9 ameaças comuns à segurança de sites (e como combatê-las)
Publicados: 2023-10-25Lamento informar isso a você, mas seu site não é seguro. Isso não é necessariamente por causa de algo que você fez, mas simplesmente porque nada na Internet é completamente seguro. Cada site enfrenta ameaças de segurança que podem derrubá-los, danificá-los ou pior.
Essa é a má notícia. O lado positivo é que há muitas coisas que você pode fazer para enfrentar essas ameaças e o primeiro passo é estar ciente de que elas existem. Afinal, você só pode se proteger de algo que sabe que pode representar um risco.
Para ajudá-lo a fazer exatamente isso, este artigo abordará ameaças comuns à segurança de sites do WordPress e muito mais. Falaremos sobre quais são as ameaças, como funcionam e o que você pode fazer para evitar que aconteçam. Quando terminar de ler, queremos que você se sinta capaz de manter seu site WordPress seguro e fora de perigo, para que possa se concentrar no que realmente importa.
Por que se preocupar com ameaças à segurança de sites?
A primeira reação que você pode ter é se perguntar se isso é relevante para você. Claro, você costuma ouvir sobre essas violações e hacks de big data, mas esse tipo de coisa geralmente não acontece apenas com grandes empresas? Você sabe, seus Facebooks, Twitters, Equifaxes e Yahoos – empresas que possuem informações que valem a pena roubar.
Desculpe estourar sua bolha, mas só porque você não é uma empresa milionária, ainda há muitas pessoas interessadas em derrubar ou violar seu site.
Os ataques cibernéticos globais aumentaram 38% só em 2022 e, de acordo com um relatório da Verizon de 2019, as pequenas empresas foram o alvo número um, representando 43% de todas as violações de dados. Quando são vítimas de um ataque cibernético, isso custa a essas empresas, em média, US$ 25.000. Na verdade, em 2022, os danos do crime cibernético ascenderam a 10,2 mil milhões de dólares apenas nos EUA, de acordo com o FBI.
No entanto, não se trata apenas dos custos diretos de lidar e limpar um ataque. Você também paga pelo desgaste de clientes, tempo de inatividade, interrupções no trabalho, perda de confiança entre os clientes, bloqueio por mecanismos de pesquisa e muito mais.
Portanto, mesmo sendo um site pequeno, você pode ser um alvo. Isso ocorre principalmente porque a maioria dos ataques é lançada automaticamente por programas que examinam a web em busca de vulnerabilidades até encontrarem algo. Então, se você deixar uma abertura para eles, alguém tentará tirar vantagem disso.
Quer saber como se proteger? Vejamos algumas das ameaças à segurança mais comuns que existem.
Ameaça à segurança do site nº 1: phishing
Fonte: Andrew Levine
Phishing ocorre quando hackers tentam fazer com que você visite um site malicioso, clique em um link perigoso, baixe um anexo contaminado ou forneça informações confidenciais, como o login do seu site. A maior parte disso acontece na forma de e-mails que fingem ser de fontes legítimas; no entanto, você também pode receber mensagens de phishing via texto, aplicativos de mensagens ou páginas falsas de login social.
Perigos potenciais de phishing
Obter suas informações de login por meio de phishing economiza muito tempo dos invasores. Em vez de tentar meticulosamente adivinhar e usar a força bruta para entrar em seu site, eles podem simplesmente usar as credenciais que estão definitivamente funcionando.
Com isso em mãos, eles têm controle total em seu site, principalmente se as credenciais vierem com altos privilégios de usuário. Eles podem criar novos usuários, adicionar conteúdo e links, manipular arquivos, criar backdoors e até mesmo executar código. Além disso, se você tiver informações confidenciais salvas em seu site, como dados de clientes em uma loja online, um hacker também terá acesso a elas.
É claro que se isso acontecer e se tornar público, será um verdadeiro golpe para a sua reputação. Além disso, dependendo das leis de privacidade sob as quais você opera, isso pode acarretar multas adicionais.
Como lidar com isso
A melhor maneira de prevenir ataques de phishing é conscientizá-los. Se você receber alguma mensagem solicitando informações confidenciais, você deverá fazer uma pausa imediatamente. Não envie nada de volta, não clique em nenhum link nem baixe e execute os anexos. No mínimo, verifique se o endereço de e-mail do remetente é legítimo. Além disso, aprenda sobre táticas de phishing e faça o mesmo com outras pessoas da sua empresa.
