10 dicas para melhorar a segurança do seu site

Os sites representam digitalmente as novas oportunidades de fazer negócio e como tal, da mesma forma que se faz no mundo real, é necessário que as pessoas cuidem do seu negócio na Internet, cercando-se de certos cuidados para que um promissor site na Internet, não se torne um grande causador de problemas.

Não, não é exagero!

Aqueles que não sabem ou não têm a experiência necessária, podem deparar-se com questões que em alguns casos parecem insolúveis e que podem acarretar muitas dores de cabeça, sendo que boa parte delas está relacionada com o fator segurança, ou se preferir, a falta ou falha nela.

Por isso, neste post reunimos algumas dicas importantes para que você possa zelar da segurança de seu site e tanto quanto possível, aproveitar-se apenas dos benefícios que ele pode lhe proporcionar.

Consequências da insegurança do site

Tal como na vida real, a insegurança do site pode produzir uma série de consequências diretas e indiretas.

De modo geral a consequência mais indesejada de um problema de segurança na Internet e não apenas em um site, é a perda financeira associada. No entanto, essa é apenas a mais aparente.

No caso de um site, dependendo do nível do problema e a qual aspecto ele está associado, há várias outras consequências:

  • Perda de clientes – sempre que um problema de segurança atinge um cliente, é natural e compreensível que ele vá para a concorrência;

  • Perda de investimentos – se houve investimentos em divulgação e melhores posicionamentos nos mecanismos de busca, ou quaisquer ações de Marketing Digital e similares, esse investimento pode ser perdido, uma vez que as próprias empresas nesse meio, não tratam bem e têm políticas bem restritivas com sites que negligenciam a segurança;

  • Reputação digital – quando a segurança afeta os clientes, visitantes, usuários do site, eles terão uma imagem negativa do site, do serviço que ele representa e consequentemente da empresa. Pior ainda quando manifestarem sua insatisfação nas redes sociais ou por meio das avaliações do Google, compartilhando a experiência que tiveram, afastando novos clientes em potencial;

  • Posicionamento orgânico – o posicionamento orgânico, ou seja, como seu domínio aparece posicionado nas páginas de resultados dos sites de busca (SERP), é diretamente afetado e negativamente pelas diferentes situações de insegurança que eventualmente ocorram;

  • Custo administrativo – a resolução de questões de segurança pode ser mais custosa do que as ações de prevenção, como nos casos em que um serviço que dependia do site deixou de ser prestado, ou ainda nos casos de indenizações a usuários prejudicados. Situações do tipo, ocorrem quase diariamente e afetam até mesmo grandes corporações, como foi o caso do vazamento que afetou a Origin, ainda em 2019, para citar apenas uma;

  • Vazamento de dados – se o site é um canal para colher dados dos visitantes, como um cadastro para recebimento de newsletter, vulnerabilidades podem permitir que dados caiam nas mãos de “bandidos virtuais”, no que se conhece como vazamento de dados;

  • Crimes virtuais – muitos sites inseguros são invadidos com o propósito de usar seus recursos para hospedar diferentes ações de phishing, como um site falso de banco ou loja virtual, ou quem sabe para envio de e-mail em massa ou “apenas” hospedar malwares. Portanto, seu site pode servir ao cometimento de diversos crimes virtuais;

  • Outros sistemas – um site é a primeira coisa que se pensa quando falamos da Web, porém pessoas e empresas têm usado a Internet para bem além de um site. Pode servir para hospedar a intranet da empresa e diferentes sistemas online, por exemplo. Se não há cuidados com a segurança, tudo que há na conta também estará sob ameaça e que em alguns casos, pode significar paralisar a empresa.

Enfim, os tipos de problemas e suas origens são muitos e podem afetar em diferentes medidas organizações de todos os portes, bem como seus respectivos sites.

A verdade, é que ninguém está livre de que algo aconteça. Os mais pessimistas chegam a afirmar que a questão é não é mais SE um site será invadido, mas QUANDO e QUANTAS vezes será!

Visto dessa forma, há quem diga que, se a situação é de fato tão preocupante e inevitável, então por que fazer algo?

Para diminuir as chances de que isso aconteça e postergar ao máximo, é a resposta.

Se não fosse assim, você também deixaria de abrir um possível rentável negócio no mundo real, apenas pela simples e remota possibilidade de um dia ser assaltado ou quem sabe, do surgimento de um concorrente implacável? Provavelmente não, não é mesmo?

