแปลงไฟล์ทั้งหมดที่ไม่ดี ตัวอย่างเช่น หากคุณอัปเดต WordPress หรือปลั๊กอิน ไฟล์บางไฟล์จะมีการเปลี่ยนแปลง ในกรณีนี้จำเป็นต้องเปลี่ยนไฟล์และไม่ใช่การเตือน
ทำความเข้าใจโครงสร้างไดเร็กทอรีของ WordPress
แล้วคุณจะทราบได้อย่างไรว่าการเปลี่ยนแปลงไฟล์ใดที่คุณควรสนใจ เริ่มต้นด้วยการทำความเข้าใจโครงสร้างไดเร็กทอรีของ WordPress และสถานการณ์อาจเปลี่ยนแปลงได้ ไดเร็กทอรีไฟล์ที่สำคัญที่สุดในการตรวจสอบ ได้แก่ :
- /wp-content/uploads/ – การอัปโหลดไฟล์คงที่ (รูปภาพ วิดีโอ เอกสาร ฯลฯ) เป็นเรื่องปกติในไดเร็กทอรีนี้ และสามารถยกเว้นจากการแจ้งเตือนได้ ไฟล์ที่ปฏิบัติการได้ เช่น ไฟล์ PHP คือสิ่งที่คุณต้องมองหาที่นี่
- /wp-content/cache/ – หากคุณใช้ปลั๊กอินแคช การตรวจสอบไดเรกทอรีนี้จะยากขึ้น เนื่องจากปลั๊กอินแคชอาจใช้ไฟล์ปฏิบัติการอย่างถูกกฎหมาย หากคุณไม่ได้ใช้ปลั๊กอินแคช การตรวจสอบไดเรกทอรีนี้สำหรับการเปลี่ยนแปลงจะตรงไปตรงมามากขึ้น
- /wp-content/plugins – การเปลี่ยนแปลงในไดเร็กทอรีนี้จะเกิดขึ้นเมื่อติดตั้ง อัปเดต หรือถอนการติดตั้งปลั๊กอินเท่านั้น ควรสังเกตว่าโดยทั่วไปแล้วปลั๊กอินควรเปลี่ยนเฉพาะไฟล์ในไดเร็กทอรีของตัวเองเท่านั้น (หรือในแคชในกรณีของปลั๊กอินแคช หรือในไดเร็กทอรีอัปโหลดในกรณีที่จัดเก็บข้อมูลบางส่วน)
- /wp-content/themes/ – เช่นเดียวกับไดเร็กทอรีก่อนหน้า การเปลี่ยนแปลงที่นี่ควรเกิดขึ้นเมื่อติดตั้ง อัพเดต แก้ไข หรือถอนการติดตั้งธีมเท่านั้น
- WordPress root- ดังนั้นจึงไม่ควรมีการเปลี่ยนแปลงใดๆ ในไดเร็กทอรีนี้ เว้นแต่คุณจะมีวิธีแก้ไขหรือโค้ดที่กำหนดเอง
- ไฟล์ WordPress Core – การอัปเดต WordPress เป็นเหตุผลเดียวที่ไฟล์เหล่านี้ควรเปลี่ยน
จากข้อมูลข้างต้น ในตอนนี้ คุณควรจะสามารถระบุได้ว่าการเปลี่ยนแปลงไฟล์นั้นไม่เป็นอันตรายหรือไม่ เทียบกับเวลาที่อาจเป็นข้อกังวล ตัวอย่างเช่น หากคุณอัปเดตปลั๊กอิน คุณควรเห็นไฟล์ปลั๊กอินในโฟลเดอร์ของปลั๊กอินนั้นเปลี่ยนไป อย่างไรก็ตาม ไม่ควรคาดหวังให้เห็นการเปลี่ยนแปลงไฟล์หลักหรือโฟลเดอร์ของปลั๊กอินอื่นเปลี่ยน ในทำนองเดียวกัน คุณไม่ควรเห็นการเปลี่ยนแปลงของปลั๊กอิน คอร์ หรือไฟล์อื่นๆ เมื่อคุณยังไม่ได้เริ่มการอัปเดตใดๆ การเปลี่ยนแปลงไฟล์ที่ไม่คาดคิดประเภทนี้อาจบ่งบอกถึงมัลแวร์หรือการประนีประนอมเว็บไซต์
