fbpx

Segurança da Informação – Fiquem atentos as recomendações de segurança para hospedagem de sites.

Blog B2B Host | Segurança da Informação – Fiquem atentos as recomendações de segurança para hospedagem de sites.
Blog B2B Host | Segurança da Informação – Fiquem atentos as recomendações de segurança para hospedagem de sites.

Segurança da Informação – Quando pensamos em segurança de hospedagem de sites, as violações altamente divulgadas de grandes empresas vêm à mente.

Vazamentos de dados multimilionários envolvendo informações expostas de cartão de crédito, credenciais de login e outros dados valiosos são amplamente cobertos pela mídia, fazendo com que se acredite que apenas empresas de grande porte são suscetíveis a riscos de segurança on-line.

Não se deixe enganar. Os padrões de segurança são vitais para o bem-estar de qualquer site, seja ele grande ou pequeno.

É por isso que os proprietários de sites costumam ser bombardeados por avisos de riscos de segurança em conjunto com os argumentos de vendas de muitos provedores de hospedagem na web.

A educação é o primeiro passo para proteger sua marca on-line. Abordaremos algumas práticas recomendadas a serem seguidas nas operações de gerenciamento de sites, bem como alguns recursos importantes de segurança para procurar em uma empresa de hospedagem na web.

Recursos de segurança que você deve exigir ao contratar um provedor de hospedagem de sites

A maioria dos usuários, quando contratam um plano de hospedagem de sites, prioriza aquele com o menor preço ou que atendem às suas necessidades básicas de espaço em disco, quantidade de e-mails e outros e esquecem o quesito “segurança”.

A maioria dos provedores de hospedagem cuidará de muitas medidas de segurança, mas, dependendo do plano selecionado, você deve fazer perguntas para saber exatamente quais recursos a empresa fornece para que você não tenha surpresas desagradáveis no futuro.

1 – Backups e Pontos de Restauração

As pessoas costumam ignorar os backups como um elemento de segurança. Os backups fornecem e exigem segurança.

Os backups devem ser mantidos em um local seguro, longe do servidor principal, seguindo as outras etapas de segurança que descreveremos abaixo.

Um backup seguro fornece um repositório confiável para as cópias mais recentes do sistema e dados que podem ser implantados para restaurar um sistema conhecido e limpo para a operação.

É importante perguntar sobre as políticas de agendamento e restauração de backup de uma empresa de hospedagem. Por exemplo, com que frequência os backups são realizados – semanal, mensal ou diário? Os representantes de suporte o ajudarão a restaurar seu site a partir de arquivos de backup ou os backups se destinam apenas ao seu uso? A equipe encontrará e restaurará arquivos perdidos ou corrompidos ou só fará uma substituição completa de um backup recente? O serviço de hospedagem só usará o backup mais recente ou poderá solicitar restaurações de volta no tempo e, se for esse o caso, até que ponto você poderá voltar no tempo?

2 – Monitoramento de Rede

O provedor de hospedagem monitora a rede interna em busca de intrusões e atividades incomuns?

O monitoramento diligente pode interromper a disseminação de malware de servidor para servidor antes que chegue ao servidor que hospeda seu site.

Peça detalhes sobre como a equipe de suporte monitora a rede, se a equipe é dedicada a essa função e o que os engenheiros procuram.

3 – SSL, Firewalls e Prevenção de DDoS

Os ataques de negação de serviço distribuído (DDoS) ocorrem quando uma quantidade impressionante de tráfego é enviada ao seu site, tornando-o inútil para os visitantes.

A prevenção começa na borda da rede com um bom firewall. No entanto, existem limites para o quão bem um firewall para os ataques DDoS.

Seu provedor pode lhe dar uma ideia de quais intrusões os firewalls da empresa podem parar e que outras medidas a equipe de segurança emprega? Se você tiver um plano no qual você gerencia seu próprio servidor, precisará saber como aumentar o que o serviço de hospedagem oferece. Em que estágio as pessoas de monitoramento de rede informarão aos proprietários do plano sobre possíveis problemas que possam afetar seu site?

