การตรวจสอบความสมบูรณ์ของไฟล์คืออะไรและทำไมคุณถึงต้องการมันบนเว็บไซต์ WordPress ของคุณ?
เผยแพร่แล้ว: 2019-05-22คุณเคยต้องทำความสะอาดเว็บไซต์ WordPress ของคุณจากการติดมัลแวร์หรือไม่? คุณรู้วิธีค้นหารหัสที่ถูกบุกรุกหรือไม่? คุณรู้หรือไม่ว่านักพัฒนาหรือเอเจนซี่ของคุณทิ้งไฟล์สำรองและไฟล์ที่เหลือไว้บนเว็บไซต์ของคุณซึ่งอาจทำให้คุณถูกเปิดเผยหรือไม่?
โพสต์นี้อธิบายว่าการ ตรวจสอบความสมบูรณ์ของไฟล์ (FIM) ช่วยให้คุณตอบคำถามดังกล่าวได้อย่างไร เราจะมาดูกันว่าปลั๊กอิน ตรวจสอบความสมบูรณ์ของไฟล์ มีประโยชน์อย่างไรในการช่วยให้คุณจัดการไฟล์ในไซต์ WordPress ของคุณได้ดียิ่งขึ้น การตรวจจับปัญหาในระยะแรกมีความสำคัญมาก – ช่วยให้คุณสามารถบรรเทาและจำกัดความเสียหายของการโจมตีหรือปัญหาได้
หมายเหตุ: การตรวจสอบความสมบูรณ์ของไฟล์เป็นคำศัพท์ทางเทคนิคสำหรับสิ่งที่เรียกกันทั่วไปว่าการสแกนการเปลี่ยนแปลงไฟล์ การตรวจสอบการเปลี่ยนแปลงไฟล์ และข้อกำหนดที่คล้ายคลึงกัน
การตรวจสอบและสแกนความสมบูรณ์ของไฟล์คืออะไร
การสแกนหรือตรวจสอบความสมบูรณ์ของไฟล์หมายถึงกระบวนการที่เปรียบเทียบลายนิ้วมือของไฟล์เพื่อดูว่ามีการเปลี่ยนแปลงหรือไม่ ซอฟต์แวร์ตรวจสอบความสมบูรณ์ของไฟล์ทำงานโดยสร้างแฮชเข้ารหัสหรือ ลายนิ้วมือ ของไฟล์ในระบบ เมื่อเนื้อหาของไฟล์เปลี่ยนไป ลายนิ้วมือของไฟล์ก็เปลี่ยนไปเช่นกัน เมื่อสังเกตเห็นการเปลี่ยนแปลงในลายนิ้วมือของไฟล์ เครื่องสแกนความสมบูรณ์ของไฟล์จะแจ้งให้ผู้ดูแลระบบทราบ
ทำไมคุณต้องตรวจสอบความสมบูรณ์ของไฟล์บนไซต์ WordPress?
การเปลี่ยนแปลงไฟล์เกิดขึ้นบ่อยครั้งบนเว็บไซต์ WordPress ที่วุ่นวาย แน่นอนว่าการเปลี่ยนแปลงเหล่านี้เป็นที่ต้องการมากที่สุด ตัวอย่างเช่น เมื่อคุณเพิ่มไฟล์สื่อใหม่ ติดตั้งหรืออัปเดตปลั๊กอิน และแก้ไขโค้ดของธีมโดยเจตนา อย่างไรก็ตาม การเปลี่ยนแปลงอื่นๆ อาจไม่เป็นผลดีหรือเกิดขึ้นโดยไม่ได้ตั้งใจ
เครื่องสแกนความสมบูรณ์ของไฟล์ช่วยให้คุณติดตาม ความสมบูรณ์ ของเว็บไซต์ WordPress ของคุณได้ กล่าวคือ ช่วยให้คุณรับประกันได้ว่าปลั๊กอินหรือธีมใหม่ที่คุณติดตั้งไม่ได้แก้ไขไฟล์ในไซต์ของคุณ
การตรวจสอบและการสแกนความสมบูรณ์ของไฟล์เชิงรุกและเชิงโต้ตอบ
หลัก มีสองวิธีหลักในการใช้ File Integrity Monitoring (FIM) และการสแกน: ในเชิงรุกและเชิงโต้ตอบ ทั้งสองวิธีนี้ได้อธิบายไว้ในโพสต์นี้
