วิธีกำจัดผลบวกปลอมในการตรวจสอบความสมบูรณ์ของไฟล์บน WordPress

เผยแพร่แล้ว: 2020-01-17

การตรวจสอบความสมบูรณ์ของไฟล์ (FIM) ช่วยให้คุณตรวจจับการเปลี่ยนแปลงของไฟล์บนไซต์ WordPress ของคุณได้อย่างรวดเร็ว เป็นส่วนสำคัญในการรักษาความปลอดภัยให้กับไซต์ WordPress และวิธีการทำงานนั้นง่ายมาก: เปรียบเทียบแฮชการเข้ารหัสพื้นฐานกับแฮชปัจจุบันของไฟล์ที่ถูกตรวจสอบ เมื่อมีการเปลี่ยนแปลง คุณจะได้รับการแจ้งเตือน

อย่างไรก็ตาม มีปัญหาสำคัญเกี่ยวกับวิธีการตรวจสอบความสมบูรณ์ของไฟล์ที่ไม่ซับซ้อน: ผลบวกที่ผิดพลาด (หรือที่รู้จักว่าการเตือนที่ผิดพลาด) ไม่ใช่การเปลี่ยนแปลงไฟล์ทั้งหมดบนเว็บไซต์ WordPress ที่เป็นอันตรายหรือเป็นสัญญาณของการโจมตี หลายชิ้นเป็นชิ้นส่วนที่ไม่เป็นอันตรายและคาดว่าจะได้รับการบำรุงรักษา ดังนั้นผลบวกที่ผิดพลาดจึงนำไปสู่ปัญหาหลายประการ:

  • ผู้ดูแลระบบอาจเพิกเฉยต่อการเปลี่ยนแปลงไฟล์ที่เป็นอันตราย (สถานการณ์หมาป่าร้องไห้)
  • ไม่ใช่ผู้ดูแลเว็บไซต์ WordPress ทุกคนที่สามารถระบุการเตือนที่ไม่ถูกกฎหมายได้ จึงนำไปสู่การเตือนที่ผิดพลาด

ในบทความนี้ เราจะอธิบายวิธีการทำงานของการตรวจสอบความสมบูรณ์ของไฟล์ โครงสร้างไฟล์และไดเรกทอรีของ WordPress และวิธีที่คุณสามารถกำหนดค่าปลั๊กอินตรวจสอบการเปลี่ยนแปลงไฟล์ WordPress ได้อย่างถูกต้อง

การตรวจสอบความสมบูรณ์ของไฟล์ & การแฮชไฟล์ 101

การทำความเข้าใจแฮชไฟล์และเช็คซัมสามารถช่วยให้คุณเข้าใจว่า FIM ทำงานอย่างไร พูดง่ายๆ ก็คือ การแฮชแบบเข้ารหัสจะสร้างเอาต์พุตเฉพาะตามอินพุตเฉพาะ ฟังก์ชันแฮชเป็นฟังก์ชันทางเดียวที่ไม่สามารถย้อนกลับได้ นั่นคือการรู้ผลลัพธ์จะไม่ทำให้คุณสามารถย้อนกลับไปยังอินพุตได้

ตัวอย่างเช่น เราสามารถใช้แฮช MD5 เพื่อตรวจสอบความสมบูรณ์ของข้อความ ในตัวอย่างด้านล่าง เราใช้ตัวสร้างเช็คซัม MD5 เพื่อสร้างแฮชของประโยค Th e quick brown fox

เครื่องกำเนิดแฮช MD5

เราสามารถป้อนข้อความเดียวกันหลายครั้งและได้ผลลัพธ์เดียวกันดังที่แสดงในภาพหน้าจอด้านล่าง:

กำลังสร้างแฮช MD5 สำหรับข้อความเดียวกัน

อย่างไรก็ตาม เพิ่มหรือลบอักขระตัวเดียว และแฮชที่เราจะได้รับการเปลี่ยนแปลงทั้งหมด แม้ว่าจะยังคงมีจำนวนอักขระที่ยาวเท่าเดิม ในตัวอย่างด้านล่าง เราได้เปลี่ยนข้อความต้นฉบับเป็น The quick brown foxes

ข้อความต่างกันสร้างแฮช MD5 ที่แตกต่างกัน

เหตุใดจึงสำคัญสำหรับไฟล์ WordPress ที่เปลี่ยนแปลงการตรวจสอบ อย่างง่าย: เอาต์พุตของฟังก์ชันแฮชใช้เพื่อระบุว่าไฟล์มีการเปลี่ยนแปลงหรือไม่ หากมีการเปลี่ยนแปลงเล็กน้อยในไฟล์ แฮชของไฟล์จะแตกต่างออกไป ปลั๊กอินการตรวจสอบความสมบูรณ์ของไฟล์ทำให้การเปรียบเทียบเหล่านี้ง่ายขึ้น

หมายเหตุ: หากต้องการเรียนรู้รายละเอียดเพิ่มเติมเกี่ยวกับ FIM โปรดอ่านการตรวจสอบความสมบูรณ์ของไฟล์สำหรับเว็บไซต์ WordPress

ทำไมผลบวกลวงจึงเกิดขึ้น?

