Houve um tempo em que pessoas e empresas abandonavam sites completamente, simplesmente esperando que ninguém hackeasse o conteúdo ou instalasse malware no site.
Esses dias estão muito atrás de nós, pois o número e a frequência dos ataques significam que há uma ameaça constante - e quanto mais bem-sucedido um site, maior o perigo.
Então, de que maneiras você pode proteger seu site (por meio de seu provedor de hospedagem na web) e como pode reduzir a possibilidade de o site ser hackeado e alterado de forma nefasta?
Antes de chegarmos a isso, no entanto, precisamos entender o nível mais básico de segurança responsável por muitos sites hackeados - mesmo aqueles hospedados em servidores seguros.
- Escolhemos os melhores serviços de hospedagem na web bem aqui
- Estas são as melhores empresas de hospedagem gratuita na web ao redor
- E esses são atualmente os melhores construtores de sites
A primeira linha de defesa
Embora algumas empresas insistam em hospedar seus próprios sites, a maioria dos domínios de negócios está localizada em servidores seguros contratados para esse fim.
Quando você escolhe a hospedagem, você define qual sistema operacional aquele sistema está executando (Windows Server, Linux ou Unix) e que dita os protocolos de segurança que são necessários.
A pessoa ou pessoas com a responsabilidade de administrar o site têm direitos de administrador para alterar as estruturas de arquivos nele, e mais ninguém.
Isso pode dar errado desde o início se muitas pessoas souberem os detalhes da conta do administrador e a senha não for alterada regularmente. E só precisa de um keylogger para ser instalado em uma das máquinas usadas para fazer o administrador, e a senha é revelada exatamente para o tipo de pessoa que você menos gostaria de ter.
Mas, para ser honesto, quantas pessoas trabalham em um escritório onde as senhas são regularmente lembradas com post-its? Algumas mãos subiram lá, sem dúvida.
Proteger essas senhas é a primeira linha de defesa e, sem isso, qualquer outra coisa que você fizer pode ser facilmente desfeita.
Portanto, há duas lições iniciais a serem aprendidas sobre a segurança do site, a saber:
- É tão bom quanto a rede onde o site foi construído
- A segurança raramente é melhorada anotando as senhas e colocando-as em um local altamente visível
Auditoria de segurança
Realizar uma auditoria de segurança em um site é um exercício relativamente simples que pode ser feito pela equipe de TI usando uma seleção de ferramentas de software. Ou, como alternativa, você pode contratar um terceiro para realizar a varredura para você e fornecer uma lista de pontos fracos potenciais para reforçar.
Se você estiver comprando um serviço de hospedagem na web, o provedor também pode incluir uma ferramenta de segurança para garantir que você esteja razoavelmente seguro desde o início - mas geralmente não de forma contínua.
Além disso, muitos provedores também oferecem um pacote de segurança de site, onde prometem uma resposta rápida a ameaças e mitigação de ataques de negação de serviço. A menos que você tenha apenas um pequeno blog pessoal, esses são um bom investimento.
O preço desses serviços não é muito quando você considera o quão caro pode ser ter um site offline por qualquer período de tempo, especialmente para aqueles que oferecem comércio eletrônico.
Qualquer que seja a abordagem que você adote, é importante que as varreduras de segurança sejam realizadas regularmente, para identificar possíveis novas ameaças à medida que surgem e resolvê-las imediatamente.
Preocupações comuns
As formas mais comuns de ataque que os sites encontram são estas:
- Negação de serviço distribuída (DDoS) - Muitos computadores remotos, geralmente infectados com um cavalo de Tróia, agem em uníssono exigindo páginas da web repetidamente a ponto de os servidores não conseguirem lidar com a quantidade de solicitações.
- Infecção por malware - De alguma forma, os arquivos que contêm algum código nefasto são colocados no site com a intenção de enviá-lo para qualquer pessoa que o visitar.
- injeção SQL - Código malicioso inserido em um formulário ou entrada que é então executado pelo Banco de Dados SQL no servidor. Este código pode permitir que os dados do cliente sejam acessados ou abrir a máquina para acesso externo.
- Força bruta - Freqüentemente, uma falha no sistema operacional permite que um ataque repetido cause uma reinicialização que abre uma porta brevemente para um ataque secundário. Dada a complexidade dos sistemas operacionais modernos, novas vulnerabilidades são encontradas regularmente.
- Cross-site scripting - Um método de hacking em que um navegador pode ser redirecionado para outro site ou substituir o conteúdo no site da vítima sem que o visitante perceba.
- O hack do ‘dia zero’ - Esses são novos e difíceis de impedir ataques que usam uma fraqueza que não é de conhecimento público. O tempo entre a vulnerabilidade ser descoberta e corrigida é crítico e pode exigir que alguns recursos do servidor sejam temporariamente desativados até que uma correção seja encontrada.
Fraquezas pelo design
Embora muitos sites operem com os seguintes recursos ativos, eles são a fonte de muitos problemas de segurança por vários motivos:
- Formulários - Qualquer coisa que processe a entrada no servidor é um ponto de entrada potencial para código malicioso e também pode ser explorado para extrair dados do usuário.
- Fóruns - A colocação de scripts e o redirecionamento de usuários para sites que distribuem malware são apenas alguns dos problemas potenciais com fóruns gerados por usuários.
- Login de mídia social - Usar sua conta do Facebook ou Google para fazer login em um site é rápido e fácil, mas também pode ser uma maneira de essas contas serem hackeadas.
- Comércio eletrônico - O crime segue o dinheiro, e os hackers farão muito mais esforço para hackear um site de comércio eletrônico.
- Conteúdo não regulamentado - Se você obtém notícias e artigos de outros sites, depende de suas medidas de segurança, sejam elas quais forem.
Obviamente, remover todas essas funções de um site o tornaria um lugar muito menos convidativo para os visitantes. É necessário fazer um julgamento sobre quais elementos você está preparado para usar e como pretende mitigar os possíveis problemas de segurança associados a eles.
Proteção apropriada
Só há uma maneira de garantir que seu site nunca seja hackeado: não ter um. Em última análise, a segurança do site é um exercício de mitigação em que você faz o suficiente para tornar muito menos vantajoso tentar hackear seu site e também garantir que seja mais rápido se recuperar de qualquer incidente.
O nível exato de esforço de segurança feito é uma escolha com a qual todas as empresas devem lutar, mas para aqueles envolvidos em vendas online, o compromisso deve ser de 100% para proteger os detalhes pessoais e financeiros daqueles que negociam com você.
Inúmeras empresas e organizações tiveram todos os dados de seus clientes roubados e, posteriormente, usados para fraudes de roubo de identidade, com consequências caras.
Qualquer que seja o nível de proteção e monitoramento que você escolher, ele precisa ser adequado ao propósito. Por fim, considere que ter uma segurança melhor do que a necessária tem uma implicação de custo mínimo, mas ter menos pode ter enormes ramificações legais e comerciais.