Ter um site invadido pode causar bastante dor de cabeça. Até que o problema seja resolvido, muitos danos podem ter sido causados, provocando não só perdas em dinheiro (no caso de comércio online, por exemplo) como também abalar a imagem da sua marca!
Como se não bastasse tudo isso, você ainda pode perder dados importantes para as suas estratégias, que exigiram dedicação, tempo e esforço para serem coletados e armazenados, tendo que começar tudo do zero.
Por isso, para evitar ataques, preparamos esse artigo com diversas dicas de segurança para manter o seu site mais seguro. Neste conteúdo, abordaremos:
Dicas gerais de segurança
Para começar, listamos 3 recomendações que são úteis para qualquer tipo de site.
1. Verifique se seu site possui um certificado SSL
O SSL (Secure Sockets Layer) é um certificado digital que criptografa as informações de um site, tornando a sua conexão mais segura.
Sites que possuem esse tipo de certificado, apresentam um ícone de cadeado fechado na barra da URL antes do endereço do site.
O certificado SSL utiliza algoritmos para criptografar informações que estão em trânsito durante uma conexão, dificultando a leitura desses dados por parte de hackers.
Esse certificado é pago, mas a Hostoo o oferece de forma gratuita.
Saiba mais em: Como ativar o Certificado SSL
2. Configure seu site na Cloudflare
Cloudflare é um sistema que protege e melhora a velocidade de carregamento de qualquer site online. Depois que seu site é configurado no Cloudflare, ele será entregue através de uma rede inteligente de distribuição de conteúdo (CDN).
A CDN automaticamente otimiza a entrega das páginas na web para que seus visitantes possam acessá-la mais rápido. Também bloqueia ameaças, limita ataques de bots abusivos e rastreadores, evitando o alto consumo de recursos do servidor.
Saiba mais em: Como configurar o Cloudflare em seu site: Se você acabou de registrar seu domínio e ainda não apontou o DNS para a Hostoo.
3. Faça backups do seu site com frequência
Esta é uma ação que deve ser realizada com frequência para que, caso o seu site sofra um ataque malicioso, você não venha a perder todas as suas informações.
O sistema da Hostoo realiza automaticamente backups completos das hospedagens 3 vezes por semana. Esses backups são disponibilizados para restaurações no seu painel da Hostoo.
Saiba mais em: Como restaurar um backup na Hostoo
Dicas de segurança para sites em WordPress
A melhor maneira de evitar ataques no WordPress é diminuindo as brechas de segurança. A primeira vista pode parecer difícil, mas não é tão complicado como parece, basta seguir alguns passos que listamos logo abaixo:
1. Mantenha o CMS sempre atualizado
À medida que novas versões do WordPress são lançadas, são sanadas brechas de segurança identificadas pela equipe do WordPress ou pela comunidade de desenvolvedores. Por isso, é importante ter sempre a versão mais recente.
2. Remover temas e plugins que não são utilizados
Remova plugins e temas que não estão sendo mais utilizados, pois, mesmo inativos, podem fornecer brechas para invasores.
3. Não utilize temas WordPress pirata
Temas oriundo de fontes não confiáveis podem proporcionar surpresas desagradáveis como malwares, e, ao fazer a instalação, o seu site acaba sendo invadido.
Em muitos casos, você pode perceber isso tarde demais, e aí, para consertar a falha, o custo pode ser muito maior do que o investimento em um tema verificado e original.
Antes de escolher um tema, sempre leia as avaliações de outros usuários!
4. Fuja de login e senhas comuns e atualize-as frequentemente
É importante você não utilizar senhas óbvias como datas de aniversário, nomes de parentes ou telefones. Além disso, troque suas senhas com determinada frequência, por exemplo, de 6 em 6 meses.
Existem sites, como o LastPass, especializados em criar senhas fortes para os usuários.
5. Use a autenticação de dois fatores
O procedimento conhecido como autenticação de dois fatores nada mais é do que solicitar mais de uma etapa para realizar um login. Por exemplo: senha + código enviado por telefone ou senha + reconhecimento facial.
Nativamente, o WordPress fornece a opção de autenticação de dois fatores.
Para saber mais, acesse: Segurança WordPres » Autenticação em duas etapas
6. Use plugins de segurança
Existem diversos plugins de segurança disponíveis na plataforma WordPress para manter o seu site mais seguro, como All In One WP, Jetpack e Wordfence Security.
Se decidir usar um plugin de segurança, opte pelos que são melhor avaliados e possui atualizações frequentes. É importante ficar atento ao fato de que, muitas vezes, os plugins de segurança consomem bastante recurso do servidor e, por isso, podem afetar o desempenho do seu site.
Como alternativa, você pode baixar um plugin, fazer o escaneamento do seu site e, em seguida, excluí-lo. Faça isso com uma determinada frequência, como de 15 em 15 dias.
7. Use sempre conexões seguras na hora de editar o conteúdo
Nunca acesse o seu site WordPress através de uma conexão de internet aberta, já que as chances de ataques de malwares são grandes. Procure sempre utilizar conexões seguras ou, caso esteja em um ambiente que não seja sua casa, utilize rede 3G/4G.
Outra recomendação, é buscar tornar a conexão da sua casa ou trabalho menos propensas a invasões usando uma senha forte para o seu roteador e os seguintes protocolos de segurança: WPA-2, WPA ou WEP.
Além disso, tenha sempre um antivírus instalado em seu computador, e faça atualizações do seu sistema operacional e varreduras semanais em busca de malwares.
8. Invista em uma hospedagem WordPress segura
Muitas vezes, o serviço de hospedagem apresenta brechas por onde malwares podem se infiltrar no seu site.
Por isso, na hora de escolher um serviço de hospedagem, é necessário verificar fatores importantes como: o que os clientes falam desse serviço, se ele oferece backup, se possui firewall, entre outros.
Proteja-se contra os ataques mais comuns
Por fim, vamos falar sobre dois dos ataques mais comuns, o XSS e o SQL Injection. Esse conteúdo é mais avançado, pois, para se proteger dessas inovações, é necessário conhecimento mais técnico.
1. XSS (Cross Site Scripting)
Cross-site Scripting (XSS) é um tipo de ataque no qual é injetado código malicioso em aplicações web. Esta ameaça é uma das mais comuns e para ocorrer é necessário que um formulário permita a interação do invasor, por exemplo, em campos de pesquisa ou inserção de comentário.
Os ataques de XSS acontecem quando não há um tratamento adequado das informações, tanto referente a entrada de dados pelos visitantes/usuários quanto no retorno de dados do servidor.
Existem inúmeras formas de controlar a entrada e saída de informações. A OWASP (Open Web Application Security Project) sugere o uso de bibliotecas que provêm a sanitização de códigos HTML, como a HTML Purifier, específica para a linguagem PHP.
2. SQL Injection
SQL Injection é um tipo de ataque no qual o invasor pode inserir ou manipular consultas (queries) utilizadas para trocas de informações entre a aplicação e o banco de dados.
Quando o ataque é bem sucedido, permite que um invasor visualize dados que normalmente ele não é capaz de acessar, como dados confidenciais de outros usuários. Também é comum um invasor modificar ou excluir informações do banco de dados, causando alterações no comportamento da aplicação.
Se quiser saber mais sobre o tema, recomendamos assistir o vídeo abaixo.
Esperamos que você siga estas dicas para tornar seu site muito mais seguro! Caso não seja cliente Hostoo, te convidamos a testar gratuitamente nossa hospedagem!
