![\"\"](\"https:\/\/www.guardti.com.br\/blog\/wp-content\/uploads\/2018\/08\/https-site-300x120.jpg\")
<\/p>\n<\/p>\n
O HTTPS \u00e9 um protocolo que criptografa a comunica\u00e7\u00e3o entre os usu\u00e1rios e o servidor que hospeda seu site. Seu uso \u00e9 muito importante para evitar que informa\u00e7\u00f5es de todo tipo n\u00e3o trafeguem na internet de forma transparente, possibilitando que curiosos capturem essas informa\u00e7\u00f5es e as usem para fins escusos. H\u00e1 ainda outras vantagens como o ganho de desempenho e posicionamento\/reputa\u00e7\u00e3o do site na internet. Navegadores e antiv\u00edrus classificam sites como inseguros caso n\u00e3o utilizem HTTPS, podendo impactar a confian\u00e7a dos usu\u00e1rios do seu site e consequentemente a quantidade de visitantes. <\/span><\/p>\n O uso de um certificado digital \u00e9 o primeiro passo (de v\u00e1rios) e tamb\u00e9m o mais acess\u00edvel para melhorar a seguran\u00e7a do seu site. H\u00e1 op\u00e7\u00f5es gratuitas dispon\u00edveis!<\/span><\/p>\n Como o nome j\u00e1 diz, o firewall de aplica\u00e7\u00e3o \u00e9 capaz de filtrar, identificar e bloquear acessos maliciosos. Enquanto o firewall de rede convencional permite o tr\u00e1fego destinado ao servidor de aplica\u00e7\u00e3o, o WAF \u00e9 capaz de ler todo esse tr\u00e1fego e identificar acessos que caracterizam uma tentativa de ataque, como uma inje\u00e7\u00e3o de comando para o banco de dados (SQL Injection). O WAF \u00e9 um dos recursos de seguran\u00e7a para sites e aplica\u00e7\u00f5es mais efetivos que existem, pois assim que ativado, j\u00e1 inibe muitas tentativas de ataque antes que estas alcancem o seu servidor.<\/span><\/p>\n O WAF tamb\u00e9m possui a caracter\u00edstica de filtrar acessos baseados no navegador que o seu cliente utiliza, podendo bloquear bots e outros aplicativos que n\u00e3o os convencionais utilizados no mercado, liberando somente o tr\u00e1fego leg\u00edtimo. Isso pode se refletir tamb\u00e9m na economia de recursos e maior performance para seus usu\u00e1rios. <\/span><\/p>\n A OWASP \u00e9 uma comunidade mundial que empreende esfor\u00e7os em prol aplica\u00e7\u00f5es web mais seguras. Ela publica a cada tri\u00eanio um ranking com os 10 tipos de ataque comumente mais explorados. Um WAF de respeito \u00e9 aquele que vai minimamente proteger seu site contra esta lista. Um WAF \u00f3timo ir\u00e1 lhe entregar conformidade com o padr\u00e3o de seguran\u00e7a PCI (payment card industry), um dos mais criteriosos do mercado. <\/span><\/p>\n O WAF \u00e9 um recurso valioso para proteger a continuidade do seu neg\u00f3cio e a seguran\u00e7a dos seus clientes.<\/span><\/p>\n Ataques DoS ou DDoS s\u00e3o aqueles que visam atrapalhar o bom funcionamento de um site, podendo at\u00e9 deixa-lo indispon\u00edvel atrav\u00e9s do consumo total dos recursos tecnol\u00f3gicos que comp\u00f5em a hospedagem do site. Dentre estes recursos consumidos, podemos citar o link de internet e capacidade de processamento do servidor que hospeda seu site, impossibilitando a navega\u00e7\u00e3o dos clientes. Ataques DoS partem de uma origem, j\u00e1 o DDoS possui \u201cN\u201d