การใช้เครื่องมือที่เหมาะสมสามารถช่วยลดผลบวกปลอมได้มากโดยไม่สูญเสียความปลอดภัย ตัวอย่างเช่น ข้อดีอย่างหนึ่งของปลั๊กอินตรวจสอบการเปลี่ยนแปลงไฟล์เว็บไซต์สำหรับ WordPress คือความสามารถในการตรวจจับ WordPress, ปลั๊กอิน และการอัปเดตธีมเพื่อหลีกเลี่ยงผลบวกที่ผิดพลาดและการเตือนที่น่ารำคาญ
ตัวอย่างการใช้งานจริงของไฟล์ WordPress การตรวจสอบการเปลี่ยนแปลง
ตอนนี้คุณเข้าใจวิธีการทำงานของการตรวจสอบความสมบูรณ์ของไฟล์แล้ว และการเปลี่ยนแปลงของไฟล์ที่จะเกิดขึ้น มาดูการทำงานของตัวตรวจสอบการเปลี่ยนแปลงไฟล์ของเว็บไซต์กัน ในการเริ่มต้น ปลั๊กอินจะทำการสแกนพื้นฐานโดยอัตโนมัติเมื่อคุณเปิดใช้งาน
การรายงานการเปลี่ยนแปลงไฟล์อันเนื่องมาจากการติดตั้งปลั๊กอินและธีม การอัปเดต และการถอนการติดตั้ง
หากเราติดตั้งปลั๊กอินใหม่ ปลั๊กอินการตรวจสอบการเปลี่ยนแปลงไฟล์เว็บไซต์จะรายงานการเปลี่ยนแปลงในระบบไฟล์อย่างชัดเจนว่าเป็นการติดตั้งปลั๊กอินใหม่ นอกจากนี้ยังรายงานเส้นทางที่ไฟล์ใหม่ถูกตรวจพบ และชื่อของปลั๊กอินด้วย ซึ่งจะช่วยให้ผู้ที่ไม่คุ้นเคยกับการทำงานภายในของ WordPress เข้าใจการเปลี่ยนแปลงไฟล์ที่รายงานได้ดีขึ้น ซึ่งจะช่วยลดการเตือนที่ผิดพลาด
คุณยังสามารถคลิกไอคอน ข้อมูล เพื่อดูรายการไฟล์ทั้งหมดที่เพิ่มระหว่างการติดตั้งปลั๊กอินใหม่ ปลั๊กอินยังรายงานจำนวนไฟล์ที่เกี่ยวข้องกับการอัปเดตนี้ด้วย
ปลั๊กอินจะรายงานการอัปเดตปลั๊กอินและธีมอื่นๆ ทั้งหมดในลักษณะเดียวกัน ซึ่งหมายความว่าปลั๊กอินจะทำเครื่องหมายการติดตั้ง อัปเดต หรือการลบปลั๊กอินหรือธีมไว้อย่างชัดเจน ช่วยให้คุณตัดสินใจได้อย่างมีข้อมูลว่าการเปลี่ยนแปลงไฟล์ถูกต้องหรือไม่
การรายงานการเปลี่ยนแปลงไฟล์เนื่องจากการอัพเดทหลักของ WordPress
ตอนนี้เรามาอัปเดตแกนหลักของ WordPress เมื่ออัปเดต WordPress เราคาดว่าจะมีการเปลี่ยนแปลงไฟล์ โดยเฉพาะในไดเร็กทอรีราก หลังจากรันการอัปเดต WordPress เราจะเห็นสิ่งต่อไปนี้ในส่วนไฟล์ที่เพิ่ม:
- มีการเพิ่มไฟล์จำนวนหนึ่งในโฟลเดอร์ /wp-content/themes/twentytwenty/ ซึ่งหมายความว่าการอัปเดตมีธีมใหม่ ปลั๊กอินไม่ได้รายงานว่าเป็นการติดตั้งธีมเนื่องจากไฟล์ถูกคัดลอกโดยตรงไปยังระบบไฟล์ผ่านการอัพเดต
- ไฟล์หลักของ WordPress จำนวนหนึ่งในโฟลเดอร์ wp-admin และ wp-includes (ทำเครื่องหมายด้วยสีเขียว) คุณสามารถดูรายการไฟล์ทั้งหมดได้โดยคลิกที่ไอคอน ข้อมูล
เมื่อดูไฟล์ที่แก้ไขระหว่างการอัปเดต เราจะเห็นเฉพาะการเปลี่ยนแปลงในไฟล์ประเภท Core Update อีกครั้ง พฤติกรรมที่คาดหวังสำหรับการอัปเดต WordPress
ซื้อกลับบ้านที่นี่? พฤติกรรมปกติ การเปลี่ยนแปลงจะถูกทำเครื่องหมายอย่างชัดเจนโดยปลั๊กอินการตรวจสอบการเปลี่ยนแปลงไฟล์เว็บไซต์ ไม่มีการเตือนที่ผิดพลาด หากในทางกลับกัน ปลั๊กอินรายงานรายการการเปลี่ยนแปลงไฟล์โดยไม่มีการระบุสาเหตุที่เกิดขึ้น ผู้ใช้จะตื่นตระหนก
ปรับแต่งปลั๊กอินตรวจสอบการเปลี่ยนแปลงไฟล์เว็บไซต์อย่างละเอียด
WordPress ใช้ในแอพพลิเคชั่นที่หลากหลายพร้อมปลั๊กอินและการปรับเปลี่ยนที่หลากหลาย ด้วยเหตุนี้ โซลูชันปลั๊กอินการตรวจสอบความสมบูรณ์ของไฟล์จึงควรมีความยืดหยุ่นเพียงพอที่จะรองรับการเปลี่ยนแปลงและความต้องการที่กำหนดเอง ตัวอย่างเช่น ค่ากำหนดความถี่ในการสแกนอาจแตกต่างกันไปสำหรับบล็อกส่วนบุคคลและไซต์อีคอมเมิร์ซขนาดใหญ่ นอกจากนี้ คุณอาจต้องรวมหรือแยกชุดไฟล์และโฟลเดอร์ที่กำหนดเองบางชุด
ปลั๊กอินเปลี่ยนไฟล์ WordPress ที่กำหนดค่าได้ แต่ใช้งานง่าย
ปลั๊กอินที่ดีจะแนะนำผู้ใช้และช่วยให้พวกเขาเข้าใจผลลัพธ์ได้ดีขึ้น ตัวอย่างเช่น โดยค่าเริ่มต้น ปลั๊กอินควรแยกไฟล์ที่ไม่สามารถเรียกใช้งานได้ออกจากการสแกน ไฟล์ต่างๆ เช่น ล็อกไฟล์ ไฟล์ข้อความ และไฟล์มีเดียไม่เป็นอันตราย และผู้ดูแลระบบไม่จำเป็นต้องทราบว่ามีการเปลี่ยนแปลงหรือไม่ เนื่องจากการเปลี่ยนแปลงในไฟล์ข้อความจะไม่มีวันเป็นอันตราย ดังนั้นจึงไม่จำเป็นต้องให้ปลั๊กอินแจ้งเตือนผู้ใช้เมื่อไฟล์บันทึกมีการเปลี่ยนแปลง เนื่องจากจะทำให้เกิดคำถามและการแจ้งเตือนที่ผิดพลาดเท่านั้น
