En standard och uppdaterad WordPress-installation med ett starkt lösenord är ganska säker. Men för att överleva på internet är det inte tillräckligt.

Det är där Filintegritetsövervakning, eller File Integrity Monitoring (FIM) kommer in i bilden. Ett filintegritetsövervakningsverktyg eller plugin övervakar webbplatsens filer och varnar dig för eventuella ändringar som filuppladdningar, redigeringar, borttagningar och så vidare.

Filintegritetsövervakning hjälper dig att ligga steget före säkerhetsöverträdelser och identifiera fel som kan göra din webbplats utsatt för hackattacker.

I det här inlägget ger vi dig en grundlig introduktion till filintegritetsövervakning och förklarar hur det kan förbättra webbplatsens säkerhet. Vi delar också några olika verktyg och plugins som du kan använda för att implementera denna säkerhetslösning på din WordPress-webbplats.

Nu sätter vi igång!

En introduktion till Filintegritetsövervakning

När det gäller att skydda och underhålla infrastrukturer som webbplatser och servrar är övervakning av filintegritet avgörande. Denna lösning validerar integriteten hos en viss miljö, nämligen, det kontrollerar om innehållet i webbplatsens filer har ändrats oväntat.

Du kan använda filintegritetsövervakning för att upptäcka filförändringar i operativsystem, webbservrar och webbapplikationer som WordPress. Det kan även vara användbart för övervakning av filbaserade programvarulösningar som databaser och konfigurationsfiler.

Organisationer som använder en filintegritetsövervakningslösning kommer mer troligt att upptäcka säkerhetsöverträdelser tidigt, vilket ger dem en bättre chans att stanna online och avskräcka från större skador. Av denna anledning anses filintegritetsövervakning främst vara en säkerhetslösning.

Denna lösning kan dock också uppnå andra mål. I vissa fall kan det övervaka programs och operativsystems konfigurationsändringar i:

  • Open ports-konfiguration på en server.
  • Webbserver och nätverkstjänstkonfiguration.
  • Körda eller stoppade tjänster (daemons) på en server.

Även planerade filändringar kan ibland orsaka problem med din WordPress-webbplats. Genom att hålla reda på alla dina ändringar med filintegritetsövervakning kan du enkelt hitta möjliga orsaker till fel som är relaterade till ändringar i dina filer.

Detta gör felsökning snabbare, så att du kan få din webbplats igång igen direkt.

Så fungerar filintegritetsövervakning

Filintegritetsövervakning fungerar genom att ta ”fingeravtryck” av webbplatsens filer och sedan jämföra dem med varandra. Om fingeravtrycken skiljer sig, betyder det att filerna har ändrats.

För att skapa ett fingeravtryck skannar filintegritetsövervakaren (även känd som en filintegritetsskanner) en enda fil och skapar en ”kontrollsumma” — en unik datasträng associerad med den filen — genom att köra en kryptografisk hashfunktion på filen.

Sajtfilsfingeravtryck
Sajtfilsfingeravtryck

Filintegritetsövervakning kan också bli användbart för att kontrollera andra filegenskaper, till exempel behörigheter och ändringsdatum. Dessa kontroller är avgörande eftersom även en enkel förändring i en fils behörigheter kan göra systemet öppet för attacker.

Varför Filintegritetsövervakning är viktigt

En av de aspekter som gör filintegritetsövervakning ett måste bland säkerhetslösningar är dess dubbla styrka med både en reaktiv och proaktiv säkerhetslösning.

Filintegritetövervakning som proaktiv säkerhet

Ett exempel på proaktiv säkerhet är att identifiera misstag som gjorts av dina utvecklare medan de arbetar på din webbplats som kan göra din webbplats sårbar. Felaktiga filbehörigheter, överblivna filer som innehåller känslig information, till exempel en säkerhetskopia av en databas eller en källkodsfil, är bra exempel på säkerhetshot som Filintegritetsövervakning proaktivt kan identifiera.

Filintegritetsövervakning som reaktiv säkerhet

Filintegritetsövervakningslösningen kan också peka ut vad som har ändrats på din webbplats efter en hackattack eller i vilka filer skadlig kod har injicerats.

Förutom det, kan det även kolla efter ändringar i din webbplatsinstallation genom att övervaka viktiga WordPress webbplatsfiler, såsom wp-config.php och .htaccess-filerna.

Tack vare denna nyckelinformation, kan du återställa din webbplats till dess tidigare (rena) tillstånd och rensar upp alla typer av skadlig kod eller ”dålig kod” som är kvar på kortast möjliga tid.

Lagstadgade krav

För vissa kan Filintegritetsövervakning också krävas enligt lag. Payment Industry Data Security Standard (PCI DSS) kräver kompatibla webbplatser för att:

”Distribuera en ändringsdetekteringsmekanism (till exempel filintegritetsövervakningsverktyg) för att varna personal om obehörig modifiering.”