origens, podendo ser centenas, milhares ou milh\u00f5es de m\u00e1quinas gerando tr\u00e1fego para o site alvo. <\/span><\/p>\n Proteger-se de forma efetiva contra esses ataques exige um esfor\u00e7o que vai desde boas pr\u00e1ticas de configura\u00e7\u00e3o de ambiente e desenvolvimento de aplica\u00e7\u00f5es, at\u00e9 o uso de servi\u00e7os, softwares e hardwares espec\u00edficos para este fim. Apesar de soar complexo, n\u00e3o \u00e9. H\u00e1 no youtube diversos tutoriais que passam esse conhecimento, possibilitando que uma pessoa sem muito conhecimento derrube um site. Diariamente s\u00e3o lan\u00e7adas novas vers\u00f5es de aplica\u00e7\u00f5es, componentes, sistemas operacionais, dentre outros. Tais atualiza\u00e7\u00f5es muitas vezes chegam para corrigir bugs, que eventualmente podem comprometer a seguran\u00e7a. \u00a0Assim, \u00e9 primordial que voc\u00ea zele pela atualiza\u00e7\u00e3o de todos os ativos que fazem parte do seu site, como servidor que hospeda, o sistema operacional, servidor de aplica\u00e7\u00e3o, a linguagem de programa\u00e7\u00e3o e o compilador, e a pr\u00f3pria aplica\u00e7\u00e3o do seu site, seja ele desenvolvido sob demanda ou de mercado, como o WordPress. <\/span><\/p>\n At\u00e9 o momento da elabora\u00e7\u00e3o deste post, 7 atualiza\u00e7\u00f5es do WordPress foram lan\u00e7adas em 2018, m\u00e9dia de uma por m\u00eas. Gerenciadores de conte\u00fado e lojas virtuais dispon\u00edveis para uso sem custo est\u00e3o no alvo de invasores, pois devido sua popularidade as vulnerabilidades tornam-se conhecidas de forma r\u00e1pida, aumentando o escopo de atua\u00e7\u00e3o maliciosa. Por isso, \u00e9 de suma import\u00e2ncia que voc\u00ea sempre atualize a vers\u00e3o do seu CMS e dos seus plug-ins, e caso sejam descontinuados, retire de funcionamento, pois isso significa que as falhas existentes n\u00e3o ser\u00e3o corrigidas. Esteja atento \u00e0s Release Notes das \u00faltimas atualiza\u00e7\u00f5es, bem como f\u00f3runs e blogs oficiais do seu CMS. <\/span><\/p>\n Manter o sistema operacional do seu servidor, loja virtual, CMS, aplica\u00e7\u00e3o e componentes atualizados \u00e9 dificultar a vida de quem est\u00e1 mal-intencionado. <\/span><\/p>\n As \u00e1reas administrativas do seu site, aquelas pela qual voc\u00ea e sua equipe entram com login e senha para realizar diversas atividades, como inserir conte\u00fados, s\u00e3o alvos frequentes de ataques. Os ataques de bruteforce utilizam a estrat\u00e9gia de tentativa e erro com login e senha, utilizando um banco enorme de poss\u00edveis combina\u00e7\u00f5es de senhas. E este \u00e9 apenas um dos riscos. Um membro da equipe desinformado pode utilizar uma senha fraca, compartilhar a senha, ou anot\u00e1-la em um local vis\u00edvel. Ou pode tamb\u00e9m perder o celular ou ter o computador roubado com as informa\u00e7\u00f5es de acesso.<\/span><\/p>\n Para minimizar tais riscos, h\u00e1 solu\u00e7\u00f5es de seguran\u00e7a que colocam uma camada a mais de autentica\u00e7\u00e3o, bloqueando para \u201co mundo\u201d o acesso a p\u00e1gina de login que d\u00e1 acesso a \u00e1rea restrita do seu site. Em termos pr\u00e1ticos, mesmo que sua senha seja extraviada, quem a roubou n\u00e3o conseguir\u00e1 acesso ao sistema, pois ter\u00e1 que passar por outra camada antes de se autenticar na \u00e1rea administrativa. De quebra, este recurso ainda inibe a\u00e7\u00f5es de curiosos que querem ganhar acesso ao seu sistema.