Segurança e proteção de sites - como proteger um site?

Ouça este artigo

Proteção do site — como proteger e proteger seu site? A segurança do site pode ser um tópico complexo (ou até confuso) em um ambiente em constante mudança. Este guia destina-se a fornecer uma estrutura clara para proprietários de sites que buscam mitigar riscos e aplicar princípios de segurança a suas propriedades da web.

Antes de começarmos, é importante ter em mente que a segurança nunca é uma solução "configurada e pronta". Em vez disso, encorajo você a pensar nisso como um processo contínuo que requer avaliação constante para reduzir seu risco geral.

Ao adotar uma abordagem sistemática para a segurança do site, podemos pensar nisso como uma base que consiste em várias camadas de proteção combinadas em um único elemento. Precisamos olhar para a segurança do site de forma holística e abordá-la com uma estratégia de defesa em profundidade.

O conteúdo do artigo:

• O que é a segurança do site?
• Vulnerabilidades e ameaças do site
• Segurança de sites de comércio eletrônico e conformidade com PCI
• Estrutura de segurança do site
• Como proteger seu site e garantir a segurança?
• Medidas adicionais de segurança do site
• Perguntas frequentes sobre segurança de sites

O que é a segurança do site?

A segurança do site são as medidas tomadas para proteger um site contra ataques cibernéticos. Nesse sentido, a segurança do site é um processo contínuo e parte integrante do gerenciamento do site.

Por que a segurança do site é importante?

A segurança do site pode ser desafiadora, especialmente ao lidar com uma grande rede de sites. Ter um site seguro é tão importante para a presença online de alguém quanto ter um host de site.

Por exemplo, se um site for hackeado e colocado na lista negra, ele pode perder até 98% de seu tráfego. Não ter um site seguro pode ser tão ruim quanto não ter um site, ou até pior. Por exemplo, vazar dados de clientes pode levar a ações judiciais, multas pesadas e reputações prejudicadas.

1. Estratégia de defesa em profundidade

A estratégia de defesa em profundidade para segurança do site considera a profundidade da defesa e a amplitude da superfície de ataque para analisar as ferramentas utilizadas na pilha. Essa abordagem fornece uma imagem mais precisa do cenário atual de ameaças à segurança de sites.

Como os profissionais da web veem a segurança do site

Não podemos esquecer as estatísticas que tornam a segurança do site um tema atraente para qualquer negócio online, independentemente do tamanho.
Depois de analisar mais de 1.000 respostas de pesquisas de profissionais da web, algumas conclusões podem ser tiradas sobre o cenário de segurança:

• Os clientes profissionais da Web 67% foram questionados sobre a segurança do site, mas menos de 1% entrevistados oferecem segurança do site como um serviço.
• Sobre os profissionais da Web 72% estão preocupados com ataques cibernéticos em sites de clientes.

Por que os sites são hackeados

Em 2019, havia mais de 1,94 bilhão de sites na web. Isso fornece um vasto playground para hackers. Muitas vezes há um equívoco sobre por que os sites são invadidos. Proprietários e administradores geralmente acreditam que não serão invadidos porque seus sites são menores e, portanto, menos atraentes para os hackers. Os hackers podem escolher sites maiores se quiserem roubar informações ou sabotar. Para outras finalidades (que são mais comuns), qualquer sítio pequeno é de grande valia.
Ao invadir sites, vários objetivos são perseguidos, mas os principais são:

• Uso de visitantes do site.
• Roubo de informações armazenadas no servidor.
• Engano de bots e robôs de busca (black hat SEO).
• Abuso de recursos do servidor.
• Puro hooliganismo (dano).

2. Ataques automáticos em sites

Infelizmente, a automação reduz a sobrecarga, permite a divulgação em massa e aumenta as chances de um comprometimento bem-sucedido, independentemente do volume de tráfego ou da popularidade do site.
Na verdade, a automação é rei no mundo dos hackers. Os ataques automatizados geralmente envolvem a exploração de vulnerabilidades conhecidas para afetar um grande número de sites, às vezes até sem o conhecimento do proprietário do site.

Os ataques automáticos são baseados na oportunidade. Ao contrário da crença popular, os ataques automatizados são muito mais comuns do que os ataques direcionados escolhidos a dedo devido ao seu alcance e facilidade de acesso. Quase 60% da Internet é alimentado por CMS.

Problemas de segurança do CMS

É mais fácil para o proprietário médio do site ficar on-line rapidamente com um sistema de gerenciamento de conteúdo (CMS) de código aberto, como WordPress, Magento, Joomla ou Drupal e muito mais.
Embora essas plataformas geralmente forneçam atualizações de segurança frequentes, o uso de componentes extensíveis de terceiros, como plug-ins ou temas, leva a vulnerabilidades que podem ser facilmente exploradas para ataques de oportunidade.

O padrão de segurança da informação é - Confidencialidade, Integridade e Disponibilidade. Este modelo é usado para desenvolver políticas para proteger as organizações.

