Cómo eliminar la falsa positiva en la integridad de los archivos de monitoreo en WordPress

File Integrity Monitoring (FIM) le permite detectar rápidamente los cambios de archivo en su sitio web de WordPress. Es una parte importante de asegurar un sitio de WordPress y la forma en que funciona es muy simple: compara los hash criptográficos básicos con el hash actual de los archivos monitoreados. Cuando tiene lugar un cambio, obtienes una alerta. Sin embargo, existe un problema importante con los enfoques poco sofisticados de la integridad de los archivos: falsas falsas alarmas). No todos los cambios en los archivos en un sitio web de WordPress son dañinos o un signo de un ataque. Muchos son partes inofensivas y esperadas de mantenimiento. Entonces, el falso positivo conduce a una serie de problemas:
Los administradores podrían ignorar los cambios maliciosos de los archivos (una situación de lobo llorón),
No todos los administradores del sitio de WordPress pueden identificar una alerta legítima de una alerta ilegal, lo que lleva a falsas alarmas.
En este artículo explicaremos cómo monitorear la integridad de los archivos, la estructura de los archivos y directores de WordPress, y cómo puede configurar correctamente los cambios de archivo de WordPress. El monitoreo de integridad de archivos y los hash de la comprensión de Hashing 101 de Hashing y los montos de verificación pueden ayudarlo a comprender cómo funciona FIM. Simplemente dicho, el hash criptográfico produce un resultado específico basado en una entrada específica. Las funciones hash son funciones unidireccionales no reversibles. Es decir, solo saber que el resultado no le permitirá trabajar en la entrada.
Por ejemplo, podemos usar un hash MD5 para verificar la integridad del texto.En el siguiente ejemplo, utilizamos un generador de control MD5 para crear el hash del zorro marrón rápido.

Sin embargo, agregue o elimine un solo carácter, y el hash obtenemos cambios completamente, aunque tiene el mismo número de caracteres.En el siguiente ejemplo, cambié el texto de origen a los zorros marrones rápidos.

Entonces, ¿por qué esto importa para monitorear los cambios del archivo de WordPress?Simple: Salir, se utiliza una función hash para determinar si un archivo ha cambiado.Si incluso se realiza un ligero cambio en un archivo, el hash del archivo será diferente.Los complementos de monitoreo de integridad de archivos hacen estas comparaciones simples.

Nota: Para obtener más información sobre FIM, lea el monitoreo de integridad de archivos para sitios de WordPress. ¿Por qué aparecen falsos positivos? Sin embargo, no es suficiente aceptar ciegamente los resultados de nuestras herramientas de monitoreo. Debemos poder interpretar lo que significan y excluir potenciales falsos negativos y falsos positivos. En seguridad, un falso falso es una falsa alarma, en la que nuestras herramientas detectan algo que se convierte en un error. Es similar a la quema de pan frito en la cocina, provocando la alarma de incendio y el despertar de todos los demás. Un falso negativo sería al revés, donde hay actividad maliciosa, pero nuestras herramientas no lo detectan. En general, debido a la forma en que operan la integridad de los archivos, el falso positivo es un problema más común. Las falselas aparecen cuando los complementos monitorea los cambios del archivo sin contexto. No todos los cambios de archivo son malos. Por ejemplo, si actualiza WordPress o un complemento, algunos archivos cambiarán. En este caso, se necesitan cambios de archivo y no es una alarma. Comprensión de la estructura de los directorios de WordPress, ¿cómo sabe qué cambios de archivo debe importarle? Comienza con la comprensión de la estructura de los directorios de WordPress y probablemente ocurran los cambios de escenarios. Los directores de archivos monitoreados más importantes incluyen:
/WP-Account/uploads/-Static File Cargas (imágenes, videoclips, documentos, etc.) son frecuentes en este directorio y se pueden excluir de las alertas. Los archivos ejecutables como los archivos PHP son de lo que debe tener cuidado aquí.
/WP-Content/Cache/-Si usa un enchufe de almacenamiento de caché, monitorear este director se vuelve difícil. Esto se debe al hecho de que los complementos de almacenamiento de caché pueden usar legítimamente archivos ejecutables. Si no usa complementos de caché, monitorear a este director para los cambios es más simple./wp-content/plugins- Los cambios en este directorio solo tienen lugar en la instalación, actualización o desinstalación de un complemento. Vale la pena señalar que los complementos generalmente deberían cambiar los archivos solo en sus propios directores (o en caché en el caso de un almacenamiento de caché, o en el directorio de carga si almacenan algunos datos).
/WP-Account/Temas/-As en el directorio anterior, los cambios aquí deben ocurrir solo al instalar, actualizar, modificar o desinstalar un tema.
WordPress Root: como tal, no debe haber cambios en este directorio, a menos que tenga una solución o un código personalizado.
WordPress Core Archivos: las actualizaciones de WordPress son la única razón por la que estos archivos deberían cambiar.
Con la información anterior, ahora debería poder determinar si los cambios en el archivo son benignos para cuando podría ser un problema. Por ejemplo, si actualiza un complemento, se espera que vea el cambio de archivo del complemento en la carpeta. Sin embargo, no se esperaría que vea un cambio del archivo básico o modificar la carpeta de otro complemento. Del mismo modo, no debe ver el arado, básico u otros archivos cuando no haya iniciado ninguna actualización. Esos cambios inesperados en los archivos podrían indicar un malware o un compromiso del sitio. El uso de la herramienta adecuada puede contribuir en gran medida a la minimización de falsificaciones positivas sin sacrificar la seguridad. Por ejemplo, uno de los beneficios de monitorear los cambios de complementos a los archivos de WordPress es la capacidad de detectar WordPress, complementos y temas para evitar alarmas falsas y desagradables positivas. Ejemplos reales de monitoreo de los cambios de archivo de WordPress Ahora que comprende cómo monitorear la integridad del archivo y los cambios de archivo que espera, ver en la acción el monitor del archivo cambia en el sitio. Para iniciar, el complemento realiza automáticamente un escaneo inicial básico una vez que lo activa.
Informes de archivos de informe Debido a las instalaciones, actualizaciones y desinstalaciones de complementos y temas si instalamos un nuevo complemento, el archivo del sitio web cambia el monitor informa claramente los cambios en el sistema de archivos como una nueva instalación del complemento. También informa la ruta en la que se han detectado los nuevos archivos y también el nombre del complemento. Esto ayuda a aquellos que no están familiarizados con el funcionamiento interior de WordPress mejor para comprender el cambio de archivo informado, reduciendo así las alarmas falsas. También puede hacer clic en el icono de información para ver la lista completa de archivos que se han agregado a la hora de la instalación del Nuevo complemento. El complemento también informa el número de archivos asociados con esta actualización.
El complemento informa todos los otros complementos y actualizaciones de temas de la misma manera. Esto significa que el complemento marca claramente la instalación, actualización o eliminación de un complemento o un tema, lo que le permite tomar una decisión informada si los cambios de archivo son legítimos o no. Informe de cambios de archivo debido a una actualización básica de WordPress ahora para actualizar el núcleo de WordPress. Al actualizar WordPress, esperamos cambios de archivo, especialmente en el directorio raíz. Después de ejecutar una actualización de WordPress, vemos lo siguiente en la sección del archivo agregado:
Se han agregado varios archivos a la carpeta/WP-Content/Temas/Veintisiete años/. Esto significa que la actualización ha incluido un nuevo tema. El complemento no informó esto como una instalación del tema, porque los archivos se copiaron directamente en el sistema de archivos a través de la actualización.
Varios nuevos archivos básicos de WordPress en WP-Admin y WP-Incluye carpetas (marcadas con verde). Puede ver la lista completa de archivos haciendo clic en el icono de la información. Pricción de los archivos modificados durante la actualización, solo vemos cambios en los archivos de actualización central. Nuevamente, el comportamiento esperado para una actualización de WordPress.


