Checklist — Como Realizar Uma Checagem de Segurança no Site

Acabe com os vilões!

Eu estava em um congresso de cibersegurança em 2015 ouvindo profissionais da indústria e também do FBI. Eles falavam sobre todas as maneiras que os vilões da internet poderiam se infiltrar na rede de uma empresa, roubar dados, quebrar o negócio, usar seu site para propósitos questionáveis e fazer seu mundo desmoronar. Bom, agora existe uma boa razão para checar a segurança no site.

Posso dizer que não foi a maneira mais divertida e agradável de passar uma tarde de outono. Mas, não se engane, ainda faltava a cereja no topo do delicioso sundae: “Não é uma questão de se o seu site será hackeado, e sim de quando.”

“Obrigado por isso. Seguirei em frente e vou ficar estressado com isso pelas próximas três semanas enquanto eu desejo ter escolhido virar um professor de academia.”

Nada é mais efetivo do que deixar alguém com medo e fazê-lo agir do que expor o pior cenário possível. Eu comecei a percorrer os passos para proteger o site da minha empresa.

Aprendi a checar a segurança no site e aprendi como fazer isso por mim mesmo a fim de manter minhas páginas e as dos meus clientes o mais seguras possível dos “caras maus”, como foram chamados pelo FBI.

10 atitudes para fazer uma checagem de segurança no site

Com base em meu conhecimento e pesquisas, eu selecionei um checklist que você pode seguir para fazer uma checagem básica de segurança no site — e então reduzir as chances de seus sites perderem para a má fé dos vilões da internet.

  1. ative o HTTPS;
  2. atualize os plugins e outros softwares;
  3. remova plugins desnecessários;
  4. faça e mantenha os backups;
  5. monitore a integridade dos arquivos;
  6. proteja-se de ataques por força-bruta;
  7. mude seu nome de usuário;
  8. gere senhas automaticamente;
  9. escaneie DNS e WHOIS;
  10. faça a checagem online de segurança no site.

Vamos lá!

1. Certifique-se de que você tem o protocolo https://

O “s” em https é o chamado “Secure Socket Layer”, ou SSL. Ele criptografa o tráfego entre um usuário e o seu site. Isso se tornou tão importante que agora o Google categoriza sites que não têm SSL como potencialmente inseguros. Por isso, evite que aconteça com seu site garantindo um certificado SSL para ele.

2. Atualize todos os plugins e softwares

Se você tem um site em WordPress, Blogger ou em um criador de sites como o da GoDaddy, você não precisa se preocupar com essa parte. Porém, se você o hospeda em um servidor próprio ou em um serviço de hospedagem terceirizado, é responsável pelas atualizações para checar a segurança no site.

Isso significa que você precisa manter o CMS, como o WordPress, atualizado, bem como todos os plugins que você estiver utilizando. Muitas atualizações de plugin estão disponíveis para consertar vulnerabilidades que podem ser exploradas pelos hackers. Portanto, utilizar versões antigas de plugins pode deixar você aberto a ataques maliciosos.

3. Remova os plugins desnecessários

Delete todo e qualquer plugin que você não esteja usando, principalmente se os criadores já não atualizam há alguns meses. O risco é que alguém compre aquele plugin desatualizado, faça a atualização e então adicione o seu próprio código malicioso.

Quando você atualizar o seu plugin, então, terá a nova versão comprometida em seu site, o que dá ao hacker uma porta secreta para o seu servidor. Se você está tentando chegar à segurança no site, isso pode te dar muita dor de cabeça.

4. Faça e mantenha os backups

Eu já ouvi histórias aterrorizantes em que sites inteiros foram devastados por ações maliciosas que não queriam nada, além de destruir o trabalho duro de uma empresa. Anos e anos de postagens de blog e conteúdo podem ser perdidos pela destruição de dados ou um código malicioso injetado ali.

Porém, isso pode ser evitado se você mantiver backups regulares em suas páginas, hospedados em um serviço terceirizado separado — que não seja o servidor do seu site.

“Trabalhe com um serviço de backup separado e mantenha todos os dados de web, da empresa e também os financeiros seguros e distantes de seu site, para caso algo dê errado.”

Para empresas maiores, não é um problema ter dois backups completamente diferentes, de serviços totalmente distintos, para caso um deles falhe.

5. Monitore a integridade dos arquivos

Dê atenção aos arquivos extras que você posta em seu site, e inclua-os na sua checagem de segurança. Imagens — assim como planilhas e documentos, ou até PDFs — podem ser corrompidos pelos criminosos digitais.

Utilize um programa para checar malwares, como o serviço de remoção de malware express da GoDaddy, para estabelecer uma ideia clara de como está o status dos seus arquivos. Assim você poderá compará-los com os futuros escaneamentos para chegar a segurança no site.