การดำเนินการด้านความปลอดภัยเชิงรุก
เมื่อใช้การสแกนความสมบูรณ์ของไฟล์ในเชิงรุก จะป้องกันไม่ให้สิ่งเลวร้ายเกิดขึ้น ต่อไปนี้คือบางสถานการณ์ที่การตรวจสอบความสมบูรณ์ของไฟล์เชิงรุกตรวจพบและแจ้งให้คุณทราบถึงข้อผิดพลาด วิธีนี้ช่วยให้คุณแก้ไขปัญหาได้ ก่อนที่ ผู้โจมตีจะระบุช่องโหว่ หรือเกิดปัญหากับเว็บไซต์
- นักพัฒนาซอฟต์แวร์คัดลอกข้อความหรือไฟล์ประเภทอื่นที่มีข้อมูลที่ละเอียดอ่อนโดยไม่ได้ตั้งใจ ไฟล์ประเภทนี้สามารถค้นหาและดาวน์โหลดได้โดยง่ายโดยแฮกเกอร์ที่ประสงค์ร้าย
- ผู้ดูแลระบบฐานข้อมูลออกจากการสำรองฐานข้อมูล MySQL (.sql) บนเว็บไซต์ ซึ่งจะทำให้ผู้โจมตีสามารถดาวน์โหลดฐานข้อมูล WordPress ทั้งหมดของคุณได้
- เว็บมาสเตอร์สร้างสำเนาของ wp-config.php และตั้งชื่อว่า wp-config.bak เนื่องจากไม่ใช่ไฟล์ PHP อีกต่อไป ซึ่งจะทำให้ผู้โจมตีดาวน์โหลดไฟล์สำรองได้
- มีคนแก้ไขไฟล์ PHP โดยตรงบนเซิร์ฟเวอร์ด้วยโปรแกรมแก้ไข Vim และไม่ได้ออกจากโปรแกรมแก้ไขอย่างถูกต้อง ซึ่งจะทิ้งไฟล์ .swp ไว้เบื้องหลัง ผู้โจมตีสามารถดาวน์โหลดไฟล์ดังกล่าวได้ เนื่องจากเว็บเซิร์ฟเวอร์ไม่ถือว่าเป็นโค้ด PHP
การดำเนินการด้านความปลอดภัยแบบโต้ตอบ
มาตรการความปลอดภัยเชิงโต้ตอบจำนวนมากเชื่อมโยงกับการ สายเกินไป อย่างไรก็ตาม ในความเป็นจริงแล้ว การดำเนินการด้านความปลอดภัยที่ตอบสนองได้ทันท่วงทีมีความสำคัญต่อการบรรเทาการโจมตี นอกจากนี้ยังช่วยหยุดความเสียหายก่อนที่สิ่งต่างๆ จะเลวร้ายลง
ต่อไปนี้คือบางสถานการณ์ที่อาจใช้เครื่องสแกนความสมบูรณ์ของไฟล์เพื่อเจาะลึกลงไปในกิจกรรมที่น่าสงสัยอย่างรวดเร็ว และดำเนินการกับการโจมตี ระหว่าง หรือ หลังจากที่ เกิดขึ้น
WordPress Attack Scenario 1
ปลั๊กอินตรวจสอบความสมบูรณ์ของไฟล์ตรวจพบไฟล์ PHP ใหม่ มีชื่อที่คลุมเครือและเก็บไว้ในไดเร็กทอรี /wp-content/uploads เมื่อตรวจสอบแล้ว ผู้ดูแลระบบ WordPress จะไม่สามารถระบุที่มาของไฟล์นี้กับการเปลี่ยนแปลงที่เขาหรือทีมงานได้ทำไว้ ไฟล์มีโค้ดที่สร้างความสับสน ซึ่งส่งผลให้เป็น เว็บเชลล์ ผู้ดูแลระบบจำเป็นต้องดำเนินการอย่างรวดเร็ว
ขั้นแรก เขาทำสำเนาไฟล์เพื่อการวิเคราะห์เพิ่มเติม จากนั้นลบออกเพื่อตัดสิทธิ์การเข้าถึงไซต์ WordPress ของผู้โจมตี หลังจากตรวจสอบบันทึกของเว็บเซิร์ฟเวอร์แล้ว ผู้ดูแลระบบพบว่าไฟล์นี้ถูกอัปโหลดโดยผู้โจมตีที่ใช้ช่องโหว่ในแบบฟอร์มอัปโหลดไฟล์บนเว็บไซต์ของตน ด้วยข้อมูลทั้งหมดที่อยู่ในมือ ผู้ดูแลระบบสามารถพูดคุยกับนักพัฒนาเพื่อแก้ไขปัญหาได้
WordPress Attack Scenario 2
ปลั๊กอินตรวจสอบการเปลี่ยนแปลงไฟล์ WordPress แจ้งเตือนผู้ดูแลระบบเกี่ยวกับการเปลี่ยนแปลงไฟล์หลักของ WordPress สิ่งนี้ไม่ควรเกิดขึ้นยกเว้นระหว่างการอัปเดต WordPress อย่างไรก็ตาม สิ่งนี้เกิดขึ้นทันทีหลังจากที่ผู้ดูแลระบบ WordPress คนอื่นติดตั้งปลั๊กอินใหม่
หลังจากตรวจสอบ ผู้ดูแลเว็บพบว่ามีคนอื่นพบพฤติกรรมที่คล้ายกันและรายงานปลั๊กอินที่เป็นอันตราย: ออกแบบมาเพื่อขโมยข้อมูลประจำตัวของ WordPress และส่งไปยังผู้โจมตีเมื่อผู้ใช้เข้าสู่ระบบ
เว็บมาสเตอร์จะลบปลั๊กอิน rouge ออกทันทีและกู้คืนไฟล์ที่ถูกดัดแปลง นอกจากนี้ เขายังรีเซ็ตรหัสผ่านของผู้ใช้ WordPress ทุกคนด้วยปลั๊กอินที่ไม่ต้องกังวลใจ
WordPress Attack Scenario 3
ปลั๊กอินตรวจสอบความสมบูรณ์ของไฟล์จะแจ้งผู้ดูแลระบบของไฟล์ที่คลุมเครือในไดเร็กทอรีที่ป้องกันด้วยรหัสผ่านในรูทของ WordPress ไดเร็กทอรีเก็บไฟล์สแตติกที่มีข้อมูลที่ละเอียดอ่อน และได้รับการป้องกันด้วยรหัสผ่านที่รัดกุมโดยใช้การพิสูจน์ตัวตน HTTP
หลังจากการตรวจสอบ ผู้ดูแลเว็บพบว่าไฟล์ถูกอัปโหลดผ่านเซิร์ฟเวอร์ FTP ที่กำหนดค่าไม่ถูกต้อง ซึ่งทำให้สามารถเข้าถึงการเขียน แบบไม่ระบุชื่อ ได้ ผู้ดูแลระบบแก้ไขการกำหนดค่าของเซิร์ฟเวอร์ FTP ทันทีและปิดใช้งานการตรวจสอบสิทธิ์แบบไม่ระบุชื่อ
ไฟล์ WordPress ใดที่คุณต้องจับตาดู?
เช่นเดียวกับบันทึกกิจกรรมของ WordPres ด้วยปลั๊กอินการสแกนความสมบูรณ์ของไฟล์ คุณจำเป็นต้องรู้ว่าต้องค้นหาอะไรเพื่อให้มีประสิทธิภาพ ติดตามทุกการเปลี่ยนแปลงของไฟล์ แล้วคุณจะมีกระแสการแจ้งเตือนไม่สิ้นสุด ติดตามน้อยเกินไปและคุณจะสูญเสียประโยชน์ทั้งหมดจากปลั๊กอินตรวจสอบการเปลี่ยนแปลงไฟล์
ปัจจัยสำคัญอีกประการหนึ่งที่ต้องจำไว้คือ การเปลี่ยนแปลงไฟล์บางอย่างอาจไม่ใช่ตัวบ่งชี้กิจกรรมที่เป็นอันตรายหรือเป็นปัญหา ตัวอย่างเช่น จะไม่มีปัญหาหากปลั๊กอินสำรองเขียนไฟล์ SQL ไปยังไดเร็กทอรีที่ห้ามมิให้ผู้ใช้ที่ไม่ได้รับอนุญาต ต่อไปนี้คือคำแนะนำบางประการเพื่อแยกความแตกต่างระหว่างการเปลี่ยนแปลงที่ไม่เป็นอันตรายและเป็นอันตรายในไดเร็กทอรี WordPress
/wp-content/uploads/ ไดเรกทอรี WordPress
เว็บไซต์ WordPress มีแนวโน้มที่จะใช้งานมาก ดังนั้นโดยการตรวจสอบทุกไฟล์ที่สร้างหรือแก้ไขจะส่งผลให้มีการแจ้งเตือนอย่างไม่รู้จบ ในเกือบทุกกรณี ควรแยกไฟล์ส แตติก ออกจากไดเร็กทอรี /wp-content/uploads/
ไฟล์คงที่รวมถึงไฟล์สื่อ เช่น รูปภาพ วิดีโอ และเสียง และเอกสารต่างๆ เช่น งานนำเสนอ สเปรดชีต และ PDF การละเว้นไฟล์ดังกล่าวนั้นปลอดภัย แต่ไม่ใช่ไดเรกทอรี อัพโหลด คุณต้องการทราบจริงๆ ว่าไฟล์ที่เรียกใช้งานได้ เช่น ไฟล์ PHP ถูกอัปโหลดในไดเร็กทอรีนี้หรือไม่
/wp-content/cache/ ไดเรกทอรี WordPress
ไดเร็กทอรีนี้ค่อนข้างซับซ้อน มันถูกใช้งานโดยปลั๊กอินแคชของ WordPress ขึ้นอยู่กับการกำหนดค่าของปลั๊กอินแคช คุณอาจเห็นไฟล์ต่างๆ ในไดเร็กทอรีย่อยของ /wp-content/cache/ รวมถึงไฟล์ PHP ที่ถูกต้อง สิ่งเหล่านี้ถูกเพิ่มโดยปลั๊กอินการแคชของคุณ โดยเฉพาะอย่างยิ่งหากคุณเปิดใช้งานการแคชวัตถุ หากเป็นกรณีศึกษาลักษณะการทำงานหรือปลั๊กอินแคชของคุณและไฟล์ใดที่จัดเก็บและกำหนดค่าเครื่องสแกนความสมบูรณ์ของไฟล์ตามสิ่งที่คุณพบ หากคุณไม่ได้ใช้ปลั๊กอินแคช หรือปลั๊กอินของคุณไม่ได้จัดเก็บ PHP และไฟล์ซอร์สโค้ดอื่นๆ การตรวจสอบไดเรกทอรีนี้จะง่ายกว่ามาก
/wp-content/plugins and /wp-content/themes/ ไดเรกทอรี WordPress
เมื่อคุณเพิ่ม ลบ หรืออัปเดตปลั๊กอิน คุณจะเห็นการเปลี่ยนแปลงในไดเร็กทอรี /wp-content/plugins/ WordPress หากคุณเปลี่ยนแปลงทีม คุณจะสังเกตเห็นการเปลี่ยนแปลงของไฟล์ในไดเร็กทอรี /wp-content/themes/
นี่ไม่ได้หมายความว่าการเปลี่ยนแปลงทั้งหมดที่เกิดขึ้นในไดเร็กทอรีเหล่านี้จะไม่เป็นอันตราย เสมอ ไป อย่างไรก็ตาม ตามกฎทั่วไปของไฟล์หัวแม่มือ การเปลี่ยนแปลงภายในสองไดเร็กทอรีนี้ควรเกิดขึ้นจากการดำเนินการดูแลระบบบางอย่างกับ WordPress เท่านั้น
หมายเหตุ: ปลั๊กอินตรวจสอบการเปลี่ยนแปลงไฟล์เว็บไซต์ของเราสำหรับ WordPress มีคุณลักษณะเฉพาะ มันรับรู้ถึงการเปลี่ยนแปลงหลักของ WordPress ปลั๊กอินและธีม ดังนั้นจึงไม่ส่งการแจ้งเตือนที่ผิดพลาดเกี่ยวกับการเปลี่ยนแปลงไฟล์นับร้อย โดยจะแจ้งเตือนคุณว่าการเปลี่ยนแปลงไฟล์เป็นผลมาจากการเปลี่ยนแปลงในไซต์ ทำให้คุณสามารถตรวจสอบการเปลี่ยนแปลงได้
ไดเร็กทอรีรากของ WordPress
ไดเร็กทอรีรากของ WordPress คือการติดตั้ง WordPress จริงบนเว็บเซิร์ฟเวอร์ นี่เป็นสถานที่สำคัญที่ต้องให้ความสนใจ บ่อยครั้ง การเปลี่ยนแปลงไฟล์ที่ทำที่นี่เป็นสัญญาณที่ดีให้คุณตรวจสอบ เว้นแต่คุณจะเป็นผู้ทำการเปลี่ยนแปลง