3. Confidencialidade, integridade e disponibilidade

• Confidencialidade refere-se ao controle de acesso à informação para garantir que aqueles que não deveriam ter acesso não sejam permitidos. Isso pode ser feito usando senhas, nomes de usuário e outros componentes de controle de acesso.
• Integridade garante que as informações que os usuários finais recebem sejam precisas e inalteradas por qualquer pessoa que não seja o proprietário do site. Isso geralmente é feito com criptografia, como certificados Secure Socket Layer (SSL), que criptografam dados em trânsito.
• Disponibilidade fornece acesso às informações quando necessário. A ameaça mais comum à disponibilidade do site é uma negação de serviço distribuída ou ataque DDoS.

Agora que temos algum conhecimento sobre ataques automatizados e direcionados, podemos nos aprofundar em algumas das ameaças de segurança de sites mais comuns.

Vulnerabilidades e ameaças do site

Aqui estão as vulnerabilidades e ameaças de segurança de sites mais comuns:

1. injeção SQL - Esses ataques de injeção SQL são executados injetando código malicioso em uma consulta SQL vulnerável. Eles dependem de um invasor adicionando uma consulta especialmente criada a uma mensagem que um site envia a um banco de dados.
Um ataque bem-sucedido modificará a consulta ao banco de dados para que retorne as informações que o invasor deseja, em vez das informações que o site espera. As injeções de SQL podem até alterar ou adicionar informações maliciosas ao banco de dados.
2. Cross Site Scripting (XSS) Os ataques de script entre sites consistem em injetar scripts maliciosos do lado do cliente em um site e usar o site como um método de distribuição. O perigo do XSS é que ele permite que um invasor injete conteúdo em um site e altere a maneira como ele é exibido, fazendo com que o navegador da vítima execute o código fornecido pelo invasor quando a página é carregada. Se um administrador de site conectado fizer upload do código, o script será executado em seu nível de privilégio, levando potencialmente ao controle do site.
3. Ataques de credenciais de força bruta Obter acesso ao painel de administração de um site, painel de controle ou até mesmo um servidor SFTP é um dos vetores mais comuns usados para comprometer sites. O processo é muito simples:

1. Os invasores basicamente programam um script para tentar várias combinações de nomes de usuário e senhas até encontrar uma que funcione;
2. Depois que o acesso é concedido, os invasores podem iniciar várias atividades maliciosas, desde campanhas de spam até mineração de moedas e roubo de informações de apostas. ou cartões de crédito.

4. Infecção e ataques de malware de sites Ao usar alguns dos problemas de segurança anteriores como meio de obter acesso não autorizado a um site, os invasores podem:

1. Injetar spam de SEO na página;
2. Remova a porta dos fundos para manter o acesso;
3. Coletar informações do visitante ou dados do cartão;
4. Execute exploits no servidor para aumentar o nível de acesso;
5. Use os computadores dos visitantes para minerar criptomoedas;
6. Armazenar scripts de comando e controle para botnets;
7. Mostrar anúncios indesejados, redirecionar visitantes para sites fraudulentos;
8. Hospedagem de downloads maliciosos;
9. Lançar ataques em outros sites.

5. Ataques DoS/DDoS Um ataque distribuído de negação de serviço (DDoS) é um ataque de Internet não intrusivo. Isso é feito para desabilitar ou desacelerar o site de destino, inundando a rede, o servidor ou o aplicativo com tráfego falso.

Os ataques DDoS são ameaças das quais os proprietários de sites devem estar cientes, pois são uma parte importante de um sistema de segurança. Quando um ataque DDoS tem como alvo um endpoint vulnerável e com uso intensivo de recursos, mesmo uma pequena quantidade de tráfego é suficiente para um ataque bem-sucedido.

Segurança de sites de comércio eletrônico e conformidade com PCI

Os padrões de segurança de dados do setor de cartões de pagamento (PCI-DSS) definem os requisitos para proprietários de sites com lojas online. Esses requisitos ajudam a garantir que os dados do titular do cartão que você coleta como uma loja online sejam adequadamente protegidos. De acordo com o PCI DSS, os dados do titular do cartão que devem ser protegidos referem-se ao número de conta principal (PAN) completo, mas também podem aparecer em uma das seguintes formas:

1. Dados completos de tarja magnética (ou chip equivalente);
2. Melhor antes da data;
3. Código de Serviço;
4. Alfinete;
5. números CVV;
6. Nome e/ou sobrenome do titular do cartão.

As Regras de Conformidade PCI aplicam-se quer você transfira dados digitalmente, por escrito ou se comunique com outra pessoa que tenha acesso aos dados.

É muito importante que os sites de comércio eletrônico façam tudo ao seu alcance para garantir que os dados do titular do cartão sejam transmitidos do navegador para o servidor da Web usando a criptografia adequada por HTTPS. Ele também deve ser armazenado de forma segura e criptografado da mesma forma no servidor quando transmitido a qualquer serviço de processamento de pagamento de terceiros.

