Un’installazione predefinita e aggiornata di WordPress che abbia una password forte può considerarsi sufficientemente sicura. Tuttavia, per sopravvivere su internet non basta.

È qui che entra in gioco il File Integrity Monitoring (FIM). Uno strumento (o plugin) di File Integrity Monitoring monitora i file del vostro sito e vi avvisa di eventuali cambiamenti come il caricamento di file, modifiche, rimozioni e così via.

Il File Integrity Monitoring vi aiuta a stanare eventuali violazioni della sicurezza e a identificare gli errori che potrebbero esporre il vostro sito web agli attacchi degli hacker.

In questo post, vi forniremo un’introduzione approfondita al File Integrity Monitoring e vi spiegheremo come può migliorare la sicurezza del vostro sito. Condivideremo anche alcuni diversi strumenti e plugin che potrete utilizzare per implementare questa soluzione sul vostro sito WordPress.

Cominciamo!

Introduzione al File Integrity Monitoring

Quando si tratta di proteggere e mantenere infrastrutture come siti web e server, il File Integrity Monitoring è fondamentale. Questa soluzione convalida l’integrità di un dato ambiente, cioè controlla se il contenuto dei file del vostro sito cambia inaspettatamente.

È possibile utilizzare File Integrity Monitoring per rilevare le modifiche dei file in sistemi operativi, server web e applicazioni web come WordPress. Può anche rivelarsi utile per il monitoraggio di soluzioni software basate su file, come database e file di configurazione.

Le organizzazioni che utilizzano uno strumento di File Integrity Monitoring hanno maggiori probabilità di rilevare tempestivamente le violazioni della sicurezza, garantendo migliori possibilità di rimanere online e scongiurare eventuali danni rilevanti. Per questo motivo, il File Integrity Monitoring è considerato principalmente una soluzione di sicurezza.

Tuttavia, questo strumento può raggiungere anche altri obiettivi. In alcuni casi, è in grado di monitorare i cambiamenti di configurazione del software e dei sistemi operativi:

  • Configurazione delle porte aperte su un server.
  • Configurazione di web server e servizi di rete.
  • Esecuzione o arresto dei servizi (daemons) su un server.

Anche i cambiamenti pianificati di file possono a volte causare problemi al vostro sito WordPress. Tenendo traccia di tutte le modifiche apportate con File Integrity Monitoring, è possibile individuare facilmente le possibili cause di errori legati alle modifiche dei file.

In questo modo la risoluzione dei problemi è più veloce, ed il sito può tornare presto a funzionare.

Come Funziona il File Integrity Monitoring

Il File Integrity Monitoring funziona prendendo le “impronte digitali” dei file del vostro sito e confrontandoli tra loro. Se le impronte digitali sono diverse, significa che i file sono stati modificati.

Per creare un’impronta digitale, il File Integrity Monitor (noto anche come File Integrity Scanner) analizza un singolo file e crea un “checksum”, cioè una stringa unica di dati associati a quel file, eseguendo una funzione crittografica di hash sul file.

Impronte digitali dei file del sito
Impronte digitali dei file del sito

Il File Integrity Monitoring può diventare utile per controllare anche altre proprietà dei file, come i permessi e la data di modifica. Questi controlli sono cruciali in quanto anche una semplice modifica dei permessi di un file potrebbe lasciare il sistema aperto agli attacchi.

Perché il File Integrity Monitoring È Importante

Uno degli aspetti che rendono il File Integrity Monitoring una soluzione di sicurezza indispensabile è il suo duplice punto di forza: una soluzione di sicurezza reattiva e proattiva.

File Integrity Monitoring come Sicurezza Proattiva

Un esempio di sicurezza proattiva è l’identificazione degli errori commessi dai vostri sviluppatori durante il lavoro sul vostro sito web che potrebbero lasciarlo esposto ad attacchi. Permessi di file errati, file residui contenenti informazioni sensibili, come il backup di un database o di un file di codice sorgente, sono buoni esempi di minacce alla sicurezza che File Integrity Monitoring è in grado di identificare in modo proattivo.

