O site da sua empresa é, cada vez mais, o seu cartão de visita, é também a porta de acesso dos seus clientes a informações relevantes e é sem margem para dúvidas a “cara” do profissionalismo que impera dentro das suas portas.
Mais que nunca é essencial que tenha um site seguro para não ser vítima de espionagem e outros tipos de problemas que são cada vez mais usuais.
Assim, vamos deixar algumas sugestões e dicas para que o seu site esteja devidamente blindado a ataques.
Por vezes o seu site apenas precisa de pequenos ajustes, de alguma salvaguarda para que não seja trivial executar ataques e subtrair informações dos seus servidores. Assim, vamos deixar algumas dicas, simples, que servem de lembrete.
Actualizar o Software
Tenha sempre o seu software actualizado, pois assim qualquer vulnerabilidade que havia na versão anterior poderá já ter sido reportada e corrigida, dando mais segurança ao seu site.
Muitas vezes o CMS que usa poderá ter actualizações ou correcções, é importante não se descuidar. Não há nenhum software perfeito e mesmo que o seu esteja seguro para si… aos olhos dos experts de certeza que não está e não faltam portas de entrada.
Protecção do Login
Caso o seu website tenha disponível a opção de login (caso o registo esteja activo ou não), tenha sempre a mensagem com um erro genérico.
Por exemplo, coloque sempre a dualidade do erro, do tipo “Nome de utilizador ou palavra-passe incorretos”, desta forma o “hacker” poderá tentar uma acção de brute force mas não tem a certeza se algum dos campos está correcto, o que reduz significativamente as hipóteses de sucesso.
Proteção no Upload
O mundo é cada vez mais uma aldeia global, isso é certo, e uma loja online chega a qualquer parte do planeta. Assim, as empresas estão a estender a sua acção de venda para o mundo, usufruindo das ferramentas da Internet para atrair clientes. É fácil uma empresa ter o seu portfólio online e aceitar encomendas. Depois do pagamento feito, o envio para qualquer continente é simples.
Mas há ações que colocam em perigo os sites, alguns deixam os utilizadores fazer o upload de ficheiros, mas isso não é grande ideia! Se tiver mesmo de ser, até porque há segmentos que recebem material dos clientes via site e é determinante esse recurso, use htaccess para bloquear tudo o que não seja o permitido, tudo que não tenha a extensão certa, por exemplo.
Se reparar, esta ferramenta permite:
- deny from all
- order deny,allow
- allow from all
Protecção SSL
O protocolo SSL provê a privacidade e a integridade de dados entre duas aplicações que comuniquem pela Internet. Isso ocorre por intermédio da autenticação das partes envolvidas e da cifragem dos dados transmitidos entre as partes.
Este protocolo, o Secure Socket Layer (SSL) foi desenvolvido pela Netscape em 1994 e é ainda um padrão global em tecnologia de segurança. Como foi referido em cima, ao usar este protocolo no site da sua empresa irá beneficiar de um canal criptografado entre um servidor web e um navegador (browser) para garantir que todos os dados transmitidos estejam sigilosos e seguros. Certamente já viu este sistema em funcionamento, quando junto ao endereço de um site aparece um cadeado.
Quando tiver este sistema de segurança activo no seu servidor web terá que responder a algumas questões sobre a identidade do seu site (ex. o URL) e da sua empresa (ex. a Razão Social e o endereço). Então o seu servidor web criará duas chaves criptográficas – a Chave Privada (Private Key) e a Chave Pública (Public Key). A sua chave privada deve manter-se privada e em segurança, enquanto a Chave Pública pode ser conhecida e deve ser colocada na CSR (Certificate Signing Request) – um ficheiro de dados que contém os detalhes do site e da empresa.
Password Segura
Este é um passo que muitas vezes desvalorizamos. As palavras-passe proporcionam a primeira linha de defesa contra acesso não autorizado ao seu site. Quanto mais segura for a palavra-passe maior será a protecção para o serviço web da sua empresa contra hackers e software malicioso.