Portanto, cabe aos responsáveis, adotar uma série de medidas preventivas e que podem muitas vezes diminuir significativamente as chances de problemas, quem sabe aos mesmos níveis de se ganhar na loteria!

10 dicas de segurança do site

Uma vez que estejam claras as razões pelas quais a segurança do site requer parcela importante da sua atenção e para lhe ajudar a evitar aborrecimentos e perdas indesejáveis, preparamos uma lista com 10 dicas importantes.

Vale ressaltar que algumas isoladamente não surtem os efeitos desejados / esperados, mas uma vez combinadas, diminuem consideravelmente os riscos aos quais o seu conteúdo está exposto.

Por fim, é preciso ter em mente que esse é um assunto para o qual não se pode falar em certezas, mas em probabilidades e que em outras palavras, significa que quanto mais for feito, menor será a probabilidade de haver problemas associados a segurança do site.

1. Crie um site por servidor

Boa parte dos planos de hospedagem de sites permitem ter mais do que um site hospedado e muitos subdomínios. Por essa razão, é comum vermos vários sites na mesma conta, o que por consequência, são vários sites no mesmo servidor, nos casos de planos de hospedagem compartilhada.

Se um site tem uma vulnerabilidade ou qualquer outra situação que possibilite acesso à conta por parte de um invasor, ele terá acesso a todos os sites sob tal conta.

Outro ponto desfavorável e que prejudica ter mais do que um site na mesma conta, é que há tantas vezes mais chances de haver problemas de segurança, quantas há de sites na conta. Vamos supor que você tenha 5 sites, cada qual baseado em um CMS. Grosso modo, há 5 vezes mais chances da conta ser invadida.

Planos de hospedagem compartilhada são bastante acessíveis em termos de valores e por isso, quando for o caso, é conveniente considerar um plano para cada site e/ou sistema hospedado.

2. Instale certificados SSL

Os certificados SSL, além de serem um aspecto essencial em termos de ranqueamento do site nos mecanismos de busca, constituem uma importante e necessária medida de segurança.

Basicamente o que o SSL faz pela segurança do site, é criptografar todos os dados que são trocados entre um dispositivo que efetua o acesso e o site.

Se eventualmente um invasor interceptar os dados, ele não conseguirá lê-los, pois a criptografia consiste do processo de transformar através de algoritmos, os caracteres contidos nos dados. Sendo assim, uma palavra tão simples como “senha”, pode parecer-se com algo como: “yJDekjok4oqws8bnqa3p2m1hjdEWXC”.

Essa é uma situação particularmente desejável, principalmente nos dias de hoje em que há muitos acessos por dispositivos móveis, que frequentemente usam hotspots ou conexões Wi-Fi públicas e cuja segurança é geralmente falha. Interceptar dados em situações assim, é muito simples para um hacker (na verdade um cracker).

3. Atualize sua plataforma de desenvolvimento

Utilizar-se de plataformas de desenvolvimento – os chamados CMSs – desatualizadas, pode implicar em uma série de vulnerabilidades para o seu site. E aqui a preocupação deve ser tripla.

Quando falamos em CMS ou plataforma de desenvolvimento, estamos nos referindo a:

  • O núcleo da aplicação e que consiste por exemplo, do WordPress “puro”, sem plugins e temas;

  • Os plugins que você instala e ativa e que são responsáveis por recursos e ferramentas do site e para melhorar a administração do CMS;

  • O tema que você instalou e que é responsável pela aparência do site.

CMSs desatualizados podem significar vulnerabilidades do lado do servidor, ou seja, na aplicação que você usa para manutenção do seu site, permitindo ao hacker realizar diversas ações na sua conta, como por exemplo, instalar scripts, excluir ou alterar conteúdo da conta e até mesmo obter controle total da conta de hospedagem, conferindo-lhe a capacidade de fazer tudo o que você faz, exatamente como você.

Antes de instalar qualquer plugin, pesquise a seu respeito, dando preferência aos mais populares e que recebem mais pacotes de atualização, uma vez que boa parte das brechas e falhas de segurança, estão relacionadas com plugins.

Os bons CMSs, bem como os desenvolvedores dos melhores e mais populares temas e plugins, geralmente estão atentos aos problemas de segurança identificados e relatados pela comunidade de programadores e usuários e frequentemente lançam atualizações que por um lado melhoram o componente e por outro, corrigem eventuais falhas.

Instalar plugins de segurança, é outra prática altamente indicada.

4. Atualize seus softwares

Outra preocupação que não pode ser negligenciada, são os softwares que você tem no seu computador e que corresponde a tudo o que utiliza para acessar o painel de controle da conta de hospedagem, a conta de e-mail, bem como o CMS que eventualmente use para criar e administrar o site.

Vulnerabilidades do lado do cliente, como por exemplo, navegadores ou um cliente de e-mail, podem permitir que um invasor, descubra as diferentes senhas que você utiliza para ter acesso a tudo isso.

Sendo assim, é frequente que empresas como Microsoft lancem atualizações para o sistema operacional, da mesma forma que os desenvolvedores de programas como Mozila Firefox e outros que temos instalados em nossos dispositivos.

Mas não é só. Ter e manter um bom programa antivírus atualizado, é fundamental.

Sendo assim, sempre mantenha o seu sistema pessoal atualizado.

5. Crie senhas fortes

Atualmente usuários possuem variadas contas nos mais diversos serviços na Web e, por isso, a prática de usar uma mesma senha simples, repetida em todos os seus perfis para facilitar a recuperação em caso de esquecimento, é comum.

No entanto, esse tipo de atitude além de um erro grave, é uma oportunidade para os cibercriminosos.

Em alguns casos, descobrir uma senha, pode levar ao invasor ter acesso a todas as suas contas, ou em outras palavras, às suas redes sociais, seu painel de controle da hospedagem, sua conta e-mail, seu serviço de armazenamento na nuvem, etc.

Em alguns casos, não é nem mesmo necessário descobrir todas, já que muitos serviços realizam o envio de um lembrete de senha ou link para redefinição de senha, para uma conta de e-mail que tenha sido informada no momento do cadastramento.

Basta conseguir o acesso a essa conta, para que o invasor automaticamente tenha acesso a tudo que a conta está associada.

Portanto, é importante saber como criar senhas fortes, individualizadas para cada serviço e que periodicamente seja realizada a troca das senhas mais importantes, sempre se certificando que o dispositivo que é usado para acesso aos respectivos serviços, está livre de malwares, pois de nada adianta uma senha dificílima, se é usada por um dispositivo infectado por um malware que rouba senhas.

Para ajudá-lo a criar uma senha suficientemente segura e fácil de lembrar, nós indicamos o artigo: “Senha: como criar uma que seja segura e fácil de memorizar

6. Selecione com cuidado as aplicações

Com a infinidade de tecnologias para criação de diferentes tipos de sites atualmente no mercado, como Joomla!, Wordpress e Drupal, entre algumas centenas de opções, estas aplicações – conhecidas como CMSs – têm sido a principal plataforma de desenvolvimento de muitos sites que navegamos diariamente, incluindo alguns bastante populares.

Em geral são todos bons, sendo que cada qual tem suas peculiaridades e vantagens em relação aos demais, exceto pelo fato de que todos – sem exceção – têm problemas de segurança!

Uns mais do que os outros, é verdade e não é porque muitos são gratuitos e open source, que estão mais ou menos sujeitos a isso. Até mesmo o extremamente popular e pago Windows, está repleto de problemas.

Assim, no momento de optar por uma aplicação para criar e manter seu site, verifique os aspectos de segurança, em fóruns e sites especializados.

Mesmo CMSs como o WordPress, que tem várias falhas conhecidas, pode ser uma ótima opção, já que na contramão dos problemas, há sempre correções frequentemente lançadas. Por outro lado, de nada adianta um outro CMS com baixo índice de problemas, mas que nunca lance atualizações e correções.

O mesmo se aplica em termos dos plugins e temas que pretende utilizar.

7. Faça backup frequentemente

Na era da tecnologia, a informação pode ser perdida com a mesma rapidez com que é gerada.

Um evento natural ou um simples descuido, pode colocar tudo a perder em segundos. Por isso, é crucial contar com uma rotina de backup sistemática.

Saiba que na maioria das invasões de sites, é comum a alteração do conteúdo do site ou a sua remoção, casos em que apenas a restauração de uma cópia atualizada de backup, resolve o problema.

Mais do que isso, não confie apenas nas rotinas de backup da empresa de hospedagem de sites que você utiliza. Primeiro porque a primeira responsabilidade de manter backups atualizados, é do próprio dono do site. Em segundo, caso ocorra algum problema em relação ao backup do hosting, você tem seu próprio backup para restaurar o site à sua condição original. São duas chances de resguardar seu valioso conteúdo!