<\/span><\/p>\n H\u00e1 diversas senhas que comp\u00f5em o ecossistema do seu site. Vamos elencar algumas:<\/span><\/p>\n Uma pol\u00edtica de senhas, resumidamente, consiste em um conjunto de regras que devem ser observados para minimizar ao m\u00e1ximo a possibilidade da descoberta ou extravio de uma senha. Um estrago enorme pode ser feito com qualquer uma das senhas listadas acima nas m\u00e3os erradas. Assim, listamos a seguir um exemplo de conjunto de regras para lhe ajudar a criar a implantar sua pr\u00f3pria pol\u00edtica: \u00a0<\/span><\/p>\n Pode ser um pouco trabalhoso e gerar algumas reclama\u00e7\u00f5es por parte da equipe, mas criar e gerenciar uma pol\u00edtica de senhas vai evitar muita dor de cabe\u00e7a para voc\u00ea.<\/span><\/p>\n Vulnerabilidades s\u00e3o falhas de seguran\u00e7a que podem estar presentes em seu site ou no ambiente que o hospeda. Tais falhas s\u00e3o descobertas com o passar do tempo e \u00e9 rotineiro que os fabricantes de sistemas operacionais, mantenedores de CMSs e desenvolvedores de componentes lancem novas vers\u00f5es que contem corre\u00e7\u00f5es de bugs, dentre eles as falhas de seguran\u00e7a. <\/span><\/p>\n A vulnerabilidade existe geralmente por um erro de desenvolvimento, uma configura\u00e7\u00e3o errada, uma vers\u00e3o desatualizada de algum componente, ou por uma combina\u00e7\u00e3o destes e de outros fatores. O fato \u00e9 que existem mecanismos e servi\u00e7os dispon\u00edveis para avaliar o n\u00edvel de seguran\u00e7a de um site, incluindo o ambiente que o hospeda. H\u00e1 aplicativos que realizam varreduras e simulam diversos tipos de ataque (de forma n\u00e3o intrusiva), a fim de validar se uma determinada vulnerabilidade est\u00e1 ou n\u00e3o presente no seu site. <\/span><\/p>\n \u00c9 adequado estabelecer uma rotina de testes que deve observar crit\u00e9rios como novas vers\u00f5es do seu site, atualiza\u00e7\u00e3o de algum componente do ambiente ou simplesmente uma rotina de testes a cada \u201cX\u201d dias, posto que uma nova vulnerabilidade pode ter sido descoberta num dado intervalo de tempo. Conhecer e tratar suas vulnerabilidades significa antecipar-se ao risco.<\/span><\/p>\n Se tivermos que apelar para o backup ap\u00f3s um incidente de seguran\u00e7a \u00e9 porque a coisa foi feia. Mas ficaria muito pior se n\u00e3o existir backup, correto? Imagina ter que pagar por um site novo? Ou pior, perder todos os dados da sua aplica\u00e7\u00e3o, dos seus clientes, anos de dedica\u00e7\u00e3o e trabalho. Ningu\u00e9m quer passar por isso. Muitas empresas de hospedagem afirmam j\u00e1 executar backup do seu site, mas n\u00e3o confie. Fa\u00e7a o seu backup, e se poss\u00edvel armazene-o em mais de um local. N\u00e3o entraremos de forma mais profunda na pol\u00edtica de backup, pois \u00e9 um tema muito particular para cada tipo de site ou