WordPressのファイル整合性監視で誤検知を排除する方法

公開: 2020-01-17

ファイル整合性監視(FIM)を使用すると、WordPressサイトでファイルの変更をすばやく検出できます。 これはWordPressサイトを保護するための重要な部分であり、その動作方法は非常に単純です。ベースラインの暗号化ハッシュを監視対象ファイルの現在のハッシュと比較します。 変更が発生すると、アラートが表示されます。

ただし、ファイルの整合性を監視するための洗練されていないアプローチには、誤検知(誤警報)という大きな問題があります。 WordPress Webサイトでのすべてのファイル変更が有害である、または攻撃の兆候であるとは限りません。 多くは無害であり、メンテナンスの期待される部分です。 したがって、誤検知は多くの問題を引き起こします。

  • 管理者は、悪意のあるファイルの変更(泣き虫の状況)を無視する可能性があります。
  • すべてのWordPressWebサイト管理者が、正当でないアラートから正当なものを識別できるわけではないため、誤ったアラームが発生します。

この記事では、ファイルの整合性の監視がどのように機能するか、WordPressのファイルとディレクトリの構造、およびWordPressのファイル変更監視プラグインを適切に構成する方法について説明します。

ファイル整合性の監視とファイルハッシュ101

ファイルのハッシュとチェックサムを理解すると、FIMがどのように機能するかを理解するのに役立ちます。 簡単に言えば、暗号化ハッシュは特定の入力に基づいて特定の出力を生成します。 ハッシュ関数は一方向の不可逆関数です。 つまり、結果を知っているだけでは、入力に逆戻りすることはできません。

たとえば、MD5ハッシュを使用してテキストの整合性をチェックできます。 以下の例では、MD5チェックサムジェネレーターを使用して、The quick brownfoxという文のハッシュを作成します。

MD5ハッシュジェネレータ

次のスクリーンショットに示すように、同じテキストを複数回入力して同じ結果を得ることができます。

同じテキストのMD5ハッシュを生成する

ただし、1文字を追加または削除すると、取得するハッシュは完全に変更されますが、それでも同じ文字数の長さです。 以下の例では、ソーステキストをThe quick brownfoxesに変更しました。

テキストが異なれば、MD5ハッシュも異なります。

では、なぜこれがWordPressファイル変更の監視にとって重要なのですか? 単純:ハッシュ関数の出力は、ファイルが変更されたかどうかを判断するために使用されます。 ファイルに少しでも変更を加えると、ファイルのハッシュが異なります。 ファイル整合性監視プラグインを使用すると、これらの比較が簡単になります。

注: FIMの詳細については、WordPressWebサイトのファイル整合性監視を参照してください。

なぜ誤検知が発生するのですか?

ただし、監視ツールの結果を盲目的に受け入れるだけでは十分ではありません。 それらが何を意味するのかを解釈し、潜在的な誤検知と誤検知を除外できる必要があります。 セキュリティでは、誤検知は誤警報であり、ツールが不発弾となる何かを検出します。 これは、キッチンでトーストを燃やし、火災警報器を鳴らし、他のすべての人を目覚めさせることに似ています。 フォールスネガティブは逆で、悪意のあるアクティビティがありますが、ツールでは検出されません。 一般的に、ファイルの整合性の監視がどのように機能するかにより、誤検知がより一般的な問題になります。

プラグインがコンテキストなしでファイルの変更を監視すると、誤警報が発生します。 すべてのファイル変更が悪いわけではありません。 たとえば、WordPressまたはプラグインを更新すると、一部のファイルが変更されます。 この場合、ファイルの変更が必要であり、アラームではありません。

WordPressのディレクトリ構造を理解する

では、どのファイルの変更を気にする必要があるかをどうやって知るのでしょうか? WordPressのディレクトリ構造を理解することから始まり、シナリオの変更が発生する可能性があります。 監視する最も重要なファイルディレクトリは次のとおりです。

