Boas práticas para ter um site seguro

Você que tem um site, blog ou e-commerce está prestando a devida atenção aos aspectos que envolvem a segurança de seus dados?

Ou ainda, você sabe quais são os recursos e cuidados a serem tomados para ter um site seguro?

Ataques, invasões e outros tipos de crimes virtuais vêm causando prejuízos no mundo todo. Um relatório da Cybersecurity Ventures estima que, até 2021, os danos relacionados a crimes virtuais custarão aproximadamente 6 trilhões de dólares por ano.

Se você imagina que esse tipo de evento tem como alvo somente grandes portais, empresas ou instituições financeiras, é hora de mudar o modo de pensar e começar a agir em favor da segurança de seu site.

Isso porque a Agência Brasil divulgou dados que mostram que, nos Estados Unidos, 60% das empresas que possuem menos que 250 colaboradores foram alvo de ataques cibernéticos no ano de 2016 ao menos uma vez.

Já no Brasil, os números são ainda mais alarmantes. A consultoria PwC aponta que o crescimento de ataques cibernéticos no país representou impressionantes 274% entre os anos de 2014 e 2015, contra 38% no restante do mundo.

Os tipos mais comuns de fraudes e crimes cibernéticos

Um artigo publicado em 2017, pela revista Exame, apontou as fraudes mais comuns ocorridas no e-commerce naquele ano. O levantamento foi feito pela CyberSource e corresponde a toda a América Latina.

Confira quais são elas:

1. Controle de conta

É feita uma violação de dados da vítima por parte do golpista, que usa as informações para fazer transações não autorizadas.

2. Fraude de afiliada

É um tipo de fraude que induz o usuário ao pagamento de comissões falsas e indevidas.

3. Botnets

Consiste em uma rede de computadores infectados por um malware, permitindo que hackers acessem dados e controlem as máquinas sem que o usuário tenha conhecimento.  

4. Teste de cartão

Quando um cartão de crédito é furtado, o fraudador executa um teste de compra a fim de descobrir se ele foi cancelado ou se tem limite disponível para compras.

5. Fraude “limpa”

Nesse caso, o indivíduo possui acesso aos dados da vítima e se passa por ela, não levantando suspeitas.

6. Fraude “amigável”

Cometida quando o comprador realiza uma compra e cancela a transação após receber o produto.

7. Roubo de identidade

O criminoso utiliza documentos roubados de outra pessoa a fim de obter crédito e outros tipos de benefícios financeiros.

8. Lavagem de dinheiro

Prática de transferências de recursos de origem ilegal para fazer com que pareçam fundos legais.

9. Phishing, Pharming ou Whaling

Técnica fraudulenta que tem como alvo obter dados pessoais e financeiros de usuários. Geralmente, são enviados emails que contêm links que direcionam para sites falsos, onde ocorre a captura de dados.

10. Esquemas de triangulação

Nesse caso, produtos são adquiridos com cartões de crédito roubados. Mais adiante, os produtos são revendidos para compradores que não estão cientes do roubo.

Tendo esses fatos em mente, é hora de conhecer boas práticas, recursos e ferramentas que têm como objetivo evitar ao máximo que dados sejam expostos a indivíduos mal intencionados e tornar seu site mais seguro.

Se você tem um e-commerce, a recomendação é que a atenção seja ainda maior, já que existe o risco de que informações confidenciais, como endereço, de seus clientes também sejam reveladas.

Atenção na escolha do servidor de hospedagem

O servidor de hospedagem é o ambiente no qual os arquivos do site e banco de dados ficam armazenados. No momento de contratar o serviço, orienta-se levar em consideração os cuidados que o host manifesta em relação à segurança, como, por exemplo:

• Recomenda-se uma regra de firewall extensa e personalizada, capaz de proteger o servidor de variadas formas de ataque.
• A estrutura de datacenters deve ser extremamente segura, com acesso restrito.
• Os backups devem ocorrer, no mínimo, semanalmente.
• Devem existir Regras de WAF (Web Application Firewall) para permitir a visualização em tempo real de acessos e tentativas de quebra no sistema de segurança.

Tão importante quanto os cuidados que são de responsabilidade da empresa de hospedagem é a maneira como o administrador do site se comporta em relação à segurança de senhas, configurações e softwares que são instalados na conta.

Não é dever da empresa de hospedagem garantir que os scripts e programas que são instalados sejam seguros e as permissões de usuários configuradas da maneira correta, independentemente do modo de instalação.

É indispensável que o administrador do site esteja ciente dos direitos, deveres e responsabilidades que cabem a cada uma das partes.

A importância da atualização de softwares

Essa é uma prática simples que faz toda a diferença. Assim como de tempos em tempos é necessário atualizar o sistema operacional de seu smartphone, os softwares relacionados ao funcionamento de seu site e computador também precisam de atualizações constantes para manter o nível de segurança e reduzir vulnerabilidades.

Dê atenção também as atualizações de plugins instalados em seu CMS (por exemplo, o WordPress), softwares de e-commerce, ou quaisquer sistema presente em seu site e que solicite atualizações de segurança.

Senhas seguras para um site seguro

Pode parecer uma orientação muito básica, mas existem algumas dicas para criar senhas mais fortes e que contribuam com a segurança do site:

• Ter, no mínimo, 8 caracteres;
• Ter, no mínimo, 2 letras maiúsculas;
• Ter, no mínimo, 1 letra minúscula;
• Ter, no mínimo, 1 número;
• Ter, no mínimo, 2 símbolos.

Além de prestar atenção nessas regras para criar uma senha forte, lembre-se também de alterá-la regularmente.

Crie uma rotina de backup

Fazer um backup significa guardar uma cópia de segurança, neste caso, dos arquivos do site. Caso haja algum problema que cause a perda de arquivos, o backup é capaz de restaurar a última versão destes dados de volta para o sistema.

A periodicidade indicada para a realização do backup varia de acordo com as alterações que são feitas no site. Desse modo, ambientes que sofrem atualizações constantes tendem a precisar de backups com maior frequência.

O backup é realizado de duas maneiras: manualmente ou automaticamente.

No primeiro cenário, é necessário que uma pessoa seja responsável pela cópia dos arquivos e por salvá-los em um local que seja seguro, como na nuvem, servidor, computador, entre outras opções.

No caso do backup automático, o gerenciamento e cópia dos arquivos é programado e feito de modo automático por meio de uma solução específica.

Saiba mais sobre Backup Online: por que ele é importante para a segurança de seu site?

Invista em um detector de malware

Malwares são arquivos maliciosos, geralmente utilizados por hackers com a intenção de causar danos ou furtar dados de um dispositivo. Eles são conhecidos e classificados como vírus, spyware, worms, ransomware e outros.

Para combater esse tipo de ameaça, recomenda-se o uso do SiteLock, uma ferramenta anti-malware que monitora e detecta ameaças de risco em sites. Ele realiza varreduras em tempo real e, quando identifica alguma vulnerabilidade, realiza bloqueios automáticos, garantindo a proteção do site. Além do site, ele verifica e-mail, aplicações, FTP, SQL, XSS.

Caso algum risco seja detectado, o SiteLock encontra meios para remover por conta própria os indícios da invasão. Ainda, se não for possível, é enviado uma mensagem ao administrador do site para que sejam tomadas providências em relação ao ataque.

Além disso, o SiteLock fornece um Selo de Segurança para ser instalado no site, que passa mais confiança e credibilidade para os usuários que ali navegam.

O protocolo de segurança HTTPS

A adição do protocolo HTTPS em sites e lojas virtuais torna-se cada vez mais uma necessidade. Ele é responsável por garantir a segurança dos dados que circulam na web, além de beneficiar também o ranqueamento do site nos resultados de busca do Google.

Para instalar o protocolo HTTPS em um site, é preciso adquirir o Certificado SSL (Secure Socket Layer). A partir de sua instalação, a URL do site passa para o formato HTTPS e exibe a imagem de um cadeado verde, sinalizando que o site é seguro.

O objetivo do Certificado SSL é adicionar um nível extra de proteção ao site.

A criptografia presente nesse recurso faz com que os dados e informações presentes no site sejam codificados e embaralhados. Se algum invasor interceptar a conexão entre o site e o usuário em busca de dados, não será possível traduzi-los.

O estudo O perfil do e-commerce brasileiro, de 2017, apontou que 91,27% dos sites brasileiros contam com a proteção do Certificado SSL. Nos anos anteriores, esse número era de 73,85% (2016) e 20,68% (2015).

Veja mais: Motivos para usar HTTPS em seu site

De maneira geral, existem regras simples, porém eficazes, para a manutenção da segurança de um site:

• Instale somente temas e plugins de fontes confiáveis para não haver o risco de infecções;
• Evite o acesso ao painel da hospedagem, FTP ou área administrativa do site através de computadores de terceiros e que não possuam proteção antivírus atualizada;
• Utilize senhas fortes com letras minúsculas e maiúsculas, números e caracteres especiais;
• Não utilize a mesma senha para serviços distintos. Em caso de roubo, outras aplicações poderão ser afetadas;  
• Mantenha seus softwares, plugins e aplicações atualizados;
• Utilize URLs amigáveis que não exponham as variáveis de banco de dados das mesmas, evitando assim possíveis ataques de SQL Injection;
• Utilize captcha na área de login de seu site. Essa prática anula ataques de força bruta, e evita também a indisponibilidade do site por uso excessivo de recursos.

Guest post produzido pela equipe Hostgator