Alguns cuidados que devem ser adotados ao realizar backups do seu site e contas de e-mail:

  • Nunca mantenha o backup na conta de hospedagem. Se o invasor tem acesso à conta, ele terá também ao backup. Além disso, manter um backup – de qualquer tipo de conteúdo – junto ao conteúdo, é como manter a chave reserva, junto com a original. Perde-se uma, perde-se as duas;

  • Por razões similares, se o backup é mantido no seu computador de trabalho, reserve um tempo para gravá-lo em mídias externas, como um pendrive ou mesmo um serviço de armazenamento em nuvem. Se lhe roubam o notebook ou ocorre algum dano físico a ele, você tem uma alternativa de recuperação;

  • Não deixe muito tempo sem realizar backups. Faça uma programação para backup, particularmente se você atualiza conteúdo com frequência. Intervalos grandes entre um e outro, significa muito conteúdo que não é coberto por backup;

  • É altamente recomendável que se realize uma rotina de backup antes de atualizações e modificações, as quais podem danificar o sistema e consequentemente deixar o site fora do ar;

8. Utilizar MFA ou 2FA

Os melhores CMSs, bem como as melhores empresas de hospedagem, já possibilitam habilitar mecanismos de autenticação multi fator (MFA) ou de dois fatores (2FA).

O MFA e o 2FA, consistem em adicionar uma camada extra de segurança para realizar o acesso à conta de hospedagem e ao CMS, sendo que no caso do MFA, há múltiplas alternativas de autenticação e no 2FA, apenas uma.

Sendo assim, além do tradicional fornecimento de um nome de usuário e uma senha, contém um segundo método ou fator de autenticação, diferente do primeiro, mas também baseado em uma condição a qual somente quem é realmente habilitado ao acesso, teoricamente pode comprovar.

Se por exemplo, seu site é baseado no WordPress, há opções de plugins que implementam a autenticação de dois fatores (2FA) para WordPress.

Já os clientes da HostMídia, também podem – e devem – fazer o mesmo, porém em relação ao cPanel. Inclusive, temos um post que trata em profundidade da questão e contém os passos necessários para habilitar a autenticação de dois fatores (2FA) no cPanel.

9. Use ferramentas de segurança do hosting

Conhecendo os problemas mais comuns que podem ameaçar o ambiente de hospedagem, os bons hostings oferecem ferramentas de segurança que podem ajudar a torná-lo mais seguro e identificar possíveis problemas.

Em termos práticos, todo cliente HostMídia conta com o ModSecurity e com o Imunify360, ambos acessíveis por meio do painel de controle.

Visando fortalecer o ambiente, todas as contas de hospedagem na HostMídia já tem o ModSecurity habilitado por padrão.

Já o Imunify360, pode ser rodado de forma semelhante a um antivírus, para checagem de possíveis conteúdos nocivos na conta e que podem indicar um site invadido, por exemplo.

10. Utilize permissões restritivas e indicadas pelo hosting

As permissões se referem a quem pode fazer o quê dentro de um site e se dividem em leitura, escrita e execução. Constituem um dos pilares de segurança de servidores baseados no Linux.

Alguns CMSs mais antigos e menos atualizados, as vezes realizam a alteração das permissões padrão de pastas e arquivos da conta de hospedagem durante o processo de instalação, principalmente quando ele é feito manualmente.

Nesses casos, é comum encontrar pastas e arquivos com permissões inapropriadas e que favorecem a invasão por parte de alguém com os conhecimentos necessários.

O indicado, é que arquivos tenham a permissão 644 e pastas, a permissão 755.

Se tiver dúvidas quanto a isso e como restituir o permissionamento indicado, é recomendável que contate o suporte técnico da sua empresa de hospedagem e solicite ajuda ou orientações de como proceder com a mudança.

Conclusão

A segurança do site é uma questão fundamental em um mundo em que tecnologia oferece tantas opções, mas ao mesmo tempo apresenta dificuldades as quais muitos ainda não sabem como lidar. Todavia, resolver boa parte dos problemas mais comuns, não é algo difícil e com organização e método, é possível diminuir substancialmente as chances de que ocorram problemas de segurança.

Artigos relacionados

Open Source
O que é Open Source, vantagens e exemplos?
Cloud Computing
O que é Cloud Computing? Tudo que você precisa saber
MFA
O que é MFA? Como funciona e por que é importante?

Comentários ({{totalComentarios}})