Segurança do site

O que é segurança do site?

Antes de nos aprofundarmos em como proteger um site, devemos primeiro obter uma compreensão básica do que é segurança do site. Em termos mais simples, a segurança do site é a proteção que os proprietários de sites colocam em prática para evitar ataques maliciosos.

Embora a internet nos permita comercializar nossos negócios, nos comunicar com nossos clientes e vender nossos produtos com facilidade, infelizmente, também pode ser um lugar perigoso. A Agência de Segurança Cibernética e Infraestrutura (Cybersecurity & Infrastructure Security Agency, CISA) dos EUA alerta que os ataques de segurança cibernética estão aumentando em número e gravidade.

Com mais de 2.200 ataques cibernéticos acontecendo todos os dias, para evitar o uso não autorizado de nossos sites e para proteger nossos dados confidenciais, informações de lançamento de produtos e muito mais, devemos agir.

Devemos estar preparados para uma variedade de riscos de segurança e tomar as medidas necessárias para reforçar nossos esforços de segurança.

Por que você deve ter um site seguro?

Por falta de uma palavra melhor, os ataques cibernéticos podem arruinar vidas. Um grande incidente de segurança pode acabar completamente com seu modo de vida e cortar seu fluxo de renda. Para pequenas e médias empresas, 95% dos incidentes de segurança cibernética custam entre US$ 826,00 e US$ 653.587,00.

Como seu site hackeado está inativo, é mantido para resgate ou roubado, você não está apenas perdendo dinheiro, mas a reputação e credibilidade da sua marca também podem ser muito prejudicadas. Um site com vulnerabilidades de segurança pode ser desfigurado para exibir informações que destroem a confiança do consumidor. Ele pode até ser usado para realizar ataques de watering hole.

Qual site de segurança devo monitorar?

Se você tiver uma empresa nos EUA, preste muita atenção ao site da CISA. Além de identificar os problemas e explorações de segurança mais recentes, o site também fornece uma visão geral técnica detalhada e sugestões de mitigação para cada caso.

Os ataques cibernéticos podem ser devastadores. Por isso, inscreva-se para receber alertas da CISA para que você possa ter uma chance maior de proteger sua empresa e seus clientes. Dê uma olhada nas melhores práticas da agência para empresas, para que você possa fortalecer melhor a segurança do seu site, também para o futuro.

Como regra geral, também é uma boa ideia ativar alertas de segurança para cada aplicativo de software que você usa em seu site. Isso inclui qualquer coisa, desde sistemas de gerenciamento de conteúdo e plug-ins do WordPress até ferramentas para sua loja de comércio eletrônico. Embora possa parecer um incômodo no momento, tomar todas as precauções extras para manter seu site seguro valerá a pena no longo prazo.

Ameaças comuns à segurança do site

Violação de dados

Uma violação de dados acontece quando alguém expõe informações confidenciais. Violações de dados podem acontecer por acidente, mas os ladrões cibernéticos também visam sites e aplicativos da web para roubar dados que podem vender no mercado negro ou usar para se aprofundar na rede da empresa. Dados financeiros e médicos são alvos comuns, mas os hackers também podem vender dados de alunos, correspondências e fotos privadas e informações de contato do cliente.

Violações de dados são caras e não apenas em termos de perda de renda. Os clientes podem processar se seus dados privados forem roubados e podem mostrar que sua empresa foi negligente. Os governos nacionais estão se tornando mais agressivos na proteção dos dados de seus cidadãos. Portanto, altas multas e sanções legais também são uma possibilidade. Violações de dados também podem destruir a reputação de uma empresa e a percepção do público sobre sua confiabilidade.

Negação de serviço (DoS) e perda de disponibilidade do site

Um ataque de Negação de Serviço (Denial of Service, DoS) é uma tentativa de travar um site sobrecarregando seus servidores. Um ataque semelhante é uma negação de serviço distribuída (Distributed denial of service, DDoS). Em um ataque distribuído, o tráfego vem de vários recursos. Isso torna mais difícil de impedir que aconteça. Você pode bloquear uma fonte de inundar seu servidor da web, mas é muito mais difícil manter centenas, especialmente se a lista estiver em constante mudança.

Ransomware

O ransomware é um código malicioso que bloqueia o acesso ao seu site até que você pague um resgate. O ransomware está se tornando mais frequente para pequenas empresas e serviços governamentais. Um criminoso criptografa os arquivos do seu computador e os dados do usuário, depois se oferece para vender uma chave de descriptografia em troca de dinheiro (geralmente Bitcoin ou outra criptomoeda). Este é um crime altamente rentável porque custa menos pagar o resgate do que recuperar o acesso aos arquivos de negócios de qualquer outra forma.

