Cách loại bỏ các lỗi tích cực trong giám sát toàn vẹn tệp trên WordPress

Giám sát toàn vẹn tệp (FIM) cho phép bạn nhanh chóng phát hiện các thay đổi tệp trên trang web WordPress của mình. Đây là một phần quan trọng trong việc bảo mật trang web WordPress và cách thức hoạt động rất đơn giản: nó so sánh các băm mật mã cơ sở với hàm băm hiện tại của các tệp được theo dõi. Khi một sự thay đổi xảy ra, bạn nhận được một cảnh báo.

Tuy nhiên, có một vấn đề lớn với các cách tiếp cận không tinh vi để giám sát toàn vẹn tệp: dương tính giả (còn gọi là báo động sai). Không phải tất cả các thay đổi tệp trên trang web WordPress đều có hại hoặc là dấu hiệu của một cuộc tấn công. Nhiều phần vô hại và dự kiến bảo trì. Vì vậy, dương tính giả dẫn đến một số vấn đề:

• quản trị viên có thể bỏ qua các thay đổi tệp độc hại (tình huống sói khóc),
• không phải tất cả quản trị viên trang web WordPress đều có thể xác định hợp pháp từ một cảnh báo không hợp pháp, do đó dẫn đến cảnh báo sai.

Trong bài viết này, chúng tôi sẽ giải thích cách hoạt động của tính năng giám sát toàn vẹn tệp, cấu trúc tệp và thư mục của WordPress và cách bạn có thể định cấu hình chính xác plugin theo dõi thay đổi tệp WordPress.

Giám sát toàn vẹn tệp & băm tập tin 101

Hiểu băm tập tin và tổng kiểm tra có thể giúp bạn hiểu cách FIM hoạt động. Nói một cách đơn giản, băm mật mã tạo ra một đầu ra cụ thể dựa trên một đầu vào cụ thể. Hàm băm là hàm không thể đảo ngược một chiều. Đó là, chỉ cần biết kết quả sẽ không cho phép bạn làm việc ngược với đầu vào.

Ví dụ: chúng ta có thể sử dụng hàm băm MD5 để kiểm tra tính toàn vẹn của văn bản. Trong ví dụ dưới đây, chúng tôi sử dụng trình tạo tổng kiểm tra MD5 để tạo hàm băm của câu Th e nhanh chóng cáo nâu.

Chúng ta có thể nhập cùng một văn bản nhiều lần và nhận được cùng một kết quả, như được hiển thị trong ảnh chụp màn hình bên dưới:

Tuy nhiên, thêm hoặc lấy đi một ký tự và hàm băm chúng ta thay đổi hoàn toàn, mặc dù nó vẫn có cùng số lượng ký tự. Trong ví dụ dưới đây, chúng tôi đã thay đổi văn bản nguồn thành Con cáo nâu nhanh.

Vì vậy, tại sao điều này lại quan trọng đối với việc thay đổi tệp WordPress? Đơn giản: đầu ra của hàm băm được sử dụng để xác định xem một tệp đã thay đổi hay chưa. Nếu ngay cả một thay đổi nhỏ được thực hiện cho một tệp, thì băm tệp sẽ khác. Các plugin giám sát tính toàn vẹn của tệp làm cho các so sánh này trở nên đơn giản.

LƯU Ý:  để tìm hiểu chi tiết hơn về FIM, hãy đọc theo dõi toàn vẹn tệp cho các trang web WordPress.

Tại sao dương tính giả xảy ra?

Tuy nhiên, nó không đủ để chấp nhận một cách mù quáng kết quả của các công cụ giám sát của chúng tôi. Chúng ta phải có khả năng diễn giải ý nghĩa của chúng và loại trừ những tiêu cực sai và tiềm năng sai. Trong bảo mật, dương tính giả là một báo động giả, trong đó các công cụ của chúng tôi phát hiện ra thứ gì đó cuối cùng là một người siêng năng. Điều này giống như việc nướng bánh mì nướng trong bếp, tắt chuông báo cháy và đánh thức mọi người khác dậy. Một tiêu cực sai sẽ ngược lại, nơi có hoạt động độc hại, nhưng nó không bị phát hiện bởi các công cụ của chúng tôi. Nói chung, do cách thức giám sát toàn vẹn tệp hoạt động, dương tính giả là một vấn đề phổ biến hơn.

Báo động sai xảy ra khi plugin theo dõi tập tin thay đổi mà không có ngữ cảnh. Không phải tất cả các thay đổi tập tin là xấu. Ví dụ: nếu bạn cập nhật WordPress hoặc plugin, một số tệp sẽ thay đổi. Trong trường hợp này thay đổi tập tin là cần thiết và nó không phải là một báo động.

Hiểu cấu trúc thư mục WordPress

Vậy làm thế nào để bạn biết những thay đổi tập tin bạn nên quan tâm? Nó bắt đầu với việc hiểu cấu trúc thư mục WordPress và các thay đổi kịch bản có thể xảy ra. Các thư mục tập tin quan trọng nhất để theo dõi bao gồm:

• / wp-content / uploads / – Tải lên các tệp tĩnh (hình ảnh, video, tài liệu, v.v.) là phổ biến trong thư mục này và ok để loại trừ khỏi các cảnh báo. Các tệp thực thi, như các tệp PHP là những gì bạn cần để ý ở đây.
• / wp-content / cache / – Nếu bạn đang sử dụng plugin bộ đệm, việc theo dõi thư mục này trở nên khó khăn. Điều này là do các plugin lưu trữ có thể sử dụng hợp pháp các tệp thực thi. Nếu bạn không sử dụng các bộ đệm ẩn, việc theo dõi thư mục này để thay đổi sẽ đơn giản hơn.
• / wp-content / plugin – Thay đổi trong thư mục này chỉ xảy ra khi cài đặt, cập nhật hoặc gỡ cài đặt plugin. Các plugin đáng chú ý nói chung chỉ nên thay đổi các tệp trong thư mục riêng của chúng (hoặc trong bộ đệm trong trường hợp plugin lưu vào bộ đệm hoặc trong thư mục tải lên trong trường hợp nó lưu trữ một số dữ liệu).
• / wp-content / Themes / – Giống như với thư mục trước, các thay đổi ở đây chỉ nên xảy ra khi cài đặt, cập nhật, sửa đổi hoặc gỡ cài đặt một chủ đề.
• WordPress root- Vì vậy, không nên có bất kỳ thay đổi nào trong thư mục này, trừ khi bạn có một số giải pháp hoặc mã tùy chỉnh.
• Các tệp WordPress Core – Cập nhật WordPress là lý do duy nhất các tệp này nên thay đổi.

Với thông tin ở trên, bây giờ bạn sẽ có thể xác định xem các thay đổi tệp có lành tính hay không khi chúng có thể là một mối quan tâm. Ví dụ: nếu bạn cập nhật một plugin, bạn sẽ thấy tệp plugin trong thư mục của plugin đó thay đổi. Tuy nhiên, sẽ không nằm trong dự kiến sẽ thấy thay đổi tệp cốt lõi hoặc thay đổi thư mục của plugin khác. Tương tự, bạn không nên thấy plugin, lõi hoặc các thay đổi tệp khác khi bạn chưa bắt đầu bất kỳ bản cập nhật nào. Những loại thay đổi tập tin bất ngờ có thể chỉ ra phần mềm độc hại hoặc thỏa hiệp trang web.

Sử dụng đúng công cụ có thể đi một chặng đường dài trong việc giảm thiểu các lỗi tích cực mà không làm mất tính bảo mật. Ví dụ: một trong những lợi ích của Plugin Trình giám sát thay đổi tệp trang web cho WordPress là khả năng phát hiện WordPress, plugin và cập nhật chủ đề để tránh các báo động tích cực và phiền toái sai.

Các ví dụ thực tế về giám sát thay đổi tệp WordPress

Bây giờ bạn đã hiểu cách thức giám sát toàn vẹn tệp hoạt động và những gì thay đổi tệp mong đợi, hãy kiểm tra Giám sát thay đổi tệp trang web trong thực tế. Để bắt đầu, plugin sẽ tự động thực hiện quét đường cơ sở ban đầu sau khi bạn kích hoạt nó.

Báo cáo thay đổi tệp do cài đặt plugin & chủ đề, cập nhật và gỡ cài đặt

Nếu chúng tôi cài đặt một plugin mới, plugin Trình giám sát thay đổi tệp trang web sẽ báo cáo rõ ràng các thay đổi trong hệ thống tệp dưới dạng cài đặt plugin mới. Nó cũng báo cáo đường dẫn nơi các tệp mới được phát hiện và tên của plugin. Điều này giúp những người không quen thuộc với hoạt động bên trong của WordPress hiểu rõ hơn về thay đổi tệp được báo cáo, do đó giảm cảnh báo sai.

Bạn cũng có thể nhấp vào biểu tượng Thông tin để xem danh sách đầy đủ các tệp đã được thêm trong quá trình cài đặt plugin mới. Plugin cũng báo cáo số lượng tệp được liên kết với bản cập nhật này.

Plugin báo cáo tất cả các plugin và chủ đề cập nhật khác theo cùng một cách. Điều này có nghĩa là plugin đánh dấu rõ ràng một plugin hoặc cài đặt chủ đề, cập nhật hoặc xóa cho phép bạn đưa ra quyết định có căn cứ về việc thay đổi tệp có hợp pháp hay không.

Báo cáo thay đổi tệp do cập nhật lõi WordPress

Bây giờ hãy cập nhật lõi WordPress. Khi cập nhật WordPress, chúng tôi mong đợi các thay đổi tệp, đặc biệt là trong thư mục gốc. Sau khi chạy bản cập nhật WordPress, chúng tôi thấy phần sau trong phần Tệp đã thêm:

1. Một số tệp đã được thêm vào trong thư mục / wp-content / Themes / fiftoven / . Điều này có nghĩa là bản cập nhật bao gồm một chủ đề mới. Plugin không báo cáo đây là cài đặt chủ đề vì các tệp được sao chép trực tiếp vào hệ thống tệp thông qua bản cập nhật.
2. Một số tệp lõi WordPress mới trong các thư mục wp-admin và wp-gồm (được đánh dấu màu xanh lá cây). Bạn có thể xem danh sách đầy đủ các tập tin bằng cách nhấp vào  biểu tượng thông tin .

Nhìn vào các tệp đã sửa đổi trong quá trình cập nhật, chúng tôi chỉ thấy các thay đổi đối với các tệp loại Cập nhật lõi. Một lần nữa, hành vi dự kiến cho một bản cập nhật WordPress.

Việc mua ở đây? Hành vi bình thường. Các thay đổi được đánh dấu rõ ràng bởi plugin Trình theo dõi thay đổi tệp trang web, không có báo động sai. Mặt khác, plugin báo cáo một danh sách các thay đổi tệp mà không có bất kỳ dấu hiệu nào cho thấy tại sao chúng xảy ra, người dùng sẽ bị báo động.

Tinh chỉnh plugin Trình thay đổi tệp trang web

WordPress được sử dụng trong nhiều ứng dụng với nhiều plugin và sửa đổi. Do đó, các giải pháp plugin theo dõi toàn vẹn tệp cũng phải đủ linh hoạt để đáp ứng các thay đổi và nhu cầu tùy chỉnh. Ví dụ: tùy chọn tần số quét có thể khác nhau đối với blog cá nhân và trang web thương mại điện tử lớn. Ngoài ra, bạn có thể cần bao gồm hoặc loại trừ một tập hợp các tệp và thư mục tùy chỉnh cụ thể.

Một plugin WordPress có thể cấu hình nhưng dễ sử dụng

Một plugin tốt hướng dẫn người dùng và giúp họ hiểu rõ hơn về kết quả. Ví dụ, theo mặc định, plugin nên loại trừ các tệp không thể thực thi khỏi quá trình quét. Các tệp như tệp nhật ký, tệp văn bản và tệp phương tiện không nguy hiểm và quản trị viên không cần biết nếu chúng thay đổi, vì các thay đổi trong tệp văn bản không bao giờ có thể độc hại. Vì vậy, không cần plugin để thông báo cho người dùng khi tệp nhật ký thay đổi vì nó chỉ đưa ra các câu hỏi và cảnh báo sai.

Đây là những gì làm cho plugin Trình theo dõi thay đổi tệp trang web nổi bật so với phần còn lại. Nó được phát triển cho tất cả các cấp độ của người dùng. Bạn không cần phải biết các kỹ thuật và những thay đổi tệp nào là độc hại hoặc không được hưởng lợi từ plugin này. Bất cứ ai cũng có thể hưởng lợi từ plugin này và hiểu kết quả. Trên hết, plugin hoàn toàn tùy biến. Bạn có thể:

• cấu hình lịch trình và tần số quét
• chọn thư mục mà plugin nên quét,
• loại trừ các tập tin trong một thư mục cụ thể hoặc bằng cách mở rộng.

Giám sát toàn vẹn tệp hiệu quả là một khía cạnh quan trọng của bảo mật WordPress

Một giải pháp bảo mật WordPress hiệu quả là một giải pháp không báo cáo dương tính giả và các báo cáo có thể dễ dàng hiểu được bởi người dùng ở mọi cấp độ. Đây là lý do tại sao plugin Trình giám sát thay đổi tệp trang web nổi bật so với tất cả các plugin FIM khác; nó rất dễ sử dụng và làm nổi bật rõ ràng các loại thay đổi tệp khác nhau để hỗ trợ người dùng hiểu các báo cáo. Trên hết, nó không báo cáo dương tính giả.

Tải xuống plugin Giám sát thay đổi tệp trang web ngay bây giờ để được cảnh báo về các thay đổi tệp trên trang web WordPress của bạn.

Giám sát toàn vẹn tệp chỉ là một phần của câu đố bảo mật

Cũng như nhiều thứ khác, một plugin tự nó không tạo nên tất cả bộ công cụ bảo mật WordPress của bạn. Giám sát toàn vẹn tập tin cũng nên được bổ sung bởi:

Nếu bạn cuối cùng bị xâm phạm, công cụ toàn vẹn tệp của chúng tôi có thể giúp bạn tìm nơi thay đổi xảy ra. Điều này lần lượt cho phép ứng phó sự cố, khắc phục và tài liệu hiệu quả.