Segurança de Websites para Leigos

Segurança de websites é algo muito importante para todos os proprietários/administradores de sites, e ainda mais para aqueles que administram sites corporativos e comerciais. Ao contrário do que muitas pessoas pensam, a responsabilidade pela segurança dos sites é inteiramente dos seus proprietários, e não dos fornecedores do serviço de hospedagem. Os fornecedores de hospedagem cuidam somente da segurança a nível de servidor, não de website. Cada site está dentro de um painel de controle, que está dentro de um servidor, mais ou menos como um apartamento dentro de um conjunto residencial: o provedor de hospedagem, como a administração do conjunto, cuida da segurança e do acesso às áreas comuns, mas é sua responsabilidade adotar as medidas de segurança para o seu apartamento em específico, ou seja, o seu site.
A segurança envolve vários níveis ou camadas: a rede, o servidor e o website. A rede é a conexão do mundo exterior com o seu website. O servidor é o computador do provedor de hospedagem onde estão os arquivos e bancos de dados do seu site, e o seu site nada mais é do que este mesmo conjunto de arquivos e códigos. Alguns exemplos comuns de exploração de vulnerabilidades são:

Invasão (“hackear”)
Um agente malicioso consegue acesso ao seu painel de controle, ao seu código ou ao seu banco de dados. Ele pode fazer isso para roubar informação, “sequestrar” o seu site ou simplesmente destruir os seus arquivos e a sua reputação. Existem várias brechas que podem ser exploradas: senhas fracas ou expostas, formulários sem validação contra injeção de SQL, permissões de arquivos mal configuradas, ou a famosa engenharia social.

Infecção (vírus, malware)
Um arquivo malicioso é colocado no seu site e programado para se multiplicar infinitamente, alastrando-se por várias pastas e infectando até mesmo os seus visitantes, ou o servidor inteiro. Os arquivos também podem disparar processos que utilizam os recursos da sua hospedagem, fazendo o seu site travar ou cair. As brechas exploráveis são a possibilidade de invasão, formulários de upload sem varredura antivírus, permissões de arquivo mal configuradas e falhas de script em geral.

Negação de serviço
Neste caso o agente malicioso não precisa entrar no seu site ou colocar nada nele, ele simplesmente se faz passar por uma multidão de visitantes. Esta técnica cria um tráfego exageradamente alto que consome todos os recursos da sua hospedagem até o site cair e ficar indisponível. Os seus visitantes legítimos não terão acesso ao seu site porque todas as “vagas” disponíveis para visita estão ocupadas ou porque o site está caído.

Intermediário
Esta é ainda mais sutil, pois o agente malicioso sequer precisa interagir com o seu site. Num ataque de intermediário, o agente malicioso pode interceptar e modificar a comunicação entre o cliente e o servidor sem se manifestar, fazendo ambas as partes confundirem uma conexão intermediada com uma conexão direta. Esta técnica normalmente é utilizada para roubar ou adulterar dados sensíveis.

As duas primeiras estão relacionadas diretamente com o seu site e indiretamente com o servidor. As duas últimas estão relacionadas à rede. Para estar seguro, basicamente você precisa adotar as medidas que garantam o seguinte:

1 – Que o seu site é difícil de invadir.
2 – Que você tem um “Plano B” caso perca seu conteúdo.
3 – Que a conexão entre você e o seu visitante está protegida.
4 – Que o seu site está protegido contra infecções.

Ordenei eles por prioridade segundo dois fatores: relevância para a sua segurança considerando a probabilidade de ataque, ordem e facilidade de implementação. O primeiro ponto é uma questão de construir o website de maneira segura, manter suas senhas seguras, controlar os acessos a painéis e via FTP, manter temas e plugins atualizados, etc. O segundo ponto você consegue fazendo backups regularmente e salvando eles em mídias externas seguras, manualmente ou através de algum serviço. O terceiro ponto pode ser resolvido com um certificado SSL, o quarto requer uma mistura de medidas preventivas e reativas e o ideal é que você adquira um serviço de monitoramento e remoção de vírus. Se você não tem tempo ou conhecimento para fazer nada disso, você pode contratar estes serviços de terceiros. Eles normalmente estão catalogados da seguinte maneira:

Privacidade
Todo site está associado a pelo menos um domínio (um “nome” como renandossantos.com, direitasja.com.br, etc). As informações do titular do domínio, como nome, e-mail, endereço e telefone, frequentemente ficam disponíveis num banco de dados de acesso público chamado WHOIS (“quem é”). A publicidade destas informações pode deixar o proprietário vulnerável a ataques de engenharia social, motivo pelo qual é recomendável manter estas informações privadas a menos que seja essencial para comprovar a propriedade. A maioria dos registradores de domínio oferece a opção de adicionar privacidade ao domínio.

O que faz: mascarar os dados pessoais e de contato do titular do domínio para reduzir o risco de ataques de engenharia social, phishing, bem como SPAM.
O que não faz: proteger seu site de invasões e malware por outros meios como força bruta, injeção SQL, etc.
Quem fornece: o registrador do seu domínio (GoDaddy, Verisign, NameCheap, etc).

