什麼是文件完整性監控以及為什麼在 WordPress 網站上需要它?
已發表: 2019-05-22您是否曾經不得不從惡意軟件感染中清除您的 WordPress 網站? 你知道如何找出哪些代碼被洩露了嗎? 您是否知道您的開發人員或代理商是否在您的網站上留下了可能讓您暴露的備份和剩余文件?
這篇文章解釋了文件完整性監控 (FIM)如何幫助您回答這些問題。 我們將了解文件完整性監控插件如何幫助您更好地管理 WordPress 網站的文件。 及早發現問題非常重要——它可以讓您減輕和限制攻擊或問題的損害。
注意:文件完整性監控是通常稱為文件更改掃描、文件更改監視器和類似術語的技術術語。
什麼是文件完整性監控和掃描?
文件完整性掃描或監控是指比較文件指紋以確定它是否已更改的過程。 文件完整性檢查軟件通過創建加密哈希或系統上文件的指紋來工作。 當文件的內容髮生變化時,其指紋也會發生變化。 一旦注意到文件指紋的變化,文件完整性掃描器就會通知管理員。
為什麼需要對 WordPress 網站進行文件完整性檢查?
繁忙的 WordPress 網站上經常發生文件更改。 當然,這些更改中的大多數都是需要的。 例如,當您添加新的媒體文件、安裝或更新插件以及故意修改主題的代碼時。 然而,其他更改可能遠非良性或錯誤完成。
文件完整性掃描程序可幫助您跟踪 WordPress 網站的完整性。 換句話說,它可以幫助您保證您安裝的新插件或主題沒有修改您網站的文件。
主動和反應式文件完整性監控和掃描
主要有兩種使用文件完整性監控 (FIM) 和掃描的主要方式:主動式和被動式。 這兩種方法都在這篇文章中進行了解釋。
主動安全措施
當主動使用文件完整性掃描時,它可以防止發生壞事。 以下是主動文件完整性監控檢測並通知您錯誤的幾種情況。 這使您能夠在攻擊者發現漏洞或站點出現問題之前修復問題。
- 開發人員不小心複製了包含敏感信息的文本或其他類型的文件。 這些類型的文件很容易被惡意黑客找到並下載。
- 數據庫管理員在網站上留下 MySQL 數據庫備份 (.sql)。 這將允許攻擊者下載您的整個 WordPress 數據庫。
- 網站管理員製作 wp-config.php 的副本並將其命名為 wp-config.bak。 由於它不再是 PHP 文件,這將允許攻擊者下載備份文件。
- 有人使用 Vim 編輯器直接在服務器上編輯 PHP 文件,但沒有正確退出編輯器。 這會留下一個 .swp 文件。 攻擊者可以下載此類文件,因為 Web 服務器不會將其視為 PHP 代碼。
反應式安全措施
許多人將被動安全措施與為時已晚聯繫在一起。 然而,實際上及時的反應性安全措施對於減輕攻擊至關重要。 它們還有助於在事情變得更糟之前阻止損害。
以下是文件完整性掃描程序可用於快速深入了解可疑活動並在攻擊發生期間或之後對攻擊採取行動的一些場景。
WordPress 攻擊場景一
文件完整性監控插件檢測到新的 PHP 文件。 它有一個不起眼的名字,並存儲在/wp-content/uploads目錄中。 經檢查,WordPress 管理員無法將此文件歸因於他或團隊所做的更改。 該文件包含混淆代碼,結果是一個web shell 。 管理員需要迅速採取行動。
首先,他製作了一份文件副本以供進一步分析。 然後將其刪除以切斷攻擊者對 WordPress 站點的訪問。 在調查了 Web 服務器日誌後,管理員意識到該文件是由攻擊者上傳的,該攻擊者濫用了其網站上文件上傳表單中的漏洞。 掌握所有信息後,管理員可以與開發人員交談以解決問題。
WordPress 攻擊場景 2
WordPress 文件更改監視器插件會提醒管理員 WordPress 核心文件更改。 除非在 WordPress 更新期間,否則永遠不會發生這種情況。 然而,這發生在另一個 WordPress 管理員安裝了一個新插件之後。
經過調查,站長發現其他人也有類似的行為並報告了惡意插件:它旨在竊取 WordPress 憑據,並在用戶登錄時將其發送給攻擊者。
站長立即刪除了rouge插件並恢復了被篡改的文件。 他還使用插件重置所有 WordPress 用戶的密碼。
WordPress 攻擊場景 3
文件完整性監控插件會通知管理員 WordPress 根目錄中受密碼保護的目錄中的晦澀文件。 該目錄存儲包含敏感信息的靜態文件,並使用 HTTP 身份驗證使用強密碼進行保護。
經過一番調查,網站管理員意識到該文件是通過配置錯誤的 FTP 服務器上傳的,該服務器允許匿名寫入訪問。 管理員立即修復了 FTP 服務器的配置並禁用了匿名身份驗證。
您需要關注哪些 WordPress 文件?
