top of page

5 dicas de segurança para sites (e por que se atentar a isso)


1. Elabore um planejamento de segurança


Todo planejamento de segurança precisa avaliar:

  • A estrutura de seu website: ou seja, se ele é um blog, ecommerce, site institucional etc.; se possui ambiente logado; se recebe dados sensíveis de usuários em algum tipo de formulário de cadastro ou carrinho de compras;

  • Ameaças e riscos: ainda não se trata de uma avaliação profissional das vulnerabilidades, mas, para o planejamento, cabe entender o tamanho e visibilidade de seu site e quais danos poderia sofrer se houvesse uma situação de ataque. Além de danos estruturais, cabe compreender também se as vendas seriam prejudicadas e se a reputação da marca fosse impactada;

  • Definição de regras e ações práticas para proteger o site: quais as regras de uso do site, quem terá acesso e quais serão as concessões de acesso para cada usuário. Além disso, é preciso avaliar a contratação de serviços de segurança para identificar e corrigir vulnerabilidades de segurança e manter uma proteção ativa.

O planejamento de segurança é uma forma de entender qual a sua realidade, perfil de negócio e dependência do site para a sobrevivência da empresa. Essa visão contribui na hora de definir o budget dedicado à proteção do site.


Para facilitar o entendimento, imagine que o planejamento seja feito por um grande ecommerce com muito tráfego.


É nítido que a loja virtual tem muito a perder caso a segurança seja comprometida, pois o site é essencial para que novas vendas sejam geradas.


Além disso, a loja transaciona pagamentos e dados sensíveis de clientes, que teriam grandes prejuízos em casos de vazamentos. O reconhecimento da marca pelo público também acarretaria em grandes danos à reputação.


Por outro lado, um blog pequeno, sem ambiente logado e com poucas visitas teria menor impacto com uma invasão e, por isso, poderia investir em pacotes mais básicos de segurança.


Pelo exemplo, faz sentido que o ecommerce invista mais em segurança, evitando todas as brechas possíveis e mantendo ao menos uma proteção em tempo real, já que eventuais ataques causariam danos muito graves.


2. Invista na criptografia do site


O SSL (Secure Socket Layer) é um dos serviços mais básicos de segurança para os sites e pode ser aplicado para todos os perfis de negócio: ecommerces, sites institucionais e blogs.


Se a sua aplicação web possui algum tipo de formulário de contato que receba nome, email, telefone, endereço, informações bancárias e outros dados sensíveis de clientes, considere o SSL como seu ponto de partida no cuidado com a segurança.


O papel desse serviço é criptografar todas as informações que o site troca com os clientes. Ele embaralha os dados e cria uma espécie de chave de acesso que apenas o servidor conseguirá interpretar. Com isso, mesmo que uma pessoa mal-intencionada consiga atacar o site, ela não conseguirá compreender o conteúdo.


Vale ressaltar que o SSL também contribui no ranqueamento do site no Google. O buscador entendeu que a criptografia pode melhorar a experiência do usuário e mantê-lo mais seguro. Por isso, estabeleceu que em caso de empate na qualidade da otimização (SEO) de dois ou mais sites, ele usará o SSL como um critério de desempate, privilegiando o endereço mais seguro.


Outra medida do Google em relação ao SSL, foi em seu navegador, o Chrome, que começou a mostrar uma inscrição de “Seguro” para sites criptografados e “Não Seguro” para os que não possuem SSL.


Todos os sites com a certificação são facilmente identificados por possuírem o HTTPS (e não o HTTP), acompanhado por um cadeado verde na barra de navegação.


Alguns sites passam ainda por uma validação de CNPJ e, além desses elementos, exibem a razão social da empresa. Para fazer isso, é preciso configurar um protocolo de validação estendida (SSL EV).


3. Tenha um firewall de segurança


O WAF é um firewall de aplicação web que protege os servidores do site, filtrando as entradas do cliente e saídas do servidor para registrar tentativas de ataque ao site e bloqueá-las.


O firewall de segurança aprende tanto a estrutura de seu site como o comportamento do usuário que costuma visitá-lo. Por isso, consegue identificar quando você recebe algum tráfego suspeito, vindo de fontes maliciosas, e assim bloqueia ataques de bots e hackers, antes que eles ocorram e causem danos ao site.


Uma vantagem adicional é que, com o trabalho de diminuir tráfegos suspeitos, o WAF também tende a melhorar a velocidade de navegação no site. E isso é algo benéfico tanto para a usabilidade do usuário como para melhorar o posicionamento de seu site no Google, já que a velocidade é um critério de ranqueamento.


4. Execute testes para identificar vulnerabilidades


Existem testes manuais e automatizados para checar a segurança de seu site e identificar vulnerabilidades que possam comprometê-la.


Um desses testes é a blindagem de sites, que audita endereços web semanalmente, procurando por brechas e gerando um relatório de correções.


Os sites que executam as correções recebem o direito de utilizar o selo Site Blindado, que certifica endereços que fazem esse tipo de verificação.


Outro teste, este feito de forma manual, é o Pentest. Nessa verificação é feita uma simulação de invasão ao site para entender quais as brechas que um atacante encontraria e exploraria no site.


A intenção é que o Pentester, profissional que simula o processo, gere um relatório sinalizando todos os problemas que precisam ser corrigidos no site, fortalecendo sua estrutura de programação e configuração.


O Pentest pode simular dois cenários: um deles caso o ataque fosse feito por alguém que tem acesso a informações privilegiadas e o outro por alguém que não possui qualquer dado da empresa.


5. Mantenha certificados e serviços de segurança atualizados


É importante ter em mente que a segurança para sites é um trabalho contínuo, já que novas vulnerabilidades e ameaças podem surgir a qualquer momento.


Um certificado SSL desatualizado, por exemplo, significa que naquele momento o site está sem proteção, por isso é importante renová-lo sempre e garantir que o cliente ou visitante não tenha problemas na hora do acesso.


Quando renovar a segurança do ecommerce?

  • SSL: a cada 1, 2 ou 3 anos, conforme o tempo de contratação

  • Blindagem de sites e WAF: todo ano

  • Pentest: o ideal é que seja refeito a cada 6 meses


E mais!


Procure sempre um bom fornecedor de segurança digital para te ajudar em cada etapa.


Empresas especializadas podem guiá-lo em seu planejamento de segurança e executar todos os serviços necessários para proteger o site.


Jamais arrisque escolher empresas desconhecidas ou com baixa reputação. É a proteção de seu site e de seus clientes que está em jogo.


Zele por seu negócio e pelos usuários do seu site, pois a segurança ajuda a manter o bom relacionamento com seus visitantes, a trazer novos clientes e a posicionar melhor suas páginas no Google.










Tags:

Posts Em Destaque
Posts Recentes
Procurar por tags
Arquivo
Siga
  • Facebook Basic Square
  • Instagram Social Icon
  • LinkedIn Social Icon
  • Google+ Basic Square
  • Twitter Basic Square
bottom of page