7 dicas para melhorar a segurança do seu site

A tecnologia tem como papel oferecer novas formas de se fazer as coisas, de modo mais fácil, prático, com melhores resultados e menores esforços. Isso se vê em todas as áreas e não é diferente no meio corporativo. Ao contrário, o mundo dos negócios soube muito bem como aproveitar-se dela, tanto para obter mais produtividade, mais lucros, como também comunicar-se de forma mais ampla e rápida, entre outros benefícios.

Entre tudo o que a tecnologia propicia, sem dúvida a Internet e como ela desenvolveu-se ao longo dos anos, consiste de uma gama de novas oportunidades para as empresas já constituídas no mundo físico, bem como novas, as quais têm sua atuação 100% fundamentada no mundo digital. Se por um lado há novos horizontes para todos, por outro há também novos problemas a serem enfrentados, sendo que o que possivelmente é o mais crítico, seja a segurança!

Os sites representam visualmente as novas oportunidades de fazer negócio e como tal, da mesma forma que se faz no mundo real, é preciso que as pessoas que cuidam do seu negócio na Internet, cerquem-se de certos cuidados para que um promissor site na Internet, não se torne um grande causador de problemas.

Não, não é exagero! Aqueles que não sabem ou não têm a experiência necessária, podem deparar-se com questões que em alguns casos parecem insolúveis e que acarretam muitas dores de cabeça. Por isso, neste post reunimos algumas dicas importantes para que você possa trabalhar a segurança de seu site e tanto quanto possível, aproveitar-se apenas dos benefícios que ele pode lhe proporcionar.

Consequências das fraudes e problemas na Internet

A consequência mais indesejada de um problema de segurança na Internet, são as perdas financeiras, que podem ocorrer não apenas porque um pagamento de uma venda feita em uma loja virtual, é fraudado, mas porque se perdeu clientes, porque a imagem da empresa foi afetada, porque gastou-se com divulgação e melhores posicionamentos nos mecanismos de busca, sem a contrapartida esperada. Enfim, há diversas razões para que as perdas ocorram.

Imagine que um ou muitos clientes tenham feito um simples cadastro em seu site para recebimento de newsletter e que tais dados tenham caído em mãos de “bandidos virtuais”, simplesmente porque a segurança associada ao site permitiu que ele fosse acessado por terceiros. Exemplos como este, ocorrem quase diariamente e afetam até mesmo grandes corporações, como foi o caso do vazamento que afetou a Origin, ainda em 2019.

Mas os tipos de problemas e suas origens, são muitos e podem afetar em diferentes medidas organizações de todos os portes, bem como seus respectivos sites. A verdade, é que ninguém está livre de que algo aconteça. Os mais pessimistas chegam a dizer que a questão é não é mais SE um site será invadido, mas QUANDO e QUANTAS vezes será!

Visto dessa forma, há quem possa imaginar, que se a situação é de fato tão preocupante e parece inevitável que algum dia você seja afetado, então por que fazer algo? Para diminuir as chances de que isso aconteça e postergar ao máximo. Se não fosse assim, você também deixaria de abrir um rentável negócio no mundo real, apenas pela simples e remota possibilidade de um dia ser assaltado?

Portanto, cabe aos responsáveis, adotar uma série de medidas preventivas e que podem muitas vezes diminuir significativamente as chances de problemas, quem sabe aos mesmos níveis de se ganhar na loteria!

Dicas de segurança do site

Para lhe ajudar a evitar aborrecimentos e perdas indesejáveis, vamos listar 7 dicas importantes para que você possa implementar uma política de segurança em seu site.

1. Crie um site por servidor

A maior parte dos planos de hospedagem de sites permite ter mais do que um site hospedado e muitos subdomínios. Por essa razão, é comum vermos vários sites na mesma conta, o que por consequência, são vários sites no mesmo servidor de hospedagem.

Se um site tem uma vulnerabilidade ou qualquer outra situação que implique em acesso à conta por parte de um invasor, ele terá acesso a todos os sites sob tal conta.

Outro ponto desfavorável e que prejudica ter mais do que um site na mesma conta, é que há tantas vezes mais chances de haver problemas de segurança, quantas há de sites na conta. Vamos supor que você tenha 5 sites, cada qual baseado em um CMS. Há pelo menos uma chance do invasor descobrir uma vulnerabilidade, por cada site hospedado.