อย่างไรก็ตาม การสุ่มสี่สุ่มห้ายอมรับผลลัพธ์ของเครื่องมือตรวจสอบของเรานั้นไม่เพียงพอ เราต้องสามารถตีความความหมายและแยกแยะผลเชิงลบที่ผิดพลาดที่อาจเกิดขึ้นและผลบวกปลอมที่อาจเกิดขึ้นได้ ในการรักษาความปลอดภัย ผลบวกที่ผิดพลาดคือการเตือนที่ผิดพลาด โดยที่เครื่องมือของเราจะตรวจจับบางสิ่งที่จบลงด้วยการเป็นคนโง่ ซึ่งคล้ายกับการปิ้งขนมปังในครัว การตั้งสัญญาณเตือนไฟไหม้ และปลุกทุกคนให้ตื่น เชิงลบที่ผิดพลาดจะเป็นสิ่งที่ตรงกันข้ามที่มีกิจกรรมที่เป็นอันตราย แต่เครื่องมือของเราตรวจไม่พบ โดยทั่วไป เนื่องจากการตรวจสอบความสมบูรณ์ของไฟล์ทำงาน ผลบวกที่ผิดพลาดจึงเป็นปัญหาที่พบได้บ่อยกว่า

การแจ้งเตือนที่ผิดพลาดเกิดขึ้นเมื่อปลั๊กอินตรวจสอบการเปลี่ยนแปลงไฟล์โดยไม่มีบริบท ไม่ใช่การเปลี่ยนแปลงไฟล์ทั้งหมดที่ไม่ดี ตัวอย่างเช่น หากคุณอัปเดต WordPress หรือปลั๊กอิน ไฟล์บางไฟล์จะมีการเปลี่ยนแปลง ในกรณีนี้จำเป็นต้องเปลี่ยนไฟล์และไม่ใช่การเตือน

ทำความเข้าใจโครงสร้างไดเร็กทอรีของ WordPress

แล้วคุณจะทราบได้อย่างไรว่าการเปลี่ยนแปลงไฟล์ใดที่คุณควรสนใจ เริ่มต้นด้วยการทำความเข้าใจโครงสร้างไดเร็กทอรีของ WordPress และสถานการณ์อาจเปลี่ยนแปลงได้ ไดเร็กทอรีไฟล์ที่สำคัญที่สุดในการตรวจสอบ ได้แก่ :

  • /wp-content/uploads/ – การอัปโหลดไฟล์คงที่ (รูปภาพ วิดีโอ เอกสาร ฯลฯ) เป็นเรื่องปกติในไดเร็กทอรีนี้ และสามารถยกเว้นจากการแจ้งเตือนได้ ไฟล์ที่ปฏิบัติการได้ เช่น ไฟล์ PHP คือสิ่งที่คุณต้องมองหาที่นี่
  • /wp-content/cache/ – หากคุณใช้ปลั๊กอินแคช การตรวจสอบไดเรกทอรีนี้จะยากขึ้น เนื่องจากปลั๊กอินแคชอาจใช้ไฟล์ปฏิบัติการอย่างถูกกฎหมาย หากคุณไม่ได้ใช้ปลั๊กอินแคช การตรวจสอบไดเรกทอรีนี้สำหรับการเปลี่ยนแปลงจะตรงไปตรงมามากขึ้น
  • /wp-content/plugins – การเปลี่ยนแปลงในไดเร็กทอรีนี้จะเกิดขึ้นเมื่อติดตั้ง อัปเดต หรือถอนการติดตั้งปลั๊กอินเท่านั้น ควรสังเกตว่าโดยทั่วไปแล้วปลั๊กอินควรเปลี่ยนเฉพาะไฟล์ในไดเร็กทอรีของตัวเองเท่านั้น (หรือในแคชในกรณีของปลั๊กอินแคช หรือในไดเร็กทอรีอัปโหลดในกรณีที่จัดเก็บข้อมูลบางส่วน)
  • /wp-content/themes/ – เช่นเดียวกับไดเร็กทอรีก่อนหน้า การเปลี่ยนแปลงที่นี่ควรเกิดขึ้นเมื่อติดตั้ง อัพเดต แก้ไข หรือถอนการติดตั้งธีมเท่านั้น
  • WordPress root- ดังนั้นจึงไม่ควรมีการเปลี่ยนแปลงใดๆ ในไดเร็กทอรีนี้ เว้นแต่คุณจะมีวิธีแก้ไขหรือโค้ดที่กำหนดเอง
  • ไฟล์ WordPress Core – การอัปเดต WordPress เป็นเหตุผลเดียวที่ไฟล์เหล่านี้ควรเปลี่ยน