Fonte: Techopédia
Ameaça à segurança do site nº 2: (D) ataques DoS
DoS significa “negação de serviço”, que ocorre quando alguém tenta derrubar seu site inundando-o com tráfego ilegítimo. O objetivo é sobrecarregar seu servidor com solicitações para que ele não aguente mais e pare de funcionar.
Os ataques DoS são frequentemente realizados através de botnets, ou seja, computadores que foram infiltrados por um vírus ou cavalo de Tróia e que os hackers podem comandar remotamente. Nesse caso, você também fala em “negação de serviço distribuída” ou DDoS.
Fonte: Everaldo Coelho e YellowIcon/LGPL
Ataques desse tipo têm como objetivo danificar uma empresa ou site ou chantageá-los por dinheiro. Também são realizadas por motivos ideológicos, porque o invasor não concorda com o que o site em questão representa ou devido a uma declaração pública feita por uma empresa. No entanto, em outros casos, os ataques DDoS também podem ser usados como uma distração para distraí-lo enquanto hackers tentam invadir seu site.
Quais são os resultados?
O efeito de um ataque DDoS é que o site em questão deixa de responder e fica inacessível para clientes e visitantes reais. O servidor tem muito o que fazer para processar adequadamente as visitas e carrega muito lentamente ou não carrega para visitantes legítimos.
É claro que, para a maioria das empresas, o site é um dos seus principais ativos. Quando se torna inacessível, leva à perda de negócios e receitas. Os ataques DDoS também podem prejudicar a sua reputação porque alguns visitantes pensarão que a qualidade do seu site simplesmente não é boa.
Como prevenir ataques DDoS
Uma das melhores maneiras de neutralizar ameaças desse tipo a sites é adicionar outra camada de segurança na forma de um firewall ou firewall de aplicativo da web. Eles são projetados para filtrar o tráfego malicioso antes que ele chegue ao seu site. Dessa forma, o ataque nem chega ao seu site e não pode causar danos. Além disso, se o ataque DDoS for apenas uma distração para uma invasão, os firewalls também oferecem proteção para isso. Bons fornecedores aqui são Sucuri e Cloudflare.
Fonte: Cloudflare
Outro bom investimento para se proteger dessa ameaça à segurança do site é uma rede de distribuição de conteúdo ou CDN. Ele coloca cópias do seu site em servidores diferentes, o que torna mais difícil retirá-lo completamente da web. Também pode manter o ataque longe do servidor principal. Muitos CDNs incluem proteção DDoS.
Se você hospedar seu site no WP Engine, poderá aproveitar as vantagens de ambos os métodos ao mesmo tempo usando Global Edge Security. É um complemento de desempenho e segurança de nível empresarial que inclui um firewall de aplicativo da web gerenciado, proteção avançada contra DDoS e um CDN global. Resumindo, tudo o que você precisa para manter as ameaças externas à segurança sob controle.
Além disso, é bastante prático. Basta adicioná-lo ao seu plano, apontar seus registros DNS para o servidor correto e o resto será resolvido para você. Mole-mole. Finalmente, é uma boa ideia configurar o monitoramento do tempo de atividade, por exemplo, com o UptimeRobot. Dessa forma, você será alertado rapidamente quando seu site não estiver mais acessível para que você possa agir imediatamente.
Ameaça à segurança do site nº 3: ataques de força bruta e preenchimento de credenciais
Os ataques de força bruta são um tanto semelhantes aos ataques DDoS, pois atacam automaticamente uma parte do seu site. No entanto, em vez de bloquear o tráfego, eles direcionam sua página de login e tentam obter acesso ao site adivinhando suas informações de login. Programas desse tipo tentam muitas combinações diferentes de senha e nome de usuário por segundo até entrarem.
Uma variedade um pouco mais sofisticada é o chamado preenchimento de credenciais. Aqui, em vez de informações de login aleatórias, os invasores usam combinações de e-mail/senha que já são conhecidas de outras violações de dados. Esses ataques baseiam-se no fato de que muitas pessoas reutilizam suas informações de login.
Se um invasor conseguir adivinhar suas credenciais de login, o resultado será praticamente o mesmo discutido na seção “phishing”.
