Checklist de segurança para sites para iniciantes: como proteger seu site

Seu site é seguro? Esta checklist de segurança para sites para iniciantes ajudará você a descobrir.

Ao longo desta prática checklist, você não aprenderá apenas sobre as maiores ameaças à segurança de empresas de médio porte, mas também como se defender dessas ameaças. 

E o melhor de tudo? A maioria dos itens desta checklist de segurança para sites não requer um desenvolvedor! Continue lendo para começar a melhorar a segurança do seu site!

 

1. Torne suas senhas seguras (e atualize-as regularmente)

Antes de mais nada, você precisa saber que cerca de 80% das violações relacionadas a hackers resultam de senhas. Sua empresa pode aumentar rapidamente a segurança de seu site criando credenciais de login mais fortes e exclusivas, além de atualizar essas credenciais com mais frequência.

Embora você mesmo possa criar senhas, um gerador de senhas pode simplificar o processo.

O LastPass, por exemplo, oferece um gerador de senhas que permite especificar o tamanho da senha e o uso de letras maiúsculas e minúsculas. Além disso, também é possível incluir números e símbolos.

Para obter os melhores resultados, certifique-se de alterar essas senhas regularmente. A cada mês ou trimestre, por exemplo, você pode atualizar essas credenciais para manter seu site seguro.

2. Instale um certificado SSL

Toda checklist de segurança para sites inclui a obtenção de um certificado SSL.

Um certificado SSL ajuda a proteger seu site ao tornar as transferências de dados seguras. Se alguém fizer um pedido on-line em seu site, por exemplo, você vai querer proteger suas informações pessoais, seja número de cartão de crédito, endereço ou número de telefone.

Para muitos compradores online, bem como compradores de negócios, um certificado SSL também serve como um sinal de confiança.

 

 

Isso porque a instalação de um certificado SSL atualiza sua aparência nos navegadores da web. Normalmente, um navegador da Web, como o Google Chrome, exibirá um cadeado ao lado do URL de um site com um certificado SSL. Se um site não tiver um certificado SSL, no entanto, esse cadeado será substituído pelo texto: Site não seguro.

Ticar este item na checklist de segurança do seu site não é complicado, basta seguir estas etapas:

• Compre um certificado SSL de um fornecedor confiável, como GoDaddy, Comodo ou Symantec
• Siga as etapas do seu provedor de certificado SSL para instalar o certificado SSL
• Implemente os redirecionamentos adequados para suas páginas, de HTTP a HTTPS
• Verifique o certificado SSL e redirecionamentos no Google Search Console

Dependendo de sua experiência com desenvolvimento web, bem como com otimização de mecanismos de busca (SEO), você pode ter os meios necessários para completar este item da lista de verificação por conta própria, sem precisar da ajuda do desenvolvedor da sua empresa.

3. Automatize backups de sites

Quando se trata de segurança de sites, os backups são seus melhores amigos.

Com um backup do seu site, você pode responder a uma série de problemas rapidamente, seja uma página quebrada ou um site invadido. O problema, no entanto, é que muitas empresas não fazem backup de seus sites regularmente. Para isso, é só automatizar os backups do seu site.

Algumas ferramentas que podem cuidar do backup do seu site em intervalos periódicos incluem:

• Easy cPanel Backup
• eBackupper
• Handy Backup

Se você usa um CMS como o WordPress, pode automatizar os backups do site com um plugin, como UpdraftPlus, Totale VaultPress. Se você usar algum desses plugins, mantenha-os atualizados para a versão mais recente.

 

4. Limite as permissões do usuário

Fornecer a todos a capacidade de acessar e atualizar seu site cria uma vulnerabilidade de segurança, especialmente se eles não seguirem outros itens nesta checklist de segurança para sites, como atualizar senhas regularmente. É por isso que, para tornar seu site o mais seguro possível, você deve limitar as permissões de usuário.

Por exemplo, se você usa um CMS como o WordPress, sua empresa deve usar os diferentes níveis de permissão de usuário disponíveis, como Administrador, Editor e Autor. Essas funções permitem que você defina instantaneamente as permissões do usuário, como a capacidade de instalar plug-ins, publicar postagens e muito mais.

Se sua empresa não usa um CMS, convém limitar o acesso às credenciais de login do seu site. Por exemplo, se você usa um software de gerenciamento de senhas como o LastPass, não compartilhe essas credenciais com todas as outras pessoas em sua empresa.

5. Check-outs online seguros

Sua empresa aceita pagamentos online? Então você precisa de um AVS.

Com um AVS, sua empresa pode fornecer um nível adicional de segurança ao seu processo de checkout online. Esses sistemas funcionam impedindo pagamentos fraudulentos, que podem causar não apenas dores de cabeça à sua empresa, mas também perda de receita.

