A segurança on-line não deve preocupar apenas os consumidores que inserem suas informações nos sites. É algo que as empresas que possuem sites devem se preocupar também.
Infelizmente, mais da metade (54%) das empresas pesquisadas para o relatório de segurança cibernética do estado de 2018 acreditam que elas são pequenas demais para ser um alvo para hackers. Mas os dados pintam uma imagem diferente:
Obtenha um e-book gratuito e descubra as tendências da agência em 2020
- 67% das pequenas e médias empresas foram atacadas em 2018;
- 82% dos atacados tinham software antivírus instalado em seus sistemas;
- 72% tinham sistemas de detecção de intrusão no local.
Na realidade, as empresas não estão deixando de proteger seus sites porque acreditam que são pequenas demais para atrair a atenção de hackers. A verdade é que a maioria aponta para uma falta de recursos para explicar por que eles renunciam à segurança. Aqui estão as três principais razões dadas:
- Não temos pessoal suficiente para gerenciar a segurança;
- Nós não temos dinheiro suficiente para pagar por isso;
- Nós não sabemos nada sobre segurança ou por onde começar.
Mas aqui está a coisa: os sites não são difíceis nem caros de se proteger. Você só precisa saber quais medidas de segurança são absolutamente necessárias para um site ter e onde adquiri-las.
Aqui é onde você deve começar …
Encontre um host seguro
Sua escolha de hospedagem pode afetar seu site de várias maneiras, incluindo o quão bem ele é protegido contra hackers.
Para começar, se a segurança é uma preocupação para você (ou o cliente para o qual você está construindo o site), um plano de hospedagem compartilhada não será o ideal. Se qualquer site no servidor compartilhado for atacado, ele poderá se espalhar facilmente para o seu.
Em segundo lugar, se o seu host não priorizar a segurança, é uma boa ideia procurar em outro lugar. Embora muitos hosts da web façam um bom trabalho com isso, seja cauteloso com aqueles que não fornecem informações sobre seus datacenters, como seus ativos estão protegidos ou que nível de segurança foi implementado (por exemplo, monitoramento de instalações físicas, firewalls de servidor etc.) .
Por fim, procure um plano de hospedagem na Web com recursos de segurança incorporados. Não é necessário que os hosts fiquem acima e além com isso, mas é um bom sinal quando eles estão dispostos a dar uma mãozinha.
Use um certificado SSL
Um desses recursos de segurança que o seu host deve ser capaz de acessar (mesmo que seja uma atualização paga) é um certificado SSL. É uma forma de criptografia que transforma um site HTTP comum sem segurança:
Em um com uma camada extra de proteção e um endereço HTTPS:
Você pode ver como minha barra de endereços do Chrome chama a atenção para as diferenças de segurança. Os sites HTTP recebem um rótulo “Não seguro”, enquanto o HTTPS obtém uma marca de confiança na forma de um cadeado ou rótulo verde.
O algoritmo do Google faz algo semelhante quando classifica sites, penalizando aqueles sem esse recurso de segurança e recompensando aqueles que o possuem.
Use Software Bem Codificado
Embora você possa controlar como você cria ou codifica um site no front-end, talvez você não tenha muito controle sobre o código por trás de tudo. Além disso, sempre que você adiciona uma nova extensão, a integridade desse código agora tem a chance de afetar seu site também.
Para começar, escolha seu software com sabedoria, incluindo:
- Sua solução de construtor de sites ou sistema de gerenciamento de conteúdo;
- Seu tema ou modelo de design;
- Suas extensões ou plugins.
Mesmo que você não saiba como revisar a integridade do código, consulte as resenhas dos usuários. Há algum problema evidente com as vulnerabilidades introduzidas pelo software? Se assim for, evite.
Além disso, os desenvolvedores de software devem sempre trabalhar para melhorá-lo. É por isso que, dependendo de qual software você usa, você pode ver uma atualização ocasional para corrigir bugs, problemas de desempenho e vulnerabilidades.