Backups
Cópias de segurança do seu conteúdo e/ou banco de dados que permitem restaurar o seu site para um estado anterior caso alguma atualização dê errado ou haja perda de conteúdo. Se você tem um website, você precisa fazer cópias de segurança dele periodicamente e mantê-las salvas em alguma mídia externa, para o caso de emergências. Os backups também são úteis caso você precise migrar o site para outra hospedagem. É importante lembrar que o backup sempre estará defasado com relação ao estado atual do site, a menos que seja muito recente.

O que faz: guarda uma cópia do seu conteúdo tal como ele se encontra no momento do backup, de modo que você pode restaurá-lo a este estado no futuro, caso haja perda de conteúdo. É importante fazer backup do conteúdo E do banco de dados para que as restaurações e migrações funcionem.

O que não faz: proteger seu site de invasões e malware. Se o backup for feito depois da infecção, o arquivo conterá o malware de qualquer forma e o site continuará infectado após a restauração. Se o backup for feito antes da infecção, restaurá-lo não fechará a brecha de segurança explorada pelo malware e o site poderá ser infectado novamente. Se os backups são salvos na sua hospedagem, a menos que você baixe cópias deles no seu computador ou uma mídia externa, você também os perderá junto com o conteúdo caso haja suspensão do serviço.

Quem fornece: o seu provedor de hospedagem (GoDaddy, Hostgator, Locaweb), empresas de segurança informática (Sucuri), empresas especializadas (DropMySite).

Certificado SSL
Recomendado principalmente para entidades financeiras, comércios eletrônicos, qualquer site com formulários de contato, cotação, reserva, etc., é usado sobretudo para proteger os dados dos usuários que acessam o website. Também serve para passar uma imagem mais profissional para clientes potenciais, indicando o nome legal do proprietário da marca ao lado da URL.

O que faz: criptografa ou codifica a informação que transita entre o seu site (servidor) e o navegador do usuário (cliente), impedindo que a informação enviada ou recebida seja interceptada, lida, roubada ou alterada no meio do caminho. Aumenta sua proteção contra ataques de intermediários (“Man in the Middle”) e roubo de informação. Alguns níveis de validação também garantem a existência legal da organização ou empresa, o que dá maior confiança para o usuário final.

O que não faz: proteger o seu site contra invasões ou infecções por malware, senhas expostas ou fracas. A informação criptografada continua vulnerável se o site for invadido e o invasor conseguir adquirí-la acessando diretamente o banco de dados, o que pode ser feito conseguindo as credenciais do banco de dados, do painel de controle ou através de “injeção SQL” em formulários e outros scripts mal construídos.

Quem fornece: alguns provedores de hospedagem (GoDaddy, Hostgator, Locaweb), empresas de segurança informática (Comodo, DigiCert, Symantec)

Varredura e Remoção de Malware
Este é um termo abrangente para vários serviços de segurança que funcionam de maneira automatizada ou sob requisição, podendo ser tanto preventivos como reativos. Seu objetivo principal é manter o site livre de vírus ou malware, detectar invasões, diagnosticar e fechar brechas de segurança.

O que faz: buscar por arquivos potencialmente maliciosos na sua lista de diretórios e eliminar os arquivos identificados como malware. Algumas ferramentas incluem funcionalidades adicionais como monitorar sua presença em listas negras ou sugerir correções de falhas de segurança identificadas no conteúdo do site.

O que não faz: corrigir falhas de segurança nos scripts do seu site, como por exemplo vulnerabilidades em plugins e temas personalizados, prevenir invasões em caso de senhas expostas ou fracas.

Quem fornece: alguns provedores de hospedagem (GoDaddy, Hostgator, Locaweb), empresas de segurança informática (Comodo, Sucuri, Wordfence).

Web App Firewall
Uma camada de segurança adicional para aplicações que funcionam diretamente da web e que protege websites e aplicações de diversos tipos de ataques a nível de servidor. Um WAF atua como intermediário nas conexões entre cliente (usuário) e servidor (website) para monitorar e garantir que o tráfego é legítimo, protegendo o seu site de tráfego malicioso ou fantasma.

O que faz: protege seu website ou web app de ataques baseados em tráfego e solicitações maliciosas, como ataques de negação de serviço (DoS, DDoS) e injeção de SQL.

O que não faz: criptografar a informação recebida via tráfego legítimo de usuários reais, proteger seu site de invasões em caso de engenharia social, senhas expostas ou fracas, remover um malware caso ele passe pelo firewall.

Quem fornece: alguns provedores de hospedagem (GoDaddy, Hostgator, Locaweb), empresas de segurança informática (Citrix, Verizon, Cloudflare)

Esta foi uma introdução bem básica sobre os serviços de segurança que podem ajudar você a proteger o conteúdo do seu site e as informações dos seus clientes.  Dúvidas? Deixe nos comentários!


Gostou do conteúdo? Deixe uma gorjeta:
Donate with PayPal

Leave a Comment