10 práticas recomendadas de segurança de hospedagem na web a serem seguidas em 2020

As ameaças seguem as tendências e graças à explosão digital que se espalhou pelo mundo, hospedar um site hoje ficou cada vez mais perigoso.

Isso é ainda pior, considerando que a maioria das pessoas que possuem sites tenta monetizá-los, o que significa que há potencial para um impacto significativo.

Mesmo que o Google tenha alertado no ano passado sobre um foco aprimorado na prontidão móvel para sites, 2018 também viu os ataques de malware móvel dobrarem. Embora isso especificamente possa ser apenas vagamente relacionado, a tendência geral de ameaças à segurança cibernética seguindo a multidão pode ser vista.

A segurança da hospedagem na Web pode ser um desafio, especialmente para sites menores com recursos limitados. Afinal, se até mesmo instituições financeiras com orçamentos de segurança cibernética de bilhões de dólares podem ser violadas, que esperança há para o resto de nós, certo?

Não totalmente correto.

Desistir e ignorar ameaças cibernéticas só porque você acha que não tem recursos para superá-las é um erro. Os ataques cibernéticos gastam consideravelmente mais tempo e recursos para penetrar em alvos de alto valor, pois há potencial para um grande pagamento.

No entanto, para sites menores, manter as coisas em perspectiva e seguir as práticas recomendadas de segurança de hospedagem na Web padrão deve ser suficiente para mitigar a maioria dos problemas. Bem, a menos que você tenha deixado alguém muito chateado com você, por algum motivo.

Hoje vou compartilhar com você algumas práticas recomendadas de segurança de hospedagem na web, bem como oferecer dicas práticas que você pode experimentar para reforçar suas defesas.

Não consegue acessar seu site? Você foi hackeado? Perdeu sua senha ou conta inteira? Seus arquivos principais estão comprometidos? O Script de Recuperação de Emergência gratuito resolverá seu pesadelo com um único clique.

10 práticas recomendadas de segurança de hospedagem na web a seguir

1. Fique com um provedor de hospedagem na web respeitável

Seu provedor de hospedagem na web desempenha um papel muito maior na segurança do seu site do que você imagina. Do espaço físico que seu site fica no tráfego que entra e sai do seu site, seu provedor de hospedagem na web desempenha um papel muito importante no que diz respeito à sua segurança.

Por exemplo, geralmente é o host da Web que cuida dos itens de linha padrão, como antivírus e antimalware. Alguns provedores de hospedagem na web também oferecem sistemas de backup e recuperação automatizados e anti-spam e, se você tiver sorte, pode até usar uma Rede de Distribuição de Conteúdo (CDN).

Dica : Faça da segurança seus principais fatores de consideração ao escolher um host da web. Se você hospeda um site há algum tempo e ele cresceu a ponto de justificar a mudança para uma conta de hospedagem VPS, recomendo que você faça isso o mais rápido possível. A hospedagem VPS oferece recursos de segurança muito melhores do que as contas de hospedagem compartilhada padrão.

2. Use um CDN

Como mencionei acima, alguns hosts da web funcionam com CDN, mas se não o fizerem, você também pode fazer isso por si mesmo. As CDNs ajudam a fornecer suas páginas da Web mais rapidamente aos visitantes, hospedando caches de seu site em servidores em todo o mundo. Quando o acesso ao seu site for solicitado, a CDN servirá primeiro os dados armazenados em cache do local mais próximo de onde foi solicitado.

No entanto, além da vantagem de velocidade, as CDNs também fazem uso das grandes redes de servidores para oferecer o que é chamado de balanceamento de carga. Isso significa que, ao usar um CDN, você está trabalhando parcialmente com os recursos do servidor e pode gerenciar um número maior de visitantes.

Isso está relacionado à melhor parte de usar um CDN, a prevenção de ataques de negação de serviço distribuído (DDoS). Os ataques DDoS tentam sobrecarregar e fechar sites, inundando-os com solicitações até que o servidor seja desligado. No entanto, as CDNs são projetadas para fortalecer a segurança, compensando isso por meio de sua rede de servidores.