Se você não vir essas atualizações ou se o fornecedor tiver uma reputação de não suportar o software, essa é outra razão para encontrar outra solução.
Manter uma política de senha fortemente reforçada
Com cada nova aplicação que adicionamos ao nosso fluxo de trabalho, uma nova senha precisa ser gerada. E embora você saiba que é uma prática ruim usar senhas iguais ou semelhantes em todos os aplicativos, faça seus clientes? Ou qualquer outra pessoa com acesso ao site?
Um login fraco é a maneira mais fácil para um hacker entrar em um site. Ao aplicar uma diretiva de senha em todos os níveis, você pode ajudar a proteger-se contra ataques de força bruta.
Agora, algumas soluções de construtor de sites permitem ocultar o URL de login ou implementar a autenticação de dois fatores. É uma boa ideia tirar vantagem disso, se puder. Eu também sugeriria exigir senhas mais fortes.
Uma longa seqüência de letras, números, símbolos e letras maiúsculas e minúsculas ajudará os hackers a adivinhar as informações de login de seus usuários.
Use um bloqueador de spam
Mesmo que o spam não seja uma preocupação muito grande, é uma boa ideia evitar que ele chegue perto do seu site, mesmo que seja apenas para remover o fator de incômodo.
Para proteger seu contato e comentar os formulários contra spam, há algumas coisas que você pode fazer. Você pode usar um plug-in de bloqueio de spam, que transforma o spam em um assunto fora da vista e fora da mente. Você pode usar um reCAPTCHA como o usado neste site:
É apenas um passo extra que os humanos precisam dar para confirmar sua condição humana.
Você também pode implementar um honeypot. Essencialmente, é um campo oculto estabelecido como uma armadilha em um formulário. Os humanos não podem ver e, portanto, não saberão preenchê-lo. Spam bots, no entanto, vão vê-lo e preenchê-lo.
Plugin de Segurança Tudo em Um
Idealmente, seu site deve estar em execução em um servidor seguro. No entanto, não é realmente o trabalho do anfitrião garantir que o seu site esteja protegido de todos os ângulos.
Para garantir que seu site seja coberto o máximo possível, procure por um plug-in de segurança de alta qualidade e tudo em um. Deve incluir coisas como:
- Um firewall
- Proteção de força bruta
- Prevenção de spam
- Registro do usuário e limitações de acesso
- Segurança de banco de dados e arquivos
Deve também ter um sistema de monitoramento construído. Ele irá alertá-lo para coisas como muitas tentativas de login com falha, alterações inesperadas de arquivos e assim por diante.
Sempre faça backup dos seus arquivos
Finalmente, não se esqueça de ter um sistema de backup em vigor. Se todas as medidas de segurança acima falharem, você precisará de um backup recente do site para o qual pode recorrer para restaurar seu site com segurança.
Alguns hosts da web podem incluir backups em seu plano de hospedagem na Web, mas também é uma boa ideia automatizar o processo com um plug-in de backup e armazenar cópias salvas do seu site em um local seguro e remoto (como uma conta gratuita do Amazon S3).
Por que a segurança do site deve preocupar você
Hackers são criativos. Eles podem entrar em um site a partir de um formulário de comentários, através da página de login e de um arquivo exposto no back-end (entre outros métodos). Se uma vulnerabilidade existir, eles a encontrarão.
Infelizmente, quando um site é deixado aberto para ataques, pode ter consequências devastadoras para uma empresa:
- Perda de controle sobre o site
- Registros roubados
- Perda de confiança do cliente
- Reputação danificada
- Lista negra do Google
- E mais
Como o designer ou desenvolvedor que construiu o site para eles, não conseguir protegê-lo corretamente pode ser tão prejudicial para o seu negócio. Portanto, é melhor saber o que você pode fazer para implementar, no mínimo, uma quantidade mínima de segurança em todos os sites que você cria.