與 WordPress 活動日誌類似,使用文件完整性掃描插件,您需要知道要查找的內容才能使其生效。 跟踪每個文件更改,您將收到源源不斷的警報。 跟踪太少,您將失去文件更改監視器插件的所有好處。
要記住的另一個重要因素是,並非所有文件更改都是惡意或有問題的活動的指標。 例如,如果備份插件將 SQL 文件寫入禁止未經授權的用戶訪問的目錄,則沒有問題。 以下是區分 WordPress 目錄中的良性和惡意更改的一些指示。
/wp-content/uploads/ WordPress 目錄
WordPress網站往往非常活躍。 因此,通過監控每個創建或修改的文件可能會導致源源不斷的警報。 在幾乎所有情況下,從/wp-content/uploads/目錄中排除靜態文件都是有意義的。
靜態文件包括圖像、視頻和音頻等媒體文件,以及演示文稿、電子表格和 PDF 等文檔。 忽略這些文件是安全的,但不包括上傳目錄。 你真的很想知道這個目錄中是否上傳了PHP文件等可執行文件。
/wp-content/cache/ WordPress 目錄
這個目錄是一個棘手的目錄。 它由 WordPress 緩存插件使用。 根據緩存插件的配置,您可能會在/wp-content/cache/的子目錄中看到各種文件,包括合法的 PHP 文件。 這些是由您的緩存插件添加的,尤其是在您啟用對象緩存的情況下。 如果是這種情況,請研究行為或您的緩存插件以及它們存儲的文件並根據您的發現配置文件完整性掃描程序。 如果您不使用任何緩存插件,或者您的插件不存儲 PHP 和其他源代碼文件,那麼監控此目錄會容易得多。
/wp-content/plugins 和 /wp-content/themes/ WordPress 目錄
當您添加、刪除或更新插件時,您將在/wp-content/plugins/ WordPress 目錄中看到更改。 如果您對團隊進行更改,您會注意到/wp-content/themes/目錄中的文件更改。
這並不意味著這些目錄中發生的所有更改總是良性的。 但是,作為一般經驗法則,這兩個目錄中的文件更改僅應作為 WordPress 某些管理操作的結果發生。
注意:我們的 WordPress 網站文件更改監視器插件具有獨特的功能。 它識別 WordPress 核心、插件和主題更改。 因此,它不會發送有關數百個文件更改的錯誤警報。 它會提醒您文件更改是站點更改的結果,允許您查看更改。
WordPress 根目錄
WordPress 根目錄是 Web 服務器上實際安裝的 WordPress。 這是一個需要注意的重要位置。 通常,此處所做的文件更改為您提供了一個很好的調查信號,除非這些更改是由您完成的。
WordPress 核心文件
WordPress 核心文件是構成 WordPress Web 應用程序的實際文件。 核心文件的修改只應因 WordPress 更新而發生。 它們絕不應該在任何其他條件下發生。
因此,除非您手動編輯 WordPress Core 文件(避免這樣做,有更好的方法來自定義 WordPress),否則這應該是一個高質量的信號,表明有問題發生了。
如何監控我的 WordPress 網站的文件更改?
雖然可以通過許多非 WordPress 特定工具來實現文件完整性掃描,但許多工具通常需要相當長的學習曲線才能運行、配置和操作。
相反,一個更簡單的方法,如果不是更好的微調結果,那就是使用 WordPress 的網站文件更改監視器插件。 該插件具有識別 WordPress 核心、插件和主題更新、安裝和刪除的獨家智能技術。 所以它不會報告誤報引發誤報! 有關誤報和我們的智能技術的更多信息,請參閱文件完整性監控中的誤報。
該插件可識別站點結構更改。 因此,當發生更改時,插件會通知您站點結構發生更改,而不是通知您在 WordPress 站點上添加或修改的數百個文件。 它為您自動完成工作,不會引發任何誤報,您也不必手動過濾結果。
立即下載適用於 WordPress 的免費網站文件更改監視器,以更好地管理和提高您網站的安全性。
如果我已經使用了 WordPress 安全插件怎麼辦?
如果您已經使用了 WordPress 安全插件,那就太好了,請繼續這樣做。 但是,文件完整性監控不是安全插件的重點。 通過使用專為文件完整性監控而設計的 WordPress 插件,考慮到性能,您仍然可以獲得使用通用 WordPress 安全插件的所有好處,以及文件完整性監控為您提供的所有有價值的見解。