¿Qué es el monitoreo de la integridad de archivos y por qué lo necesita en su sitio web de WordPress?

¿Alguna vez ha tenido que limpiar su sitio web de WordPress de una infección por malware? ¿Sabes cómo averiguar qué código estaba comprometido? ¿Sabe si sus desarrolladores o agencia han dejado archivos de repuesto y se han ido en su sitio web que pueden estar expuestos a usted? Esta publicación explica cómo monitorear la integridad de los archivos (FIM) lo ayuda a responder tales preguntas. Veremos cómo un complemento para monitorear la integridad de los archivos es esencial para ayudarlo a administrar mejor los archivos de su sitio de WordPress. La detección de problemas en una etapa temprana es muy importante: le permite aliviar y limitar el daño del ataque o el problema.
Nota: El monitoreo de integridad de archivos es el término técnico para lo que se conoce mejor como cambios de archivo, monitoreo de cambios de archivo y términos similares. ¿Qué es el monitoreo y el escaneo de la integridad de los archivos? Escanear o monitorear la integridad de los archivos se refiere al proceso que compara las huellas digitales de un archivo para averiguar si ha cambiado. El software de verificación de integridad de archivos opera creando un hash criptográfico o una huella digital en un sistema. Cuando cambia el contenido de un archivo, su impresión cambia. Después de observar el cambio de huellas digitales del archivo, el escáner de integridad de archivos anuncia el administrador.
¿Por qué necesita verificaciones de integridad de archivos en los sitios de WordPress? Los cambios de archivo ocurren con frecuencia en sitios de WordPress llenos. Por supuesto, la mayoría de estos cambios se desean. Por ejemplo, al agregar nuevos archivos multimedia, instale o actualice un complemento y modifique intencionalmente el código del tema. Sin embargo, otros cambios pueden estar lejos de ser benignos o equivocados. Un escáner de integridad de archivos lo ayuda a ver la integridad del sitio de WordPress. En otras palabras, le ayuda a garantizar que el nuevo complemento o tema que haya instalado no haya cambiado los archivos de su sitio. Motorización y escaneo proactivo y reactivo de los archivos en primer lugar, hay dos formas principales en que la monitorización es usado. Integridad de archivos (FIM) y escaneo: proactivo y reactivo. Ambos métodos se explican en esta publicación. Acciones de seguridad proactivas Cuando la integridad de archivos de escaneo se usa proactiva, evita que ocurran cosas malas. Los siguientes son algunos escenarios en los que el monitoreo proactivo de la integridad de los archivos detecta y anuncia sus errores. Esto le permite solucionar problemas antes de que los atacantes identifiquen la vulnerabilidad o hay un problema con el sitio.
Un desarrollador copia accidentalmente un texto u otro tipo de archivo que contiene información confidencial. Este tipo de archivos puede ser fácilmente encontrado por hackers maliciosos.
Un administrador de la base de datos deja una copia de seguridad de la base de datos MySQL (.sql). Esto permitiría a un atacante descargar toda la base de datos de WordPress.
Un webmaster hace una copia del wp-config.php y lo llama wp-config.bak. Debido a que ya no es un archivo PHP, esto permitiría a un atacante descargar el archivo de copia de seguridad. Esto deja un archivo .swp. Un atacante puede descargar dicho archivo porque el servidor web no lo trata como un código PHP.
Acciones de seguridad reactiva Muchos asocian medidas de seguridad reactiva con demasiada demora. Sin embargo, en realidad, las acciones de seguridad reactivas oportunas son cruciales para aliviar un ataque. También ayuda a detener el daño antes de que las cosas empeoren.
Los siguientes son algunos escenarios en los que se puede utilizar un escáner de integridad de archivos para explorar rápidamente actividades sospechosas y actuar sobre los ataques durante o después de que se llevan a cabo. WordPress 1 Escenario de ataque Un complemento para monitorear la integridad del archivo detecta un nuevo archivo PHP. Tiene un nombre oscuro y se almacena en el director /WP-Content /Supars. Después de la inspección, el administrador de WordPress no puede asignar este archivo a un cambio realizado por él o el equipo. El archivo contiene el código de USCAT, que da como resultado un shell web. El administrador debe actuar rápidamente.
Primero haga una copia del archivo para su posterior análisis. Luego, elimínelo para interrumpir el acceso del atacante al sitio web de WordPress. Después de investigar las revistas del servidor web, el administrador se da cuenta de que este archivo fue cargado por un atacante que abusó de una vulnerabilidad en un formulario de carga de archivo en su sitio. Con toda la información en su mano, el administrador puede hablar con los desarrolladores para remediar el problema. Escenario de ataque de WordPress 2 Un complemento para monitorear los cambios de archivo de WordPress alerta al administrador sobre los cambios de los archivos básicos de WordPress. Esto solo debería suceder durante las actualizaciones de WordPress. Sin embargo, esto sucedió inmediatamente después de que otro administrador de WordPress instaló un nuevo complemento. Después de investigar, el webmaster se entera de que otros han experimentado un comportamiento similar e informaron el complemento malicioso: está diseñado para robar credenciales de WordPress y le. Enviar al atacante cuando un usuario se conecta. El webmaster elimina inmediatamente el complemento Rouge y restaura los archivos modificados. También restablece las contraseñas de todos los usuarios de WordPress con un complemento tranquilo. El escenario de ataque de WordPress 3 Un complemento para monitorear la integridad de los archivos notifica al administrador sobre un archivo oscuro de la contraseña protegida de la raíz de WordPress. El director almacena archivos estáticos con información confidencial y está protegida con una contraseña segura utilizando la autenticación HTTP.
