Skanery wewnętrzne
Celem skanera zainstalowanego wewnątrz instalacji WordPress (np: jako wtyczka) jest wyszukiwanie złośliwego kodu w Twojej witrynie. Nawet jak stosujesz zaawansowane mechanizmy ochrony (np: ochronę Firewall dla WordPress) to witryna nadal może zostać zainfekowana złośliwym kodem. Dzieje się tak dlatego, że cały czas pojawiają się nowe i nieznane błędy, luki w zabezpieczeniach. Ataki na popularne systemy jakim jest niewątpliwie WordPress są coraz częstsze i pojawia się pytanie jak wykryć czy moja strona nie została zainfekowana. Jednym z narzędzi jaki nam w tym może pomóc jest skaner malware.
Skaner złośliwego oprogramowania działa bardzo podobnie jak skaner antywirusowy zainstalowany na komputerze. Na naszą komendę lub automatycznie w cyklicznych odstępach czasu sprawdza każdy plik pochodzący z WordPress’a, wtyczek i szablonuj jaki znajduje się na serwerze.
W przypadku oprogramowania jakie publikowane są w oficjalnym repozytorium WordPress sprawa jest dodatkowo ułatwiona i skanery porównują sumy kontrolne plików jakie znajdują się na naszym serwerze z oficjalnym API WordPress (WordPress Plugins & Themes Chcecksum Project). Ten proces często nazywany jest weryfikacją integralności. Jeśli jakikolwiek plik np: wtyczki lub szablonu zawiera fragmenty kodu (nawet jeśli była by to spacja lub znak kropki) to sumy kontrolne nie będą się zgadzały. Tym samym skaner antymalware zgłosi potencjalne zagrożenie. Jeśli w wtyczce znajdują się nieznane plik jakich nie ma w oficjalnym repozytorium to zostaną one również wykryte.
Ponieważ często instalacja WordPress może zawierać również oprogramowanie jakie nie pochodzi z repozytorium WordPress np: płatne wtyczki lub szablony to w tym przypadku wykorzystywane są biblioteki skanera złośliwego oprogramowania PHP (np: scr34m/php-malware-scanner), który wykrywa w plikach PHP/JS/CSS i plikach graficznych wykorzystywane przez hakerów “sztuczki”, wykorzystywanie niebezpiecznych funkcji, znane ataki, sygnatury i ich wzorce. Dzięki połączeniu weryfikacji integralności i skanowaniu kodu znacząco zwiększa się wykrywalność malware na stronie.
Nową odmianą skanerów są skanery wykorzystujące skanowanie heurystyczne zamiast tradycyjnego podejścia opisanego powyżej. W heurystycznym skanowaniu, zamiast polegać wyłącznie na konkretnych wzorcach, używa się różnych reguł i zachowań charakterystycznych dla programów szkodliwych, aby wykryć potencjalne zagrożenia. Innymi słowy, zamiast polegać na wcześniej znanym kodzie złośliwym, heurystyczne skanowanie opiera się na podejrzanych zachowaniach lub cechach, które mogą wskazywać na obecność szkodliwego oprogramowania. W najnowocześniejszych rozwiązaniach wykorzystywana jest również sztuczna inteligencja AI. Dzięki temu podejściu można wykrywać nowe, jeszcze nieznane zagrożenia, które nie zostały jeszcze sklasyfikowane przez tradycyjne bazy danych sygnatur. Skanery tego typu są atrakcyjne uzupełnieniem do tradycyjnych skanerów złośliwego oprogramowania.
Skanery zewnętrzne
Uzupełnieniem skanerów wewnętrznych są skanery zewnętrzne, które sprawdzają bezpieczeństwa naszej strony zdalnie (zewnętrznie) skanując kod HTML/JS/CSS i pliki graficzne.
Przykładowo skaner Securi jaki wykorzystujemy w pakietach opieki WordPress, działa w następujący sposób:
– Odwiedza stronę główną i wyodrębnia listę linków, plików javascript i ramek iframe.
– Następnie ponownie odwiedza stronę główną, działając jako bot wyszukiwarki.
– Z wyodrębnionych linków wybiera 8-10 z nich i odwiedza je za pomocą różnych odsyłaczy i agentów użytkownika.
– Wyodrębnia i skanuje wszystkie obecne pliki javascript i ramki iframe.
– Uruchamia wszystkie te strony/linki w dużej bazie danych złośliwego oprogramowania Sucuri i przeprowadza wiele kontroli anomalii, porównując wyniki między różnymi agentami użytkownika/odsyłaczami, aby sprawdzić, czy jest coś ukrytego.
– Sprawdza wszystkie dołączone zasoby na wielu czarnych listach, aby sprawdzić, czy coś zostało oznaczone na czarnej liście, takiej jak Google, McAfee, Norton i inne.
