Notícias

Dicas para proteger seu site

A facilidade de se criar e manter um site ou blog cresceu e, em paralelo a isso também houve um aumento de ataques e acessos sem autorização. Quem acha que somente grandes sites estão na mira dos usuários maliciosos, está completamente enganado. Hoje, os ataques tendem a visar sites pequenos, uma vez que a segurança deles é, em geral, mais fraca, do que a dos grandes portais, que normalmente contam com equipes especializadas para cuidar da segurança das aplicações.

Permissão dos usuários

O usuário é, normalmente, o elo mais fraco no que se refere a segurança e, por este motivo, merece uma atenção redobrada do administrador do site. Ao adicionar um novo integrante, o administrador deverá ter em mente o que aquela pessoa fará no site (autor, editor, administrador e etc) e somente dar as permissões extremamente necessárias. Com este simples cuidado, caso uma conta venha a ser comprometida, o estrago causado pelo invasor tenderá a ser muito menor.

Por isso, também é importante o administrador se preocupar com a “força” da senha de seus usuários, uma vez que a utilização de códigos fortes dificultam a quebra por parte dos invasores. Assim, procure orientá-los a utilizar senhas com 12 caracteres, no mínimo, e que possuam letras maiúsculas, minúsculas, números e caracteres especiais, como, por exemplo, “4@vDe]^4Xni~”. Mas, lembre-se: não adianta os demais usuários utilizarem senhas fortes se um dos administradores utilizar uma senha fraca. Portanto, códigos fortes e de combinações difícieis de desvendar são fatores importantes para a segurança de seu site/blog.

Além de uma boa senha é fundamental que o usuário efetue a troca dela com frequência. Outra precaução de suma importância e é de nunca salvar a senha utilizada para logar no site ou painel de administração no seu computador, muito menos se for no PC de um amigo ou público.

Atenção com as permissões dos usuários garante mais segurança ao site (Foto: Reprodução/Ricardo Fraga)

Conexão e computador seguros

De nada adianta os usuários utilizarem senhas muito complexas se o seu computador não estiver seguro. Para isso, é sempre recomendável que utilizem um bom antivírus e o mantenha atualizado, assim como um bom antispyware. Ambos os aplicativos cuidarão da segurança do computador e evitarão que programas maliciosos sejam instalados e capturem informações importantes do usuários.

Caso o servidor de hospedagem permita a utilização de uma conexão segura via “https”, sempre dê preferência para ela. Uma vez utilizando uma conexão segura, os dados trocados entre o computador do usuário e o servidor de hospedagem são criptografados, o que praticamente inviabiliza a sua interceptação entre as duas pontas.

Ao utilizar um cliente de FTP para enviar arquivos para o servidor, caso a hospedagem suporte o protocolo SFTP, utilize-o. Da mesma forma que a conexão via “https”, a conexão via SSH é criptografada e diminui o risco de haver alguma interceptação dos dados trafegados, inclusive os dados de conexão.

Usuário “admin” e prefixo das tabelas

Em algumas plataformas, o usuário pode optar por definir os nomes de usuários. Caso seja possível, evite sempre utilizar o nome “admin”, já que esse tipo de login é comum. A utilização do prefixo padrão das tabelas utilizadas por alguns CMSs também deve ser evitada. No WordPress, por exemplo, todas as tabelas começam com “wp_”, o que acaba prejudicando a segurança do site no caso de alguém tentar utilizar a técnica de “sql injection” - que é a injeção - por meio de alguma vulnerabilidade encontrada de códigos que alteram o conteúdo da base de dados do site.

CMS, temas e plugins

Aquela velha regra sobre manter o sistema operacional e o antivírus atualizados, também vale para os CMSs e os plugins. Periodicamente, os desenvolvedores lançam versões atualizadas de seus aplicativos com a finalidade de corrigir possíveis falhas e problemas críticos relacionados com a segurança dos mesmos.

Além disso, é muito importante que o usuário instale somente plugins e temas de fontes confiáveis, de preferência os encontrados em repositórios dos próprios desenvolvedores do CMS. Por padrão, todos os temas e complementos disponibilizados nestes repositórios passam pelo crivo da equipe técnica, o que acaba garantindo mais segurança aos sites que farão uso deles.

Plugins atualizados diminuem as chances de um ataque malicioso (Foto: Reprodução/Ricardo Fraga)

Redirecionamentos e alteração de conteúdo

Caso o pior venha a acontecer e o usuário comece a notar que o seu site está sendo redirecionado para uma página estranha, ou se alterações no conteúdo começarem a surgir, é hora de rever todas as dicas anteriores.

Em alguns casos, principalmente quando o redirecionamento ocorre somente quando o visitante é proveniente de um site de pesquisas, há uma grande possibilidade de o arquivo “.htaccess” ter sido alterado por um invasor via FTP ou, até mesmo, por algum plugin malicioso.

No caso de haver uma alteração de conteúdo, provavelmente houve o comprometimento da conta de algum usuário com poder de editar o conteúdo do site ou, ainda, uma violação diretamente da base de dados. Em ambos os casos, o ideal é seguir a dica e efetuar a troca de todas as senhas o mais brevemente possível.

Backup

O backup é a mais prática e rápida maneira de resolver um problema de comprometimento de site. Apesar de ser apenas uma solução paliativa – afinal, a origem do ataque tem que ser encontrada -, manter uma cópia de segurança de todos os arquivos utilizados no site (do CMS aos plugins, passando pelas imagens e arquivos enviados) e de toda a base de dados é fundamental para se dormir mais tranquilo.

No primeiro sinal de comprometimento, o usuário pode voltar a cópia de segurança, garantir que os visitantes continuarão tendo acesso ao conteúdo, ao mesmo tempo em que o administrador poderá começar a tentar identificar a origem do ataque. Vale, inclusive, entrar em contato com o host no qual o site está hospedado e pedir ajuda dos especialistas. Lembre-se: backup nunca é demais!