Opinião. 6 Fev 2015

O Seu Website é Seguro?

À medida que a Internet foi crescendo e se foi tornando hospedeira de informação sensível, o comércio online e partilha de dados também aumentou a necessidade de uma maior cibersegurança. Seja em servidores, computadores pessoais ou dispositivos móveis deveremos ter sempre a noção que todo o cuidado é pouco.

Não é de estranhar portanto que tenha aumentado a quantidade de ataques a sites de comércio online, instituições governamentais e até sites pessoais pelas mais variadas razões. Ativismo político ("hacktivismo" como prefere o grupo Anonymous), roubo de dados bancários ou entretenimento são apenas algumas das causas que levam um Website a ser alvo de hacking e que muitas vezes se traduzem em prejuízos astronómicos para as entidades que representam.

Poderá pensar que não dispõe no seu site de informação relevante que justifique um ataque, mas a verdade é que qualquer site é apetecível para um hacker. Na maior parte dos casos os sites são invadidos não para roubar informação ou causar uma desfiguração mas sim para serem usados como rampa de lançamento para ataques a sites alojados no mesmo servidor que podem ter informação desejada, ou utilizar contas de e-mail do site para spam ou ainda para criar um servidor temporário com conteúdos de natureza ilegal. Um administrador poderá ser alvo deste tipo de ataque e durante muito tempo tal passar despercebido ao mesmo, pelo que convém tomar medidas de segurança pro-ativas e efetuar verificações com alguma frequência.

Eis alguns pontos fulcrais na manutenção da segurança de um Website:

Updates de Software
Uma maneira de regularmente certificar-se que o seu site está protegido passa por atualizar todas as extensões caso a base do seu site seja um CMS (Content Management System). Quando é detetada uma falha de segurança numa determinada extensão, ela é rapidamente difundida na web pelo que facilmente se consegue através de pesquisa encontrar websites que a contêm, e consequentemente proceder a um ataque.


Passwords
Alterar constantemente as passwords de acesso e definir palavras-passe intrincadas é dos conselhos mais recomendados para evitar ciber-ataques, mas que no entanto muitos utilizadores tendem a não seguir.

Além disso é fundamental limitar o número de computadores com acessos FTP ou a áreas de administração do seu site, bem como correr com frequência software anti-vírus e anti-malware.

Permissão de ficheiros
Todos os websites são conjuntos formados por ficheiros e pastas guardados num servidor. Além de conterem o código necessário para o site funcionar bem, também contêm a sua lista individual de permissões associadas a tipos de utilizador que permitem ou impedem ações de leitura, escrita e execução.

Por defeito e salvo raras exceções as permissões devem ser de leitura, escrita e execução para o administrador, e apenas leitura e execução para grupos e utilizadores normais.


Informações de contacto
Deverá ter a suas informações de contacto sempre atualizadas junto do prestador de serviço de desenvolvimento web como é a One Small Step ou de alojamento. Em caso de detetada uma anomalia por parte do prestador de serviço é fundamental entrar em contacto com o cliente no menor espaço de tempo para que se evitem males maiores.


Backups

É muito aconselhável a criação constante de backups dos ficheiros do seu site e bases de dados.
Certos ataques podem eliminar informação ou então nunca se perceber quais os ficheiros afetados, pelo que será útil substituir todos os ficheiros do site, se possível por uma versão anterior ou menos desatualizada possível.

Se suspeita que o seu site foi atacado deverá tomar os seguintes procedimentos:

  • Alterar todas as passwords FTP e de acesso às zonas de administração
  • Correr softwares anti-malware nos computadores usados para aceder aos conteúdos do seu site.
  • Se suspeita de uma extensão em específico deve desativá-la e entrar em contacto com a equipa/programador que a desenvolveu:
  • Entre em contacto com a equipa de desenvolvimento do seu site.

Este tipo de ataques e ameaças são bastante frequentes e deixam os clientes com muito a perder. Além de horas de trabalho de edição e desenvolvimento de conteúdos também fica em jogo a reputação da entidade que poderá ser ainda mais afetada se o ataque tiver como alvo dados pessoais de utilizadores.

Manter o seu site seguro não é opcional mas sim imperativo.

Tony Oliveira