Segurança Site
Não deixe que ciberataques como malware e vírus infetem o seu site
Desde que existem computadores, sempre foram vulneráveis a diversas ameaças. Não é diferente com a web. Ser afetado pode significar perder tráfego do site e prejudicar uma reputação conquistada com esforço. Ainda pior, resolver estes problemas pode consumir muito tempo e dinheiro.
Pode pensar que só os sites populares são visados. No entanto, a verdade é que a maioria do malware e dos vírus são automatizados, e exploram quaisquer sites vulneráveis, grandes ou pequenos. Felizmente, uma eficaz política de segurança do site consegue normalmente prevenir ataques.
Todos os planos premium da one.com vêm com recursos de segurança avançados para que possa ficar tranquilo em matéria de proteção do seu site e email.
Neste artigo, iremos descrever alguns dos vetores de ameaça mais comuns e o seu potencial prejuízo, assim como as soluções de segurança na web da one.com.
Problemas de segurança do site comuns em 2020
Malware
Malware é o termo abreviado para software malicioso. É uma frase abrangente para qualquer software concebido para perturbar, danificar ou obter acesso não autorizado a um sistema. Há muitas formas de o malware se disseminar, desde ligar-se a drives de USB infetadas a downloads acidentais de sites infetados. Vírus, spyware e ‘worms’ estão normalmente incluídos na definição de malware.
Scripting entre Sites
Cross-site Scripting (XSS) é um tipo de vulnerabilidade que os hackers utilizam para contornar medidas de segurança, injetando scripts maliciosos em páginas web. Embora já exista há bastante tempo (praticamente desde que há internet), a ZDNet reportou em 2017 que continua a representar um vetor de ameaça importante – tanto que muitas grandes empresas possuem programa de recompensas de bugs que abrangem o XSS.
Injeção de SQL
Uma injeção de SQL ocorre quando um formulário de um site não protege contra diversos carateres especiais e comandos, permitindo que uma entidade maliciosa aceda, altere ou elimine dados da base de dados.
Ataques man-in-the-middle
Um ataque man-in-the-middle é aquele em que um terceiro interceta mensagens entre duas entidades que julgam estar a comunicar uma com a outra (um browser de utilizador final e um servidor web, por exemplo). Isto é similar a escutas de dados críticos e privados, como palavras-passe e informações de cartões de crédito.
Como protege o seu site?
Devido à natureza extremamente ampla das ameaça, existem diversas precauções que deverá adotar. Algumas são ferramentas automatizadas que pode implementar, enquanto outras são boas práticas que deve seguir.
Proteja as suas contas e palavras-passe
Escusado será dizer que deve manter em segurança a palavra-passe do seu alojamento web. Quem a tiver pode aceder ao seu Painel de Controlo e fazer uma série de coisas para perturbar operações. Por exemplo, o agente mau pode desfigurar o seu site, redirecioná-lo para o site de um concorrente ou até roubar dados de clientes pelos quais é responsável. Deverá, por isso, controlar com todo o rigor quem tem acesso aos seus dados de login e seguir as melhores práticas de proteção de palavras-passe fortes: altere a sua palavra-passe regularmente e não reutilize palavras-passe para diversos sites.
Introduzimos recentemente medidas de segurança adicionais e apoio complementar para a recuperação de palavras-passe através de endereço de email secundário e telefone. Assim, mesmo que a sua caixa de correio esteja comprometida, pode repor a sua palavra-passe de one.com e proteger o seu negócio online.
Mantenha o seu site e CMS atualizados
No mundo da cibersegurança, é uma corrida sem fim acompanhar a descoberta de novas vulnerabilidades que colocam sites em risco. É por isso que se deverá manter atualizado com as últimas versões de software, como WordPress ou PHP. De facto, recentemente fizemos a transição dos nossos clientes de uma versão mais antiga de PHP que já não estava a conseguir correções de segurança. Os clientes não só obtêm melhorias de desempenho, como, mais importante, não estarão vulneráveis a ameaças recentes da versão antiga.
Se utiliza o Website Builder ou a Loja Virtual da one.com, não tem nada a temer, pois a nossa equipa de especialistas renova-as constantemente para as manter atualizadas com as práticas de segurança.
Tenha sempre um backup limpo
A frustração pode surgir rapidamente quando por acidente corrompe dados ao instalar um plugin malicioso ou clicar num link mau e não tem recurso. Um regime de backup regular pode salvá-lo em caso de crise, mas também dar-lhe tranquilidade de espírito noutras ocasiões. Backups significa que pode recarregar o seu site com a versão limpa mais recente e perder apenas um dia de dados, em vez de perder tudo.
Guardamos backups dos dados de todos os nossos clientes ativos durante 14 dias, com uma função de restauro disponível mediante pedido, no âmbito de um plano premium.
Encripte os dados partilhados entre o seu visitantes e o seu site com SSL
A tecnologia SSL (Secure Socket Layer) encripta todo os dados que os visitantes do site fornecem, incluindo informações de cartões de crédito, endereços de email e nomes. A SSL previne os ataques man-in-the-middle: se uma entidade maliciosa conseguisse intercetar os dados, estes seriam todos misturados e apenas poderiam ser desencriptados com uma chave privada.
Porque proteger dados do utilizador é importante para a one.com, todos os pacotes vêm com um certificado SSL gratuito que é ativado automaticamente sem necessidade de configuração adicional.
Desligue o FTP e utilize antes SFTP ou Gestor de Ficheiros
O Protocolo de Transferência de Ficheiros (FTP) foi usado durante mais de três décadas e nunca foi concebido para ser seguro. Tem todo um conjunto de vulnerabilidades e não tem qualquer encriptação, por isso um agente mau pode capturar palavras-passe e dados.
Deverá usa antes SFTP, que transfere ficheiros através de uma ligação de SSH segura. Os clientes da one.com também podem utilizar o Gestor de Ficheiros altamente seguro integrado no Painel de Controlo.
Mantenha-se vigilante fazendo verificações regulares ao seu site
Tal como realizar controlos de saúde regulares, o seu site também deve ser examinado regularmente para detetar quaisquer sinais de malware. Existem aqui muitas opções gratuitas e premium; temos colaborado com os especialistas em segurança da SiteLock, uma empresa líder no setor, para prestar aos nossos clientes soluções de segurança web de vanguarda.
Configure alertas sobre atividade suspeita
Se é um subscritor de Premium Mail, um dos recursos de segurança que oferecemos é permitir alertas por SMS para logins no seu email com origem no exterior. Na infeliz circunstância de ser atacado, pode desativar rapidamente o seu email antes de o hacker provocar algum dano real. Pode ficar a saber mais sobre SMS de Premium Mail aqui.
Previna transferências de domínio involuntárias
Domain Lock é uma funcionalidade de segurança que adicionamos recentemente para os nossos clientes. Permite que os clientes configurem proteções adicionais para prevenir que os domínios sejam transferidos sem o seu consentimento através de um processo de verificação em 2 passos. Desta forma, não será surpreendido por uma pessoa sem escrúpulos a roubar-lhe um dos seus domínios mais valorizados.