Os hackers podem tentar roubar ou interceptar os dados do titular do cartão a qualquer momento, estejam os dados em repouso ou em trânsito.

Estrutura de segurança do site

Independentemente do tamanho do seu negócio, desenvolver um sistema de segurança pode ajudar a reduzir o risco geral. Entender que a segurança é um processo contínuo significa que ele começa com a construção da base da segurança de um site. Essa estrutura incluirá a criação de uma "cultura de segurança" em que as inspeções programadas ajudam a manter as coisas simples e oportunas.
Cinco funções: "Identificar", "Proteger", "Detectar", "Reagir" e "Recuperar" serão descritas em detalhes junto com as ações a serem aplicadas.
1. Para identificar - nesta fase, toda a gestão de inventário e ativos é documentada e verificada. O gerenciamento de estoque e ativos pode ser levado um passo adiante nas seguintes subcategorias:

1. recursos da web;
2. servidores web e infra-estrutura;
3. plugins, extensões, temas e módulos;
4. integrações e serviços de terceiros;
5. pontos de acesso e nós.

Depois de ter uma lista dos ativos do seu site, você pode tomar medidas para auditar e proteger cada um deles contra ataques.
2. Proteger Existem muitas razões pelas quais é fundamental ter medidas preventivas de segurança na Web, mas por onde começar? Estes são conhecidos como tecnologias de segurança e níveis de segurança. Às vezes, essas medidas atendem aos requisitos de conformidade, como PCI, ou facilitam a correção virtual e a proteção de ambientes vulneráveis a ataques. A segurança também pode incluir treinamento de funcionários e políticas de controle de acesso.

Uma das melhores maneiras de proteger seu site é ativar o firewall do aplicativo da web. Se você gastar muito tempo pensando em processos, ferramentas e configurações de segurança, isso afetará a postura de segurança do seu site.

3. Detectar (monitoramento contínuo) é um conceito que se refere à implementação de ferramentas para monitorar seu site (ativos) e notificá-lo sobre qualquer problema. O monitoramento deve ser instalado para verificar o status de segurança:

1. registros DNS;
2. certificados SSL;
3. configurar um servidor web;
4. atualizações de aplicativos;
5. acesso do usuário;
6. integridade do arquivo.

Você também pode usar verificadores e ferramentas de segurança (como o SiteCheck) para procurar indicadores de comprometimento ou vulnerabilidade.
4. Reagir — análise e mitigação ajudam a criar uma categoria de resposta. Quando ocorre um incidente, deve haver um plano de resposta. Ter um plano de resposta em vigor antes de um incidente de compromisso faz maravilhas para a psique. Um plano adequado de resposta a incidentes inclui:

1. Selecionar uma equipe ou pessoa de resposta a incidentes;
2. Relatórios de incidentes para verificação de resultados;
3. Mitigação de eventos.

Durante o processo de correção, nunca sabemos com antecedência que tipo de malware vamos encontrar. Alguns problemas podem se espalhar rapidamente e infectar outros sites em um ambiente de servidor compartilhado (infecção cruzada). O processo de resposta a incidentes, conforme definido pelo NIST, é dividido em quatro etapas principais:

1. Preparação e planejamento;
2. Detecção e análise;
3. Contenção, erradicação e restauração;
4. Ações após o incidente.

Uma fase de preparação sólida e uma equipe de segurança do site na qual você pode confiar são essenciais para o sucesso da missão. Aqui está como deve ser:

Preparação e planejamento

Nesta fase, garantimos que temos todas as ferramentas e recursos necessários antes que ocorra um incidente. Tudo isso anda de mãos dadas com as seções anteriores da estrutura de segurança.
As empresas de hospedagem desempenham um papel crucial nesta fase, garantindo que os sistemas, servidores e redes sejam suficientemente seguros. Também é importante garantir que seu desenvolvedor da Web ou equipe técnica esteja pronto para lidar com um incidente de segurança.

Descoberta e análise

Embora existam vários métodos de ataque, devemos estar prontos para lidar com qualquer incidente. A maioria das infecções são componentes vulneráveis instalados no site (principalmente plugins), comprometimento de senha (senha fraca, força bruta) e outros.
Dependendo do problema e da intenção, a fase de descoberta pode ser complexa. Alguns invasores buscam fama, outros podem querer explorar recursos ou interceptar informações confidenciais.
Em alguns casos, não há indicação de que um backdoor tenha sido instalado, aguardando o acesso de um invasor para atividades maliciosas. Portanto, é altamente recomendável implementar mecanismos para garantir a integridade do seu sistema de arquivos.

Contenção, erradicação e restauração

Quanto à fase de Contenção, Eliminação e Recuperação, o processo deve adaptar-se ao tipo de problema encontrado no site e estratégias pré-definidas baseadas em ataques. Por exemplo, uma infecção por criptominerador normalmente consome muitos recursos do servidor (leecher), e a equipe de resposta a incidentes deve conter a ameaça antes de iniciar o processo de remediação.

