Por Autor Convidado

pela Rock Content.

Publicado em 16 de abril de 2019. | Atualizado em 3 de maio de 2019


A segurança para sites é garantida a partir de três pilares fundamentas: Proteção, Detecção e Resposta. Esses elementos permitem que exista uma rotina de segurança para o seu site, no entanto, é preciso seguir algumas melhores práticas para que eles funcionem normalmente.

A segurança para sites, blogs ou lojas virtuais, se tornou um novo requisito para quem quer apresentar suas ideias na Internet. Desde a forma com que você acessa suas páginas de administração, sua hospedagem de sites, até mesmo na navegação dos visitantes na página.

De acordo com um relatório publicado pela Sucuri, empresa que é referência em segurança virtual, indicou uma mudança nas infecções do CMS:

  • As infecções no WordPress aumentaram de 83% em 2017 para 90% em 2018.
  • As taxas de infecção pelo Magento caíram de 6,5% em 2017 para 4,6% em 2018.

Ambas as plataformas, WordPress tanto o Magento, são dois dos CMS (Sistema de Gerenciamento de Conteúdo) Open Source mais utilizados no mundo. Ambas possuem relatos de sites infectados.

No entanto, isso não significa que estas plataformas sejam mais ou menos seguras que outras. Por serem mais populares, pessoas mal intencionadas buscam por formas de romper as proteções destas plataformas.

Esses dados assustam e não queremos que seu site faça parte desta estatística. Por este motivo se você é novo no assunto e está preocupado com a segurança do seu site, tentaremos esclarecer o máximo possível e te dar dicas de como melhorar a segurança para seu site, blog ou e-commerce.

Introdução a segurança para sites

Antes de começarmos, gostaria de alinhar três pontos fundamentais na segurança de sites, que são: Proteção, Detecção e Resposta.

  • Proteção: é referente aos sistemas que protegem seu site, fazendo monitoramento e controle de tráfego malicioso.
  • Detecção: faz o escaneamento e monitoramento de códigos e de banco de dados em busca de malwares e falhas de segurança.
  • Resposta: a resposta consiste em remover ameaças, como malware, backdoor e phishing.

Essas três palavras são peças fundamentais para que exista uma “rotina” que garanta a segurança do seu site. Ela funciona para prevenir contra ataques, detectar ameaças já existentes e também possibilitar a reação contra essas ações maliciosas.

Essa rotina pode ser realizada tanto manualmente por um perito em segurança digital, quanto por meio de ferramentas confiáveis.

Você que acredita que para combater alguma coisa é necessário conhecer sobre ela primeiro, segue uma lista dos quatro principais tipos de ataque que acontecem na Internet e um breve descritivo sobre cada um.

Ataque de força bruta

Conhecido originalmente pelo termo Brute Force Attack é um processo que consiste em tentar, literalmente na base do erro e acerto, adivinhar as senhas de um site ou sistema até encontrar a combinação certa.

Ele pode ser feito por meio de programas externos ao site e ocorre com mais frequência em sites que possuem formulários sem Captcha ou limite de tentativas de senhas erradas.

Backdoor

É um vírus utilizado para garantir acesso ao um site, rede ou sistema. Além de funcionar em segundo plano e se oculta do usuário.

Um backdoor é considerado um dos tipos de parasitas mais perigosos, pois permite que uma pessoa mal-intencionada execute qualquer ação possível em um computador comprometido.

DDOS

Este ataque utiliza computadores “zumbis” para gerar tráfego falso. Todos estes tráfegos falsos são direcionados de uma só vez para uma URL como o intuito de aumentar o número de requisições até que o site fique fora do ar.

Ataque no host

Quando um host é mal configurado ou utiliza softwares desatualizados, “N” ataques diferentes podem acontecer devido a falta de proteção e a versões desatualizadas que costumam ter mais brechas de segurança conhecidas.

Você pode se interessar por esses outros conteúdos sobre hospedagem e criação de websites!
👉 Hospedagem WordPress:O que é e as diferenças da hospedagem comum
👉 Erros do WordPress: aprenda a corrigir os 15 mais comuns
👉 Blogger ou WordPress: descubra qual é a melhor opção
👉 Como migrar seu site para HTTPS? Aprenda de forma descomplicada.

As 6 melhores dicas de segurança para sites

Agora que você já conhece o básico, gostaríamos de compartilhar com você algumas dicas que poderão ajudar a proteger, detectar e responder à ataques em seu site.

Vamos lá!

1. Mantenha sua plataforma atualizada

É comum que muitos proprietários de sites não mantenham a plataforma do site atualizada. Porém, devo alertar que estas atualizações trazem consigo não apenas alterações na plataforma, como atualizações de segurança indispensáveis para manter o site seguro.

Por isso sempre que surgir uma nova atualização, avise o desenvolvedor de seu site para o mesmo validar e aplicar a nova versão.

