OSSEC与WordPress安全优化实战指南

本文详细讲解如何配置OSSEC监控WordPress活动日志,集成Sucuri安全插件实现实时威胁检测,包含日志导出配置、规则解读和实战示例,帮助网站管理员提升安全监控能力。

配置Sucuri Security WordPress插件导出日志

本文假设您已安装Sucuri Security WordPress插件(可参考安装指南)。
导出日志选项位于:Sucuri Security > 设置
向下滚动至“Log Exporter”部分

选择文件路径时的专业建议:

  • 需输入完整路径和文件名,例如:/var/www/logs/blog.log
  • 路径必须可写,请检查用户及相关权限
  • 避免将日志文件置于网站根目录,需向上级目录导航,否则插件将禁止部署(此举防止外部访问导致信息泄漏)

配置完成后注销并重新登录,若一切正常,将在文件中看到新日志条目:

1
2
3

# tail -f blog.log 
2018-12-01 01:59:40 WordPressAudit perezbox.com tony@perezbox.com : Notice: [your ip]; User authentication succeeded: administrator
2018-12-01 02:00:00 WordPressAudit perezbox.com tony@perezbox.com : Notice: administrator, [your ip]; Post was updated; ID: 80; name: OSSEC FOR WEBSITE SECURITY: PART III – Optimizing for WordPress Activity

日志显示用户登录IP及文章更新记录。对于SEO垃圾邮件攻击(SEP),攻击者常更新现有文章,此类意外更新(非常规时间/用户操作)可作为入侵指标(IoC)。若见到此类日志,继续配置OSSEC。

配置OSSEC解析Sucuri安全日志

发布插件更新时,我们同步更新了OSSEC WordPress规则,使网站所有者无需编写新解码器即可解析日志。仅需将日志添加至ossec.conf文件:

通过OSSEC工具shell执行:

1
2

# /var/ossec/bin/util.sh addfile /var/www/logs/blog.log
/var/ossec/bin/util.sh: File /var/www/logs/blog.log added.

util.sh工具会自动在配置文件中生成相应条目:

1
2
3
4
5
6

<ossec_config>
  <localfile>
    <log_format>syslog</log_format>
    <location>/var/www/logs/blog.log</location>
  </localfile>
</ossec_config>

专业提示:若在VPS上管理多个站点,手动添加日志文件繁琐。可使用SimonF在2013年分享的脚本(需调整路径):

1
2
3
4

#!/bin/sh
for i in $( find /var/www/logs/ \( -iname "*.log" \) ); do
  /var/ossec/bin/util.sh addfile $i
done

最后重启OSSEC服务:

1

# /var/ossec/bin/ossec-control restart

重新登录WordPress后,监控alerts.log将显示如下警报:

1
2
3
4

2018 Dec 01 01:59:41 (pb.webserver1) any->/var/www/logs/blog.log
Rule:9502 (level 3): WordPress authentication succeeded.
IP:47.180.59.33 / USA / California
2018-12-01 01:59:40 WordPressAudit perebzox.com tony@perezbox.com : Notice: [your ip], User authentication succeeded: administrator

此后可自定义警报规则。

OSSEC & WordPress规则速查表

OSSEC内置WordPress规则虽非全覆盖,但以下速查表可助理解:

ID 名称 描述
9501 用户认证(失败) WordPress用户认证失败
9502 用户认证(成功) WordPress用户认证成功
9505 评论泛滥 WordPress评论洪水攻击尝试
9506 文件修改 检测到文件被修改
9507 文章(私密转公开) 文章被发布
9508 文章更新 现有文章被更新
9509 插件更新 插件被更新
9510 IDS触发 入侵检测系统识别到WordPress攻击

这些规则近期将更新,当前版本已提供基础监控能力。欢迎反馈建议。

发布于安全专栏,标签:OSSEC, 安全工具与技术, 网络托管与服务器

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次