ไฟล์ WordPress Core
ไฟล์ WordPress Core คือไฟล์จริงที่ประกอบขึ้นเป็นเว็บแอปพลิเคชัน WordPress การแก้ไขในไฟล์หลักควรเกิด ขึ้น จากการอัพเดท WordPress เท่านั้น ไม่ควรเกิดขึ้นภายใต้เงื่อนไขอื่นใด
ดังนั้น เว้นแต่คุณจะแก้ไขไฟล์ WordPress Core ด้วยตนเอง (หลีกเลี่ยงการทำเช่นนี้ มีวิธีที่ดีกว่าในการปรับแต่ง WordPress) นี่ควรเป็นสัญญาณคุณภาพสูงว่ามีบางสิ่งคาวเกิดขึ้น
ฉันจะตรวจสอบไซต์ WordPress ของฉันสำหรับการเปลี่ยนแปลงไฟล์ได้อย่างไร
แม้ว่าการสแกนความสมบูรณ์ของไฟล์สามารถทำได้โดยใช้เครื่องมือเฉพาะที่ไม่ใช่ของ WordPress แต่เครื่องมือจำนวนมากมักต้องการช่วงการเรียนรู้ในการรัน กำหนดค่า และดำเนินการค่อนข้างมาก
แนวทางที่ง่ายกว่า หากไม่ดีกว่าด้วยผลลัพธ์ที่ปรับแต่งแล้วดีกว่าคือการใช้ปลั๊กอิน Website File Changes Monitor สำหรับ WordPress ปลั๊กอินนี้มีเทคโนโลยีอัจฉริยะเฉพาะที่รู้จัก WordPress หลัก ปลั๊กอินและการอัปเดตธีม การติดตั้ง และการลบ ดังนั้นจึงไม่รายงานผลบวกลวงที่ก่อให้เกิดการเตือนภัยที่ผิดพลาด! อ้างถึงผลบวกลวงในการตรวจสอบความสมบูรณ์ของไฟล์สำหรับข้อมูลเพิ่มเติมเกี่ยวกับผลบวกลวงและเทคโนโลยีอัจฉริยะของเรา
ปลั๊กอินรับรู้การเปลี่ยนแปลงโครงสร้างไซต์ ดังนั้นเมื่อมีการเปลี่ยนแปลง ปลั๊กอินจะแจ้งให้คุณทราบถึงการเปลี่ยนแปลงโครงสร้างไซต์ ไม่ใช่ไฟล์หลายร้อยไฟล์ที่เพิ่มหรือแก้ไขบนไซต์ WordPress ของคุณ มันทำงานให้คุณโดยอัตโนมัติ ไม่ส่งสัญญาณเตือนที่ผิดพลาด และคุณไม่จำเป็นต้องกรองผลลัพธ์ด้วยตนเอง
ดาวน์โหลดตัว ตรวจสอบการเปลี่ยนแปลงไฟล์เว็บไซต์ฟรีสำหรับ WordPress วันนี้เพื่อจัดการและปรับปรุงความปลอดภัยของเว็บไซต์ของคุณได้ดียิ่งขึ้น
จะเกิดอะไรขึ้นถ้าฉันใช้ปลั๊กอินความปลอดภัย WordPress อยู่แล้ว?
หากคุณใช้ปลั๊กอินการรักษาความปลอดภัย WordPress อยู่แล้ว ก็ดี ทำต่อไป อย่างไรก็ตาม การตรวจสอบความสมบูรณ์ของไฟล์ไม่ใช่จุดสนใจของปลั๊กอินความปลอดภัย ด้วยการใช้ปลั๊กอิน WordPress ที่ออกแบบมาโดยเฉพาะสำหรับการตรวจสอบความสมบูรณ์ของไฟล์โดยคำนึงถึงประสิทธิภาพ คุณยังสามารถเก็บเกี่ยวผลประโยชน์ทั้งหมดจากการใช้ปลั๊กอินความปลอดภัย WordPress ทั่วไปได้ ด้วยการเพิ่มข้อมูลเชิงลึกอันมีค่าทั้งหมดที่ให้การตรวจสอบความสมบูรณ์ของไฟล์