  • / wp-content / uploads / –静的ファイル(画像、ビデオ、ドキュメントなど)のアップロードはこのディレクトリで一般的であり、アラートから除外してもかまいません。 PHPファイルのような実行可能ファイルは、ここで注意する必要があるものです。
  • / wp-content / cache / –キャッシングプラグインを使用している場合、このディレクトリの監視は困難になります。 これは、キャッシングプラグインが実行可能ファイルを合法的に使用する可能性があるためです。 キャッシュプラグインを使用していない場合は、このディレクトリの変更を監視する方が簡単です。
  • / wp-content / plugins –このディレクトリの変更は、プラグインをインストール、更新、またはアンインストールするときにのみ発生します。 プラグインは通常、独自のディレクトリ(または、キャッシングプラグインの場合はキャッシュ内、データが格納されている場合はアップロードディレクトリ内)のファイルのみを変更する必要があることに注意してください。
  • / wp-content / themes / –前のディレクトリと同じように、ここでの変更は、テーマのインストール、更新、変更、またはアンインストール時にのみ発生する必要があります。
  • WordPressルート-そのため、カスタムソリューションまたはコードがない限り、このディレクトリに変更はありません。
  • WordPressコアファイル– WordPressの更新は、これらのファイルを変更する必要がある唯一の理由です。

上記の情報を使用して、ファイルの変更が問題がないかどうかと、問題が発生する可能性がある場合を判断できるようになります。 たとえば、プラグインを更新する場合、そのプラグインのフォルダー内のプラグインファイルが変更されるのを確認することは期待の範囲内です。 ただし、コアファイルの変更、または別のプラグインのフォルダーの変更を確認することは期待できません。 同様に、更新を開始していない場合は、プラグイン、コア、またはその他のファイルの変更は表示されません。 このような予期しないファイルの変更は、マルウェアまたはWebサイトの侵害を示している可能性があります。

適切なツールを使用すると、セキュリティを犠牲にすることなく誤検知を最小限に抑えることができます。 たとえば、WordPress用のWebサイトファイル変更モニタープラグインの利点の1つは、WordPress、プラグイン、およびテーマの更新を検出して、誤検知や迷惑なアラームを回避できることです。

WordPressファイル変更モニタリングの実際の例

ファイル整合性の監視がどのように機能するか、およびどのファイル変更が予想されるかを理解したので、実際のWebサイトファイル変更モニターを確認してみましょう。 まず、プラグインをアクティブにすると、プラグインは自動的に最初のベースラインスキャンを実行します。

最初のファイル整合性監視スキャンの確認

プラグインとテーマのインストール、更新、アンインストールによるファイルの変更の報告

新しいプラグインをインストールすると、Website File Changes Monitorプラグインは、ファイルシステムの変更を新しいプラグインのインストールとして明確に報告します。 また、新しいファイルが検出されたパスと、プラグインの名前も報告します。 これは、WordPressの内部動作に精通していない人が、報告されたファイルの変更をよりよく理解するのに役立ち、誤警報を減らすことができます。

新しいプラグインのインストールによりファイルの変更が報告されました

[情報]アイコンをクリックして、新しいプラグインのインストール中に追加されたファイルの完全なリストを表示することもできます。 プラグインは、この更新に関連するファイルの数も報告します。

新しいプラグインのインストール中にWebサイトに追加されたファイルのリスト

プラグインは、他のすべてのプラグインとテーマの更新を同じ方法で報告します。 これは、プラグインがプラグインまたはテーマのインストール、更新、または削除を明確にマークし、ファイルの変更が合法であるかどうかについて情報に基づいた決定を下せることを意味します。

WordPressコアアップデートによるレポートファイルの変更

それでは、WordPressコアを更新しましょう。 WordPressを更新する場合、特にルートディレクトリでファイルが変更されることが予想されます。 WordPressの更新を実行した後、[追加されたファイル]セクションに次のように表示されます。

