1 –  Utilizar HTTPS

O HTTPS é um protocolo que criptografa a comunicação entre os usuários e o servidor que hospeda seu site. Seu uso é muito importante para evitar que informações de todo tipo não trafeguem na internet de forma transparente, possibilitando que curiosos capturem essas informações e as usem para fins escusos. Há ainda outras vantagens como o ganho de desempenho e posicionamento/reputação do site na internet. Navegadores e antivírus classificam sites como inseguros caso não utilizem HTTPS, podendo impactar a confiança dos usuários do seu site e consequentemente a quantidade de visitantes.

O uso de um certificado digital é o primeiro passo (de vários) e também o mais acessível para melhorar a segurança do seu site. Há opções gratuitas disponíveis!

2 – Waf (Web Application Firewall)

Como o nome já diz, o firewall de aplicação é capaz de filtrar, identificar e bloquear acessos maliciosos. Enquanto o firewall de rede convencional permite o tráfego destinado ao servidor de aplicação, o WAF é capaz de ler todo esse tráfego e identificar acessos que caracterizam uma tentativa de ataque, como uma injeção de comando para o banco de dados (SQL Injection). O WAF é um dos recursos de segurança para sites e aplicações mais efetivos que existem, pois assim que ativado, já inibe muitas tentativas de ataque antes que estas alcancem o seu servidor.

O WAF também possui a característica de filtrar acessos baseados no navegador que o seu cliente utiliza, podendo bloquear bots e outros aplicativos que não os convencionais utilizados no mercado, liberando somente o tráfego legítimo. Isso pode se refletir também na economia de recursos e maior performance para seus usuários.

A OWASP é uma comunidade mundial que empreende esforços em prol aplicações web mais seguras. Ela publica a cada triênio um ranking com os 10 tipos de ataque comumente mais explorados. Um WAF de respeito é aquele que vai minimamente proteger seu site contra esta lista. Um WAF ótimo irá lhe entregar conformidade com o padrão de segurança PCI (payment card industry), um dos mais criteriosos do mercado.

O WAF é um recurso valioso para proteger a continuidade do seu negócio e a segurança dos seus clientes.

3 – Proteção contra ataques DDoS

Ataques DoS ou DDoS são aqueles que visam atrapalhar o bom funcionamento de um site, podendo até deixa-lo indisponível através do consumo total dos recursos tecnológicos que compõem a hospedagem do site. Dentre estes recursos consumidos, podemos citar o link de internet e capacidade de processamento do servidor que hospeda seu site, impossibilitando a navegação dos clientes. Ataques DoS partem de uma origem, já o DDoS possui “N” origens, podendo ser centenas, milhares ou milhões de máquinas gerando tráfego para o site alvo.

Proteger-se de forma efetiva contra esses ataques exige um esforço que vai desde boas práticas de configuração de ambiente e desenvolvimento de aplicações, até o uso de serviços, softwares e hardwares específicos para este fim. Apesar de soar complexo, não é. Há no youtube diversos tutoriais que passam esse conhecimento, possibilitando que uma pessoa sem muito conhecimento derrube um site.

4 – Manter seu ambiente atualizado

Diariamente são lançadas novas versões de aplicações, componentes, sistemas operacionais, dentre outros. Tais atualizações muitas vezes chegam para corrigir bugs, que eventualmente podem comprometer a segurança.  Assim, é primordial que você zele pela atualização de todos os ativos que fazem parte do seu site, como servidor que hospeda, o sistema operacional, servidor de aplicação, a linguagem de programação e o compilador, e a própria aplicação do seu site, seja ele desenvolvido sob demanda ou de mercado, como o WordPress.

Até o momento da elaboração deste post, 7 atualizações do WordPress foram lançadas em 2018, média de uma por mês. Gerenciadores de conteúdo e lojas virtuais disponíveis para uso sem custo estão no alvo de invasores, pois devido sua popularidade as vulnerabilidades tornam-se conhecidas de forma rápida, aumentando o escopo de atuação maliciosa. Por isso, é de suma importância que você sempre atualize a versão do seu CMS e dos seus plug-ins, e caso sejam descontinuados, retire de funcionamento, pois isso significa que as falhas existentes não serão corrigidas. Esteja atento às Release Notes das últimas atualizações, bem como fóruns e blogs oficiais do seu CMS.

Manter o sistema operacional do seu servidor, loja virtual, CMS, aplicação e componentes atualizados é dificultar a vida de quem está mal-intencionado.

5 – Segurança para credenciais e áreas administrativas

As áreas administrativas do seu site, aquelas pela qual você e sua equipe entram com login e senha para realizar diversas atividades, como inserir conteúdos, são alvos frequentes de ataques. Os ataques de bruteforce utilizam a estratégia de tentativa e erro com login e senha, utilizando um banco enorme de possíveis combinações de senhas. E este é apenas um dos riscos. Um membro da equipe desinformado pode utilizar uma senha fraca, compartilhar a senha, ou anotá-la em um local visível. Ou pode também perder o celular ou ter o computador roubado com as informações de acesso.

Para minimizar tais riscos, há soluções de segurança que colocam uma camada a mais de autenticação, bloqueando para “o mundo” o acesso a página de login que dá acesso a área restrita do seu site. Em termos práticos, mesmo que sua senha seja extraviada, quem a roubou não conseguirá acesso ao sistema, pois terá que passar por outra camada antes de se autenticar na área administrativa. De quebra, este recurso ainda inibe ações de curiosos que querem ganhar acesso ao seu sistema.

6 –  Implantar uma política de senhas

Há diversas senhas que compõem o ecossistema do seu site. Vamos elencar algumas:

  • A senha da instituição que lhe vendeu o domínio (registro.br, GoDaddy, etc);
  • A senha do painel de controle da sua hospedagem ou provedor Cloud;
  • A senha de FTP/SFTP ou SSH para o servidor onde os arquivos do seu site estão hospedados;
  • A senha do banco de dados que armazena os dados do seu site;
  • A senha de administrador do seu site, que você utiliza para alimentar conteúdos (esta situação merece atenção especial, pois mais de uma pessoa pode possuir credencial para inserir conteúdo no site, e nas piores hipóteses, compartilham senhas).

Uma política de senhas, resumidamente, consiste em um conjunto de regras que devem ser observados para minimizar ao máximo a possibilidade da descoberta ou extravio de uma senha. Um estrago enorme pode ser feito com qualquer uma das senhas listadas acima nas mãos erradas. Assim, listamos a seguir um exemplo de conjunto de regras para lhe ajudar a criar a implantar sua própria política:  

  1. Utilizar no mínimo 8 caracteres compostos por letras maiúsculas e minúsculas, números e caracteres especiais (@#$%&).
  2. Não utilizar palavras, nomes, frases, datas ou termos de qualquer idioma na composição da senha.
  3. Não utilizar sequências alfanuméricas ou do teclado como 123456, 12qwaszx, abcd123, qwerty.
  4. Possuir uma senha para cada necessidade, jamais repetir uma senha.
  5. Definir uma sazonalidade para trocar as senhas. Exemplo: mensal.
  6. Não compartilhar as senhas. Caso necessário, trocar imediatamente após o uso.

Pode ser um pouco trabalhoso e gerar algumas reclamações por parte da equipe, mas criar e gerenciar uma política de senhas vai evitar muita dor de cabeça para você.

7 – Testes de vulnerabilidades

Vulnerabilidades são falhas de segurança que podem estar presentes em seu site ou no ambiente que o hospeda. Tais falhas são descobertas com o passar do tempo e é rotineiro que os fabricantes de sistemas operacionais, mantenedores de CMSs e desenvolvedores de componentes lancem novas versões que contem correções de bugs, dentre eles as falhas de segurança.

A vulnerabilidade existe geralmente por um erro de desenvolvimento, uma configuração errada, uma versão desatualizada de algum componente, ou por uma combinação destes e de outros fatores. O fato é que existem mecanismos e serviços disponíveis para avaliar o nível de segurança de um site, incluindo o ambiente que o hospeda. Há aplicativos que realizam varreduras e simulam diversos tipos de ataque (de forma não intrusiva), a fim de validar se uma determinada vulnerabilidade está ou não presente no seu site.

É adequado estabelecer uma rotina de testes que deve observar critérios como novas versões do seu site, atualização de algum componente do ambiente ou simplesmente uma rotina de testes a cada “X” dias, posto que uma nova vulnerabilidade pode ter sido descoberta num dado intervalo de tempo. Conhecer e tratar suas vulnerabilidades significa antecipar-se ao risco.

8 – Backup e plano de recuperação

Se tivermos que apelar para o backup após um incidente de segurança é porque a coisa foi feia. Mas ficaria muito pior se não existir backup, correto? Imagina ter que pagar por um site novo? Ou pior, perder todos os dados da sua aplicação, dos seus clientes, anos de dedicação e trabalho. Ninguém quer passar por isso. Muitas empresas de hospedagem afirmam já executar backup do seu site, mas não confie. Faça o seu backup, e se possível armazene-o em mais de um local. Não entraremos de forma mais profunda na política de backup, pois é um tema muito particular para cada tipo de site ou aplicação. Além de realizar seu backup, realize um teste de integridade, a fim de constatar que o backup funcionou e que os arquivos e dados que você precisa, de fato estão nele.

Como a utilização do backup geralmente está associada a um momento de crise, onde seu site está fora do ar e você quer restabelece-lo de forma mais rápida possível, é importante criar um plano para servir de guia nesse momento, e assim evitar que você fique sem saber o que fazer ou acabe tomando decisões desnecessárias ou erradas. Esse plano deve ter sido feito e testado com antecedência, e assim minimizará a possibilidade de surpresas durante o processo. O plano consiste em um passo a passo detalhado de tudo que deve ser feito para o site ser restabelecido, como local de armazenamento dos backups, endereços IPs de servidores, local (path) onde os arquivos estão, que arquivos e dados devem ou não ser apagados, quem você deve acionar (se for o caso) para solicitar apoio, dentre outros.

9 – Monitorar

Apesar de todas as precauções tomadas, ainda é necessário monitorar seu site. O monitoramento do seu site pode e deve incluir diversos aspectos, que vão desde aferir a disponibilidade e integridade, até a reputação do seu domínio. Caso seu site tenha sido infectado por um Malware, rapidamente Blacklists receberão notificações de antivírus e navegadores dos seus clientes, e você não pode ser o último a saber.

Assim recomendamos que você monitore:

  1. A disponibilidade do seu site;
  2. A integridade do seu site: seu site possui as informações e o funcionamento adequado como deveria?
  3. O desempenho do seu site. Um site lento pode indicar que um ataque DDoS está em andamento.
  4. A reputação do seu domínio nas diversas blacklists disponíveis na internet.
  5. Se os arquivos do seu site estão sem modificações ou se um malware não foi inserido no meio dos seus arquivos.

Este monitoramento deve ser contínuo e automatizado, e caso alguma anomalia seja detectada, você deve ser notificado imediatamente por email ou SMS.

Conclusão

Implementar segurança no seu site, aplicação ou portal, demonstra profissionalismo, responsabilidade e compromisso com o mercado, seus clientes e seus parceiros. Antecipe-se aos riscos e as consequências de manter seu negócio vulnerável na internet.

Lembre-se do quanto você já investiu até aqui para criar sua aplicação, conquistar seus clientes/usuários, alcançar sua reputação e conclua que a segurança é sua aliada na continuidade dos seus serviços digitais. Se você está iniciando um novo negócio, comece com o pé direito e inclua a segurança desde a concepção do seu produto ou serviço.

Deixe seu comentário
Eduardo Neves
Eduardo Neves