🤖 9 dicas de segurança que protegem o seu website de hackers

Categoria : Segurança Visitas: 3590 Tempo de Leitura: 5 Minutos

Até pode pensar que o seu website não tem valor suficiente para ser alvo de um ataque hacker mas, em teoria, qualquer site pode ver a sua segurança comprometida em qualquer altura. A maioria dos ataques não servem para roubar dados ou alterar o layout do website, mas sim para tentar usar o servidor como um transmissor de spam ou como um alojamento temporário – normalmente, para guardar ficheiros de natureza ilegal.

Outra forma de atacar websites comprometidos inclui utilizar os seus servidores como como um botnet ou para minerar bitcoins.

Em limite, qualquer website pode ser atacado até por um ransomware.
Assim, para evitar estes ou outros dissabores, confira estas nove dicas de segurança para websites.

1. Mantenha o seu software atualizado

Pode parecer óbvio, mas garantir que mantém o seu software atualizado é vital para manter a segurança do seu website. Tal aplica-se também ao sistema operativo ou a qualquer software que esteja a utilizar para manter o seu site, como CMS ou um fórum. Quando são detetados buracos de segurança no software, os hackers tendem a tentar atacar.

Se utiliza um servidor de uma empresa (por exemplo, a que lhe desenvolveu o website), então não precisa de se preocupar tanto em fazer os updates de segurança para o sistema operativo, já que estas empresas tratam dessa tarefa.
Se usa software de terceiros no seu website, deve assegurar-se que aplica selos de segurança.

O Wordpress, o Umbraco e muitos outros CMS notificam-no dos updates quando faz login.
Pode ainda usar ferramentas que de forma automática o notificam de qualquer vulnerabilidade detetada no seu website.

2. Fique atento a injeções de SQL

As injeções de SQL são ataques que ocorrem quando um atacante ganha acesso e consegue manipular a base de dados do seu website. Se utiliza um SQL standard, mais facilmente (e inconscientemente) pode introduzir código que possa ser usado pelos hackers para alterar tabelas e obter ou apagar dados.
É simples conseguir prevenir este ataque, usando sempre parameterised queries; esta ferramenta é comum na maioria das linguagens web e é facilmente implementada.

3. Proteja-se de ataques XSS

Os ataques cross-site scripting (XSS) injetam JavaScript malicioso nas suas páginas, que depois correm nos browsers dos utilizadores e conseguem alterar o conteúdo das mesmas – e, até mesmo, roubar informação e levá-la até ao atacante.
Por exemplo, se permitir mostrar os comentários num website sem validação prévia, o atacante pode submeter comentários que contenham script tags e JavaScript - que podem correr em todos os browsers dos restantes utilizadores e roubar-lhes o cookie de login. Desse modo, o atacante passa a controlar as contas de cada utilizador que viu aquele comentário.
Garanta sempre que nenhum utilizador consegue injetar JavaScript ativo nas suas páginas.

4. Tenha atenção a mensagens de erro

Deve ter cuidado com a quantidade de informação que disponibiliza nas mensagens de erro. Mostre apenas pequenas falhas aos seus visitantes, garantindo que não deixa escapar ‘segredos’ presentes no seu servidor (por exemplo, chaves API ou passwords da base de dados). Também não deve disponibilizar muitos detalhes, pois estes podem dar origem a complexos ataques de injeção de SQL mais facilmente. Mostre-lhes apenas a informação de que eles realmente necessitam.

5. Não se esqueça da dupla validação

A validação deve sempre ser feita no browser e no servidor. O browser pode encontrar falhas simples, como campos obrigatórios que estão vazios ou quando é introduzido texto num campo apenas para números; no entanto, estas medidas de segurança podem ser ultrapassadas pelos atacantes e, por isso, certifique-se de que tem validação também no servidor. Assim, evita que os hackers consigam inserir código malicioso na base de dados ou que causem problemas no website.

6. Verifique as suas passwords

Todos sabem que as passwords devem ser complexas e difíceis de decifrar, mas isso não significa que toda a gente o faça. É crucial utilizar palavras passe fortes no servidor e na área de administrador do website, tal como insistir no uso de passwords fortes no que aos utilizadores diz respeito.
Poder utlizador sites como : https://passwordsgenerator.net/ para manter a sua password actualizada e complexa.

7. Evite uploads de ficheiros

Permitir que os utilizadores possam fazer uploads de ficheiros pode significar um grande risco para o seu website, mesmo que seja apenas uma fotografia de perfil.
Mesmo que um ficheiro pareça inocente, pode conter script que, quando executado no servidor, exponha completamente o seu website.

Se tiver um formulário de upload de ficheiros no site, deve sempre suspeitar da sua origem. Caso se trate de fotografias, esteja atento à extensão do nome – pois este tipo de ficheiros pode ser facilmente falsificado. A maior parte dos formatos de imagem permite deixar um comentário que pode conter código PHP e ser executado no servidor.

Para prevenir este problema, pode simplesmente não permitir uploads. Por defeito, os servidores web não permitem a execução de ficheiros com extensão de imagens, mas tal não é suficiente para evitar ataques - de ficheiros com o nome image.jpg.php, por exemplo.

Se permite o upload de ficheiros, utilize apenas métodos seguros de transporte, como SFTP ou SSH.
Por fim, não se esqueça da importância de restringir acesso físico ao servidor.

8. Utilize HTTPS

O HTTPS é um protocolo de segurança utilizado na internet. Este garante que os utilizadores estão em contacto com o servidor que esperam, e não com alguém que consiga intercetar ou alterar o conteúdo em trânsito.
Se possui algo que os seus visitantes pretendem manter privado, também se aconselha o uso de apenas HTTPS para tratar esses dados. Tal refere-se a dados bancários ou de login, por exemplo.
Um ataque a estes campos pode servir para intimidar um utilizador e usar os seus dados para entrar no website. Como tal é recomendado sempre a utilização de Certificados SSL para o seu website

9. Utilize ferramentas de segurança

Quando achar que tem tudo assegurado, é tempo de fazer um teste à segurança do seu website. A melhor forma de o fazer é através de ferramentas de segurança.
Existem vários produtos, pagos ou gratuitos, para o ajudar nesta tarefa. Estes trabalham tendo como base os scripts utilizados pelos hackers que lhe permitem testar e explorar as fragilidades do website.

Depois de analisar os resultados, previna-se e assegure a segurança do seu website e utilizadores.

Procura fazer uma auditoria de segurança ao seu website? Contacte-nos ainda hoje! A segurança é uma das nossas prioridades e tambem um dos nossos core business!

Pedro Martins

Developer, Web-Designer, UI, UX, Social Media Marketing Specialist. Love to research about online security, reverse engineer, automation, fresh startups, cables, servers, networks and creating new and innovative ideas from the scratch.