Conter esse ataque é um passo importante para evitar o esgotamento de recursos adicionais e mais danos. Este sistema de tomada de decisão e estratégias são uma parte importante desta fase. Por exemplo, se identificarmos um determinado arquivo como 100% malicioso, deve haver uma ação para destruí-lo. Se o arquivo contiver código parcialmente malicioso, apenas essa parte deverá ser removida. Cada script deve ter um processo definido.

Ações após o incidente

Por último, mas não menos importante, a Ação Pós-Incidente também pode ser chamada de estágio de Lições Aprendidas. Nesse ponto, a equipe de resposta a incidentes deve enviar um relatório detalhando o que aconteceu, quais ações foram tomadas e como a intervenção funcionou. Devemos refletir sobre o incidente, aprender com ele e agir para evitar problemas semelhantes no futuro. Essas ações podem ser tão simples quanto atualizar um componente, alterar senhas ou adicionar um firewall de site para evitar ataques na borda.

Revise as ações que seu departamento precisa tomar para fortalecer ainda mais a segurança. Em seguida, certifique-se de executar essas ações o mais rápido possível. Você pode basear todas as ações futuras nas seguintes dicas:

• Restrinja o acesso global ao seu site (ou áreas específicas) usando métodos GET ou POST para minimizar o impacto.
• Atualize as permissões em diretórios e arquivos para garantir o acesso adequado de leitura/gravação.
• Atualize ou remova software/temas/plug-ins desatualizados.
• Redefina suas senhas imediatamente com uma política de senha forte.
• Ative 2FA/MFA sempre que possível para adicionar uma camada extra de autenticação.

Além disso, se você estiver usando ativamente o Web Application Firewall (WAF), revise sua configuração existente para determinar as alterações que precisam ser feitas. Lembre-se de que, embora os WAFs ajudem a atender a vários padrões de segurança de dados do setor de cartões de pagamento (PCI DSS), eles não são uma panaceia. Existem outros fatores que podem afetar o seu negócio, principalmente o fator humano.
5. recuperar — o planejamento da recuperação ocorrerá quando for realizada uma análise completa de todas as etapas no caso de um incidente. A recuperação também está vinculada a um plano de backup para situações em que todas as etapas anteriores falharam, como ataques de ransomware.

Esse processo também deve incluir arranjar tempo para conversar com seu fornecedor de segurança sobre como melhorar os pontos fracos. Eles estão mais bem equipados para oferecer uma visão sobre o que pode ser feito.

Tenha uma estratégia de comunicação

Se algum dado estiver em risco, avise seus clientes. Isso é especialmente importante se você estiver fazendo negócios na UE, onde uma organização deve relatar uma violação de dados dentro de 72 horas, de acordo com o Artigo 33 do Regulamento Geral de Proteção de Dados (GDPR) .

Usar backup automático

Não importa o que você faça para proteger seu site, o risco nunca será zero. Se a funcionalidade do seu site estiver danificada, você precisará de uma maneira de restaurar os dados rapidamente - não um, mas pelo menos dois. É extremamente importante ter um backup local de todo o aplicativo e um backup externo que não esteja diretamente vinculado ao aplicativo em caso de falha de hardware ou ataque.

Como proteger seu site e garantir a segurança?

A importância da segurança do site não pode ser subestimada. Nesta seção, veremos como manter seu site seguro e protegido. Este não é um guia passo a passo, mas fornecerá recomendações de segurança do site para encontrar os serviços certos para suas necessidades.
1. Atualize tudo - Inúmeros sites estão em risco todos os dias devido a softwares desatualizados e inseguros. É importante atualizar seu site assim que um novo plug-in ou versão do CMS estiver disponível. Essas atualizações podem simplesmente conter melhorias de segurança ou corrigir vulnerabilidades.
A maioria dos ataques a sites são automatizados. Os bots estão constantemente rastreando todos os sites que podem em busca de oportunidades de exploração. Não é mais suficiente atualizar uma vez por mês ou mesmo uma vez por semana, porque os bots provavelmente encontrarão uma vulnerabilidade antes de corrigi-la.
É por isso que você deve usar um firewall de site que praticamente fechará a falha de segurança assim que as atualizações forem lançadas. Se você tem um site WordPress, um plugin que você deve considerar é o WP Updates Notifier. Ele envia um e-mail para informar quando um plug-in ou atualização principal do WordPress está disponível.
2. Tenha senhas fortes Ter um site seguro depende muito da sua segurança. Você já pensou em como as senhas que você usa podem ameaçar a segurança do seu site?
Para limpar sites infectados, os remediadores devem fazer login no site ou servidor do cliente usando suas credenciais de usuário administrador. Eles podem se surpreender ao ver como as senhas de root podem ser inseguras. Com logins como admin/admin, você pode não ter uma senha.
Os hackers combinarão dados da rede com listas de palavras do dicionário para gerar listas ainda maiores de senhas em potencial. Se as senhas que você usa estiverem em uma dessas listas, é apenas uma questão de tempo até que seu site seja comprometido.