6. Proteja-se de ataques com força-bruta

Esta é a imagem que temos dos hackers: caras maus tentando adivinhar nossos nomes de usuário e senhas, ou utilizando softwares para martelar aquela caixa de login centenas de vezes por segundo. Você pode frustrar essas tentativas de duas maneiras:

  • primeiro, utilize senhas complexas, de preferência com letras e números completamente aleatórios, ou melhor: uma sequência de caracteres aleatórios;
  • segundo, se você é um usuário do WordPress, use plugins que limitem as tentativas de login para bloquear ataques feitos com força-bruta e banir endereços de IP que possam ser a fonte deles.

7. Mude seu nome de usuário

Não importa quando eu recebo uma notícia de um ataque com força-bruta — o que acontece uma vez por semana — invariavelmente os hackers estão tentando entrar na conta de administrador.

Portanto, toda vez que eu coloco um novo site on-line, eu tento criar um nome diferente para a conta de administrador e então deleto o usuário “Admin”. Dessa maneira, se qualquer um tentar acessar aquele nome em particular, nunca conseguirá entrar, independentemente do que aconteça.

8. Gere suas senhas automaticamente

Falando sobre ataques com força-bruta, você pode reduzir muito as chances de sucesso ao utilizar senhas extremamente complexas. Não tente buscar a sua “incrível senha infalível”:

“Já sei! Vou usar o nome do meu filho e o ano de nascimento dele! Ninguém nunca vai pensar em Enzo2009.”

Procure ferramentas para guardar senhas como o 1Password ou o LastPass e utilize sua função de gerar senhas seguras automaticamente para criar algo praticamente inviolável. Elas criarão senhas que juntam diversas palavras, o que faz com que elas sejam praticamente impossíveis de quebrar.

Uma calculadora de senhas, o Haystack, aponta que uma frase para senha particular poderia demorar “1.82 mil trilhões trilhões trilhões trilhões de séculos” para ser descoberta, então acho que está tudo bem (eu só pretendo viver 1.82 mil trilhões de séculos).

9. Escaneie seu DNS e WHOIS

Conheci uma pessoa cujo nome de domínio tinha sido roubado porque o hacker fez uma engenharia reversa com o endereço de e-mail dele, e então usou o recurso de “esqueci a senha” no próprio registro do domínio.

Isso foi três semanas antes de o meu amigo perceber que o nome de domínio dele havia sido roubado, e depois foram mais duas até conseguir recuperá-lo.

Monitores as suas listagens DNS e WHOIS, independentemente de fazer isso manualmente uma vez na semana ou instalar um plugin que faça o trabalho. O plugin da Sucuri para segurança de sites fará isso para você (a Sucuri oferece muita segurança no site em um único programa, então vou mencioná-los. Acho que eles deveriam me dar um chapéu ou algo assim).

O que também ajuda é ter uma autenticação em duas etapas acionada tanto para seu e-mail quanto as redes sociais.

10. Faça a checagem on-line de segurança no site

Existem muitos serviços que checam os malwares do seu site, incluindo alguns plugins do WordPress. Eu uso o Sucuri (olha eles aqui de novo) para isso, mas existem outros sites que podem escanear suas páginas.

O Sucuri é gratuito e oferecerá um relatório básico da segurança no site a cada escaneamento, e a versão paga permitirá o uso de mais funcionalidades.

Em outros sites, evite os popups que você encontrar e que podem oferecer escaneamentos em seu disco rígido por você. Provavelmente eles são algum tipo de malware.

Existem realmente dúzias, se não centenas, de atitudes que você precisa tomar para proteger seu site de hackers. Muitos dos recursos estão inclusos em serviços de hospedagem e softwares para web, como os da GoDaddy.

Porém, se você é alguém que gosta de fazer tudo sozinho, tem seu próprio servidor e está construindo um site do zero, você vai precisar de um desenvolvedor profissional e de um especialista em segurança para fazer a checagem antes.

“Independentemente de tudo, existem alguns passos básicos para checar a segurança no site que todos deveriam seguir, não importa onde o seu site esteja hospedado ou o tipo de software que você esteja usando.”

Em resumo, se você tem um site localizado em um servidor presente em qualquer local, você está sob risco de ataques de hackers, cibercriminosos e outros tipos de imprestáveis.

O quão fácil será para eles terem acesso ao seu site e aos preciosos dados dele só depende de você, então faça esses passos você mesmo ou trabalhe com um profissional de cibersegurança para manter suas informações a salvo!

Para mais artigos sobre cuidados com seu site, confira o blog da GoDaddy!

Lucas Carvalho De Vivo
Lucas De Vivo é jornalista e trabalha como Analista de Conteúdo na Agência Mestre. Até agora, todas as suas experiências profissionais foram dedicadas à área de conteúdo, e é ali que ele se encontra. Apaixonado pela escrita, acredita que qualquer hora do dia sem tomar café, se comunicar ou criar é tempo perdido. Adora conversar com proprietários de pequenas empresas — principalmente as mais disruptivas — e ter ótimas ideias com eles!