Dica : Tente usar o Cloudflare como seu CDN. Existem contas gratuitas disponíveis com recursos básicos e você pode expandir com elas conforme suas necessidades mudam.

3. Sempre use certificados SSL

Os certificados Secure Sockets Layer (SSL) ajudam a garantir aos visitantes que todas as informações que eles compartilham em seu site são criptografadas e estarão seguras. Hoje, o SSL está se tornando tão importante que os principais navegadores da Internet avisarão os usuários se um site não estiver usando um SSL.

Existem alguns tipos de certificados SSL e os preços de cada um variam. Tenha certeza de que, se você estiver executando um site pessoal ou mesmo um para uma pequena empresa, poderá usar facilmente um certificado SSL gratuito. São fáceis de obter e instalar; na verdade, você pode fazer isso com alguns cliques no Plesk ou no cPanel.

Dica : Você pode obter um certificado SSL gratuito da Let's Encrypt diretamente deles, mas é melhor se o seu host oferecer esse serviço. Os hosts da web de hoje permitirão a instalação fácil do SSL gratuito do Let's Encrypt.

4. Sempre mantenha backups

Backup e restauração automáticos com hospedagem WPX

Embora existam hosts da Web em torno dos quais oferecem recursos de backup e restauração, alguns ainda não oferecem. Independentemente disso, você deve sempre fazer seus próprios backups e manter um conjunto de arquivos offline, apenas por precaução. Isso pode parecer um pouco tedioso para você, mas você não tem ideia de como seu host configurou seu sistema de backup ou o que pode acontecer em um desastre. Manter um backup offline (de seus arquivos e banco de dados!) pode salvar vidas.

Dica : Automatizar o processo de backup offline é mais fácil do que você imagina, especialmente se você estiver usando o WordPress. Use o plug-in de backup UpdraftPlus e você pode fazer backup remotamente em qualquer frequência para um destino de sua escolha. Você também pode conferir esses serviços de backup para WordPress

5. Reforce as senhas

Você já ouviu falar sobre isso, viu isso acontecer nos filmes e pode ser culpado de fazer isso sozinho, mas usar senhas fáceis de lembrar é uma receita para o desastre. Os hackers de hoje são sofisticados o suficiente para terem arquivos inteiros chamados dicionários cheios de senhas comumente usadas que eles testarão contra as defesas de um site.

Para colocar as coisas em perspectiva, um botnet pode forçar uma senha de seis caracteres em aproximadamente quatro horas. Lembre-se de que tudo isso é automatizado, portanto, enquanto você e os ciber-atacantes estão dormindo, os bots continuam tentando invadir sites.

Dicas : Use uma senha mais longa e complexa, de preferência composta por uma mistura de caracteres maiúsculos e minúsculos, dígitos e caracteres especiais.

6. Criptografe sua própria conexão

Como você é o proprietário do seu site, sua conexão com sua conta de hospedagem na web deve ser mantida mais segura do que uma de seus visitantes. Eu recomendo que você transfira arquivos usando o Secure File Transfer Protocol (SFTP) ou por meio de uma conexão de rede privada virtual (VPN).

Qualquer um dos métodos ajudará a evitar que alguém tente interceptar e roubar dados que você está enviando para seu servidor web. Pessoalmente, recomendo usar uma VPN, embora o custo seja geralmente maior do que usar um cliente SFTP. As VPNs funcionam criptografando tudo o que está sendo enviado do seu computador, cobrindo todos os cenários!

Dica : Se uma VPN não é sua xícara de chá, há uma tonelada de clientes SFTP gratuitos disponíveis para uso. Eu recomendo o FileZilla, que é extremamente poderoso e de código aberto.

7. Mantenha as coisas atualizadas

Uma maneira pela qual os invasores tentam obter acesso a sites é explorando pontos fracos conhecidos no software. Quase todos os softwares têm bugs ou brechas de algum tipo e muitos estão sendo atualizados continuamente para bloquear essas lacunas à medida que os desenvolvedores as encontram.