O provedor disponibiliza certificados SSL? Será sua responsabilidade implementar o SSL?

4 – Verificações e/ou remoção de vírus e malware

Você deve compreender quais ações de proteção seu provedor de hospedagem de sites executará e o que deve fazer por conta própria para proteger seu site.

A equipe de suporte faz varreduras nos arquivos da sua conta e você pode ver os relatórios? Se sua conta for infectada, o plano de suporte inclui ajuda para identificar e remover o malware?

5 – Alta Disponibilidade e Recuperação de Desastres

Procure uma empresa de hospedagem que mantenha seu site funcionando com uptime de 99,9% de tempo de atividade. Isso vai além dos backups em nível de arquivo.

Uma imagem bare-metal está disponível para o seu servidor? Esta é uma cópia completa de um sistema operacional de servidor limpo e em funcionamento para uma rápida recuperação de falhas do sistema.

A rede do provedor de hospedagem web deve ter hardware redundante para proteger contra o tempo de inatividade causado por falhas de hardware.

Os firewalls podem ser configurados para serem executados em pares, com cada um pronto para assumir a carga total, caso o outro falhe. O mesmo conceito se estende aos servidores. O failover de hardware é um componente importante de redes de alta disponibilidade.

O balanceamento de carga é outro recurso de alta disponibilidade. Nesse caso, vários servidores estão prontos para lidar com o tráfego do servidor. Todos eles trabalham com a mesma cópia dos dados do seu site armazenados em uma unidade compartilhada da rede e transferem tráfego entre eles para que nenhum servidor fique sobrecarregado.

Blog B2B Host | Hospedagem de Sites – Criador de Sites e Registro de domínio grátis!
Blog B2B Host | Hospedagem de Sites – Criador de Sites e Registro de domínio grátis!

Recomendações para a segurança do seu site

A segurança do software do seu site e dos arquivos de dados é de sua inteira responsabilidade, mesmo com um plano de hospedagem gerenciado.

Como um webmaster, você é responsável por gerenciar seu conteúdo e a funcionalidade de seu site.

1 – Senhas e acessos de usuários

No nível do site, você terá senhas para as pessoas que administram o site, os autores convidados e, potencialmente, os visitantes do site, dependendo da natureza do site.

Estabeleça e aplique políticas de força de senha para todos que têm acesso de back-end.
A equipe de administradores e os autores convidados precisarão de uma senha mais forte, pois suas contas têm um impacto potencialmente maior no seu site.

Imponha as alterações após qualquer tentativa suspeita de invasão ou ao atualizar o sistema de gerenciamento de conteúdo (CMS) ou outro software.

Use gerenciadores de senhas seguras para gerar senhas complexas exclusivas.

Cada titular da conta deve ter o menor número de privilégios necessários para fazer seu trabalho. Por exemplo, nunca forneça privilégios de administrador a um autor convidado.
Seu CMS deve ter um nível de privilégios que permita que eles façam upload e edição de sua postagem e nada mais. Cada pessoa deve ter seu próprio login para que seja responsável por todas as alterações feitas por essa conta. Administradores de alto nível podem monitorar a atividade de todas as contas.

Nunca permita uploads de arquivos irrestritos. Limite os uploads para os tipos de arquivos que seus usuários precisarão fazer upload e exclua scripts ou outros códigos executáveis.

Um arquivo executável carregado, juntamente com configurações de acesso a arquivos insuficientes, dará a um intruso controle instantâneo do seu site.

Seus arquivos de configuração do servidor incluem configurações que restringem o acesso a seus arquivos, como diretórios de navegação, e protegem pastas que contêm informações confidenciais.

2 – Plugins, atualizações de software e backups

Mantenha sempre seu CMS e software atualizados. As versões mais recentes são corrigidas para corrigir todas as falhas de segurança conhecidas.

Altere as configurações padrão, como o nome de login do administrador, que as pessoas podem encontrar e usar para invadir.