จากข้อมูลข้างต้น ในตอนนี้ คุณควรจะสามารถระบุได้ว่าการเปลี่ยนแปลงไฟล์นั้นไม่เป็นอันตรายหรือไม่ เทียบกับเวลาที่อาจเป็นข้อกังวล ตัวอย่างเช่น หากคุณอัปเดตปลั๊กอิน คุณควรเห็นไฟล์ปลั๊กอินในโฟลเดอร์ของปลั๊กอินนั้นเปลี่ยนไป อย่างไรก็ตาม ไม่ควรคาดหวังให้เห็นการเปลี่ยนแปลงไฟล์หลักหรือโฟลเดอร์ของปลั๊กอินอื่นเปลี่ยน ในทำนองเดียวกัน คุณไม่ควรเห็นการเปลี่ยนแปลงของปลั๊กอิน คอร์ หรือไฟล์อื่นๆ เมื่อคุณยังไม่ได้เริ่มการอัปเดตใดๆ การเปลี่ยนแปลงไฟล์ที่ไม่คาดคิดประเภทนี้อาจบ่งบอกถึงมัลแวร์หรือการประนีประนอมเว็บไซต์

การใช้เครื่องมือที่เหมาะสมสามารถช่วยลดผลบวกปลอมได้มากโดยไม่สูญเสียความปลอดภัย ตัวอย่างเช่น ข้อดีอย่างหนึ่งของปลั๊กอินตรวจสอบการเปลี่ยนแปลงไฟล์เว็บไซต์สำหรับ WordPress คือความสามารถในการตรวจจับ WordPress, ปลั๊กอิน และการอัปเดตธีมเพื่อหลีกเลี่ยงผลบวกที่ผิดพลาดและการเตือนที่น่ารำคาญ

ตัวอย่างการใช้งานจริงของไฟล์ WordPress การตรวจสอบการเปลี่ยนแปลง

ตอนนี้คุณเข้าใจวิธีการทำงานของการตรวจสอบความสมบูรณ์ของไฟล์แล้ว และการเปลี่ยนแปลงของไฟล์ที่จะเกิดขึ้น มาดูการทำงานของตัวตรวจสอบการเปลี่ยนแปลงไฟล์ของเว็บไซต์กัน ในการเริ่มต้น ปลั๊กอินจะทำการสแกนพื้นฐานโดยอัตโนมัติเมื่อคุณเปิดใช้งาน

การยืนยันการสแกนการตรวจสอบความสมบูรณ์ของไฟล์ครั้งแรก

การรายงานการเปลี่ยนแปลงไฟล์อันเนื่องมาจากการติดตั้งปลั๊กอินและธีม การอัปเดต และการถอนการติดตั้ง

หากเราติดตั้งปลั๊กอินใหม่ ปลั๊กอินการตรวจสอบการเปลี่ยนแปลงไฟล์เว็บไซต์จะรายงานการเปลี่ยนแปลงในระบบไฟล์อย่างชัดเจนว่าเป็นการติดตั้งปลั๊กอินใหม่ นอกจากนี้ยังรายงานเส้นทางที่ไฟล์ใหม่ถูกตรวจพบ และชื่อของปลั๊กอินด้วย ซึ่งจะช่วยให้ผู้ที่ไม่คุ้นเคยกับการทำงานภายในของ WordPress เข้าใจการเปลี่ยนแปลงไฟล์ที่รายงานได้ดีขึ้น ซึ่งจะช่วยลดการเตือนที่ผิดพลาด

รายงานการเปลี่ยนแปลงไฟล์เนื่องจากมีการติดตั้งปลั๊กอินใหม่

คุณยังสามารถคลิกไอคอน ข้อมูล เพื่อดูรายการไฟล์ทั้งหมดที่เพิ่มระหว่างการติดตั้งปลั๊กอินใหม่ ปลั๊กอินยังรายงานจำนวนไฟล์ที่เกี่ยวข้องกับการอัปเดตนี้ด้วย

รายการไฟล์ที่เพิ่มไปยังเว็บไซต์ระหว่างการติดตั้งปลั๊กอินใหม่

ปลั๊กอินจะรายงานการอัปเดตปลั๊กอินและธีมอื่นๆ ทั้งหมดในลักษณะเดียวกัน ซึ่งหมายความว่าปลั๊กอินจะทำเครื่องหมายการติดตั้ง อัปเดต หรือการลบปลั๊กอินหรือธีมไว้อย่างชัดเจน ช่วยให้คุณตัดสินใจได้อย่างมีข้อมูลว่าการเปลี่ยนแปลงไฟล์ถูกต้องหรือไม่

การรายงานการเปลี่ยนแปลงไฟล์เนื่องจากการอัพเดทหลักของ WordPress

ตอนนี้เรามาอัปเดตแกนหลักของ WordPress เมื่ออัปเดต WordPress เราคาดว่าจะมีการเปลี่ยนแปลงไฟล์ โดยเฉพาะในไดเร็กทอรีราก หลังจากรันการอัปเดต WordPress เราจะเห็นสิ่งต่อไปนี้ในส่วนไฟล์ที่เพิ่ม:

การเปลี่ยนแปลงไฟล์อัปเดตหลักของ WordPress

  1. มีการเพิ่มไฟล์จำนวนหนึ่งในโฟลเดอร์ /wp-content/themes/twentytwenty/ ซึ่งหมายความว่าการอัปเดตมีธีมใหม่ ปลั๊กอินไม่ได้รายงานว่าเป็นการติดตั้งธีมเนื่องจากไฟล์ถูกคัดลอกโดยตรงไปยังระบบไฟล์ผ่านการอัพเดต
  2. ไฟล์หลักของ WordPress จำนวนหนึ่งในโฟลเดอร์ wp-admin และ wp-includes (ทำเครื่องหมายด้วยสีเขียว) คุณสามารถดูรายการไฟล์ทั้งหมดได้โดยคลิกที่ไอคอน ข้อมูล

เมื่อดูไฟล์ที่แก้ไขระหว่างการอัปเดต เราจะเห็นเฉพาะการเปลี่ยนแปลงในไฟล์ประเภท Core Update อีกครั้ง พฤติกรรมที่คาดหวังสำหรับการอัปเดต WordPress

ไฟล์ที่ถูกแก้ไขใน WordPress core เนื่องจากการอัพเดท

ซื้อกลับบ้านที่นี่? พฤติกรรมปกติ การเปลี่ยนแปลงจะถูกทำเครื่องหมายอย่างชัดเจนโดยปลั๊กอินการตรวจสอบการเปลี่ยนแปลงไฟล์เว็บไซต์ ไม่มีการเตือนที่ผิดพลาด หากในทางกลับกัน ปลั๊กอินรายงานรายการการเปลี่ยนแปลงไฟล์โดยไม่มีการระบุสาเหตุที่เกิดขึ้น ผู้ใช้จะตื่นตระหนก

ปรับแต่งปลั๊กอินตรวจสอบการเปลี่ยนแปลงไฟล์เว็บไซต์อย่างละเอียด

WordPress ใช้ในแอพพลิเคชั่นที่หลากหลายพร้อมปลั๊กอินและการปรับเปลี่ยนที่หลากหลาย ด้วยเหตุนี้ โซลูชันปลั๊กอินการตรวจสอบความสมบูรณ์ของไฟล์จึงควรมีความยืดหยุ่นเพียงพอที่จะรองรับการเปลี่ยนแปลงและความต้องการที่กำหนดเอง ตัวอย่างเช่น ค่ากำหนดความถี่ในการสแกนอาจแตกต่างกันไปสำหรับบล็อกส่วนบุคคลและไซต์อีคอมเมิร์ซขนาดใหญ่ นอกจากนี้ คุณอาจต้องรวมหรือแยกชุดไฟล์และโฟลเดอร์ที่กำหนดเองบางชุด

ปลั๊กอินเปลี่ยนไฟล์ WordPress ที่กำหนดค่าได้ แต่ใช้งานง่าย

ปลั๊กอินที่ดีจะแนะนำผู้ใช้และช่วยให้พวกเขาเข้าใจผลลัพธ์ได้ดีขึ้น ตัวอย่างเช่น โดยค่าเริ่มต้น ปลั๊กอินควรแยกไฟล์ที่ไม่สามารถเรียกใช้งานได้ออกจากการสแกน ไฟล์ต่างๆ เช่น ล็อกไฟล์ ไฟล์ข้อความ และไฟล์มีเดียไม่เป็นอันตราย และผู้ดูแลระบบไม่จำเป็นต้องทราบว่ามีการเปลี่ยนแปลงหรือไม่ เนื่องจากการเปลี่ยนแปลงในไฟล์ข้อความจะไม่มีวันเป็นอันตราย ดังนั้นจึงไม่จำเป็นต้องให้ปลั๊กอินแจ้งเตือนผู้ใช้เมื่อไฟล์บันทึกมีการเปลี่ยนแปลง เนื่องจากจะทำให้เกิดคำถามและการแจ้งเตือนที่ผิดพลาดเท่านั้น

นี่คือสิ่งที่ทำให้ปลั๊กอินตรวจสอบการเปลี่ยนแปลงไฟล์เว็บไซต์โดดเด่นกว่าที่อื่น ได้รับการพัฒนาสำหรับผู้ใช้ทุกระดับ คุณไม่จำเป็นต้องรู้เทคนิคและการเปลี่ยนแปลงไฟล์ใดที่เป็นอันตรายหรือไม่ได้รับประโยชน์จากปลั๊กอินนี้ ทุกคนสามารถได้รับประโยชน์จากปลั๊กอินนี้และเข้าใจผลลัพธ์ ยิ่งไปกว่านั้น ปลั๊กอินยังสามารถปรับแต่งได้อย่างเต็มที่ คุณสามารถ:

  • กำหนดตารางเวลาการสแกนและความถี่
  • เลือกไดเร็กทอรีที่ปลั๊กอินควรสแกน
  • ไม่รวมไฟล์ในไดเร็กทอรีเฉพาะหรือตามนามสกุล

การตรวจสอบความสมบูรณ์ของไฟล์ที่มีประสิทธิภาพเป็นส่วนสำคัญของความปลอดภัยของ WordPress

โซลูชันการรักษาความปลอดภัย WordPress ที่มีประสิทธิภาพคือโซลูชันที่ไม่รายงานผลบวกที่ผิดพลาด และผู้ใช้ทุกระดับสามารถเข้าใจรายงานได้อย่างง่ายดาย นี่คือสาเหตุที่ปลั๊กอินตรวจสอบการเปลี่ยนแปลงไฟล์เว็บไซต์โดดเด่นกว่าปลั๊กอิน FIM อื่นๆ ทั้งหมด ใช้งานง่ายและเน้นให้เห็นการเปลี่ยนแปลงไฟล์ประเภทต่างๆ อย่างชัดเจน เพื่อช่วยให้ผู้ใช้เข้าใจรายงาน นอกจากนี้ยังไม่รายงานผลบวกลวง

ดาวน์โหลดปลั๊กอินตรวจสอบการเปลี่ยนแปลงไฟล์เว็บไซต์ ตอนนี้เพื่อรับการแจ้งเตือนการเปลี่ยนแปลงไฟล์บนเว็บไซต์ WordPress ของคุณ

การตรวจสอบความสมบูรณ์ของไฟล์เป็นเพียงส่วนหนึ่งของปริศนาความปลอดภัย

เช่นเดียวกับหลายๆ อย่าง ปลั๊กอินเพียงตัวเดียวไม่ได้ประกอบเป็นชุดเครื่องมือรักษาความปลอดภัย WordPress ทั้งหมดของคุณ การตรวจสอบความสมบูรณ์ของไฟล์ควรเสริมด้วย:

  • บันทึกกิจกรรม WordPress,
  • นโยบายรหัสผ่านที่รัดกุมสำหรับผู้ใช้ WordPress
  • การรับรองความถูกต้องด้วยสองปัจจัยบน WordPress,
  • ไฟร์วอลล์ WordPress (ดูคำแนะนำเกี่ยวกับไฟร์วอลล์ WordPress สำหรับข้อมูลเพิ่มเติมเกี่ยวกับไฟร์วอลล์ประเภทต่างๆ เป็นต้น)
  • สุดท้ายแต่ไม่ท้ายสุด โซลูชันสำรองข้อมูล WordPress ที่ดี

หากคุณถูกบุกรุก เครื่องมือความสมบูรณ์ของไฟล์สามารถช่วยคุณค้นหาว่าการเปลี่ยนแปลงเกิดขึ้นที่ใด ซึ่งจะทำให้สามารถตอบสนองต่อเหตุการณ์ การแก้ไข และจัดทำเอกสารได้อย่างมีประสิทธิภาพ