Por que investir em segurança do site?

segurança do site

Frequentemente ouvimos alguns especialistas em segurança da informação ressaltando a importância de se investir na proteção do site. Mas, muitas vezes pode não ficar tão claro quais são os riscos reais de um site que não investe em segurança e a que tipos de sites essa recomendação se aplica.

O primeiro ponto é que todos os sites, independentemente de seu tamanho e formato (blogs, e-commerces, sites corporativos, etc), estão sujeitos a riscos e, dependendo de alguns fatores, podem sofrer algum tipo de ataque.

O que acontece é que muitos fatores podem deixar brechas de segurança que acabem sendo identificadas e exploradas por alguém mal-intencionado e, conforme o tamanho do site e tipos de ataque, os danos podem ter impactos mínimos ou muito grandes.

 

Quais fatores são necessários para que o site seja atacado?

Os fatores necessários para que um ataque ocorra são:

  1. A existência de alguma falha no site – se não houver vulnerabilidades que tornem os sites suscetível a um ataque, nada vai ocorrer;
  2. O acesso do atacante à essa falha – se nenhum atacante descobrir as falhas no site e acessá-las, o site não sofrerá danos;
  3. A capacidade do atacante de explorar a falha encontrada – se o atacante que encontrar a falha não tiver conhecimento técnico de como explorar a falha (e intenção de fazer isso), o site não corre riscos.

Como você vê, o primeiro fator é algo prático, que pode ser identificado e corrigido pelo administrador ao investir em segurança. Já o segundo e terceiro fatores dependem muito da sorte, que pode ou não jogar a seu favor. Mas, será que vale correr esse risco?

Mesmo torcendo para que os últimos fatores não aconteçam, a única medida realmente objetiva para proteger seu site é investir em segurança. Isso envolve escolher empresas responsáveis durante a criação do site, tomar medidas diárias para a prevenção de riscos e investir em análises e correções de vulnerabilidade de segurança.

 

Por que acontecem as falhas de segurança?

Em geral, as falhas de segurança podem ocorrer por:

  • Falhas durante o processo de criação do site (projeto, implementação ou configuração);
  • Falta de atualização das plataformas;
  • Uso de templates, plugins e extensões que estejam vulneráveis.

Ou seja, um pequeno blog, de uso pessoal, que esteja 100% seguro em seu planejamento interno, mas que use uma simples extensão de uma fonte pouco confiável pode estar sujeito à riscos. Claro que o mesmo vale para grandes sites e os impactos costumam ser muito maiores.

Grandes sites, como e-commerces, por exemplo, transacionam dados cadastrais e de pagamento de seus clientes. Eles podem armazenar informações muito sensíveis durante etapas de cadastro e compra, como nome, e-mail, senha, CPF, endereço e cartão de crédito dos clientes. Quando estes sites estão vulneráveis, os riscos são imensos!

Um problema que estes e-commerces correm é o impacto que isso pode gerar ao consumidor que tiver seus dados roubados, outro é ao e-commerce que pode perder negócios durante o ataque e etapas de correção. Fora isso, ainda pode ter sua reputação questionada por clientes, órgãos públicos e imprensa, diminuindo por tempo indeterminado, o fluxo de pedidos.

 

Quais investimentos de segurança meu site precisa fazer?

Se você ainda está planejando criar um site, o primeiro investimento a se pensar é no “custo x benefício” da empresa contratada para o desenvolvimento. Caso você pretenda atuar com um sistema de acesso restrito, que exija login e senha, e que guarde dados sensíveis, tome cuidado com ofertas muito boas, de desenvolvedores desconhecidos e prefira que o site seja feito por empresas experientes.

Em segundo lugar, você deve investir tempo e atenção à gestão de seu site. Troque senhas regularmente e escolha uma combinação forte (aqui explicamos como fazer isso). Também tenha cuidado ao conceder privilégios administrativos a terceiros (e evite fazer isso), não instale tantas extensões e aplicações e opte apenas por aquelas em que conhecer o desenvolvedor.

O terceiro ponto é investir em análises de segurança que busquem por vulnerabilidades em seu site e corrijam os problemas. Serviços como a Blindagem de Sites e PenTest são alguns exemplos disso e ambos se complementam, com verificações automatizadas e manuais, o que fortalece a segurança do seu site. Além disso, se seu site possui um sistema de acesso restrito, mediante login e senha, você precisa garantir que estas informações estejam criptografadas (SSL), ou seja, codificadas de forma embaralhada, impondo maior dificuldade de interpretação caso alguém mal-intencionado as acessem. Você também pode diminuir o tráfego impróprio no site ao adotar um firewall de segurança (WAF) para sua aplicação web.

 

Conclusão

Uma ação para sua segurança não substitui a outra e o ideal é ter cuidado em cada um dos fatores que ajudam a te proteger. É fato que serviços de segurança podem identificar e corrigir problemas de um site mal concebido ou com vulnerabilidades de gestão. Mas, após o serviço, é preciso manter sua atenção para que você se mantenha protegido dia após dia!

Dúvidas? Entre em contato conosco!

Comente

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s