Impedindo ataques de login
Existem várias maneiras de se proteger contra ataques à sua página de login:
- Limite as tentativas de login e bloqueie usuários que falham com muita frequência, por exemplo, através de Limit Login Attempts Reloaded
- Não reutilize suas credenciais, tenha senhas individuais para cada conta que você possui
- Limite o número de usuários em seu site WordPress e forneça a eles apenas os recursos necessários para seu trabalho
- Forçar senhas fortes, por exemplo, através do Password Policy Manager
- Melhor ainda, use autenticação multifator
- Desligue o editor de temas e plugins para que invasores não possam manipular seus arquivos de dentro do painel do WordPress
Ameaça à segurança do site nº 4: Cross-Site Scripting (XSS)
No cross-site scripting, um hacker engana um site para que ele entregue scripts maliciosos ao navegador da vítima. Por causa da fonte, o navegador confia e executa o script. Isso geralmente acontece por meio de campos de entrada, como em um formulário de contato. No entanto, o ataque também pode vir do banco de dados de um site comprometido.
Possíveis resultados
Quando bem-sucedido, um invasor pode usar scripts entre sites para roubar dados de login, instalar malware, redirecionar o usuário para outro site e até mesmo manipular a página que está visualizando. Também poderão aceder ao site em questão como outro utilizador e ler os seus dados. Além disso, eles podem instalar software no computador da vítima.
Crédito: Michel Bakni
No geral, os scripts entre sites são mais perigosos para os visitantes do que o próprio site. No entanto, se tiver origem na sua presença na web, naturalmente, isso não iluminará você bem. Portanto, você deve a si mesmo e aos visitantes tornar seu site seguro.
Como prevenir ataques XSS
No nível técnico, a etapa mais importante para evitar scripts entre sites é higienizar e validar suas entradas de dados. Isso significa negar caracteres e símbolos especiais para evitar injeção de código, por exemplo, certifique-se de que a entrada não possa conter coisas como script, objeto ou link. Linguagens de programação como PHP e JavaScript oferecem funções padrão para isso e o WordPress também possui marcação própria para essa finalidade.
Se você não é um desenvolvedor, sua função é usar o bom senso para manter longe do seu site códigos que não cumpram essas regras. Isso significa obter temas e plug-ins de fontes confiáveis e certificar-se de que eles sejam bem suportados e mantidos. Além disso, não instale trechos de código que você não entende em seu site.
Ameaça 5 à segurança do site: injeções de SQL
As injeções de SQL são semelhantes aos scripts entre sites. Eles também funcionam usando campos de entrada para executar código SQL malicioso em seu site e obter acesso ao banco de dados.
Se o seu site estiver vulnerável a injeções de SQL, um invasor poderá usar essa técnica para danificá-lo de várias maneiras:
- Crie novas identidades com direitos de administrador e obtenha acesso ao seu site
- Acesse diretamente todos os dados no servidor
- Destrua/modifique o banco de dados para torná-lo inutilizável
Claro, nada disso é uma boa notícia.
Impedindo injeções de SQL
Esta ameaça à segurança do site requer vigilância semelhante à dos scripts entre sites. Limpe, filtre, escape e valide a entrada de dados e certifique-se de criptografar informações confidenciais. Muitos frameworks web fazem isso automaticamente.
Como não desenvolvedor, mantenha o WordPress e seus componentes atualizados e use um plugin de segurança do WordPress. Muitos deles vêm com funcionalidades para evitar injeções de SQL. Você pode encontrar informações mais detalhadas sobre este tópico em um artigo dedicado do WP Engine.
Ameaça nº 6 à segurança do site: ransomware/desfiguração
Ransomware é um tipo de software que bloqueia o acesso ao seu site ou outros ativos comerciais e só o desbloqueia novamente se você pagar ao invasor – e às vezes nem mesmo assim.
A desfiguração é semelhante, pois bagunça o design ou o conteúdo do seu site ou deixa uma mensagem de um hack bem-sucedido.
Em cada caso, alguém de alguma forma obteve acesso ao seu site, o que pode trazer uma série de resultados negativos:
- O custo do resgate (se você pagar, o que pode ser caro)
- Taxas para a limpeza
- Vendas perdidas e perda de reputação
- Perdas de produtividade da equipe por não conseguirem realizar seu trabalho
- Classificações reduzidas nos mecanismos de pesquisa devido à lista de bloqueio
Como se proteger
A maneira de evitar ataques de ransomware e desfiguração é seguir outras práticas recomendadas mencionadas neste guia para bloquear o acesso ao seu site e servidor. Mantenha suas informações de login seguras, seu site atualizado e implemente uma solução de backup para que você possa voltar para uma versão anterior do seu site.
Ameaça à segurança do site nº 7: malware e spyware
Isso não é tanto um perigo para os próprios sites, mas algo que pode acontecer ao seu site. Quando um invasor obtém acesso a ele, ele pode instalar malware e spyware que infectam os computadores dos visitantes. Seu site comprometido acaba agindo como um veículo para promover a agenda do hacker.