Alguns provedores de AVS respeitáveis ​​incluem:

• Melissa
• Loqate
• Square

Além de usar o AVS, sua empresa também deve adicionar campos de formulário CVV ao seu processo de checkout.

Com um campo de formulário CVV, você exige que os compradores insiram o código de segurança do cartão de crédito, que geralmente aparece no verso do cartão. Ter um campo de formulário CVV oferece outra camada de proteção contra fraudes de cartão de crédito.

6. Atualize plug-ins, CMS e mais

Com um CMS, como o WordPress, você tem acesso a uma variedade de ferramentas e plugins que facilitam sua vida. O Yoast SEO, por exemplo, é um plugin que ajuda as empresas a otimizarem seus sites para os mecanismos de pesquisa. Visto que isso pode ajudar a atrair mais tráfego para seus sites, classificando-os em melhores posições nos resultados de pesquisa.

O problema, no entanto, é que muitas empresas acabam ficando com plugins WordPress desatualizados e inseguros.

Quando isso acontece, seu site fica vulnerável a ataques, o que pode levar ao roubo de dados do cliente, perda de fidelidade do cliente e perdas financeiras substanciais. É por isso que é fundamental atualizar seus plugins do WordPress e desinstalar os que estiverem desatualizados como parte das boas práticas de segurança do site.

Se o seu site opera em outro CMS que permite plugins, siga o mesmo processo.

Não importa qual CMS sua empresa use, você também deve priorizar a atualização do seu CMS. Quando uma nova versão for lançada, por exemplo, instale a versão mais recente após uma ou duas semanas. Essa abordagem permitirá que você tenha a proteção de segurança mais recente, mas sem os bugs que podem ter chegado ao lançamento inicial.

7. Invista em software antimalware

O malware é um problema sério de segurança do site. Todos os dias, vários programas maliciosos são descobertos, razão pela qual o software antimalware é vital para as empresas, mesmo que não aceitem pagamentos online.

Proteja sua empresa e seus clientes usando um software detector de malware como:

• Quttera
• SUCURI
• Astra Security

Embora você possa encontrar alguns softwares antimalware gratuitos, você provavelmente precisará de um programa pago para oferecer uma cobertura completa ao seu site. Considere esse custo um investimento, pois assim protegerá sua empresa, sua marca e seus clientes.

8. Obtenha um serviço de mitigação de DDoS

Dependendo do seu provedor de hospedagem na web, você já pode ter proteção contra DDoS.

Com a proteção DDoS, sua empresa pode se defender contra ataques DDoS, que envolvem um hacker sobrecarregando a largura de banda do seu site para torná-lo inacessível. Esses tipos de ataques aconteceram com marcas pequenas e conhecidas, portanto, não subestime a necessidade de proteção contra DDoS.

Algumas empresas confiáveis ​​que oferecem serviços de proteção ou mitigação de DDoS incluem:

• Akamai
• Cloudflare
• Nexusguard

Faça parceria com uma dessas empresas para manter seu site não apenas ativo, mas também seguro.

9. Minimize as vulnerabilidades XSS

Checklist de segurança para sites deve incluir um item sobre como reduzir suas vulnerabilidades XSS.

Essa tarefa, que provavelmente exigirá a ajuda de um desenvolvedor, ajuda a impedir que hackers insiram códigos maliciosos diretamente no código do seu site. Visto que se um hacker adicionar um código malicioso ao seu site, ele não apenas prejudicará os visitantes do site, mas também será difícil removê-lo.

Felizmente, os desenvolvedores podem usar uma ferramenta como um purificador de HTML para “limpar” e “higienizar” o código HTML do seu site, o que removerá qualquer código malicioso. Os desenvolvedores também podem, para sites não HTML, adicionar um código a cada página do seu site para reduzir as vulnerabilidades XSS.

 

10. Defenda-se contra ataques de injeção de SQL

Traga seu desenvolvedor de volta, porque você também precisará dele para este item da checklist de segurança para sites! 

Embora menos comuns do que outras vulnerabilidades de segurança, os ataques de injeção de SQL podem causar um dano igualmente grande, quando tomam conta de servidores de banco de dados e roubam dados confidenciais de clientes, que podem ir desde endereços a números de cartão de crédito.

É por isso que vale a pena implementar algumas proteções contra ataques de injeção de SQL, incluindo:

• Usar uma validação de entrada de whitelist (lista de permissões), para que seu banco de dados possa detectar entradas não autorizadas
• Limitar as permissões de usuário ao banco de dados do servidor
• Criar procedimentos armazenados para referência dos usuários
• Estabelecer consultas parametrizadas, para que seu banco de dados possa diferenciar códigos e dados

Seu desenvolvedor pode ajudá-lo a analisar essas opções e escolher as melhores disponíveis para seu site.

Conte com a Performa Web para finalizar a sua checklist de segurança

A Performa Web pode te ajudar a desenvolver o seu site com toda a checklist de segurança em dia e com muito mais!