aplica\u00e7\u00e3o. Al\u00e9m de realizar seu backup, realize um teste de integridade, a fim de constatar que o backup funcionou e que os arquivos e dados que voc\u00ea precisa, de fato est\u00e3o nele. <\/span><\/p>\n Como a utiliza\u00e7\u00e3o do backup geralmente est\u00e1 associada a um momento de crise, onde seu site est\u00e1 fora do ar e voc\u00ea quer restabelece-lo de forma mais r\u00e1pida poss\u00edvel, \u00e9 importante criar um plano para servir de guia nesse momento, e assim evitar que voc\u00ea fique sem saber o que fazer ou acabe tomando decis\u00f5es desnecess\u00e1rias ou erradas. Esse plano deve ter sido feito e testado com anteced\u00eancia, e assim minimizar\u00e1 a possibilidade de surpresas durante o processo. O plano consiste em um passo a passo detalhado de tudo que deve ser feito para o site ser restabelecido, como local de armazenamento dos backups, endere\u00e7os IPs de servidores, local (path) onde os arquivos est\u00e3o, que arquivos e dados devem ou n\u00e3o ser apagados, quem voc\u00ea deve acionar (se for o caso) para solicitar apoio, dentre outros. <\/span><\/p>\n Apesar de todas as precau\u00e7\u00f5es tomadas, ainda \u00e9 necess\u00e1rio monitorar seu site. O monitoramento do seu site pode e deve incluir diversos aspectos, que v\u00e3o desde aferir a disponibilidade e integridade, at\u00e9 a reputa\u00e7\u00e3o do seu dom\u00ednio. Caso seu site tenha sido infectado por um Malware, rapidamente Blacklists receber\u00e3o notifica\u00e7\u00f5es de antiv\u00edrus e navegadores dos seus clientes, e voc\u00ea n\u00e3o pode ser o \u00faltimo a saber. <\/span><\/p>\n Assim recomendamos que voc\u00ea monitore:<\/span><\/p>\n2 – Waf (Web Application Firewall)<\/b><\/h2>\n
![\"\"](\"https:\/\/www.guardti.com.br\/blog\/wp-content\/uploads\/2018\/08\/waf-300x200.jpg\")
<\/p>\n3 – Prote\u00e7\u00e3o contra ataques DDoS<\/b><\/h2>\n
![\"\"](\"https:\/\/www.guardti.com.br\/blog\/wp-content\/uploads\/2018\/08\/ddos-300x200.jpg\")
<\/p>\n
\n<\/span><\/p>\n4 – Manter seu ambiente atualizado<\/b><\/h2>\n
![\"\"](\"https:\/\/www.guardti.com.br\/blog\/wp-content\/uploads\/2018\/08\/atualizar-so-300x200.jpg\")
<\/p>\n5 – Seguran\u00e7a para credenciais e \u00e1reas administrativas<\/b><\/h2>\n
![\"\"](\"https:\/\/www.guardti.com.br\/blog\/wp-content\/uploads\/2018\/08\/seguran\u00e7a-credenciais-300x261.jpg\")
<\/p>\n6 –\u00a0 Implantar uma pol\u00edtica de senhas<\/b><\/h2>\n
![\"\"](\"https:\/\/www.guardti.com.br\/blog\/wp-content\/uploads\/2018\/08\/politica-senhas-300x200.jpg\")
<\/p>\n\n
\n
7 – Testes de vulnerabilidades<\/b><\/h2>\n
![\"\"](\"https:\/\/www.guardti.com.br\/blog\/wp-content\/uploads\/2018\/08\/teste-de-fulnerabilidade-300x250.jpg\")
<\/p>\n8 – Backup e plano de recupera\u00e7\u00e3o<\/b><\/h2>\n
![\"\"](\"https:\/\/www.guardti.com.br\/blog\/wp-content\/uploads\/2018\/08\/backup-300x225.jpg\")
<\/p>\n9 – Monitorar<\/b><\/h2>\n
![\"\"](\"https:\/\/www.guardti.com.br\/blog\/wp-content\/uploads\/2018\/08\/monitoramento-300x175.jpg\")
<\/p>\n\n
![\"\"](\"https:\/\/www.guardti.com.br\/blog\/wp-content\/uploads\/2018\/08\/CTA.jpg\")
<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"