Recomendações de senha forte

Recomendações para criar uma senha forte:

• Não reutilize senhas: cada uma de suas senhas deve ser única. Um gerenciador de senhas pode facilitar essa tarefa.
• Use senhas longas. Tente usar mais de 12 caracteres. Quanto maior a senha, mais tempo levará para um programa de computador quebrá-la.
• Use senhas aleatórias. Os programas de quebra de senhas podem adivinhar milhões de senhas em minutos se contiverem palavras encontradas na Internet ou em dicionários. Se sua senha tiver palavras reais, não é aleatória. Se você consegue pronunciar sua senha com facilidade, significa que ela não é forte o suficiente. Mesmo a substituição de caracteres (ou seja, substituir a letra O pelo número 0) não é suficiente. Existem vários gerenciadores de senhas úteis, como LastPass (online) e KeePass 2 (offline). Essas ferramentas armazenam todas as suas senhas em um formato criptografado e podem gerar facilmente senhas aleatórias com o clique de um botão. Os gerenciadores de senhas permitem que você use senhas fortes sem ter que se lembrar das mais fracas ou anotá-las.

3. Um site = um armazenamento Hospedar muitos sites em um servidor pode parecer ideal, especialmente se você tiver um plano de hospedagem "ilimitado". Infelizmente, esta é uma das piores práticas de segurança que você pode usar. Colocar vários sites em um local cria uma superfície de ataque muito grande. Você deve estar ciente de que a contaminação cruzada é muito comum. É quando um site é afetado negativamente por sites vizinhos no mesmo servidor devido a um isolamento inadequado do servidor ou configuração de conta.
Por exemplo, um servidor que hospeda um site pode ter uma instalação do WordPress com um tema e 10 plugins que podem ser alvo de um invasor. Se você hospedar cinco sites em um servidor, um invasor pode ter três instalações do WordPress, duas instalações do Joomla, cinco temas e 50 plug-ins que podem ser alvos em potencial. Pior ainda, quando um invasor encontra uma exploração em um site, a infecção pode se espalhar facilmente para outros sites no mesmo servidor.

Isso não apenas pode fazer com que todos os seus sites sejam invadidos ao mesmo tempo, como também tornará o processo de limpeza muito mais demorado e difícil. Sites infectados podem continuar infectando uns aos outros, causando um loop infinito.

Uma vez que a limpeza foi bem-sucedida, agora você tem uma tarefa muito mais difícil quando se trata de redefinir suas senhas. Em vez de um site, você tem vários. Cada senha associada a cada site no servidor precisa ser alterada após o desaparecimento da infecção. Isso inclui todos os seus bancos de dados CMS e usuários de FTP (File Transfer Protocol) para cada um desses sites. Se você pular esta etapa, todos os sites poderão ser infectados novamente e você terá que reiniciar o processo.
4. Restringindo o acesso e as permissões do usuário O código do seu site pode não ser o alvo de um invasor, mas seus usuários serão. O registro de endereços IP e todo o histórico de atividades será útil para análise forense posteriormente.
Por exemplo, um aumento significativo no número de usuários registrados pode indicar uma falha no processo de registro e permitir que spammers inundem seu site com conteúdo falso.

Princípio do menor privilégio

O princípio do menor privilégio é baseado em um princípio que visa atingir dois objetivos:

1. Usar o conjunto mínimo de privilégios no sistema para executar uma ação;
2. Concedendo esses privilégios apenas para o momento em que uma ação é necessária.

A concessão de privilégios a determinadas funções ditará o que eles podem ou não fazer. Em um sistema ideal, um papel impediria qualquer um de tentar realizar uma ação fora do que se pretendia fazer.
Por exemplo, suponha que um administrador possa incorporar HTML não filtrado em postagens ou executar comandos para instalar plug-ins. É uma vulnerabilidade? Não, este é um recurso baseado em um elemento muito importante - confiança. No entanto, o autor deve ter os mesmos privilégios e acesso? Considere separar as funções com base na confiança e bloquear todas as contas.
Isso se aplica apenas a sites com vários usuários ou logins. É importante que cada usuário tenha a permissão apropriada necessária para realizar seu trabalho. Se você atualmente precisa de permissões estendidas, conceda-as. Em seguida, diminua a escala assim que o trabalho estiver concluído.

Por exemplo, se alguém quiser escrever uma postagem de blog para você, certifique-se de que a conta não tenha direitos totais de administrador. A conta só deve ser capaz de criar novas postagens e editar suas próprias postagens porque não precisa alterar as configurações do site. Funções de usuário e regras de acesso cuidadosamente definidas limitarão possíveis erros. Também reduz o número de contas comprometidas e pode proteger contra danos causados por usuários fraudulentos.
Esta é uma parte frequentemente negligenciada do gerenciamento de usuários: responsabilidade e monitoramento. Se várias pessoas usam a mesma conta de usuário e esse usuário faz alterações indesejadas, como você sabe quem é o responsável em sua equipe?
Se você tiver contas separadas para cada usuário, poderá acompanhar seu comportamento observando os logs e conhecendo suas tendências habituais, como quando e onde eles costumam visitar um site. Assim, se um usuário fizer login em um momento estranho ou de um local suspeito, você poderá investigar. Manter registros de auditoria é vital para acompanhar qualquer alteração suspeita em seu site.

Um log de auditoria é um documento que registra eventos em um site para que você possa detectar anomalias e confirmar ao responsável que a conta não foi comprometida.

Obviamente, o log de auditoria manual pode ser difícil para alguns usuários. Se você possui um site WordPress, pode usar o plug-in de segurança Sucuri gratuito, que pode ser baixado do repositório oficial do WordPress.

Permissões de arquivo

As permissões de arquivo determinam quem pode fazer o quê com um arquivo. Cada arquivo tem três permissões disponíveis e cada permissão é representada por um número:

1. Ler (4): visualizar o conteúdo do arquivo;
2. Write (2): altera o conteúdo do arquivo;
3. Executar (1): Executa um arquivo de programa ou script.

Se você quiser permitir várias permissões, basta somar os números, por exemplo, para permitir leitura (4) e gravação (2), defina a permissão do usuário para 6. Se você quiser permitir que o usuário leia (4), escreva (2) e faça (1) e, em seguida, defina a permissão do usuário para 7.

tipos de usuário

Existem também três tipos de usuários:

1. Proprietário: geralmente é o criador do arquivo, mas pode ser alterado. Apenas um usuário pode ser o proprietário;
2. Grupo: Cada arquivo é atribuído a um grupo e qualquer usuário que faça parte desse grupo obterá essas permissões;
3. Geral: todos os outros.

Portanto, se você deseja que o proprietário tenha acesso de leitura e gravação, o grupo tenha acesso somente leitura e o público não tenha acesso, as configurações de permissão de arquivo devem ser:
5. Alterar as configurações padrão do CMS Os aplicativos CMS modernos (embora fáceis de usar) podem ser desafiadores em termos de segurança para os usuários finais. De longe, os ataques mais comuns a sites são totalmente automatizados. Muitos desses ataques dependem de usuários com apenas configurações padrão. Isso significa que você pode evitar muitos ataques simplesmente alterando as configurações padrão ao instalar o CMS de sua escolha.
Por exemplo, alguns aplicativos CMS são graváveis pelo usuário, permitindo que o usuário instale as extensões que desejar.
Existem configurações que você pode ajustar para controlar comentários, usuários e a visibilidade de suas informações de usuário. As permissões de arquivo são outro exemplo de uma configuração padrão que pode ser aprimorada.
Você pode alterar esses padrões ao instalar o CMS ou posterior, mas não se esqueça de fazer isso.
6. Escolha da extensão (plugins) Os webmasters geralmente gostam da extensibilidade dos aplicativos CMS, mas também pode ser uma das maiores desvantagens. Existem plug-ins, complementos e extensões que fornecem praticamente todas as funcionalidades que você pode imaginar. Mas como você sabe qual deles é seguro para instalar?

Escolhendo extensões seguras (plugins) - a principal segurança do site

Aqui está o que procurar ao escolher extensões:

• Quando a extensão (plugin) foi atualizada pela última vez: se a última atualização foi há mais de um ano, o autor pode ter parado de trabalhar nela. Use extensões que estão em desenvolvimento ativo porque isso indica que o autor estará disposto a pelo menos implementar uma correção se forem encontrados problemas de segurança. Além disso, se uma extensão não for suportada pelo autor, ela pode parar de funcionar se as atualizações do kernel causarem conflitos.
• Idade da extensão (plugin) e número de instalações. Uma extensão desenvolvida por um autor estabelecido com muitas instalações é mais confiável do que uma extensão com poucas instalações lançada por um desenvolvedor novato. Os desenvolvedores experientes não apenas têm uma melhor compreensão das práticas recomendadas de segurança, mas também têm muito menos probabilidade de prejudicar sua reputação inserindo código malicioso em sua extensão.
• Fontes legais e confiáveis: Baixe plugins, extensões e temas de fontes legítimas. Cuidado com as versões gratuitas, que podem ser pirateadas e infectadas com malware. Existem algumas extensões cujo único objetivo é infectar o maior número possível de sites com malware.

7. Tenha backups de seus sites – no caso de um hack, os backups do site são essenciais para recuperar seu site de uma grande violação de segurança. Embora não deva ser considerado um substituto para uma solução de segurança de site, um backup pode ajudar a recuperar arquivos corrompidos.