Att hantera din webbplats besökares privata uppgifter är ett stort ansvar. Om du lagrar någon typ av kunddata på din webbplats, särskilt kortinnehavardata, kommer att ha Filintegritetsövervakning aktiverat hjälpa dig att se till att sådana data inte har manipulerats av någon och hålla dig på rätt sida av lagen.

PCI DSS
PCI DSS

Varför du behöver Filintegritetsövervakning för din WordPress-webbplats

WordPress är en webbapplikation och den består av två typer av filer: icke-körbara och körbara filer.

Den förra är mestadels loggar och mediefiler. Loggar genereras vanligtvis av plugins och teman, medan mediefiler är de du laddar upp till din webbplats, till exempel bilder, videor, PDF-filer, och så vidare. De är icke-körbara eftersom webbservern inte exekverar dem utan bara levererar dem.

De flesta av de icke-körbara filerna lagras i /wp-content/uploads/-katalogen i WordPress. Ändringar av icke-körbara filer påverkar inte säkerheten, prestandan eller funktionaliteten på din webbplats. Faktum är att de flesta filintegritetsövervakningslösningar utesluter dessa filer från sina skanningar som standard.

Körbara filer å andra sidan inkluderar PHP, JavaScript och andra filer som innehåller din webbplats källkod som WordPresskärnan, plugins, teman och alla anpassade webbprogram du kan ha. Förändringar i körbara filer kan inträffa, men bara när du:

Alla andra ändringar i din WordPress-webbplats körbara filer kan vara ett tecken på ett intrång, injektion av skadlig kod, eller en utvecklares misstag. Att köra ett filintegritetsövervakningsplugin på din WordPress-webbplats kan hjälpa dig att enkelt upptäcka dessa problem innan de blir ett verkligt hot mot säkerheten eller funktionaliteten på din webbplats.

Som en snabb sammanfattning: Filintegritetsövervakning kan hjälpa dig att identifiera testfiler som borde ha tagits bort, de flesta injektioner av skadlig kod (föreslaget: vår djupgående guide om SQL-injektioner) – inklusive bakdörrar, omdirigeringar och trojaner och andra skadliga filändringar.

När det används i kombination med en aktivitetslogg, ger filintegritetsövervakning dig en fullständig bild av vad som händer på din webbplats hela tiden. Du kan utföra post-hackningsundersökningar för att avgöra vilka filer var som var målet och av vem, och även förbättra säkerheten kring dem för att förhindra framtida attacker.

Två olika typer av filintegritetsövervakningsmetoder

Grunden för filintegritetsövervakning är alltid densamma: att jämföra fingeravtryck från en enskild fil som tagits vid olika tidpunkter. Det finns flera sätt detta kan åstadkommas.

1. Jämföra filer med ett centralt arkiv

En vanlig metod är att jämföra ett fingeravtryck med ett centralt arkiv genom användning av ett WordPressplugin (mer om plugins nedan). I det här fallet jämför pluginet fingeravtrycket för webbplatsens index.php-fil med fingeravtrycket för den senaste index.php-filen som släpptes av WordPress.

Fördelen med att använda den här metoden är att du enkelt kan bekräfta om dina filer är identiska med de originalen. Eftersom du jämför data med ett centralt arkiv finns det dock några brister:

  • Lösningen kan inte identifiera ändringar i distribuerade konfigurationsfiler som .htaccess och wp-config.php.
  • Du kommer att flaggas med falsk-positiva träffar om du anpassar webbplatsens kod.
  • Pluginet kan bara jämföra filer för kända program (WordPress-kärnan) och ibland populära plugins.
  • Dessa lösningar kan inte upptäcka förändringar i anpassade program eller plugins eftersom det inte finns något att jämföra dem med.
  • Säkerheten på din webbplats beror på hur snabbt säljaren uppdaterar de ursprungliga fingeravtrycken eller på tillgången till det centrala arkivet.
Jämföra filer
Jämföra filer

2. Jämföra filer med självgenererade data

På grund av de begränsningar som den centrala arkiv-baserade metoden har, är en jämförelse mellan två uppsättningar av självgenererade data den föredragna metoden och vad bästa praxis föreslår. Denna typ av lösning upptäcker filändringar genom att jämföra fingeravtryck med sina egna tidigare skanningar.

Detta innebär att pluginet genererar de första fingeravtrycken vid installationen. Sedan, när det skannar filerna igen, kommer det att jämföra de nya fingeravtrycken med dem från den ursprungliga genomsökningen. Och när en filändring registreras, kan du konfigurera pluginet för att antingen acceptera den ändringen automatiskt eller skicka en varning.

Denna metod är att föredra framför den föregående på grund av följande fördelar:

  • Den kan upptäcka förändringar i anpassad kod.
  • Systemet anpassar sig till din webbplats (du kan validera ändringar och uppdatera fingeravtrycken, vilket stöder kontinuerliga anpassningar).
  • Det rapporterar betydligt färre falsk-positiva träffar.

Av dessa skäl, när du letar efter ett filintegritetsövervakningsverktyg eller plugin, borde du välja ett som är baserat på självgenererade data.