Ao instalar plugins e outros softwares, considere a idade do código ou a data de sua última atualização, bem como o número de instalações. Essas métricas dão uma ideia da segurança e confiabilidade do produto. Se estiver inativo, provavelmente não foi verificado por falhas de segurança. Desconfie da origem do download deste software. Sites de terceiros podem ter adicionado malware ao pacote.

O conteúdo do seu site não é seguro até que você realize backups automáticos, frequentes e redundantes. Os backups devem ser armazenados separadamente do servidor principal.

A ideia é proteger seu conteúdo contra possíveis falhas do servidor. Um backup que está no servidor geralmente falhará junto com o servidor, dependendo da natureza do desastre.

Os backups devem acontecer com frequência suficiente para capturar mudanças e novos conteúdos, e eles devem acontecer sem precisar que alguém se lembre de iniciá-los a cada vez.

Teste os backups para ter certeza de que o sistema está funcionando. Verifique estas práticas recomendadas de sites críticos para obter mais maneiras de desenvolver uma estratégia de backup sólida.

Se você tiver temas personalizados, plug-ins ou software semelhante, é recomendável manter cópias novas dos arquivos de instalação. Se eles estiverem com defeito ou forem comprometidos, esse problema será salvo no backup. Os arquivos de instalação garantem que você possa voltar a uma cópia de trabalho original.

Tenha em mente que um backup recupera seu site rapidamente, mas não corrige o problema subjacente que o causou. Por exemplo, se alguém usou uma exploração para invadir seu site, essa vulnerabilidade ainda existe na cópia de backup e precisa ser corrigida imediatamente.

3 – Code Reviews

Uma revisão de código é uma verificação detalhada de um aplicativo depois que o desenvolvimento é concluído e está pronto para ser lançado. Isso é feito melhor com uma mistura de ferramentas automatizadas e inspeção humana.

A revisão é realizada no contexto completo do uso do aplicativo – do login e autenticação ao processamento de dados, criptografia e armazenamento.

Desconfie de SQL (Structured Query Language) maliciosamente inserido em seus arquivos de site por terceiros. Injeção de SQL é um método no qual um invasor responde a uma solicitação de entrada, como “username”, com um comando SQL válido. Esses comandos podem acessar dados ou excluí-los.

4 – Criptografia, firewalls e proteção contra DDoS

Um firewall de aplicativo da Web (WAF) monitora o tráfego HTTP de e para aplicativos da Web específicos. Isso fornece segurança mais específica do que um firewall de rede, que monitora HTTP, mas não entende os requisitos específicos de um aplicativo da web.

Um WAF pode ser configurado para evitar injeções de SQL, bem como outras técnicas, como scripts entre sites e sondagem de vulnerabilidades.
Embora a prevenção contra DDoS deva ser promulgada no nível da rede, os invasores podem usar uma ou uma combinação de vários métodos para inundar seus servidores, e os proprietários do site devem responder e se proteger adequadamente.

Vários líderes de segurança notáveis, incluindo Cloudflare e Incapsula, oferecem ferramentas e serviços avançados de mitigação e prevenção que podem ser empregados para ajudar a manter os sites seguros.

Por fim, a tecnologia SSL (secure sockets layer) é necessária quando dados confidenciais são transferidos para e do servidor. Um certificado SSL não protege seu servidor contra ataques ou malware, mas criptografa e protege a comunicação entre seu servidor e a pessoa que usa seu site. Verifique se a sua empresa oferece ssl grátis.

Ao usar SSL, você protege as informações de seus clientes e mantém sua confiança em seu site.

Conclusão

Contratar uma empresa apenas porque ela tem baixo custo nem sempre é uma vantagem. Os seus sites podem estar vulneráveis a diversos tipos de ataques. A segurança da informação é fundamental, portanto é necessário que você pesquise muito antes de contratar uma provedor de hospedagem.

Fique atento às políticas de segurança que a empresa oferece, desde a cópias de segurança, segurança de rede, atendimento e outros.

E lembre-se! O backup é fundamental! Faça sempre que possível uma cópia principamente se o seu site tem muitas atualizações de conteúdos. Neste caso o ideal é rotinas diárias de de backup do bancos de dados.

Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso LinkedIn.

Leia também: