Segurança de site e e-commerce
Frequentemente ouvimos alguns especialistas em segurança da informação ressaltando a importância de se investir na proteção do site.
O que muitas vezes pode não ficar tão claro é quais são os riscos de não se investir na segurança do site e a que tipos de aplicações cada medida se aplica.
O primeiro ponto é que todos os sites, independentemente de seu tamanho e formato (blogs, e-commerces, sites corporativos, etc), estão sujeitos a riscos e, dependendo de alguns fatores, podem sofrer algum tipo de ataque.
O que acontece é que muitos fatores podem deixar brechas de segurança que acabem sendo identificadas e exploradas por alguém mal-intencionado e, conforme o tamanho do site e tipos de ataque, os danos podem ter impactos mínimos ou muito grandes.
Os fatores necessários para que um ataque ocorra são:
Como você vê, o primeiro fator é algo prático, que pode ser identificado e corrigido pelo administrador ao investir em segurança. Já o segundo e terceiro fatores dependem muito da sorte, que pode ou não jogar a seu favor. Mas, será que vale correr esse risco?
Mesmo torcendo para que os últimos fatores não aconteçam, a única medida realmente objetiva para proteger seu site é investir em segurança. Isso envolve escolher empresas responsáveis durante a criação do site, tomar medidas diárias para a prevenção de riscos e investir em análises e correções de vulnerabilidade de segurança.
Em geral, as falhas de segurança podem ocorrer por:
Ou seja, um pequeno blog, de uso pessoal, que esteja 100% seguro em seu planejamento interno, mas que use uma simples extensão de uma fonte pouco confiável pode estar sujeito à riscos. Claro que o mesmo vale para grandes sites e os impactos costumam ser muito maiores.
Grandes sites, como e-commerces, por exemplo, transacionam dados cadastrais e de pagamento de seus clientes. Eles podem armazenar informações muito sensíveis durante etapas de cadastro e compra, como nome, e-mail, senha, CPF, endereço e cartão de crédito dos clientes. Quando estes sites estão vulneráveis, os riscos são imensos!
Um problema que estes e-commerces correm é o impacto que isso pode gerar ao consumidor que tiver seus dados roubados, outro é ao e-commerce que pode perder negócios durante o ataque e etapas de correção. Fora isso, ainda pode ter sua reputação questionada por clientes, órgãos públicos e imprensa, diminuindo por tempo indeterminado, o fluxo de pedidos.
Se você ainda está planejando criar um site, o primeiro investimento a se pensar é no “custo x benefício” da empresa contratada para o desenvolvimento. Caso você pretenda atuar com um sistema de acesso restrito, que exija login e senha, e que guarde dados sensíveis, tome cuidado com ofertas muito boas, de desenvolvedores desconhecidos e prefira que o site seja feito por empresas experientes.
Em segundo lugar, você deve investir tempo e atenção à gestão de seu site. Troque senhas regularmente e escolha uma combinação forte (aqui explicamos como fazer isso). Também tenha cuidado ao conceder privilégios administrativos a terceiros (e evite fazer isso), não instale tantas extensões e aplicações e opte apenas por aquelas em que conhecer o desenvolvedor.
O terceiro ponto é investir em análises de segurança que busquem por vulnerabilidades em seu site e corrijam os problemas. Serviços como a Blindagem de Sites e PenTest são alguns exemplos disso e ambos se complementam, com verificações automatizadas e manuais, o que fortalece a segurança do seu site. Além disso, se seu site possui um sistema de acesso restrito, mediante login e senha, você precisa garantir que estas informações estejam criptografadas (SSL), ou seja, codificadas de forma embaralhada, impondo maior dificuldade de interpretação caso alguém mal-intencionado as acessem. Você também pode diminuir o tráfego impróprio no site ao adotar um firewall de segurança (WAF) para sua aplicação web.
Uma ação para sua segurança não substitui a outra e o ideal é ter cuidado em cada um dos fatores que ajudam a te proteger. É fato que serviços de segurança podem identificar e corrigir problemas de um site mal concebido ou com vulnerabilidades de gestão. Mas, após o serviço, é preciso manter sua atenção para que você se mantenha protegido dia após dia!
Leia também:
Segurança de e-commerce: por onde começar
Por que o SSL EV ajuda o cliente a identificar a legitimidade do seu site?
segurança da informação, segurança para e-commerce, segurança para site