2. Instale um certificado SSL

Os certificados SSL, além de serem um aspecto favorável ao ranqueamento do site nos mecanismos de busca, constituem uma importante e necessária medida de segurança.

Basicamente o que o SSL faz pela segurança do site, é criptografar todos os dados que são trocados entre um dispositivo que efetua o acesso e o site. Se eventualmente um invasor intercepta os dados, ele não consegue lê-los, pois a criptografia consiste do processo de transformar através de algoritmos, os caracteres pertencentes a uma sequência. Sendo assim, uma palavra tão simples como “senha”, pode parecer-se com algo como: “yJDekjok4oqws8bnqa3p2m1hjdEWXC”.

Essa é uma situação particularmente desejável, principalmente nos dias de hoje em que há muitos acessos por dispositivos móveis, que frequentemente usam hotspots ou conexões Wi-Fi gratuitas e cuja segurança é geralmente falha. Interceptar dados em redes Wi-Fi públicas, é muito simples para um hacker.

3. Atualize seus sistemas

Utilizar-se de softwares desatualizados pode trazer uma série de vulnerabilidades para o seu site. E aqui a preocupação deve ser dupla. Quando falamos em software, estamos nos referindo ao que você tem no seu computador e que geralmente é o que utiliza para acessar a área administrativa do site, a conta de hospedagem, a conta de e-mail, bem como o CMS que eventualmente use para criar e administrar o site.

Sim, o CMS é um software, porém instalado no servidor de hospedagem!

Vulnerabilidades do lado do cliente, como por exemplo, navegadores ou programa de gerenciamento de conta de e-mail, podem permitir que um invasor, descubra sua senha do painel de controle da hospedagem ou da sua conta de e-mail.

Já quando há vulnerabilidades do lado do servidor, ou seja, na aplicação que você usa para manutenção do seu site, pode ser possível ao hacker (na verdade um cracker) realizar diversas ações na sua conta, como por exemplo, instalar scripts, excluir ou alterar conteúdo da conta e até mesmo obter controle total da conta de hospedagem, permitindo-lhe fazer tudo o que você faz, como se você.

Sendo assim, é frequente que empresas como Microsoft lancem atualizações para o sistema operacional, da mesma forma que os desenvolvedores de programas como Mozila Firefox e outros que temos instalados em nossos dispositivos.

Os bons CMSs, bem como os desenvolvedores do melhores e mais populares temas e plugins, também estão atentos aos problemas de segurança identificados e relatados pela comunidade de programadores e usuários e frequentemente lançam atualizações que por um lado melhoram o componente e por outro, corrigem problemas.

Sendo assim, sempre mantenha o seu sistema pessoal (ex: notebook) e seu site atualizados.

4. Construa senhas fortes

Atualmente um usuário possui variadas contas nas mais diversas plataformas e, por isso, costuma usar uma senha simples, repetida em todos os seus perfis para facilitar a recuperação em caso de esquecimento, porém essa atitude é uma oportunidade para os cibercriminosos.

Esse é um erro gravíssimo! Em alguns casos, descobrir uma senha, pode levar ao invasor ter acesso a todas as suas contas, ou em outras palavras, às suas redes sociais, seu painel de controle da conta de hospedagem, e-mail, etc.

Em alguns casos, não é nem mesmo necessário descobrir todas, já que muitos serviços realizam o envio de um lembrete de senha ou link para redefinição de senha, para uma conta de e-mail que tenha sido informada no momento do cadastramento. Sendo assim, se você tem apenas uma conta de e-mail e o invasor descobre a senha dela, automaticamente ele poderá ter acesso a tudo que a conta está associada.

Portanto, é importante saber como criar senhas fortes e que periodicamente seja realizada a troca das senhas mais importantes, sempre certificando-se que o dispositivo que é usado para acesso aos respectivos serviços, está livre de malwares, pois de nada adianta uma senha dificílima, se é usada por um dispositivo infectado por um malware que rouba senhas.

