Eu estava em um congresso de cibersegurança ouvindo profissionais da indústria e também do FBI. Eles falavam sobre todas as maneiras que os vilões da internet poderiam se infiltrar na rede de uma empresa para roubar dados, quebrar o negócio, usar seu site para propósitos questionáveis e fazer o mundo do empreendedor desmoronar. Bom, agora existe uma boa razão para checar a segurança de sites.
Posso dizer que não foi a maneira mais divertida e agradável de passar uma tarde de outono. Mas, não se engane, ainda faltava a cereja no topo do delicioso sundae: “Não é uma questão de se o seu site será hackeado, e sim de quando.”
“Obrigado por isso. Seguirei em frente e vou ficar estressado com isso pelas próximas três semanas enquanto eu preferia ter virado um professor.”
Nada é mais efetivo do que deixar alguém com medo e fazê-lo agir do que expor o pior cenário possível. Dessa forma, comecei a percorrer os passos para criar uma checklist de segurança de site para meu negócio.
Aprendi a fazer checagem de segurança de forma periódica para proteger tanto os dados do meu negócio quanto os dados do meu cliente da ação de cibercriminosos.
10 etapas de uma checklist de segurança de sites
Afinal, como elaborar uma checklist de segurança de sites? Primeiramente, é preciso entender quais são as necessidades básicas do site e quais são suas vulnerabilidades. Certificado SSL, backup periódico, atualizações de plugins e softwares, instalação de firewall e varredura anti malware são algumas das tarefas básicas.
Entretanto, é necessário ir além e entender de que maneira seu site pode estar vulnerável sob todas as perspectivas. Por exemplo, até a chave de autenticação ou senha para acessar o gerenciamento do seu servidor deve ser levado em consideração.
Diante disso, eu selecionei a seguinte checklist de segurança de site para mim. Você também pode seguir esses passos para fazer uma checagem de segurança básica — e então reduzir as chances de ter prejuízos em virtude da má fé dos vilões da internet.
Veja os principais pontos:
- ative o HTTPS;
- atualize os plugins e outros softwares;
- remova plugins desnecessários;
- faça e mantenha os backups;
- monitore a integridade dos arquivos;
- proteja-se de ataques por força-bruta;
- mude seu nome de usuário;
- gere senhas automaticamente;
- escaneie DNS e WHOIS;
- faça a checagem online de segurança no site.
Vamos lá!
1. Certifique-se de que você tem um Certificado SSL
O “s” em https é o chamado “Secure Socket Layer” ou SSL. Ele criptografa o tráfego entre um usuário e o seu site. Isso se tornou tão importante que agora o Google categoriza sites que não têm SSL como potencialmente inseguros.
Por isso, evite que aconteça com seu site garantindo um certificado SSL para ele.
Saiba mais sobre a importância do certificado SSL para proteger os dados do seu site e de seus usuários:
2. Atualize todos os plugins e softwares
Se você tem um site em WordPress, Blogger ou em um criador de sites como o da GoDaddy, você não precisa se preocupar com essa parte. Porém, se você o hospeda em um servidor próprio ou em um serviço de hospedagem tercerizado, é responsável pelas atualizações para checar a segurança no site.
Isso significa que você precisa manter o CMS, como o WordPress, atualizado, bem como todos os plugins que você estiver utilizando. Muitas atualizações de plugin estão disponíveis para consertar vulnerabilidades que podem ser exploradas pelos hackers. Portanto, utilizar versões antigas de plugins pode deixar você aberto a ataques maliciosos.
3. Remova os plugins desnecessários
Delete todo e qualquer plugin que você não esteja usando, principalmente se os criadores já não atualizam há alguns meses. O risco é que alguém compre aquele plugin desatualizado, faça a atualização e então adicione o seu próprio código malicioso.
Quando você atualizar o seu plugin, então, terá a nova versão comprometida em seu site, o que dá ao hacker uma porta secreta para o seu servidor. Se você está tentando chegar à segurança no site, isso pode te dar muita dor de cabeça.
4. Realize backups periódicos
Eu já ouvi histórias aterrorizantes em que sites inteiros foram devastados por ações maliciosas que não queriam nada, além de destruir o trabalho duro de uma empresa. Anos e anos de postagens de blog e conteúdo podem ser perdidos pela destruição de dados ou um código malicioso injetado ali.
Porém, isso pode ser evitado se você mantiver backups regulares em suas páginas, hospedados em um serviço terceirizado separado — que não seja o servidor do seu site.
“Trabalhe com um serviço de backup separado e mantenha todos os dados de web, da empresa e também os financeiros seguros e distantes de seu site, para caso algo dê errado.”
Para empresas maiores, não é um problema ter dois backups completamente diferentes, de serviços totalmente distintos, para caso um deles falhe.
5. Monitore a integridade dos arquivos
Dê atenção aos arquivos extras que você posta em seu site, e inclua-os na sua checagem de segurança. Imagens — assim como planilhas e documentos, ou até PDFs — podem ser corrompidos pelos criminosos digitais.
Utilize um programa para checar malwares, como o serviço de remoção de malware express da GoDaddy, para estabelecer uma ideia clara de como está o status dos seus arquivos.
Assim você poderá compará-los com os futuros escaneamentos para chegar a segurança no site.
6. Proteja-se de ataques com força-bruta
Esta é a imagem que temos dos hackers: caras maus tentando adivinhar nossos nomes de usuário e senhas, ou utilizando softwares para martelar aquela caixa de login centenas de vezes por segundo.
Você pode frustrar essas tentativas de duas maneiras:
- primeiro, utilize senhas complexas, de preferência com letras e números completamente aleatórios, ou melhor: uma sequência de caracteres aleatórios;
- segundo, se você é um usuário do WordPress, use plugins que limitem as tentativas de login para bloquear ataques feitos com força-bruta e banir endereços de IP que possam ser a fonte deles.
7. Mude seu nome de usuário e senha periodicamente
Não importa quando eu recebo uma notícia de um ataque com força-bruta — o que acontece uma vez por semana — invariavelmente os hackers estão tentando entrar na conta de administrador.
Portanto, toda vez que eu coloco um novo site online, eu tento criar um nome diferente para a conta de administrador e então deleto o usuário “Admin”.
Dessa maneira, se qualquer um tentar acessar aquele nome em particular, nunca conseguirá entrar, independentemente do que aconteça.
8. Gere suas senhas automaticamente
Falando sobre ataques com força-bruta, você pode reduzir muito as chances de sucesso ao utilizar senhas extremamente complexas. Não tente buscar a sua “incrível senha infalível”:
“Já sei! Vou usar o nome do meu filho e o ano de nascimento dele! Ninguém nunca vai pensar em Enzo2009.”
Procure ferramentas para guardar senhas como o 1Password ou o LastPass e utilize sua função de gerar senhas seguras automaticamente para criar algo praticamente inviolável. Elas criarão senhas que juntam diversas palavras, o que faz com que elas sejam praticamente impossíveis de quebrar.
Uma calculadora de senhas, o Haystack, aponta que uma frase para senha particular poderia demorar “1.82 mil trilhões trilhões trilhões trilhões de séculos” para ser descoberta, então acho que está tudo bem (eu só pretendo viver 1.82 mil trilhões de séculos).
9. Escaneie seu DNS e WHOIS
Conheci uma pessoa cujo nome de domínio tinha sido roubado porque o hacker fez uma engenharia reversa com o endereço de e-mail dele, e então usou o recurso de “esqueci a senha” no próprio registro do domínio.
Isso foi três semanas antes de o meu amigo perceber que o nome de domínio dele havia sido roubado, e depois foram mais duas até conseguir recuperá-lo.
Monitores as suas listagens DNS e WHOIS, independentemente de fazer isso manualmente uma vez na semana ou instalar um plugin que faça o trabalho. O plugin da Sucuri para segurança de sites fará isso para você (a Sucuri oferece muita segurança no site em um único programa, então vou mencioná-los. Acho que eles deveriam me dar um chapéu ou algo assim).
O que também ajuda é ter uma autenticação em duas etapas acionada tanto para seu e-mail quanto as redes sociais.
10. Aproveita para checar segurança de site online
Existem muitos serviços que podem te ajudar como checar a segurança do site online. Eles monitoram a ação de malwares do seu site, incluindo alguns plugins do WordPress.
Eu, particulamente, uso o Sucuri (olha eles aqui de novo) para isso, mas existem outros sites que podem escanear suas páginas.
O Sucuri é gratuito e oferecerá um relatório básico de segurança no site a cada escaneamento, e a versão paga permitirá o uso de mais funcionalidades.
Em outros sites, evite os pop ups que você encontrar e que podem oferecer escaneamentos em seu disco rígido por você. Provavelmente eles são algum tipo de malware.
Existem realmente dúzias (ou centenas) de atitudes que você precisa tomar para proteger seu site de hackers. Muitos dos recursos estão incluídos em serviços de hospedagem e softwares para web, como os da GoDaddy.
Em resumo, se você tem um site localizado em um servidor presente em qualquer local, você está sob risco de ataques de hackers, cibercriminosos e outros tipos de imprestáveis.
O quão fácil será para eles terem acesso ao seu site e aos preciosos dados dele só depende de você, então faça esses passos você mesmo ou trabalhe com um profissional de cibersegurança para manter suas informações a salvo!
Nesse contexto, a GoDaddy fornece recursos de segurança de sites completos e diversificados para você proteger seu domínio por todas as frentes e sem a necessidade de contratar um profissional particular.
Dentre os recursos, temos as seguintes opções:
- certificado SSL;
- firewall;
- varredura e monitoramento de Malware;
- backup periódico;
- mecanismos contra DDoS e muito mais.
Eleve para outro patamar a checagem de segurança do seu domínio na internet.
Gostou do nosso checklist de segurança do site? Para mais artigos sobre cuidados com seu site, confira o blog da GoDaddy!