什么是文件完整性监控？

使用强密码的默认和最新WordPress安装是非常安全的。然而，仅仅在互联网上生存是不够的。

这就是文件完整性监控(FIM)发挥作用的地方。文件完整性监控工具或插件将监控您站点的文件，并提醒您任何更改，如文件上传、编辑、删除等。

文件完整性监控可以帮助您防范安全漏洞，并识别可能会将您的网站暴露给黑客的错误。

在本文中，我们将为您提供文件完整性监控的全面介绍，并解释它如何提高您的网站的安全性。我们也将分享一些不同的工具和插件，你可以用它们在你的WordPress网站上实现这个安全解决方案。

文件完整性监控简介

文件完整性监控的工作原理

为什么文件完整性监控很重要？

为什么需要监控WordPress网站的文件完整性？

两种不同类型的文件完整性监控方法

3种可用于保护网站的文件完整性监控工具

开源文件完整性监控工具

文件完整性监控简介

在保护和维护网站和服务器等基础设施时，文件完整性监控是关键。此解决方案验证给定环境的完整性，即检查站点文件的内容是否被意外更改。

您可以使用文件完整性监控来检测操作系统、Web服务器和WordPress等Web应用程序中的文件更改。它甚至可以用于监控基于文件的软件解决方案，如数据库和配置文件。

使用文件完整性监控解决方案的组织更有可能在早期发现安全漏洞，从而使他们有更好的机会保持在线并防止任何重大损害。因此，文件完整性监控主要被认为是一种安全解决方案。

然而，这种解决方案也可以实现其他目标。在某些情况下，它可以监控以下方面的软件和操作系统配置更改:

打开服务器上的端口配置。

服务器和网络服务配置。

运行或停止服务器上的服务(守护程序)。

甚至计划中的文件更改有时也会给你的WordPress网站带来问题。通过使用文件完整性监控跟踪所有修改，您可以轻松确定与文件更改相关的错误的可能原因。

这使得故障排除速度更快，因此您可以立即恢复站点运行。

文件完整性监控的工作原理

文件完整性监控的工作原理是获取站点文件的“指纹”，然后相互比较。如果指纹不同，则文件已被更改。

为了创建指纹，文件完整性监视器(也称为文件完整性扫描器)扫描单个文件，并通过对文件运行加密哈希函数来创建“校验和”，即与文件相关联的唯一数据字符串。

站点指纹

文件完整性监控对于检查其他文件属性也很有用，例如权限和修改日期。这些检查至关重要，因为即使是简单的文件权限更改也可能使系统容易受到攻击。

为什么文件完整性监控很重要？

使文件完整性监控成为必要的安全解决方案的一个方面是它的双重优势，即反应式和主动式安全解决方案。

作为主动安全性的文件完整性监控

主动性的一个例子是当你的开发人员工作时，识别可能暴露你的网站的错误。错误的文件权限和剩余的包含敏感信息的文件(如数据库备份或源代码文件)是文件完整性监控可以主动识别的安全威胁的典型例子。

作为反应式安全性的文件完整性监控

文件完整性监控解决方案还可以指出黑客入侵后您的网站发生了什么，或者恶意软件被注入了哪些文件。

此外，它甚至可以通过监控重要的WordPress站点文件(如wp-config.php和。htaccess文件)。

由于这些关键信息，您可以将您的网站恢复到以前的(干净的)状态，并在最短的时间内清除任何恶意软件或“坏代码”。

合规要求

对于一些人来说，法律可能还要求文件完整性监控。支付卡行业数据安全标准(PCI DSS)要求站点符合该标准:

部署更改检测机制(例如，文件完整性监控工具)，提醒人们注意未经授权的修改

管理网站访问者的敏感信息是一项严肃的责任。如果您在网站上存储任何类型的客户数据，尤其是持卡人数据，启用文件完整性监控可以帮助您确保此类数据未被任何人篡改，并使您遵守法律。

PCI DSS

为什么需要监控WordPress网站的文件完整性？

WordPress是一个Web应用程序，由两种类型的文件组成:不可执行文件和可执行文件。

前者主要是日志和媒体文件。日志通常由插件和主题生成，而媒体文件是您上传到网站的文件，如图像、视频、pdf等。它们是不可执行的，因为Web服务器不执行它们，而只是为它们提供服务。

大多数不可执行文件存储在WordPress的/wp-content/uploads/目录中。对不可执行文件的更改不会影响您网站的安全性、性能或功能。事实上，默认情况下，大多数文件完整性监控解决方案都不扫描这些文件。

另一方面，可执行文件包括PHP、JavaScript和其他包含网站源代码的文件，如WordPress核心、插件、主题和您可能拥有的任何自定义Web应用程序。只有在以下情况下，才会对可执行文件进行更改:

更新WordPress核心

安装一个新的主题或插件。

更新你的主题或现有插件。

卸载(删除)插件或主题。

定制WordPress安装、主题或插件的代码(通常不推荐)。

对WordPress站点可执行文件的任何其他更改可能是入侵、恶意软件注入或开发人员错误的迹象。在你的WordPress网站上运行文件完整性监控插件可以帮助你在这些问题成为对你网站的安全或功能的真正威胁之前很容易地发现它们。

简要回顾一下:文件完整性监控可以帮助您识别应该删除的测试文件、大多数恶意软件注入(包括后门、重定向和特洛伊木马)以及任何其他有害的文件更改。

当与WP安全审计日志一起使用时，文件完整性监控可以始终给你一个在你的站点上发生的事情的完整的画面。您可以在黑客攻击后获取证据，以确定哪些文件是目标文件和对象，您还可以增强其周围的安全性，以防止未来的攻击。