Certifique-se de manter todo o software que você usa para o seu site atualizado sempre que possível. Se você estiver usando o WordPress, certifique-se de que não apenas sua instalação do WordPress esteja atualizada, mas também cada plugin ou tema que você instalou.

Dica : Alguns hosts da web oferecem atualizações com um clique para sites WordPress que permitirão que você atualize rapidamente não apenas um site, mas todos os seus sites hospedados em sua conta.

8. Faça uso dos arquivos de configuração do servidor

O tipo de arquivos de configuração do servidor com os quais você precisa lidar, dependendo da plataforma de hospedagem na qual você está. Por exemplo, o Apache usa .htaccess enquanto a Microsoft usa arquivos web.config. Esses arquivos de configuração são extremamente poderosos e podem ser usados ​​para aumentar a segurança do seu site.

Ao adicionar as regras corretas aos arquivos de configuração do servidor, você pode impedir a navegação no diretório, impedir que outras pessoas façam hotlinks para imagens em seu site e até mesmo proteger arquivos específicos.

Dica : Se você não tiver certeza de qual servidor da Web você está, você pode verificar isso rapidamente aqui.

9. Preste atenção às permissões de arquivo

Os arquivos têm várias propriedades que definem o que os usuários podem fazer com eles e por quem. Basicamente, existem três funções que podem interagir com arquivos; proprietários, grupos e público. As coisas que eles podem fazer com arquivos são ler, escrever ou executá-los.

Para realmente proteger seu site, saiba quais são os arquivos importantes e verifique as permissões com as quais cada um deles está definido. Uma permissão de arquivo definida incorretamente pode acabar permitindo que qualquer pessoa com acesso a ela adicione código malicioso que pode prejudicar seu site.

Dica : A permissão de arquivo 666 permite que qualquer pessoa grave qualquer coisa em seu arquivo - tenha muito cuidado ao usar essa configuração!

10. Use autenticação de dois fatores

Relacionado ao item 5, não importa quão longa ou complexa seja uma senha, ela ainda tem o potencial de ser quebrada. Se isso é realmente uma fobia sua, eu recomendo que você procure um sistema de autenticação de 2 fatores (2FA).

Usar um 2FA significa que, além de sua senha, o sistema ao qual você está tentando acessar deve verificar sua identidade por outros meios. O método 2FA mais rápido e comum é autenticar por meio de um código móvel.

Depois que sua senha for verificada, o sistema enviará um código para seu dispositivo móvel e exibirá um código de autenticação para você. Você deve inserir esse código no sistema antes de obter acesso. Isso aumenta a segurança do seu sistema imensamente.

Dica : Existem muitos sistemas 2FA disponíveis no mercado. Se você estiver usando o WordPress, existem alguns gratuitos que você pode experimentar, como o Google Authenticator.

Conclusão: Fale suavemente e carregue uma vara grande

Embora aqui eu tenha fornecido 10 exemplos de práticas recomendadas de segurança de hospedagem na web, há muito mais e alguns podem envolver mais de um item que você pode fazer ou prestar atenção para aprimorar. Por causa disso, pode ser difícil para os proprietários de sites acompanharem tudo – especialmente se esse não for seu negócio principal.

Recomendo que você elabore um checklist onde liste tudo o que precisa ser monitorado e separe por frequência. Por exemplo, quais itens você precisa verificar diariamente, semanalmente ou mensalmente. Isso irá ajudá-lo a manter-se atualizado.

Lembre-se de que você não precisa ter a segurança perfeita do site – seria impossível. O que você realmente precisa fazer é tornar as coisas o mais difícil possível para qualquer invasor, para que eles percam o interesse em seu site e passem para escolhas mais fáceis.

Como disse Teddy Roosevelt, “fale baixinho e carregue um grande bastão” Suas defesas de segurança são seu grande bastão, por assim dizer.