Uma palavra-passe segura:
- É composta por, pelo menos, oito caracteres, exemplo: S3gur2nç?
- Não contém o nome de utilizador, o nome real ou o nome da empresa.
- Não contém uma palavra completa.
- É significativamente diferente das palavras-passe anteriores.
Verificar as vulnerabilidades
Há ferramentas que permitem “vasculhar” o seu site e dar conta de possíveis falhas que podem expor a estrutura a ataques.
A escolha poderá recair por ferramentas tipo o Netsparker ou o OpenVAS. No vídeo acima poderá perceber com mais exactidão como funcionam estas aplicações web que fazem monitorização aos sites.
Proxy (AntiDDOS)
Os ataques DDOS estão na moda e têm causado prejuízos incalculáveis… mas há já alguma coisa que se pode fazer para defender a sua empresa deste tipo de crime. Pode usar um proxy reverso, de preferência com AntiDDOS.
Em breve iremos analisar esta sugestão com um artigo dedicado, mas fica desde já esta ideia.
Bloqueio de VPN/Proxy
Outra sugestão que deixamos é a utilização de serviços que bloqueiem VPNs, Proxys e redes TOR.
Estes serviços, como o Blocked por exemplo, permitem proteger os sites e ajudam os webmasters a parar o tráfego indesejado. A ferramenta detecta e bloqueia solicitações de todos os tipos de servidores proxy e redes de anonimato, redes de hospedagem, robôs indesejáveis e rastreador web… poderá mesmo barrar o acesso de tráfego de um país!
Passar um “anti-vírus” no site
O seu site tem vírus? Pode parecer estranho, verdade, mas os sites também têm “malware”.
É recomendado utilizar um Virus/Shell Scanner para analizar o site, e verificar todos os directórios na pesquisa de shells (exp: c99, Sn0xShell, etc…). Também poderá usar o SiteLock que remove automaticamente qualquer malware encontrado no site, protege o seu site de cair nas blacklists dos motores de pesquisa e ainda o protege contra bots e ataques.
Proteja os e-mails
Esta é outra dica que de tão simples que é até estranhamos não usar estes procedimentos no que toca à exposição do endereço de e-mail.
Nunca use os e-mails de contacto com algo obvio como vendas@website.pt mas ponha contactovendas@website.com ou algo mais complexo, e não coloque o e-mail no site via texto, use um script de php que converta texto em imagem para tornar o seu e-mail mais seguro de EmailGrabber.
Backups
Usar um serviço de Backup em Cloud. Em tempos, para ajudar nessa escolha, publicámos algumas sugestões de serviços profissionais de cloud services. Há, contudo, algumas menos populares mas talhadas para o mundo empresarial.
Um que sugerimos é o serviço CodeGuard, que permite um acesso tradicional à cloud e traz também um serviço automatizado de backups para o seu site. Além disso o serviço verifica cada ficheiro para detectar erros de php e Mysql. Nunca perca nada do seu site, faça sempre um backup, seja manual, seja automático.
Bloqueie os Países mais usados pelos Stressers/Botnets
Há países que “nem bom vento nem bom casamento”, como diz o adágio popular. Caso suspeite do tráfego de países como Sérvia, Rússia, China, Bósnia Herzegovina, Indonésia e Venezuela, não espere muito tempo, bloqueie o acesso a estes países.
Esteja, contudo, atento aos IPs que chegam ao seu servidor, há comportamentos que revelam e antecipam informações de ataques em preparação. Os acessos, embora voláteis, criam um padrão com o tempo e conhecendo esse padrão o administrador de um site poderá perceber que algo está errado e actuar pró-activamente.
Em resumo…
Estas são algumas dicas que o podem ajudar a melhorar a segurança no seu site e com isso reduzir possíveis ataques à sua empresa. Por vezes os “atacantes” estão à espera que falhe no mais simples, no mais trivial e normalmente é onde as pessoas deixam a porta entreaberta facilitando os ataques.
Por Barney para o Pplware