3 typer av filintegritetsövervakningsverktyg som du kan använda för att skydda din webbplats

Det finns flera olika filintegritetsövervakningslösningar tillgängliga. Vi har delat upp dem i tre grundläggande kategorier nedan. Låt oss börja från början!

1. Programvarulösningar på servernivå

Dessa lösningar är installerade på webbserverns operativsystem och kontrollerar alla filer på webbservern. Detta innebär att du bara kan använda dem om du har din egen webbserver eller VPS.

Det finns flera alternativ på marknaden, såsom:

Som lösningar på servernivå är dessa inte specifikt inriktade på WordPress-drivna webbplatser. Så de kan generera en hel del falsk-positiva resultat. Dessutom är de ganska dyra och kräver avancerad kunskap för att ställa in och hantera.

2. WordPressplugins

Om du vill ha en filintegritetsövervakningslösning som är mer specifik för WordPress finns det olika plugins tillgängliga för den här uppgiften.

Website File Changes Monitor

Website File Changes Monitor är ett dedikerat filintegritetsövervakningsplugin för WordPress. Det är tillgängligt gratis och när det upptäcker filändringar varnar det dig via e-post.

Filändringsvisning med meny
Filändringsvisning med meny

Detta plugin använder självgenererade data för filjämförelser och du kan starta skanningar när du själv vill. Det är en fullt konfigurerbar filintegritetsövervakningslösning för WordPress och du kan utesluta filer och kataloger, konfigurera schemat för skanningarna och mycket mer.

Vad som verkligen skiljer detta plugin från alla andra är att det är det enda WordPressplugin som är fullt medveten om ändringar i WordPresskärnan, plugins och teman.

WordPress File Monitor

WordPress File Monitor är också ett dedikerat filintegritetsövervakningsplugin som använder självgenererade data för jämförelser. Det är dock inte medveten om förändringar i WordPress-kärnan, plugins och tema och du kan få många falsk-positiva varningar om filändringar.

Falsk-positiva varningar
Falsk-positiva varningar

Falsk-positiva varningar kan ha en mycket negativ inverkan på webbplatsen eftersom icke-säkerhetskunniga användare inte kan kontrollera om varningar genereras från något viktigt eller bara en säker filändring.

Andra pluginalternativ

Ovanstående är de enda filintegritetsövervakningspluginsen för WordPress. Andra plugins med filintegritetsövervakningsfunktioner är en del av allt-i-ett-säkerhetslösningar som Sucuri Security, iThemes security och Wordfence.

Båda dessa plugins använder metoden som jämför filer med ett centralt arkiv och är inte medveten om förändringar i webbplatsstrukturen, dvs. de identifierar bara förändringar i WordPresskärnan och några populära plugins.

3 verktyg för filintegritetsövervakning med öppen källkod

Om plugins inte är din grej kanske du vill överväga ett av de många verktygen med öppen källkod som finns tillgängliga för att övervaka dina filer. Till exempel, Tripwire ger en öppen källkod version av sin plattform som erbjuder gratis säkerhetsfunktioner, inklusive filövervakning. Med det sagt är den här versionen inte lika effektiv som sin betalda motsvarighet.

En annan öppen källkod plattform att överväga är OSSEC:

OSSEC-plattformen
OSSEC-plattformen

Detta är en populär gratis säkerhetslösning och den kan utföra filövervakningsuppgifter. Men, liksom många av de andra verktyg vi har nämnt, fungerar det på servernivå. Även om det kan användas med WordPress, kan det bara fungera om du har en dedikerad server eller VPS.

Dessutom, om du väljer OSSEC, måste du göra lite avancerad konfigurering men det kanske fortfarande inte kommer vara den mest exakta lösningen för din webbplats.

Den mest intressanta aspekten av öppen källkods-säkerhetsplattformar är att om du vet vad du gör med kodning kan du anpassa dessa verktyg för att inkludera utökad funktionalitet och passa dina önskemål och behov.

Sammanfattning

WordPress-säkerhet är en allvarlig sak. Att vidta förebyggande åtgärder för att skydda din webbplats, innehåll, företag och användarnas uppgifter är viktigt. Filintegritetsövervakning är bara en del av detta. Det är också viktigt att ha ett WordPress-säkerhetskopieringssystem på plats för att återställa dina filer, i händelse av en attack.

I det här inlägget har vi visat hur filintegritetsövervakning kan ta itu med båda dessa behov och delade tre typer av Filintegritetsövervakningslösningar som du kan använda på din WordPress-webbplats:

  1. Mjukvarulösningar på servernivå som Tripwire (som är effektiva, men kan vara mycket dyra).
  2. Gratis WordPressplugins som Website File Changes Monitor.
  3. Verktyg med öppen källkod som OSSEC.

Har du några frågor om filintegritetsövervakning? Låt oss veta i kommentarerna nedan!

Robert Abela

Robert Abela is the founder of Melapress, developers of high-quality niche WordPress security & admin plugins. Robert has over 18 years experience in the software industry and his work has been featured on leading security websites. Learn more about his work and latest articles on Twitter.