นี่คือสิ่งที่ทำให้ปลั๊กอินตรวจสอบการเปลี่ยนแปลงไฟล์เว็บไซต์โดดเด่นกว่าที่อื่น ได้รับการพัฒนาสำหรับผู้ใช้ทุกระดับ คุณไม่จำเป็นต้องรู้เทคนิคและการเปลี่ยนแปลงไฟล์ใดที่เป็นอันตรายหรือไม่ได้รับประโยชน์จากปลั๊กอินนี้ ทุกคนสามารถได้รับประโยชน์จากปลั๊กอินนี้และเข้าใจผลลัพธ์ ยิ่งไปกว่านั้น ปลั๊กอินยังสามารถปรับแต่งได้อย่างเต็มที่ คุณสามารถ:
- กำหนดตารางเวลาการสแกนและความถี่
- เลือกไดเร็กทอรีที่ปลั๊กอินควรสแกน
- ไม่รวมไฟล์ในไดเร็กทอรีเฉพาะหรือตามนามสกุล
การตรวจสอบความสมบูรณ์ของไฟล์ที่มีประสิทธิภาพเป็นส่วนสำคัญของความปลอดภัยของ WordPress
โซลูชันการรักษาความปลอดภัย WordPress ที่มีประสิทธิภาพคือโซลูชันที่ไม่รายงานผลบวกที่ผิดพลาด และผู้ใช้ทุกระดับสามารถเข้าใจรายงานได้อย่างง่ายดาย นี่คือสาเหตุที่ปลั๊กอินตรวจสอบการเปลี่ยนแปลงไฟล์เว็บไซต์โดดเด่นกว่าปลั๊กอิน FIM อื่นๆ ทั้งหมด ใช้งานง่ายและเน้นให้เห็นการเปลี่ยนแปลงไฟล์ประเภทต่างๆ อย่างชัดเจน เพื่อช่วยให้ผู้ใช้เข้าใจรายงาน นอกจากนี้ยังไม่รายงานผลบวกลวง
ดาวน์โหลดปลั๊กอินตรวจสอบการเปลี่ยนแปลงไฟล์เว็บไซต์ ตอนนี้เพื่อรับการแจ้งเตือนการเปลี่ยนแปลงไฟล์บนเว็บไซต์ WordPress ของคุณ
การตรวจสอบความสมบูรณ์ของไฟล์เป็นเพียงส่วนหนึ่งของปริศนาความปลอดภัย
เช่นเดียวกับหลายๆ อย่าง ปลั๊กอินเพียงตัวเดียวไม่ได้ประกอบเป็นชุดเครื่องมือรักษาความปลอดภัย WordPress ทั้งหมดของคุณ การตรวจสอบความสมบูรณ์ของไฟล์ควรเสริมด้วย:
- บันทึกกิจกรรม WordPress,
- นโยบายรหัสผ่านที่รัดกุมสำหรับผู้ใช้ WordPress
- การรับรองความถูกต้องด้วยสองปัจจัยบน WordPress,
- ไฟร์วอลล์ WordPress (ดูคำแนะนำเกี่ยวกับไฟร์วอลล์ WordPress สำหรับข้อมูลเพิ่มเติมเกี่ยวกับไฟร์วอลล์ประเภทต่างๆ เป็นต้น)
- สุดท้ายแต่ไม่ท้ายสุด โซลูชันสำรองข้อมูล WordPress ที่ดี
หากคุณถูกบุกรุก เครื่องมือความสมบูรณ์ของไฟล์สามารถช่วยคุณค้นหาว่าการเปลี่ยนแปลงเกิดขึ้นที่ใด ซึ่งจะทำให้สามารถตอบสนองต่อเหตุการณ์ การแก้ไข และจัดทำเอกสารได้อย่างมีประสิทธิภาพ