File Integrity Monitoring come Sicurezza Reattiva

Con il File Integrity Monitoring potete anche vedere cosa è cambiato sul vostro sito dopo un attacco hacker o in quali file il malware è stato iniettato.

In aggiunta a ciò, potete anche controllare le modifiche nella configurazione del vostro sito web monitorando i file cruciali di WordPress, come i file wp-config.php e . htaccess.

Grazie a queste informazioni chiave, è possibile riportare il sito allo suo stato di salute originario e ripulire da qualsiasi tipo di malware o “codice cattivo” nel più breve tempo possibile.

Obbligo di Conformità

Per alcuni, il monitoraggio dell’integrità dei file può anche essere richiesto dalla legge. Il Payment Card Industry Data Security Standard (PCI DSS) richiede ai siti conformi di:

“Implementare un meccanismo di rilevamento delle modifiche (ad esempio, strumenti di File Integrity Monitoring) per avvisare il personale in caso di modifiche non autorizzate”.

La gestione delle informazioni sensibili dei visitatori del vostro sito web è una seria responsabilità. Se memorizzate qualsiasi tipo di dati dei clienti sul vostro sito web, in particolare i dati dei titolari di carta di credito, contare sul File Integrity Monitoring vi aiuta a garantire che tali dati non siano stati manomessi da nessuno e vi mantiene dal lato giusto della legge.

PCI DSS
PCI DSS

Perché Avete Bisogno del File Integrity Monitoring per il Vostro Sito WordPress

WordPress è un’applicazione web ed è composta da due tipi di file: file non eseguibili e file eseguibili.

I primi sono per lo più log (file di registro) e file multimediali. I log sono tipicamente generati da plugin e temi, mentre i file multimediali sono quelli che caricate sul vostro sito web, come immagini, video, PDF e così via. Non sono eseguibili perché il server web non li esegue, ma li serve.

La maggior parte dei file non eseguibili sono memorizzati nella directory /wp-content/uploads/ in WordPress. Le modifiche ai file non eseguibili non hanno impatto sulla sicurezza, sulle prestazioni o sulle funzionalità del vostro sito web. La maggior parte delle soluzioni di File Integrity Monitoring, infatti, escludono questi file dalle loro scansioni per impostazione predefinita.

D’altra parte, i file eseguibili includono PHP, JavaScript e altri file che contengono il codice sorgente del vostro sito come il core di WordPress, plugin, temi e qualsiasi applicazione web personalizzata che potreste avere. Possono verificarsi cambiamenti nei file eseguibili, ma solo quando:

Qualsiasi altra modifica ai file eseguibili del vostro sito WordPress potrebbe essere un segno di intrusione, della presenza di malware, o un errore dello sviluppatore. L’esecuzione di un plugin di File Integrity Monitoring sul vostro sito WordPress può aiutare a individuare facilmente questi problemi prima che diventino una vera minaccia per la sicurezza o per la funzionalità del vostro sito.

Per fare un rapido riassunto: File Integrity Monitoring può aiutarvi a identificare i file di test che avrebbero dovuto essere rimossi, la maggior parte delle intrusioni di malware (raccomandazione: la nostra guida approfondita alle iniezioni SQL), inclusi backdoor, reindirizzamenti, Trojan e qualsiasi altra modifica dannosa dei file.

Se utilizzato in combinazione con un registro delle attività, File Integrity Monitoring offre una visione completa di ciò che sta accadendo sul vostro sito in ogni momento. Potete realizzar analisi post-hack per determinare quali file sono stati presi di mira e da chi, e anche migliorarne la sicurezza per prevenire futuri attacchi.

Due Diversi Metodi di File Integrity Monitoring

La base del File Integrity Monitoring è sempre la stessa: confrontare le impronte digitali di un singolo file rilevate in momenti diversi nel tempo. Ci sono diversi modi per raggiungere questo obiettivo.

1. Confronto dei File in un Repository Centrale

Un metodo comunemente usato è quello di confrontare un’impronta digitale con un repository centrale attraverso l’uso di un plugin WordPress (maggiori informazioni sui plugin qui sotto). In questo caso, il plugin confronta l’impronta digitale del file index.php del vostro sito con l’impronta digitale dell’ultimo file index.php rilasciato da WordPress.

Il vantaggio di utilizzare questo metodo è che si può facilmente confermare se i file sono identici a quelli originali. Tuttavia, poiché si confrontano i dati con un repository centrale, ci sono alcune carenze:

  • La soluzione non può identificare cambiamenti nei file di configurazione distribuiti come . htaccess e wp-config.php.
  • Verranno segnalati falsi positivi se personalizzate il codice del vostro sito web.
  • Il plugin può solo confrontare file di applicazioni conosciute (WordPress core) e a volte di plugin popolari.
  • Queste soluzioni non possono rilevare cambiamenti nelle applicazioni personalizzate o nei plugin perché non c’è nulla con cui confrontarle.
  • La sicurezza del vostro sito web dipende dalla rapidità con cui il fornitore aggiorna le impronte digitali originali o dalla disponibilità del repository centrale.
Confronto dei file
Confronto dei file

2. Confronto tra File e Dati Autogenerati

A causa dei limiti del metodo precedente, il confronto di due serie di dati autogenerati è il metodo preferito e ciò che le buone pratiche suggeriscono. Questo tipo di soluzione rileva le modifiche dei file confrontando le impronte digitali con le loro precedenti scansioni.

Questo significa che il plugin genera le prime impronte digitali al momento dell’installazione. Poi, quando esegue di nuovo la scansione dei file, confronta le nuove impronte digitali con quelle della scansione originale. E ogni volta che viene registrato un cambiamento di file, è possibile configurare il plugin per accettare la modifica automaticamente o inviare un avviso.

Questo metodo è preferito al precedente per i seguenti vantaggi:

  • Può rilevare modifiche nel codice personalizzato.
  • Il sistema si adatta al vostro sito web (potete convalidare le modifiche e aggiornare le impronte digitali, supportando così continue personalizzazioni).
  • Segnala un numero significativamente inferiore di falsi positivi.

Per questi motivi, quando si cerca uno strumento o un plugin di File Integrity Monitoring, sarebbe preferibile sceglierne uno basato su dati autogenerati.

3 Tipi di Strumenti di File Integrity Monitoring che Potete Usare per Proteggere il Vostro Sito

Sono disponibili diverse soluzioni di File Integrity Monitoring. Li abbiamo suddivisi in tre categorie di base. Cominciamo dall’inizio!

1. Soluzioni Software a Livello Server

Queste soluzioni sono installate sul sistema operativo del server web e controllano tutti i file sul server web. Ciò significa che potete utilizzarli solo se disponete di un server web o di un VPS.

Ci sono diverse opzioni disponibili sul mercato, come ad esempio:

Come soluzioni a livello di server, queste non si rivolgono specificamente ai siti basati su WordPress, quindi potrebbero generare molti falsi positivi. Inoltre, sono piuttosto costose e richiedono conoscenze avanzate per essere installate e gestite.

2. Plugin WordPress

Se volete una soluzione di File Integrity Monitoring più specifica per WordPress, ci sono vari plugin disponibili fra cui scegliere.

Website File Changes Monitor

Website File Changes Monitor è un plugin dedicato al File Integrity Monitoring per WordPress. È disponibile gratuitamente e vi avvisa via email quando rileva modifiche ai file.

Vista modifiche file con menu
Vista delle modifiche ai file con menu

Questo plugin utilizza dati autogenerati per il confronto dei file ed è possibile avviare scansioni on-demand. Si tratta di una soluzione completamente configurabile per il File Integrity Monitoring in WordPress ed è possibile escludere file e directory, configurare la pianificazione delle scansioni e molto altro ancora.