Después de algunas investigaciones, el webmaster se da cuenta de que el archivo se ha cargado a través de un servidor FTP incorrecto, que permite el acceso a la escritura anónima. El administrador establece inmediatamente la configuración del servidor FTP y deshabilita la autenticación anónima. ¿En qué archivos de WordPress debe tener cuidado? Similar a las revistas de actividad de WordPre, con el escaneo de integridad de archivos, debe saber qué buscar para ser efectivo. Siga cada cambio de archivo y tendrá un flujo de alerta sin fin. Siga muy poco y perderá todos los beneficios del monitoreo de cambios de archivo.
Otro factor importante a tener en cuenta es que no todos los cambios de archivo son indicadores de actividades maliciosas o problemáticas. Por ejemplo, no hay problemas si un enchufe de repuesto escribe archivos SQL en un directorio prohibido para usuarios no autorizados. Las siguientes son algunas indicaciones para diferenciar entre cambios benignos y maliciosos en los directorios de WordPress. /WP-Account/uploads/WordPress Director Los sitios de WordPress tienden a ser muy activos. Por lo tanto, monitorear cada archivo creado o modificado probablemente conducirá a un flujo interminable de alertas. En casi todos los casos, es lógico excluir archivos estáticos del director/WP-Content/Supars/.
Los archivos estáticos incluyen archivos multimedia, como imágenes, videos y audio, así como documentos como presentaciones, hojas de cálculo y PDF. Es seguro ignorar dichos archivos, pero no el Administrador de carga. Realmente desea saber si los archivos ejecutables como los archivos PHP se cargan en este directorio. /WP-Account/Cache/WordPress Director Este directorio es complicado. Es utilizado por los complementos de caché de WordPress. Dependiendo de la configuración de su almacenamiento de caché, puede ver una variedad de archivos en/WP-Content/Cache/, incluidos archivos PHP legítimos. Estos son agregados por sus complementos de almacenamiento de caché, especialmente si activa objetos en caché. Si este es el caso, estudie su comportamiento o complementos de caché y qué archivos almacenan y configuran el escáner de integridad de archivos de acuerdo con sus hallazgos. Si no usa caché o si sus complementos no almacenan archivos PHP y otros códigos fuente, entonces es mucho más fácil monitorear este directorio. /WP-Account/Plugins y/WP-Contemplate/Themes/WordPress Director Al agregar, eliminar o actualizar un complemento, verá cambios en el Director/WP-Content/Plugins/WordPress. Si realiza cambios en un equipo, notará los cambios de archivo en el director/WP-Content/Temas/. Esto no significa que todos los cambios que ocurran en estos directores siempre sean benignos. Sin embargo, como regla general, los cambios en los archivos en estos dos directores deben ocurrir solo como resultado de acciones administrativas con WordPress. Nota:
Nuestro complemento de monitoreo de cambios de archivo en el sitio de WordPress tiene una característica única. Reconoce el núcleo de WordPress, los complementos y los cambios de temas. Por lo tanto, no envíe falsas alarmas sobre cientos de cambios de archivo. Le advierte que los cambios de archivo fueron el resultado de un cambio del sitio, lo que le permite revisar el cambio. WordPress Root Director Root Director es la verdadera instalación de WordPress en el servidor web. Este es un lugar importante para prestar atención. La mayoría de las veces, los cambios de archivo realizados aquí le dan una buena señal para investigar, a menos que los cambios hayan realizado los archivos de WordPress WordPress, los archivos principales son los archivos reales que componen la aplicación web de WordPress. Cambiar los archivos básicos solo debe ocurrir como resultado de una actualización de WordPress. Nunca deben ocurrir en ninguna otra condición. Por lo tanto, a menos que edite manualmente un archivo central de WordPress (evite hacer esto, hay mejores formas de personalizar WordPress), debería ser una señal de alta calidad de que ocurra algo de pescado. ¿Cómo monitoreo mi sitio web de WordPress para los cambios de archivo?

Si bien una serie de herramientas de WordPress puede realizar la integridad del archivo que no son específicas, muchos generalmente requieren una curva de aprendizaje para ejecutar, configurar y trabajar. Por el contrario, un enfoque más simple, si no es mejor con resultados más precisos, sería utilizar el monitor de cambios de archivo del sitio web para WordPress. Este complemento tiene una tecnología inteligente exclusiva que reconoce las actualizaciones básicas, las instalaciones y las deleciones de WordPress, complementos y temas. ¡Así que no informes positivos falsos para dibujar alarmas falsas! Consulte Falso positivo en el monitoreo de la integridad de los archivos para obtener más información sobre falsos positivos y nuestra tecnología inteligente. El complemento reconoce los cambios en la estructura del sitio. Entonces, cuando hay un cambio, el complemento anuncia sobre cambiar la estructura del sitio, y no sobre los cientos de archivos que se han agregado o modificado en su sitio web de WordPress. Automatice el trabajo por usted, no active falsas alarmas y no tiene que filtrar manualmente los resultados.