Tornou-se tão lucrativo que os watchdogs da CISA e da segurança cibernética alertam que os usuários da dark web estão oferecendo Ransomware as a Service (RaaS). O RaaS é um modelo de negócios baseado em assinatura em que uma empresa criminosa desenvolve ferramentas de ransomware e, em seguida, vende as ferramentas para afiliadas. Quando a afiliada usa o ransomware com sucesso, paga uma porcentagem do resgate para a empresa criminosa. Isso elimina a necessidade de habilidades técnicas e abre ransomware para qualquer pessoa disposta a pagar a taxa de afiliação.

Cross-site scripting (XSS)

Cross-site scripting (XSS) acontece quando um agente malicioso injeta scripts executáveis no código de um site. Quando isso é bem-sucedido, o hacker é capaz de obter acesso e controlar o site para se passar por pessoas que têm acesso legítimo ao seu código de site.

Injeções de SQL e código

As injeções SQL (SQLi) usam o código SQL para manipular os bancos de dados conectados a um site. SQL significa linguagem de consulta com script (scripted query language). Ele é usado por administradores de banco de dados para controlar os dados em um banco de dados. Uma injeção SQL ignora a página da web para acessar diretamente o banco de dados. Depois que os hackers acessam o banco de dados, eles podem destruir as informações confidenciais ou copiá-las para vender na dark web.

Senhas roubadas

A maioria dos sites é protegida por senhas. As senhas podem ser descobertas por programas de software que experimentam diferentes combinações até encontrarem uma que funcione. Ou, em muitos casos, os desenvolvedores da web usam as senhas padrão que vêm com sua conta de administrador da web. Se um hacker tiver o nome de usuário e a senha de um site, ele pode fazer qualquer quantidade de atividade falsa ou maliciosa, desde desfigurar a página da web até tornar os arquivos irrecuperáveis.

Medidas que você pode tomar para proteger seu site

Seja proativo quando se trata de segurança do site. Você não precisa ficar sem fazer nada, pois os criminosos causam estragos em todos os seus locais.

Não importa se você está instalando patches de segurança frequentes, mantendo-se atualizado sobre software desatualizado ou habilitando backups automáticos para seus dados, há muitas maneiras simples de impedir tentativas de hackers.

Proteger um site pode ser complicado, mas considere implementar as medidas abaixo para minimizar o risco de segurança do seu site.

Mantenha os patches de software e segurança atualizados

Mantenha todo o software atualizado. A maioria dos ataques a sites se origina por meio do Sistema de Gerenciamento de Conteúdo (Content Management System, CMS). Exemplos populares de CMS são WordPress, Joomla e Magento.

Ative os alertas para que você saiba quando o Microsoft, WordPress ou qualquer fornecedor de software lançar um patch ou aprimoramento de segurança. Eles são frequentemente liberados em resposta a uma fraqueza recém-descoberta. Portanto, o tempo é uma prioridade.

Adicione SSL e HTTPS

O criador de sites do Mailchimp inclui uma opção para adicionar criptografia por meio de certificados SSL que protegem transações monetárias. HTTPS, ou protocolo de transferência de hipertexto seguro (hypertext transfer protocol secure), é uma ferramenta de criptografia que protege os dados que precisam ser protegidos, como registros financeiros ou médicos.

Exija senhas complexas e alterações frequentes

Ter uma senha forte que é alterada com frequência é uma das maneiras mais fáceis e eficazes de proteger seu site. Em geral, uma senha segura terá mais do que apenas letras. Inclua uma combinação de diferentes capitalizações, números e símbolos sem relação com suas informações pessoais.

Quando a opção estiver disponível, além de senhas fortes, lembre-se de usar autenticação multifatorial também. Se isso incomoda você, incomoda hackers e bots tentando invadir seu site muito mais.

Restrinja privilégios administrativos

Quanto menos pessoas tiverem acesso administrativo, mais fácil será manter o controle de todos. Quando alguém deixa sua empresa, especialmente se for demitido, verifique novamente a permissão do usuário ou desative a conta imediatamente.

Nem todos que trabalham no seu site precisam de privilégios de administrador. Conceda privilégios de acordo com o que a pessoa precisa fazer. Se alguém precisar de acesso temporário para um projeto especial, você pode adicionar os novos direitos necessários.

Altere configurações padrão

As configurações padrão geralmente são as mesmas para todos que compram um aplicativo de software ou produto de hardware. Isso significa que qualquer outra pessoa que use os mesmos aplicativos que você pode conhecer suas credenciais de login. Então, troque-os assim que instalar um novo produto.

Faça backup dos seus arquivos

Um site seguro é um site com backup. O backup de seus arquivos oferece uma maneira de se recuperar rapidamente de qualquer tipo de ataque de cibersegurança. O criador de sites do Mailchimp oferece a opção de fazer backup automático dos seus arquivos quando você configura o seu site. Isso é altamente recomendado porque é muito fácil esquecer.

É importante manter os arquivos de backup em um local seguro separado dos arquivos do seu site. Isso ocorre porque, se um hacker entrar em sua conta da web, ele também terá acesso aos seus backups. Salvar seus arquivos off-line oferece uma alternativa ao pagamento de um resgate porque você mesmo pode restaurar os arquivos criptografados em vez de pagar os criminosos.

Use um firewall de aplicativo web (Web application firewall, WAF)

Se você está se perguntando como proteger um site contra scripts entre sites e injeção de SQL, procure apenas firewalls de aplicativos da web.

Essencialmente, um firewall de aplicativo web atua como um escudo entre seus aplicativos web e o resto da internet. Ele monitora todo o tráfego HTTP que deseja passar para o seu aplicativo da web, bloqueando qualquer um que tente explorar suas vulnerabilidades.

Para sites de comércio eletrônico que lidam com dados do titular do cartão em particular, implementar um WAF pode ajudar você a atender a determinados requisitos de conformidade.

Implemente autenticação multifatorial (Multi-factor authentication, MFA)

Habilitar a autenticação multifatorial pode adicionar uma camada extra de proteção aos seus dados. Além da sua senha, agora você precisará de outra forma de verificação, como uma senha de uso único, código QR ou notificação push em um de seus dispositivos móveis, para acessar seus aplicativos e contas.

Mesmo que um hacker obtenha com sucesso uma de suas credenciais, ele provavelmente será dissuadido pelo processo de autenticação multifatorial. Enfatize a criptografia de dados para levar a segurança do seu site para o próximo nível.

Como proprietário de um site, especialmente se você tiver uma pequena empresa, é crucial tornar seus dados o mais inacessíveis e inacessíveis possível. Até mesmo as ferramentas de segurança mais simples e as melhorias de segurança podem fazer uma enorme diferença quando se trata de criar um site seguro.

Monitore regularmente os registros e realize auditorias de segurança

Às vezes, manter seu site atualizado não é suficiente, você também precisará atualizar continuamente sua estratégia de segurança para ficar à frente de ataques de phishing e muito mais.

Monitore seus registros e realize auditorias de segurança para encontrar as lacunas presentes em sua infraestrutura de TI. Por exemplo, dê uma olhada nas configurações do servidor do site, arquivos principais e privilégios de acesso do usuário. Como você pode tornar o seu site mais seguro para a sua empresa e mais eficiente para os visitantes do seu site?

Você precisa instalar plugins de segurança ou software antimalware? Ou você tem certificação SSL que precisa ser renovada? Use uma ferramenta de auditoria de segurança automatizada ou invista em uma verificação de segurança profissional para ter uma ideia clara da saúde do seu local.

Use uma rede de distribuição de conteúdo (Content Delivery Network, CDN)

Embora uma rede de entrega de conteúdo seja normalmente usada para melhorar o desempenho do site, a CDN certa também pode proteger um site oferecendo proteção contra DDoS.

Construído para lidar com uma grande quantidade de tráfego, um CDN pode redistribuir o aumento repentino no tráfego que vem com um ataque DDoS. Dessa forma, seu servidor da web de origem permanece ativo e não fica sobrecarregado.

Limite informações confidenciais coletadas e armazenadas

Muitas empresas precisam coletar e armazenar informações pessoais em seus bancos de dados para operar.

Informações como nomes, endereços, números de previdência social, detalhes de cartão de crédito, números de telefone e senhas podem ser necessárias para folha de pagamento, atendimento de pedidos, gestão de redes sociais e outras funções comerciais importantes. Como nos certificamos de manter esses dados confidenciais seguros?

Comece organizando seus bancos de dados, tenha uma boa ideia de todas as informações que você tem e descarte o que não precisa mais.

Daqui para frente, armazene apenas informações absolutamente necessárias e faça com que tudo seja copiado e criptografado. Lembre-se de ter uma política de privacidade em vigor para cobrir todas as bases também.

Eduque e treine os funcionários sobre as melhores práticas

Se sua empresa usa um site WordPress ou um site HTML estático, ter um site seguro exige mais do que apenas os plug-ins de segurança e serviços de segurança certos.

Independentemente da posição em sua organização, seus funcionários também precisam ter uma boa compreensão da segurança do site e do manuseio de dados. De aulas sobre conformidade com o RGPD a workshops sobre senhas, faça com que seja uma prioridade investir em treinamento de segurança cibernética para seus funcionários.

Prepare um plano de recuperação antes que qualquer coisa aconteça

Os ataques de segurança cibernética ainda podem acontecer, não importa quão diligente ou cuidadoso você seja para manter a segurança em seus sites. Prepare um plano de recuperação por precaução. Explique à sua equipe ocasionalmente para garantir que o plano seja atual e que todos saibam o que precisa ser feito.

Manter a segurança dos sites é um processo constante. Novas vulnerabilidades aparecem todos os dias. Se ocorrer uma violação, coloque seu site de volta on-line. Quando sua empresa estiver funcionando novamente, observe o que aconteceu e tome medidas para evitar que aconteça novamente.

Dê vida à sua marca criando seu próprio site. Projete a partir do zero, conecte um domínio, analise o tráfego e otimize para SEO (search engine optimization). Experimente o criador de sites gratuito do Mailchimp e dê vida à sua visão em menos de uma hora.