A facilidade de se criar e manter um site ou blog cresceu e, em paralelo a isso também houve um aumento de ataques e acessos sem autorização. Quem acha que somente grandes sites estão na mira dos usuários maliciosos, está completamente enganado. Hoje, os ataques tendem a visar sites pequenos, uma vez que a segurança deles é, em geral, mais fraca, do que a dos grandes portais, que normalmente contam com equipes especializadas para cuidar da segurança das aplicações.
Para manter os seus sites e blogs no ar com segurança, o Farejatech preparou e dicas muito valiosas que, se seguidas, tendem a diminuir as chances de haver algum acesso indevido por pessoas maliciosas.
Ja está seguindo o @sitefarejador no twitter?
Permissão dos usuários
O usuário é, normalmente, o elo mais fraco no que se refere a segurança e, por este motivo, merece uma atenção redobrada do administrador do site. Ao adicionar um novo integrante, o administrador deverá ter em mente o que aquela pessoa fará no site (autor, editor, administrador e etc) e somente dar as permissões extremamente necessárias. Com este simples cuidado, caso uma conta venha a ser comprometida, o estrago causado pelo invasor tenderá a ser muito menor.
Por isso, também é importante o administrador se preocupar com a “força” da senha de seus usuários, uma vez que a utilização de códigos fortes dificultam a quebra por parte dos invasores. Assim, procure orientá-los a utilizar senhas com 12 caracteres, no mínimo, e que possuam letras maiúsculas, minúsculas, números e caracteres especiais, como, por exemplo, “4@vDe]^4Xni~”. Mas, lembre-se: não adianta os demais usuários utilizarem senhas fortes se um dos administradores utilizar uma senha fraca. Portanto, códigos fortes e de combinações difícieis de desvendar são fatores importantes para a segurança de seu site/blog.
Além de uma boa senha é fundamental que o usuário efetue a troca dela com frequência. Outra precaução de suma importância e é de nunca salvar a senha utilizada para logar no site ou painel de administração no seu computador, muito menos se for no PC de um amigo ou público.
Conexão e computador seguros
De nada adianta os usuários utilizarem senhas muito complexas se o seu computador não estiver seguro. Para isso, é sempre recomendável que utilizem um bom antivírus e o mantenha atualizado, assim como um bom antispyware. Ambos os aplicativos cuidarão da segurança do computador e evitarão que programas maliciosos sejam instalados e capturem informações importantes do usuários.
Caso o servidor de hospedagem permita a utilização de uma conexão segura via “https”, sempre dê preferência para ela. Uma vez utilizando uma conexão segura, os dados trocados entre o computador do usuário e o servidor de hospedagem são criptografados, o que praticamente inviabiliza a sua interceptação entre as duas pontas.
Ao utilizar um cliente de FTP para enviar arquivos para o servidor, caso a hospedagem suporte o protocolo SFTP, utilize-o. Da mesma forma que a conexão via “https”, a conexão via SSH é criptografada e diminui o risco de haver alguma interceptação dos dados trafegados, inclusive os dados de conexão.
Usuário “admin” e prefixo das tabelas
Em algumas plataformas, o usuário pode optar por definir os nomes de usuários. Caso seja possível, evite sempre utilizar o nome “admin”, já que esse tipo de login é comum. A utilização do prefixo padrão das tabelas utilizadas por alguns CMSs também deve ser evitada. NoWordPress, por exemplo, todas as tabelas começam com “wp_”, o que acaba prejudicando a segurança do site no caso de alguém tentar utilizar a técnica de “sql injection” - que é a injeção - por meio de alguma vulnerabilidade encontrada de códigos que alteram o conteúdo da base de dados do site.
CMS, temas e plugins
Aquela velha regra sobre manter o sistema operacional e o antivírus atualizados, também vale para os CMSs e os plugins. Periodicamente, os desenvolvedores lançam versões atualizadas de seus aplicativos com a finalidade de corrigir possíveis falhas e problemas críticos relacionados com a segurança dos mesmos.
Além disso, é muito importante que o usuário instale somente plugins e temas de fontes confiáveis, de preferência os encontrados em repositórios dos próprios desenvolvedores do CMS. Por padrão, todos os temas e complementos disponibilizados nestes repositórios passam pelo crivo da equipe técnica, o que acaba garantindo mais segurança aos sites que farão uso deles.
Redirecionamentos e alteração de conteúdo
Caso o pior venha a acontecer e o usuário comece a notar que o seu site está sendo redirecionado para uma página estranha, ou se alterações no conteúdo começarem a surgir, é hora de rever todas as dicas anteriores.
Em alguns casos, principalmente quando o redirecionamento ocorre somente quando o visitante é proveniente de um site de pesquisas, há uma grande possibilidade de o arquivo “.htaccess” ter sido alterado por um invasor via FTP ou, até mesmo, por algum plugin malicioso.
No caso de haver uma alteração de conteúdo, provavelmente houve o comprometimento da conta de algum usuário com poder de editar o conteúdo do site ou, ainda, uma violação diretamente da base de dados. Em ambos os casos, o ideal é seguir a dica e efetuar a troca de todas as senhas o mais brevemente possível.
Backup
O backup é a mais prática e rápida maneira de resolver um problema de comprometimento de site. Apesar de ser apenas uma solução paliativa – afinal, a origem do ataque tem que ser encontrada -, manter uma cópia de segurança de todos os arquivos utilizados no site (do CMS aos plugins, passando pelas imagens e arquivos enviados) e de toda a base de dados é fundamental para se dormir mais tranquilo.
No primeiro sinal de comprometimento, o usuário pode voltar a cópia de segurança, garantir que os visitantes continuarão tendo acesso ao conteúdo, ao mesmo tempo em que o administrador poderá começar a tentar identificar a origem do ataque. Vale, inclusive, entrar em contato com o host no qual o site está hospedado e pedir ajuda dos especialistas. Lembre-se: backup nunca é demais!
Postar um comentário