Os clientes da PortoFácil Hospedagem de Sites já conhecem nossa obsessão pela segurança em nossos servidores web, sejam eles dedicados ou VPS. Mas se você é novo por aqui, vamos mostrar neste artigo como nossa equipe de especialistas trabalha intensivamente para que o seu site ou blog WordPress esteja sempre protegido contra ataques e invasões.
Seções desta página
Relatório de segurança para servidores web
Recentemente uma empresa que trabalha com segurança online fez uma varredura completa em um de nossos servidores web em busca de brechas e falhas e, como já imaginávamos desde o início, eles não conseguiram encontrar absolutamente nada.
Contudo, para tentar “mostrar serviço” para quem a contratou, ou quem sabe, para tentar consertar o que não está estragado, a tal empresa enviou um relatório com algumas sugestões, tais como:
- Usar um modelo de segurança por obscuridade, que impede a identificação de serviços e versões, evitando que exploits próprios possam ser usados;
- Fazer bloqueio de User-Agent, para que apenas os browsers façam a comunicação direta com o site ou blog, evitando a interação de crawlers e bots;
- Restringir os IP’s com acesso à página de login do WordPress para evitar vários tipos de ataques, como SQL Bling, força bruta, enumeração de usuários, etc.
Com base nos itens descritos acima, nossa equipe de segurança respondeu detalhadamente cada uma delas da seguinte forma:
Segurança por obscuridade
Embora existam alguns plugins para o WordPress que prometem fazer exatamente isso, como é o caso do Hide My Ass e do Hide My WP, na prática essa não é uma ação que resulte em sucesso.
Explico: por padrão todos os servidores PortoFácil priorizam um acesso alternativo ao painel administrativo do WP, renomeando o arquivo wp-login.php. Qualquer tentativa de acesso à página normal de login recebe imediatamente uma mensagem de Erro 404.
Além disso, nossa equipe, para promover a segurança contra exploits, impede totalmente a execução de arquivos .php que estejam abaixo do wp-content.
- Como e por que renomear o wp-login.php
- Como remover vírus, malware e problemas de site detectado com phishing
Bloqueio de User-Agents, crawlers e bots
Qual o sentido de ter um site ou blog que bloqueia o acesso do Googlebot? Como que o Google Adsense vai detectar o conteúdo disponível na página para inserir seus anúncios?
Na prática, realmente existem alguns User-Agents, crawlers e bots que podem e devem ser bloqueados. Inclusive temos uma regra ativa em nossos servidores que bloqueia automaticamente todas as requisições que são sabidamente maliciosas, indo muito além de bloquear apenas User-Agents e crawlers aleatórios.
Ataques por força bruta ou SQL Injection
Este item exposto no relatório da tal empresa de segurança volta diretamente para o primeiro tópico das nossas respostas, onde os invasores ficam totalmente impedidos de realizar qualquer ataque por força bruta ou SQL Injection a partir do momento que o WordPress tem a página wp-login.php renomeada .
Inclusive, é possível configurar até mesmo uma string aleatória para que seja a sua URL ou página de login, como se fosse uma senha do tipo 0hCfsdkMN9dp.
Dicas de como garantir a segurança na internet
Sabemos que todos deveriam se preocupar com a sua própria segurança digital desde o primeiro momento, mas que muitas pessoas ainda insistem em viver perigosamente e nem sempre se preocupam com este problema.
A importância da segurança na internet está diretamente ligada com a forma que interagimos com a grande rede. Por exemplo, nos dias de hoje, criminosos conseguem interceptar dados sensíveis usando métodos cada vez mais sofisticados.
Até mesmo as pessoas mais atentas com relação à segurança correm o risco de cair em algum golpe online e perder tudo. Por isso, criamos uma lista completa de como garantir a sua segurança na internet e proteger seus dados pessoais e os dados publicados em seu site ou blog WordPress.
Como garantir a segurança na internet
A primeira coisa que devemos nos preocupar é como estamos compartilhando nossos dados na internet. A partir desta autoanálise recomenda-se que seja seguido o seguinte passo a passo:
- Crie senhas fortes: A primeira coisa que você precisa se preocupar é ter uma senha forte, diferente e complexa para cada tipo de serviço que usar, e que esta senha não se repita em nenhum outro local;
- Gerenciador de senhas: Instale um aplicativo que te ajude a gerenciar e organizar todas as suas senhas de forma simples e prática;
- Recuperação de senhas: Muito cuidado com e-mails que chegam na sua caixa de entrada com algum link para recuperar a senha de um determinado serviço. Se não foi você quem pediu, não clique em nada e delete o email imediatamente;
- Sistema operacional atualizado: Preocupe-se em manter seu Windows, Linux ou macOS sempre atualizado. O mesmo serve para o os seus dispositivos móveis. Lembre-se: sistema operacional desatualizado é porta de entrada para invasores;
- Verificação em duas etapas: Sempre que possível adicione uma camada extra de segurança e evite dores de cabeça no futuro;
- Redes Wi-Fi gratuitas: Tome muito cuidado a acessar este tipo de rede e lembre-se de nunca compartilhar dados importantes nem realizar transações bancárias nelas;
- Antivírus confiável: Tenha sempre um bom aplicativo de segurança para proteger seus dados em tempo real e te proteger contra phishing, vírus e malwares;
- Aplicativos originais: Nunca instale softwares piratas, pois a grande maioria deles vêm infestada de malwares e vírus;
- Anúncios suspeitos: Jamais clique em anúncios que parecem suspeitos ou estranhos. Assim você evita possíveis redirecionamentos para sites com códigos maliciosos;
- Certificado SSL: Faça a ativação de um certificado digital assim que configurar um novo site ou blog, seja ele WordPress ou não;
- Plugins atualizados: Se você possui um site WordPress, mantenha tudo o mais atualizado possível. Aprenda como configurar, ativar e otimizar os plugins para turbinar seu site;
- URL de login personalizada: Utilize algum plugin que troca o slug padrão, reduzindo, assim, as chances de ataques por força bruta;
- Usuário com poderes de administrador: Nunca use o usuário padrão “admin“. Utilize sempre um nome de usuário único e diferente;
- Backup: Realize uma cópia de segurança de todos os seus principais dados sempre que possível;
- Criptografia: Sempre que puder, realize a criptografia de seus dados mais sensíveis;
- Firewall: Tenha sempre um firewall ativo no seu site e, também, em seu dispositivo, seja ela móvel ou desktop;
- Webcam: Tampe imediatamente a lente da sua webcam com alguma fita adesiva. Infelizmente já existem pragas capazes de acessá-la remotamente para te vigiar.
- Navegador web: Utilize sempre um browser confiável e com as atualizações de segurança mais recentes;
- VPN: Se puder, contrate um serviço de VPN (rede privada virtual) para aumentar a segurança entre os seus dispositivos e proteger seu tráfego enquanto navega pela internet.
Resumindo
É importante salientar que, mesmo seguindo à risca todas as dicas de segurança citadas neste artigo, ainda é necessário redobrar sua atenção em tudo. E toda vez que você achar que seguir esses passos possam ser cansativos, lembre-se que sua vida online, seja ela pessoal ou profissional, pode acabar num piscar de olhos.
Assim como escrevemos no início deste artigo, a PortoFácil Hospedagem de Sites tem obsessão por manter a segurança extrema de todos os nossos servidores, fazendo com que os sites e blogs hospedados em nosso ecossistema possuam sempre uma camada extra de segurança.
Fica a dica!