segurança do site

Segurança de site e e-commerce

Por que investir em segurança do site?

29 ago , 2017  

Frequentemente ouvimos alguns especialistas em segurança da informação ressaltando a importância de se investir na proteção do site. 

O que muitas vezes pode não ficar tão claro é quais são os riscos de não se investir na segurança do site e a que tipos de aplicações cada medida se aplica.

O primeiro ponto é que todos os sites, independentemente de seu tamanho e formato (blogs, e-commerces, sites corporativos, etc), estão sujeitos a riscos e, dependendo de alguns fatores, podem sofrer algum tipo de ataque.

O que acontece é que muitos fatores podem deixar brechas de segurança que acabem sendo identificadas e exploradas por alguém mal-intencionado e, conforme o tamanho do site e tipos de ataque, os danos podem ter impactos mínimos ou muito grandes.

 

Quais fatores são necessários para que o site seja atacado?

Os fatores necessários para que um ataque ocorra são:

  1. A existência de alguma falha no site – se não houver vulnerabilidades que tornem os sites suscetível a um ataque, nada vai ocorrer;
  2. O acesso do atacante à essa falha – se nenhum atacante descobrir as falhas no site e acessá-las, o site não sofrerá danos;
  3. A capacidade do atacante de explorar a falha encontrada – se o atacante que encontrar a falha não tiver conhecimento técnico de como explorar a falha (e intenção de fazer isso), o site não corre riscos.

Como você vê, o primeiro fator é algo prático, que pode ser identificado e corrigido pelo administrador ao investir em segurança. Já o segundo e terceiro fatores dependem muito da sorte, que pode ou não jogar a seu favor. Mas, será que vale correr esse risco?

Mesmo torcendo para que os últimos fatores não aconteçam, a única medida realmente objetiva para proteger seu site é investir em segurança. Isso envolve escolher empresas responsáveis durante a criação do site, tomar medidas diárias para a prevenção de riscos e investir em análises e correções de vulnerabilidade de segurança.

 

Por que acontecem as falhas de segurança?

Em geral, as falhas de segurança podem ocorrer por:

  • Falhas durante o processo de criação do site (projeto, implementação ou configuração);
  • Falta de atualização das plataformas;
  • Uso de templates, plugins e extensões que estejam vulneráveis.

Ou seja, um pequeno blog, de uso pessoal, que esteja 100% seguro em seu planejamento interno, mas que use uma simples extensão de uma fonte pouco confiável pode estar sujeito à riscos. Claro que o mesmo vale para grandes sites e os impactos costumam ser muito maiores.

Grandes sites, como e-commerces, por exemplo, transacionam dados cadastrais e de pagamento de seus clientes. Eles podem armazenar informações muito sensíveis durante etapas de cadastro e compra, como nome, e-mail, senha, CPF, endereço e cartão de crédito dos clientes. Quando estes sites estão vulneráveis, os riscos são imensos!

Um problema que estes e-commerces correm é o impacto que isso pode gerar ao consumidor que tiver seus dados roubados, outro é ao e-commerce que pode perder negócios durante o ataque e etapas de correção. Fora isso, ainda pode ter sua reputação questionada por clientes, órgãos públicos e imprensa, diminuindo por tempo indeterminado, o fluxo de pedidos.

 

Quais investimentos preciso fazer na segurança do site?

Se você ainda está planejando criar um site, o primeiro investimento a se pensar é no “custo x benefício” da empresa contratada para o desenvolvimento. Caso você pretenda atuar com um sistema de acesso restrito, que exija login e senha, e que guarde dados sensíveis, tome cuidado com ofertas muito boas, de desenvolvedores desconhecidos e prefira que o site seja feito por empresas experientes.

Em segundo lugar, você deve investir tempo e atenção à gestão de seu site. Troque senhas regularmente e escolha uma combinação forte (aqui explicamos como fazer isso). Também tenha cuidado ao conceder privilégios administrativos a terceiros (e evite fazer isso), não instale tantas extensões e aplicações e opte apenas por aquelas em que conhecer o desenvolvedor.

O terceiro ponto é investir em análises de segurança que busquem por vulnerabilidades em seu site e corrijam os problemas. Serviços como a Blindagem de Sites e PenTest são alguns exemplos disso e ambos se complementam, com verificações automatizadas e manuais, o que fortalece a segurança do seu site. Além disso, se seu site possui um sistema de acesso restrito, mediante login e senha, você precisa garantir que estas informações estejam criptografadas (SSL), ou seja, codificadas de forma embaralhada, impondo maior dificuldade de interpretação caso alguém mal-intencionado as acessem. Você também pode diminuir o tráfego impróprio no site ao adotar um firewall de segurança (WAF) para sua aplicação web.

 

Conclusão

Uma ação para sua segurança não substitui a outra e o ideal é ter cuidado em cada um dos fatores que ajudam a te proteger. É fato que serviços de segurança podem identificar e corrigir problemas de um site mal concebido ou com vulnerabilidades de gestão. Mas, após o serviço, é preciso manter sua atenção para que você se mantenha protegido dia após dia!

 

Leia também:

Segurança de e-commerce: por onde começar

Por que o SSL EV ajuda o cliente a identificar a legitimidade do seu site?


, ,