Paquete aquí? Comportamiento normal. Los cambios están claramente marcados por el monitor de cambios de archivo del sitio web del complemento, no hay falsas alarmas. Si, por otro lado, el complemento informa una lista de cambios de archivo sin ninguna indicación de por qué han sucedido, el usuario se alarmará. El ajuste fino de los cambios de archivo del sitio web del complemento Monitor WordPress se utiliza en una variedad de aplicaciones con una amplia gama de complementos y cambios. Como resultado, las soluciones de monitoreo de integridad de archivos también deben ser lo suficientemente flexibles como para adaptarse a cambios y necesidades personalizadas. Por ejemplo, las preferencias de frecuencia de frecuencia pueden ser diferentes para un blog personal y un gran sitio electrónico. Además, puede ser necesario incluir o excluir un cierto conjunto de archivos y carpetas personalizados.

Un complemento para cambiar los archivos configurables de WordPress, pero fácil de usar un buen complemento guía a los usuarios y les ayuda a comprender mejor los resultados. Por ejemplo, por defecto, el complemento debe excluir archivos no ejecutables. Archivos como archivos de registro, archivos de texto y archivos multimedia no son peligrosos y los administradores no deben saber si cambian, porque los cambios en un archivo de texto nunca pueden ser maliciosos. Por lo tanto, no es necesario que el complemento alerte a un usuario cuando cambie un archivo de diario, ya que solo plantea preguntas y alarmas falsas. Esto es lo que hace que los cambios de archivo del sitio web del complemento se destaquen del resto. Ha sido desarrollado para todos los niveles de usuarios. No debe conocer los detalles técnicos y qué cambios de archivo son maliciosos o no se benefician de este complemento. Cualquiera puede beneficiarse de este complemento y comprender los resultados. Además, el complemento es completamente personalizable. Puede: configurar el programa de escaneo y la frecuencia,

Seleccione qué directorios debe escanear el complemento,

excluir archivos de un directorio en particular o por extensión.
El monitoreo efectivo de integridad de archivos es un aspecto importante de la seguridad de WordPress Una solución efectiva de seguridad de WordPress es una solución que no informa falsas positivas y sus informes pueden ser fácilmente entendidos por los usuarios de cualquier nivel. Esta es la razón por la cual los archivos del sitio web superponen los complementos del sitio web en comparación con todos los demás complementos FIM; Es fácil de usar y resalta claramente los diferentes tipos de cambios de archivo para ayudar a los usuarios a comprender los informes. Además, no informa falso positivo. Descargue ahora el archivo del sitio web cambia el complemento del monitor para ser advertido de los cambios de archivo en su sitio web de WordPress. El monitoreo de la integridad de los archivos es solo una pieza de rompecabezas de seguridad como en el caso de muchas otras cosas, un solo complemento no compone todo el conjunto de herramientas de seguridad de WordPress. El monitoreo de integridad de archivos también debe completarse mediante: WordPress Activity Journals,
Políticas de contraseña segura para usuarios de WordPress,

Autenticación con dos factores en WordPress,
Pantalla protectora de WordPress (consulte la Guía de paravane de protección de WordPress para obtener más información sobre diferentes tipos de paravanes protectores, etc.)
Por último, pero no menos importante, una buena solución de respaldo para WordPress.
Si se compromete, nuestra herramienta de integridad de archivos puede ayudarlo a encontrar los cambios. Esto permite, a su vez, una respuesta efectiva al incidente, remediación y documentación.