Escolhendo a melhor solução de backup de sites

Uma boa solução de backup deve atender aos seguintes requisitos:
— Primeiro, eles devem estar fora do local. Se seus backups são armazenados no servidor do seu site, eles são tão vulneráveis a ataques quanto qualquer outra coisa. Você deve armazenar seus backups fora do local porque deseja que seus dados de backup estejam protegidos contra hackers e falhas de hardware. Armazenar backups em seu servidor web também é um grande risco de segurança. Esses backups sempre contêm versões não corrigidas de seu CMS e extensões, dando aos hackers acesso fácil ao seu servidor.
- Em segundo lugar, seus backups devem ser automáticos. Você faz tantas coisas todos os dias que ter que lembrar de fazer backup do seu site pode ser impensável. Use uma solução de backup que pode ser agendada de acordo com as necessidades do seu site.
Para finalizar, tenha uma recuperação confiável. Isso significa ter backups de seus backups e testá-los para garantir que eles realmente funcionem. Você precisará de vários backups para redundância. Ao fazer isso, você pode recuperar arquivos anteriores ao hack.
8. Arquivos de configuração do servidor - Verifique os arquivos de configuração do servidor web: os servidores web Apache usam arquivo .htaccess, os servidores Nginx usam nginx.conf, os servidores Microsoft IIS usam web.config.
Os arquivos de configuração do servidor, que geralmente estão localizados no diretório raiz da web, são muito poderosos. Eles permitem que você imponha regras de servidor, incluindo diretivas que aumentam a segurança do seu site. Se você não tiver certeza de qual servidor da Web está usando, execute seu site por meio do Sitecheck e vá para a guia "Detalhes do site".

Segurança do Site - Melhores Práticas de Servidor Web

Aqui estão algumas diretrizes que você pode adicionar para um servidor web específico:

• Negar acesso a diretórios: isso impede que invasores visualizem o conteúdo de todos os diretórios do site. Limitar as informações disponíveis aos invasores é sempre uma medida de segurança útil.
• Prevenção de Hotlink de imagem: Embora não seja estritamente uma melhoria de segurança, impede que outros sites exibam imagens hospedadas em seu servidor da web. Se as pessoas começarem a fazer hotlinking de imagens do seu servidor, a largura de banda permitida do seu plano de hospedagem poderá ser usada rapidamente para exibir imagens para o site de outra pessoa.
• Proteção de arquivo confidencial: você pode definir regras para proteger arquivos e pastas específicos. Os arquivos de configuração do CMS são um dos arquivos mais importantes armazenados em um servidor da Web porque contêm informações de login do banco de dados em texto simples. Outros locais, como áreas administrativas, podem ser bloqueados. Você também pode restringir a execução do PHP a diretórios contendo imagens ou permitindo uploads.

9. Instalar um certificado SSL - Os certificados SSL são usados ​​para criptografar dados em trânsito entre o host (servidor da web ou firewall) e o cliente (navegador da web). Isso ajuda a garantir que suas informações sejam enviadas ao servidor correto e não sejam interceptadas.
Alguns tipos de certificados SSL, como o certificado SSL organizacional ou o certificado SSL de validação estendida, adicionam uma camada extra de confiança porque o visitante pode ver os detalhes de sua organização e saber que você é uma pessoa legítima.
Como empresa de segurança de sites, devemos educar os webmasters e conscientizá-los de que os certificados SSL não protegem os sites contra ataques e hacks. Os certificados SSL criptografam dados em trânsito, mas não adicionam uma camada de segurança ao próprio site.
10. Instalar ferramentas de verificação e monitoramento - controle todas as etapas para garantir a integridade do aplicativo. Mecanismos de alerta podem reduzir o tempo de resposta e reduzir os danos em caso de violação. Sem verificações e varreduras, como você sabe se seu site foi comprometido?
Logs de pelo menos um mês podem ser muito úteis na detecção de travamentos de aplicativos. Eles também mostrarão se o servidor está sob ataque DDoS ou se está sob carga desnecessária. Registre e revise regularmente todas as atividades que ocorrem em partes críticas do aplicativo, especialmente (mas não exclusivamente) áreas administrativas. Um invasor pode tentar usar uma parte menos importante do site para um nível mais alto de acesso posteriormente.
Certifique-se de criar gatilhos para notificá-lo no caso de um ataque de força bruta ou tentativa de usar qualquer um dos recursos do site, incluindo aqueles não relacionados a sistemas de autenticação. É importante verificar regularmente se há atualizações e aplicá-las para garantir que você tenha os patches de segurança mais recentes instalados. Isso é especialmente verdadeiro se você não habilitar o firewall do aplicativo da web para bloquear tentativas de explorar a vulnerabilidade.
11. Siga as orientações de segurança pessoal - proteger seu computador pessoal é uma tarefa importante para os proprietários de sites. Seus dispositivos podem se tornar um vetor de infecção e fazer com que seu site seja invadido.
Um bom guia de segurança de sites menciona a verificação de malware em seu computador, caso seu site tenha sido invadido. Malware é conhecido por se infiltrar no computador de um usuário infectado por meio de editores de texto e clientes FTP.
Você deve remover todos os programas não utilizados do seu computador. Esta etapa é importante porque esses programas também podem ter problemas de privacidade, assim como plugins e temas não utilizados em seu site.
Se algo não estiver instalado, não pode se tornar um vetor de ataque para infectar sua máquina, especialmente uma extensão do navegador. Eles têm acesso total aos sites quando os webmasters estão logados em suas interfaces administrativas. Quanto menos você tiver instalado em seu computador, melhor.
Se você não tiver certeza sobre a finalidade de um aplicativo específico, faça uma pequena pesquisa online para ver se é necessário ou algo que você pode remover. Se você não pretende usá-lo, remova-o.
12. Use um firewall de site - Usar apenas certificados SSL não é suficiente para impedir que um invasor acesse informações confidenciais. Uma vulnerabilidade em seu aplicativo da Web pode permitir que um invasor intercepte o tráfego, envie visitantes para sites falsos, exiba informações falsas, mantenha um site como refém (ransomware) ou limpe todos os seus dados.
Mesmo com um aplicativo totalmente corrigido, um invasor também pode atacar seu servidor ou rede usando ataques DDoS para desacelerar ou desativar um site. Web Application Firewall (WAF) foi projetado para evitar tais ataques em sites e permite que você se concentre em seus negócios.