两种不同类型的文件完整性监控方法

文件完整性监控的基础总是相同的:比较在不同时间点获得的单个文件的指纹。有几种方法可以实现这一点。

1.将该文件与中央存储库进行比较

一种常见的方法是通过使用WordPress插件(下面有更多关于插件的内容)将指纹与中央存储库进行比较。在这种情况下，插件会将你网站的index.php文件的指纹与WordPress最新发布的index.php文件的指纹进行比较。

这种方法的好处是，你可以很容易地确认你的文件是否与原始文件相同。但是，由于您将数据与中央存储库进行比较，因此存在一些缺点:

该解决方案不识别分布式配置文件中的更改，如。htaccess和wp-config.php。

如果自定义网站的代码，会被标记为虚惊一场。

这个插件只能比较已知应用(WordPress core)的文件，有时候也可以比较热门插件的文件。

这些解决方案无法检测定制应用程序或插件中的变化，因为它们没有可比性。

网站的安全性取决于供应商更新原始指纹的速度或中央存储库的可用性。

比较文件

2.将该文件与自己生成的数据进行比较

由于基于中央存储库的方法的局限性，比较两组自生成的数据是首选方法和最佳实践建议。这种类型的解决方案通过将指纹与他们自己以前的扫描进行比较来检测文件更改。

这意味着插件将在安装时生成第一个指纹。然后，当它再次扫描文件时，会将新指纹与原始扫描指纹进行比较。每当记录到文件更改时，您可以配置插件来自动接受更改或向您发送警报。

由于以下优点，该方法优于前一种方法:

它可以检测自定义代码的变化。

系统会适应您的网站(您可以验证更改并更新指纹以支持持续定制)。

其报告的假阳性已经显著减少。

由于这些原因，在寻找文件完整性监控工具或插件时，您会希望选择一个基于自己生成的数据的工具。

3种可用于保护网站的文件完整性监控工具

有几种不同的文件完整性监控解决方案可用。我们将它们分为以下三个基本类别。我们从头开始吧！

1.服务器级软件解决方案

这些解决方案安装在网络服务器的操作系统上，并且检查网络服务器上的所有文件。这意味着你只能使用自己的网络服务器或VPS。

市场上有许多选择，例如:

绊网

信任波

Qualys

作为服务器级的解决方案，这些解决方案并不是专门针对WordPress驱动的网站的。因此它们可能会产生许多误报。最重要的是，它们非常昂贵，并且需要高级知识来设置和管理。

2.WordPress插件

如果你想要一个更具体的文件完整性监控解决方案，你可以使用各种插件来完成这个任务。

网站文件更改监视器

网站文件更改监控是WordPress的一个专用文件完整性监控插件。它是免费提供的，当它检测到文件更改时，会通过电子邮件提醒您。

用菜单更改文件视图

该插件使用自生成的数据进行文件比较，您可以启动按需扫描。这是一个完全可配置的WordPress文件完整性监控解决方案。您可以排除文件和目录，配置扫描计划等。

真正让这个插件与众不同的是，它是唯一一个完全理解WordPress核心、插件和主题变化的WordPress插件。

WordPress文件监视器

WordPress File Monitor也是一个文件完整性监控的专用插件，它使用自己生成的数据进行比较。但是，它不知道WordPress核心、插件和主题的变化，你可能会收到许多关于文件变化的错误警报。

假警报

假警报会对网站造成非常负面的影响，因为不了解安全的用户无法验证警报是由关键事件产生的还是仅仅是安全文件的更改。

其他插件选项

以上是WordPress唯一的文件完整性监控插件。其他具有文件完整性监控功能的插件是一体化安全解决方案的一部分，如Sucuri Security、iThemes security和Wordfence。

这两个插件都是使用与中心库比较文件的方法，不知道站点结构的变化，也就是只识别WordPress核心和一些流行插件的变化。

3.开源文件完整性监控工具

如果你不喜欢插件，你可以考虑使用开源工具来监控文件。例如，Tripwire提供其平台的开源版本，提供免费的安全功能，包括文件监控。说了这么多，这个版本还不如它的付费版本有效。

另一个可以考虑的开源平台是OSSEC:

OSSEC平台

这是一个流行的免费安全解决方案，可以执行文件监控任务。但是，像我们提到的许多其他工具一样，它在服务器级别工作。虽然它可以和WordPress一起使用，但只有在你有专用服务器或VPS的情况下才有效。

此外，如果您选择OSSEC，您需要做一些高级配置，但它可能仍然不是最准确的解决方案。

开源平台最有趣的一点是，如果你了解代码，你可以调整这些工具来包含扩展功能，满足你的偏好和需求。

总结

WordPress的安全性是一个严肃的问题。采取预防措施来保护您的网站、内容、业务和用户数据是关键。文件完整性监控只是游戏的一部分。如果真的发生了攻击，有一个WordPress备份系统来恢复你的文件也是很重要的。

在这篇文章中，我们展示了文件完整性监控如何满足这两个需求，并分享了三种类型的文件完整性监控解决方案，你可以在WordPress网站上使用:

服务器级软件解决方案，如Tripwire(有效，但可能非常昂贵)。

免费的WordPress插件，如网站文件更改监视器。

SEC等开源工具。