WordPressコアアップデートファイルの変更

  1. / wp-content / themes / twintytwenty /フォルダーにいくつかのファイルが追加されました。 これは、アップデートに新しいテーマが含まれていることを意味します。 ファイルはアップデートを介してファイルシステムに直接コピーされたため、プラグインはこれをテーマのインストールとして報告しませんでした。
  2. wp-adminおよびwp-includesフォルダー(緑色でマーク)内のいくつかの新しいWordPressコアファイル。 情報アイコンをクリックすると、ファイルの完全なリストを表示できます。

更新中に変更されたファイルを見ると、コア更新タイプのファイルへの変更のみが表示されます。 繰り返しますが、WordPressアップデートの予想される動作。

更新のためにWordPressコアのファイルが変更されました

ここでの持ち帰り? 通常の動作。 変更は、Webサイトファイル変更モニタープラグインによって明確にマークされ、誤ったアラームはありません。 一方、プラグインがファイルの変更のリストを、それらが発生した理由を示さずに報告した場合、ユーザーは警告を受けます。

Webサイトファイル変更モニタープラグインの微調整

WordPressは、さまざまなプラグインや変更を加えたさまざまなアプリケーションで使用されています。 結果として、ファイル整合性監視プラグインソリューションは、カスタムの変更やニーズに対応するのに十分な柔軟性も備えている必要があります。 たとえば、スキャン頻度の設定は、個人のブログと大規模なeコマースサイトでは異なる場合があります。 さらに、カスタムファイルとフォルダの特定のセットを含めるか除外する必要がある場合があります。

構成可能でありながら使いやすいWordPressファイル変更プラグイン

優れたプラグインは、ユーザーをガイドし、結果をよりよく理解するのに役立ちます。 たとえば、デフォルトでは、プラグインは実行不可能なファイルをスキャンから除外する必要があります。 ログファイル、テキストファイル、メディアファイルなどのファイルは危険ではなく、テキストファイルの変更が悪意のあるものになることはないため、管理者はそれらが変更されたかどうかを知る必要はありません。 したがって、ログファイルが変更されたときにプラグインがユーザーに警告する必要はありません。これは、質問と誤警報を発生させるだけだからです。

これが、Webサイトファイル変更モニタープラグインを他のプラグインから際立たせている理由です。 これは、すべてのレベルのユーザー向けに開発されました。 技術的な知識や、どのファイルの変更が悪意のあるものであるか、このプラグインの恩恵を受けていないかを知る必要はありません。 誰でもこのプラグインの恩恵を受け、結果を理解することができます。 その上、プラグインは完全にカスタマイズ可能です。 あなたはできる:

  • スキャンスケジュールと頻度を設定し、
  • プラグインがスキャンするディレクトリを選択し、
  • 特定のディレクトリまたは拡張子でファイルを除外します。

効果的なファイル整合性の監視は、WordPressのセキュリティの重要な側面です

効果的なWordPressセキュリティソリューションは、誤検知を報告しないソリューションであり、そのレポートは、あらゆるレベルのユーザーが簡単に理解できます。 これが、Webサイトファイル変更モニタープラグインが他のすべてのFIMプラグインよりも際立っている理由です。 使いやすく、さまざまな種類のファイル変更を明確に強調表示して、ユーザーがレポートを理解できるようにします。 その上、誤検知は報告されません。

今すぐWebサイトファイル変更モニタープラグインをダウンロードして、WordPressWebサイトのファイル変更のアラートを受け取ります。

ファイルの整合性の監視は、セキュリティパズルの一部にすぎません

他の多くのものと同様に、1つのプラグインだけでWordPressセキュリティツールキットのすべてを構成するわけではありません。 ファイルの整合性の監視は、次の方法でも補足する必要があります。

  • WordPressアクティビティログ、
  • WordPressユーザー向けの強力なパスワードポリシー、
  • WordPressでの2要素認証、
  • WordPressファイアウォール(さまざまな種類のファイアウォールなどの詳細については、WordPressファイアウォールのガイドを参照してください)
  • 最後になりましたが、優れたWordPressバックアップソリューションです。

危険にさらされてしまった場合は、ファイル整合性ツールを使用して、変更が発生した場所を見つけることができます。 これにより、効果的なインシデント対応、修復、および文書化が可能になります。