Ciò che davvero distingue questo plugin da tutti gli altri è che si tratta dell’unico plugin WordPress che è pienamente consapevole delle modifiche al core di WordPress, ai plugin e ai temi.

WordPress File Monitor

WordPress File Monitor è anch’esso un plugin dedicato al File Integrity Monitoring che utilizza dati autoprodotti per i confronti. Tuttavia, non è a conoscenza delle modifiche al core WordPress, ai plugin e ai temi, e potreste ricevere molti falsi allarmi positivi sui cambiamenti di questi file.

Avvisi falsi positivi
Avvisi falsi positivi

I falsi allarmi positivi possono avere un impatto molto negativo sul sito web perché gli utenti non esperti in materia di sicurezza non possono verificare se gli avvisi sono generati da qualcosa di grave o da una modifica sicura del file.

Altre Opzioni di Plugin

Quelli citati gli unici plugin di File Integrity Monitoring per WordPress. Altri plugin con funzionalità di File Integrity Monitoring sono inclusi in soluzioni di sicurezza all-in-one come Sucuri Security, iThemes security e Wordfence.

Tutti e tre i plugin usano il metodo che confronta i file con un repository centrale e ignorano i cambiamenti della struttura del sito, cioè identificano solo i cambiamenti nel core di WordPress e alcuni plugin popolari.

3 Strumenti Open Source di File Integrity Monitoring

Se i plugin non fanno per voi, potreste voler considerare uno dei tanti strumenti open source disponibili per il monitoraggio dei vostri file. Per esempio, Tripwire fornisce una versione open source della sua piattaforma che offre funzionalità di sicurezza gratuite, incluso il monitoraggio dei file. Detto questo, questa versione non è così efficace come la sua controparte a pagamento.

Un’altra piattaforma open source da considerare è OSSEC:

La piattaforma OSSEC
La piattaforma OSSEC

Si tratta di una popolare soluzione di sicurezza gratuita ed è in grado di svolgere attività di monitoraggio dei file. Tuttavia, come molti degli altri strumenti che abbiamo menzionato, funziona a livello di server. Anche se può essere utilizzato con WordPress, può funzionare solo se disponete di un server dedicato o di VPS.

Inoltre, se optate per OSSEC, dovrete fare qualche configurazione avanzata, ma potrebbe non essere la soluzione più accurata per il vostro sito.

L’aspetto più interessante delle piattaforme di sicurezza open source è che, se conoscete il vostro codice, è possibile adattare questi strumenti affinché includano funzionalità estese e si adattino alle vostre preferenze ed esigenze.

Riepilogo

La sicurezza WordPress è una cosa seria. Adottare misure preventive per proteggere il vostro sito web, i contenuti, l’azienda e i dati degli utenti è fondamentale. Il File Integrity Monitoring è solo una parte del gioco. È inoltre importante disporre di un sistema di backup WordPress per il ripristino dei file, nel caso in cui si verifichi un attacco.

In questo post, abbiamo dimostrato come il monitoraggio dell’integrità dei file può soddisfare entrambe queste esigenze e abbiamo condiviso tre tipi di soluzioni per il File Integrity Monitoring che potete utilizzare sul vostro sito WordPress:

  1. Soluzioni software a livello di server come Tripwire (che sono efficaci, ma possono essere molto costose).
  2. Plugin WordPress gratuiti come Website File Changes Monitor.
  3. Strumenti open-source come OSSEC.

Avete domande sul monitoraggio dell’integrità dei file? Fatecelo sapere nella sezione commenti qui sotto!

Robert Abela

Robert Abela è il fondatore di Melapress, sviluppatore di plugin di sicurezza e amministrazione per WordPress di nicchia di alta qualità. Robert ha oltre 18 anni di esperienza nel settore del software e il suo lavoro è stato pubblicato sui principali siti web di sicurezza. Potrete scoprire di più sul suo lavoro e sugli ultimi articoli su X.