20:06 | Postado por Unknown
Hoje, os ataques tendem a visar sites pequenos, uma vez que a
segurança deles é, em geral, mais fraca, do que a dos grandes portais.
A facilidade de se criar e manter um site ou blog cresceu
e, em paralelo a isso também houve um aumento de ataques e acessos sem
autorização. Quem acha que somente grandes sites estão na mira dos
usuários maliciosos, está completamente enganado. Hoje, os ataques
tendem a visar sites pequenos, uma vez que a segurança deles é, em
geral, mais fraca, do que a dos grandes portais, que normalmente contam
com equipes especializadas para cuidar da segurança das aplicações.
Para manter os seus sites e blogs no ar com segurança,
veja dicas muito valiosas que, se seguidas, tendem a diminuir as
chances de haver algum acesso indevido por pessoas maliciosas.
Permissão dos usuários
O usuário é, normalmente, o elo mais fraco no que se refere
a segurança e, por este motivo, merece uma atenção redobrada do
administrador do site. Ao adicionar um novo integrante, o administrador
deverá ter em mente o que aquela pessoa fará no site (autor, editor,
administrador e etc) e somente dar as permissões extremamente necessárias. Com este simples cuidado, caso uma conta venha a ser comprometida, o estrago causado pelo invasor tenderá a ser muito menor.
Além de uma boa senha é
fundamental que o usuário efetue a troca dela com frequência. Outra
precaução de suma importância e é de nunca salvar a senha utilizada para
logar no site ou painel de administração no seu computador, muito menos
se for no PC de um amigo ou público.
Conexão e computador seguros
De nada adianta os usuários utilizarem senhas muito complexas se o
seu computador não estiver seguro. Para isso, é sempre recomendável que
utilizem um bom antivírus e o mantenha atualizado, assim como um bom
antispyware. Ambos os aplicativos cuidarão da segurança do computador e
evitarão que programas maliciosos sejam instalados e capturem
informações importantes do usuários.
Caso o servidor de hospedagem permita a utilização de uma conexão
segura via “https”, sempre dê preferência para ela. Uma vez utilizando
uma conexão segura, os dados trocados entre o computador do usuário e o
servidor de hospedagem são criptografados, o que praticamente
inviabiliza a sua interceptação entre as duas pontas.
Ao utilizar um cliente de FTP para enviar arquivos para o
servidor, caso a hospedagem suporte o protocolo SFTP, utilize-o. Da
mesma forma que a conexão via “https”, a conexão via SSH é criptografada
e diminui o risco de haver alguma interceptação dos dados trafegados,
inclusive os dados de conexão.
Usuário “admin” e prefixo das tabelas
Em algumas plataformas, o usuário pode optar por definir os nomes
de usuários. Caso seja possível, evite sempre utilizar o nome “admin”,
já que esse tipo de login é comum. A utilização do prefixo padrão das
tabelas utilizadas por alguns CMSs também deve ser evitada. No
WordPress, por exemplo, todas as tabelas começam com “wp_”, o que acaba
prejudicando a segurança do site no caso de alguém tentar utilizar a
técnica de “sql injection” - que é a injeção - por meio de alguma
vulnerabilidade encontrada de códigos que alteram o conteúdo da base de
dados do site.
CMS, temas e plugins
Aquela velha regra sobre manter o sistema operacional e o
antivírus atualizados, também vale para os CMSs e os plugins.
Periodicamente, os desenvolvedores lançam versões atualizadas de seus
aplicativos com a finalidade de corrigir possíveis falhas e problemas
críticos relacionados com a segurança dos mesmos.
Além disso, é muito importante que o usuário instale somente
plugins e temas de fontes confiáveis, de preferência os encontrados em
repositórios dos próprios desenvolvedores do CMS. Por padrão, todos os
temas e complementos disponibilizados nestes repositórios passam pelo
crivo da equipe técnica, o que acaba garantindo mais segurança aos sites
que farão uso deles.
Redirecionamentos e alteração de conteúdo
Caso o pior venha a acontecer e o usuário comece a notar que o
seu site está sendo redirecionado para uma página estranha, ou se
alterações no conteúdo começarem a surgir, é hora de rever todas as
dicas anteriores.
Em alguns casos, principalmente quando o redirecionamento ocorre
somente quando o visitante é proveniente de um site de pesquisas, há uma
grande possibilidade de o arquivo “.htaccess” ter sido alterado por um
invasor via FTP ou, até mesmo, por algum plugin malicioso.
No caso de haver uma alteração de conteúdo, provavelmente houve o
comprometimento da conta de algum usuário com poder de editar o
conteúdo do site ou, ainda, uma violação diretamente da base de dados.
Em ambos os casos, o ideal é seguir a dica e efetuar a troca de todas as
senhas o mais brevemente possível.
Backup
O backup é a mais prática e rápida maneira de resolver um
problema de comprometimento de site. Apesar de ser apenas uma solução
paliativa – afinal, a origem do ataque tem que ser encontrada -, manter
uma cópia de segurança de todos os arquivos utilizados no site (do CMS
aos plugins, passando pelas imagens e arquivos enviados) e de toda a
base de dados é fundamental para se dormir mais tranquilo.
No primeiro sinal de comprometimento, o usuário pode voltar a
cópia de segurança, garantir que os visitantes continuarão tendo acesso
ao conteúdo, ao mesmo tempo em que o administrador poderá começar a
tentar identificar a origem do ataque. Vale, inclusive, entrar em
contato com o host no qual o site está hospedado e pedir ajuda dos
especialistas. Lembre-se: backup nunca é demais!
fonte:meionorte