2. Possua senhas fortes

Esta dica é a mais comum entre os padrões de segurança existentes, porém muitos usuários esquecem deste detalhe e optam por senhas comuns como datas importantes e números sequenciais.

Crie uma senha forte que contenha letras, números e pelo menos 1 caractere especial, com pelo menos 10 caracteres de comprimento.

Se faltar criatividade você pode utilizar um gerador de senhas, que além de gerar senhas poderosas e individuais é totalmente seguro, pois não salva nenhum resultado.

3. Utilize Certificado SSL/TLS

O Certificado SSL/TLS é muito importante principalmente em e-commerces, pois realiza a proteção entre a conexão do usuário e o servidor, utilizando uma criptografia avançada de 256bits. Assim, ele permite que dados sensíveis como número do cartão de crédito e senhas não sejam interceptados.

No Google Chrome após a aquisição do certificado, é inserido antes da URL do site a tag de Seguro, assim como a tag de Não Seguro para sites sem essa proteção.

Além disso, o Google passou a dar mais relevância, com relação a posicionamento nos resultados de busca, para sites com Certificado SSL.

Caso você ainda não faça uso de algum Certificado SSL/TLS ou quer saber mais sobre essa tecnologia confira nosso post – O que é Certificado SSL: O guia definitivo.

4. Adicione Captcha nos formulários do seu site

Você já deve ter passado por uma situação no qual precisou ter que inserir seus dados para acessar determinada página ou realizar um comentário e além disso, inserir em um campo de texto um código ou uma pergunta que o próprio site disponibiliza através de uma imagem ou texto.

Saiba que esta medida de segurança, mesmo sendo um pouco irritante, reduz a possibilidade de quebra das senhas de administração e inibe a inclusão de comentários automáticos indesejados (SPAMs) nos formulários do seu site ou blog.

5. Contrate uma hospedagem que se preocupe com a segurança

Hospedar seu site num servidor seguro é fundamental, pois os mesmos podem ser alvos de ataques por existirem falhas no software que está instalado no servidor.

Na hora de contratar uma hospedagem não procure apenas o melhor preço, procure pelo melhor atendimento, suporte e pesquise também sobre o que dizem sobre a empresa.

6. Mensagens de erro

Preste bastante atenção com as informações disponibilizadas quando ocorre algum tipo de erro em formulários de login.

A mensagem informada deve ser cuidadosamente formulada, ou seja, não especifique que apenas um campo (login ou senha) está incorreto, sempre use mensagens genéricas como “usuário ou senha está incorreto”, indicando que todos os campos devem ser revistos.

Caso o Hacker possua a informação que apenas um campo está incorreto, ele atacará aquele campo em específico com força bruta, já que o outro campo está validado.

7. Sistema de Backups

Manter um backup de todos os arquivos de seu site é essencial, pois nunca sabemos quando uma falha de hardware pode ocorrer e acabamos perdendo dados importantes do site. Por isso,  lembre-se de sempre copiar o seu backup fora do seu ambiente local em um Data Center de alta disponibilidade.

Arquivos armazenados localmente têm maiores chances de se perderem, pois muitas vezes o ambiente de armazenamento local não está nas condições adequadas para um bom funcionamento.

8. Utilize uma CDN

A CDN (Content Delivery Network) é uma Rede de Distribuição de Conteúdo. Essa rede automaticamente otimiza a entrega das páginas na web para que seus visitantes possam acessá-la mais rápido. Além disso, realiza o bloqueio de ameaças, limita bots abusivos e rastreadores, evitando o desperdício de recursos do servidor.

O CloudFlare é um produto da CloudFlare Inc., cujo objetivo é acelerar e proteger os sites que fazem parte da sua infraestrutura, e após seu site fazer parte da mesma, o tráfego web é encaminhado através da CDN.

9. Utilize SiteLock

O SiteLock é uma ferramenta que atua na codificação das páginas que, dependendo do plano contratado, faz verificações, identifica e até corrige vulnerabilidades no seu site.

Esta ferramenta é própria para proteção contra ameaças do tipo malware e previne que hackers usem seu site para distribuir estes softwares infectados para seus clientes.

Para que seu site esteja sempre protegido o SiteLock compara todos os arquivos e aplicativos do seu site com os padrões de programação. Se for identificado alguma ameaça no seu site do tipo malware ou vírus, você será avisado por e-mail e poderá ver todas as páginas infectadas no seu painel do SiteLock.

Por fim, preste atenção ao executar as dicas para não gerar problemas futuros, recomendamos que sempre entre em contato com desenvolvedor do seu website para lhe auxiliar.

Agora que você já tem algumas dicas de como melhorar a segurança para sites, blog e e-commerces, aproveite também para fazer conhecer o nosso checklist completo de auditoria de sites!

Checklist de Auditoria de SitePowered by Rock Convert

Este artigo foi produzido pela SECNET.

100.000 pessoas não podem estar enganadas
Deixe seu email e receba conteúdos antes de todo mundo

Posts relacionados

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *