Web segurança é a moda nos dias de hoje por causa de vários incidentes de hackers que fazem a notícia.
Mas o que é frustrante é que, apesar de tantos artigos sobre o assunto, empresas e pequenos sites cometem erros facilmente evitáveis quando se trata de lidar com as coisas da maneira certa.
Alguns passos na direção certa é tudo o que é necessário para mantenha seu site seguro .
Vamos dar uma olhada.
Não use códigos aleatórios de estranhos
Códigos aleatórios de repositórios postados publicamente em sites como GitHub, Sourceforge e Bitbucket podem conter códigos maliciosos.
Veja como se salvar com um pouco de raciocínio inteligente. Você pode implantar o código no modo de manutenção e ver como ele funciona antes de colocá-lo no ar.
Dessa forma, você evita centenas de horas de cabeçadas.
Não tomar precauções pode fazer com que o código malicioso assuma o controle do seu site e fazer com que você renuncie aos privilégios administrativos do site e perca seu trabalho árduo.
Nunca copie e cole códigos de estranhos aleatórios na internet. Faça alguma pesquisa sobre a pessoa e, em seguida, prossiga para auditar o código obtido.
Você pode achar que poderá economizar algum tempo copiando e colando algum código, mas errar apenas uma vez é o suficiente para um monte de problemas.
Por exemplo: plugins WordPress vulneráveis, códigos maliciosos que podem assumir o controle do seu site ou prejudicar o site de maneiras menos críticas, como inserir links de acompanhamento para sites de terceiros e desviar o link juice.
Esses links geralmente aparecem apenas quando o Googlebot visita o site e, para todos os visitantes regulares, o link permanece invisível.
Charles Floate e Wordfence se uniram para citar muitos exemplos recentes de vulnerabilidades de plug-ins do WordPress.
A maneira como esse golpe funciona é algo SEO malicioso envie e-mails de divulgação para proprietários de plug-ins do WordPress cujos plug-ins não são atualizados há algum tempo.
Eles se oferecem para comprar o plug-in e, em seguida, executam uma atualização para esse plug-in.
A maioria das pessoas nunca se preocupa em verificar o que foi atualizado no plugin. São tantos que executam uma atualização assim que ela aparece.
Mas, neste caso, o plug-in criaria um acesso backdoor ao site de SEO ou aos sites do cliente. Todos os sites que usam o plug-in agora inadvertidamente se tornam parte de uma rede PBN.
Alguns desses plugins têm mais de 50.000 instalações ativas. Na verdade, um dos plug-ins listados é usado em meu site e eu não sabia sobre o backdoor até agora.
Esses plugins também deram a eles acesso administrativo aos sites afetados.
Eles poderiam muito bem assumir o controle de um site concorrente com esse método e não indexá-lo, efetivamente fazendo-o desaparecer nas SERPs.
Criptografar informações confidenciais
Quando você está lidando com dados confidenciais, isso nunca deve ser dado como certo.
É sempre a opção mais sábia criptografar dados confidenciais. Informações pessoais sobre clientes e senhas de usuários se enquadram nessa categoria.
Um algoritmo forte deve ser usado para esse fim.
Por exemplo, o AES 256 é um dos melhores. O próprio governo dos EUA é de opinião que o AES pode ser usado para criptografar e proteger informações classificadas e a cifra por trás do capô foi aprovada publicamente pela NSA.
AES compreende as seguintes cifras: AES-128, AES-192 e AES-256. Cada cifra criptografa e descriptografa dados em blocos de 128 bits e fornece segurança aprimorada.
Se você estiver executando um site baseado em membros, comércio eletrônico, aceitando pagamento, deverá proteger seu site com um certificado TLS .
Os dados do usuário devem estar sempre protegidos.
Aceitar dados do usuário em conexões não seguras sempre dá ao hacker a chance de desviar dados preciosos.
Tratamento de pagamento
O problema de armazenar informações de cartão de crédito é que você se torna um alvo.
sônica Drive-In publicamente anunciou que uma violação nos servidores da empresa resultou em milhões de cartões de crédito e débito roubados.
Outros restaurantes, drive-ins como Chipotle e Arby’s também experimentaram hacks semelhantes.
Às vezes, você precisará aceitar as informações do cartão de crédito e salvá-las para cobrança recorrente. Isso requer que você seja um reclamante do PCI.
Ser compatível com PCI é um trabalho árduo.
Você não apenas precisa de alguém experiente em PCI, mas também precisa atualizar o site e o banco de dados para permanecer em conformidade com frequência.
A conformidade não é um requisito único, e o PCI os altera regularmente para lidar com ameaças emergentes.
Em vez disso, você pode pular a parte difícil e escolher um processador de pagamento como Listra isso faz o trabalho pesado para você.
Eles são grandes, têm um suporte que funciona 24 horas por dia e são uma reclamação do PCI.
E se você estiver administrando uma loja online, considere usar Shopify .
Se você armazenar informações de cartão de crédito, tome cuidado especial para que os arquivos que armazenam as informações do cartão de crédito e o hardware onde estão armazenados permaneçam criptografados.
Corrija-o imediatamente
Aqui está um exemplo para fazer o meu ponto.
Uma exploração de dia zero que funcionou comprometendo os suportes do Apache foi revelada por 7 de março de 2017 .
Em 8 de março, o Apache lançou patches para superar o problema. Mas leva muito tempo entre a publicação de um patch e as empresas para agir.
A Equifax foi uma das empresas que foi hackeada.
A Equifax disse em comunicado que em 7 de setembro de 2017, hackers roubaram informações pessoais de 143 milhões de clientes.
Os hackers exploraram a mesma vulnerabilidade de aplicativo que discutimos acima para entrar no sistema.
A vulnerabilidade estava no Apache Struts, uma estrutura para criar aplicativos da Web baseados em Java.
Os hackers exploraram esse fato quando o Struts envia dados para o servidor, eles podem comprometer esses dados. Usando uploads de arquivos, os hackers acionavam bugs que permitiam o envio de códigos ou comandos maliciosos.
De acordo com a empresa, “nomes de clientes, números de CPF, datas de nascimento, endereços e, em alguns casos, números de carteira de motorista”, bem como “números de cartão de crédito de aproximadamente 209.000 consumidores”. Além disso, também foram roubados 182 mil documentos de disputa de crédito, que contêm informações pessoais.
Considerações finais
Como você pode ver, estar ciente das mudanças na tecnologia e estar atualizado com seus patches de software e um pouco de retrospectiva geralmente é sempre mais do que suficiente para resolver a maioria dos problemas.