Para ajudá-lo a criar uma senha suficientemente segura e fácil de lembrar, nós indicamos o artigo: “Senha: como criar uma que seja segura e fácil de memorizar

5. Selecione com cuidado as aplicações

Com a infinidade de tecnologias para criação de diferentes tipos de sites atualmente no mercado, como Joomla!, Wordpress e Drupal, entre algumas centenas de opções, estas aplicações – conhecidas como CMSs – têm sido a principal plataforma de desenvolvimento de muitos sites que navegamos diariamente, incluindo alguns bastante populares.

Em geral são todos bons, sendo que cada qual tem suas peculiaridades e vantagens em relação aos demais, exceto pelo fato de que todos – sem exceção – têm problemas de segurança. Uns mais do que os outros, é verdade e não é porque muitos são gratuitos e open source, que estão mais ou menos sujeitos a isso. Até mesmo o extremamente popular e pago Windows, tem muitos.

Assim, no momento de optar por uma aplicação para criar e manter seu site, verifique os aspectos de segurança, em fóruns e sites especializados. Mesmo CMSs como o WordPress, que tem várias falhas conhecidas, pode ser uma ótima opção, já que na contramão dos problemas, há sempre correções frequentemente lançadas. Por outro lado, de nada adianta um outro CMS com baixo índice de problemas, mas que nunca lance atualizações e correções.

O mesmo se aplica em termos dos plugins e temas que pretende utilizar.

6. Faça backup frequentemente

Na era da tecnologia, a informação pode ser gerada rapidamente e perdida com a mesma rapidez. Um evento natural ou um simples descuido, pode colocar tudo a perder em segundos. Por isso, é crucial contar com uma rotina de backup sistemática.

Mais do que isso, não confie apenas nas rotinas de backup da empresa de hospedagem de sites que você utiliza. Primeiro porque a primeira responsabilidade de manter backups atualizados, é do próprio dono do site. Em segundo, caso ocorra algum problema em relação ao backup do hosting, você tem seu próprio backup para restaurar o site à sua condição original. São duas chances de resguardar seu valioso conteúdo!

Alguns cuidados que devem ser adotados ao realizar backups do seu site e contas de e-mail:

  • Nunca mantenha o backup na conta de hospedagem. Se o invasor tem acesso à conta, ele terá também ao backup. Além disso, manter um backup – de qualquer tipo de conteúdo – junto ao conteúdo, é como manter a chave reserva, junto com a original. Perde-se uma, perde-se as duas;

  • Por razões similares, se o backup é mantido no seu computador de trabalho, reserve um tempo para gravá-lo em mídias externas, como um pendrive ou mesmo um serviço de armazenamento em nuvem. Se lhe roubam o notebook ou ocorre algum dano físico a ele, você tem uma alternativa de recuperação;

  • Não deixe muito tempo sem realizar backups. Faça uma programação para backup, particularmente se você atualiza conteúdo com frequência. Intervalos grandes entre um e outro, significam muito conteúdo que não é coberto por backup;

  • É muito aconselhável que se faça backup antes de atualizações e modificações, as quais podem danificar o sistemas e consequentemente deixar o site fora do ar;

7. Utilize permissões restritivas e indicadas pelo hosting

As permissões se referem a quem pode fazer o quê dentro de um site e se dividem em leitura, escrita e execução. Constituem um dos pilares de segurança de servidores baseados no Linux.

Alguns CMSs mais antigos e menos atualizados, as vezes realizam a alteração das permissões padrão de pastas e arquivos da conta de hospedagem durante o processo de instalação, principalmente quando é feito manualmente. Nestes casos, é comum encontrar pastas e arquivos com permissões inapropriadas e que favorecem a invasão por parte de alguém com os conhecimentos necessários.

O indicado, é que arquivos tenham a permissão 644 e pastas, a permissão 755. Se tiver dúvidas quanto a isso e como restituir o permissionamento indicado, é recomendável que contate o suporte técnico da sua empresa de hospedagem e solicite ajuda ou orientações de como proceder com a mudança.

Conclusão

A segurança do site é uma questão fundamental em um mundo em que tecnologia oferece tantas opções, mas ao mesmo tempo apresenta dificuldades as quais muitos ainda não sabem como lidar. Todavia, resolver boa parte dos problemas mais comuns, não é algo difícil e com organização e método, é possível diminuir substancialmente as chances de que ocorram problemas de segurança.

Comentários ({{totalComentarios}})