O que pode acontecer?
O malware é um grande perigo para a sua reputação. Quando um navegador ou programa antivírus o detecta, eles impedem que os visitantes acessem o seu site.
Além do mais, os mecanismos de pesquisa podem bloquear você e removê-lo de seu índice, pois não desejam enviar seus usuários a sites que os prejudiquem.
É claro que ambos podem resultar em perda massiva de tráfego e, às vezes, é difícil sair das listas de bloqueio, mesmo depois de o problema ter sido resolvido. Sem tráfego, não há receita, nem leads, nem clientes, nem negócios.
Prevenção de infecções por malware
Novamente, siga as práticas mencionadas neste guia para manter outras ameaças à segurança do site fora do seu site. Particularmente, empregue credenciais fortes e autenticação multifatorial, mantenha os componentes do site atualizados e esteja atento ao que você instala em seu site.
Além disso, mantenha seu computador limpo usando software antivírus e verifique regularmente se há malware em seu site, por exemplo, por meio do Sucuri Sitecheck.
Ameaça à segurança do site nº 8: ataque man-in-the-middle
Esses tipos de ataques são comuns em sites que não usam criptografia para seu tráfego. Aqui, o invasor intercepta dados desprotegidos e pode, assim, obter acesso a login, pagamento ou outras informações confidenciais. Os ataques man-in-the-middle também acontecem em redes wifi inseguras.
Como se proteger
Em sites, o método número um para neutralizar essa ameaça é usar criptografia. Instale um protocolo TLS/SSL em seu site e mude para HTTPS. Isso criptografa automaticamente todas as informações enviadas entre o seu site e os navegadores dos visitantes, evitando o sucesso de ataques man-in-the-middle.
Além disso, proteja seu wifi comercial e doméstico com uma senha forte e alterando as credenciais padrão. Além disso, tenha especial cuidado ao usar wi-fi público. Use uma VPN para proteger seu tráfego e faça login em seu site apenas a partir de uma rede Wi-Fi pública quando for absolutamente necessário.
Ameaça à segurança do site nº 9: ataques à cadeia de suprimentos
Um ataque à cadeia de suprimentos ocorre quando um invasor se infiltra em um site por meio de software de terceiros. Por exemplo, quando alguém invade um produto SaaS que se integra a vários sites e, no processo, obtém acesso a esses sites.
Vimos ataques à cadeia de suprimentos no WordPress nos últimos anos. Em um caso, os invasores adicionaram intencionalmente códigos maliciosos aos plug-ins. Outra vez, eles invadiram o servidor de distribuição em busca de uma extensão do WordPress para fazer o mesmo.
Na maioria dos casos, estes ataques foram descobertos rapidamente e os plugins em questão foram banidos ou corrigidos. Mas ainda é algo para se estar ciente.
Como evitá-lo
A melhor receita para prevenir ataques à cadeia de suprimentos é seguir as práticas recomendadas para o uso de plug-ins e códigos de terceiros em seu site:
- Use apenas fontes confiáveis para extensões como plug-ins e temas
- Mantenha suas integrações ao mínimo, instale apenas o que você realmente precisa
- Audite regularmente o seu site se todas as coisas de terceiros ainda forem relevantes
- Use um registro de atividades para detectar comportamentos suspeitos em seu site
Mantenha as ameaças ao site sob controle
Ameaças à segurança são algo que todo proprietário de site deve enfrentar. Eles são uma triste realidade de operar na Internet. Felizmente, muitos deles podem ser evitados com a implementação de algumas práticas recomendadas de bom senso:
- Esteja atento às mensagens que você recebe, aos links em que clica e aos anexos que baixa
- Invista em firewall, CDN e monitoramento de tempo de atividade
- Use senhas fortes, limite os recursos do usuário e as tentativas de login e configure a autenticação multifator
- Minimize a quantidade de plug-ins e temas em seu site e certifique-se de obtê-los de fontes legítimas
- Como desenvolvedor, higienize e valide seus dados
- Mantenha seu site e tudo relacionado a ele atualizado
- Use HTTPS para criptografar o tráfego do seu site
- Tenha uma solução de backup caso algo dê errado
- Não insira informações confidenciais em redes não seguras
Seguir isso deve ser suficiente para se proteger da maioria das ameaças comuns à segurança de sites. Fique atento!
Que outras maneiras de proteger seu site contra ameaças à segurança você recomenda? Compartilhe sua opinião nos comentários abaixo!