Medidas adicionais sem site

Para proteger seus sites e tornar a Internet mais segura, use esses recursos e ferramentas gratuitos.
1. Ferramentas de proteção de sites - Aqui estão algumas ferramentas gratuitas de segurança de sites:

1.1 SiteCheck é um verificador gratuito de verificação e malware sem site.
1.2 Sucuri Load Time Tester - verifique e compare a velocidade do site.
1.3 Sucuri WordPress Security Plugin - Auditoria, scanner de malware e proteção de segurança para sites WordPress.
1.4 Google Search Console - alertas de segurança e ferramentas para medir o tráfego de pesquisa e o desempenho do site.
1.5 Ferramentas do Bing para webmasters - Diagnósticos do Mecanismo de Pesquisa e Relatórios de Segurança.
1.6 Yandex Webmaster - Pesquisa na Web e notificações de violação de segurança.
1.6 Desmascarar parasitas - verificar páginas em busca de conteúdo ilegal oculto.
1.7 Melhor WAF - comparação dos melhores firewalls para aplicações web em nuvem.

2. Recursos adicionais Aqui estão alguns recursos educacionais sobre segurança de sites:

2.2 Sucuri Labs - Pesquisa de ameaças, banco de dados de assinaturas de malware e estatísticas.
2.3 OWASP é um projeto de segurança de aplicações web de código aberto.
2.4 Lista de verificação de conformidade com PCI - Lista de verificação de conformidade com PCI.
2.5 Instituto SANS - treinamento, certificação e pesquisa na área de segurança da informação.
2.6 NIST - Instituto Nacional de Padrões e Tecnologia.

Perguntas frequentes sobre segurança de sites

Por que a segurança do site é importante?

A segurança do site é vital para manter um site online e seguro para os visitantes. Sem a devida atenção à segurança do site, os hackers podem tirar vantagem do seu site, desativá-lo e afetar sua presença online. As consequências de um hack de site podem incluir perda financeira, problemas de reputação da marca e baixa classificação nos mecanismos de pesquisa.

Quais são os riscos de segurança para um site?

Os principais riscos de segurança do site incluem: código vulnerável, controle de acesso ruim e uso de recursos do servidor. Por exemplo, ataques DDoS podem tornar um site inacessível aos visitantes em minutos. Existem muitas razões pelas quais os sites são invadidos; uma senha fraca ou um plug-in desatualizado podem levar à invasão de um site.

O que torna um site seguro?

Um firewall de aplicativo da web é ativado em um site seguro para evitar ataques e hacks. Ele também segue as melhores práticas de segurança do site e não apresenta problemas de configuração ou vulnerabilidades conhecidas. Você pode usar o SiteCheck para ver se um site tem um firewall, qualquer anomalia de segurança, malware ou está na lista negra. SiteCheck para ver se um site tem um firewall, qualquer anomalia de segurança, malware ou está na lista negra.

Preciso de segurança para o meu site?

Sim, claro. A segurança do site não está incluída na maioria dos pacotes de hospedagem na web. A segurança do site é de responsabilidade do proprietário do site. A segurança deve ser uma das primeiras considerações ao configurar um site e um processo de verificação contínuo. Se um site não for seguro, ele pode se tornar uma presa fácil para os cibercriminosos.

Como tornar meu site seguro?

Você pode proteger seu site seguindo as práticas recomendadas de segurança do site, como:

• Use um firewall de site.
• Sempre use a versão mais recente do CMS, plug-ins, temas e serviços de terceiros do site.
• Mantenha e use senhas fortes.
• Forneça apenas o tipo de acesso que alguém precisa para concluir uma tarefa.
• Instale ferramentas de verificação e monitoramento para garantir a integridade do seu site.
• Instale certificados SSL para criptografia de dados.
• Mantenha cópias de backup de sites.

Lendo este artigo:

• 2 maneiras - para garantir a segurança do seu site
• Práticas de gerenciamento de segurança de dados?

Obrigado por ler: AJUDANTE DE SEO | NICOLA.TOP