Seu site está (realmente) seguro?

Seu site está (realmente) seguro?

Como fazer uma auditoria de segurança em seu site:

Com muitos casos de invasão e ataque à sites, é importante que seu site esteja muito bem seguro. Fazer uma auditoria de segurança pode ajudá-lo a se prevenir de ataques ao seu site. Infelizmente não é possível evitar todo tipo de risco, mas é possível reduzi-lo ao máximo.

Responda a algumas das perguntas abaixo:

1. Você tem algum usuário com o nome de login admin?

Se você ou algum usuário utiliza este nome de login, é bom remover este usuário. É a primeira tentativa a ser usada em um ataque de força bruta. O nome de login admin é o que vem pré-definido na maioria dos frameworks (leia-se ferramentas para desenvolvimento de sites, tais como WordPress, Joomla, etc).

2. Você exige senhas seguras de seus usuários?

Quanto mais difícil for a senha, mais difícil do invasor descobri-la.

Se seu site permitir, é bom considerar o login como administrador em 2 etapas. Este tipo de login não só exige a senha, como uma segunda etapa de confirmação, tal como SMS em celular, email solicitando autorização, autenticador em aplicativo de celular, token, etc.

3. Você já trocou as chaves de segurança do seu site em WordPress?

O WordPress usa os cookies gravados em seu site para verificar login de usuários e comentários. Ao instalá-lo pela primeira vez é recomendável que troque estas chaves de segurança através de programas próprios para isso. Faça isso regularmente.

4. Seu site está atualizado (tema e componentes)?

É muito importante que os componentes do site estejam atualizados. Os desenvolvedores o atualizam frequentemente quando descobrem falhas de segurança ou erros de programação em geral, os famosos “bugs”. Versões do WordPress desatualizadas aumentam incrivelmente a chance de invasões.

5. Você tem usuários inativos em seu site?

Usuários inativos também podem ser usados para invadirem seu site. Se o usuário não estiver em uso, elimine-o.

6. Você tem uma solução de backup pronta?

Independente do quanto seguro for seu site, um backup atualizado é muito importante. Faça backups regularmente e, preferivelmente, não deixe os backups dentro do próprio site. Se não souber como, utilize ferramentas de terceiros que fazem backups (e os restaure depois se precisar) facilmente.

Checklist:

♦  Exclua o usuário Admin
♦  Use senhas seguras
♦  Ative login em 2 etapas
♦  Mude as chaves de segurança do WordPress
♦  Atualize o framework (WordPress, Joomla) e componentes (plugins/temas)
♦  Elimine usuários inativos
♦  Tenha um plano de backup/recuperação pronto
♦  Use um plugin de segurança sempre

Isso é o básico, pra não falar o mínimo, de segurança para um site atualmente…

Ainda é recomendável que haja um anti-malware e firewall instalados (plugin de segurança), que evitará tentativas de invasão por força bruta, pastas com segurança incorretas, etc, mas isso é assunto para outro artigo.

A G7 Informática realiza manutenção básica e de segurança nos sites em WordPress desenvolvidos por ela e de terceiros. Consulte planos de manutenção de acordo com sua disponibilidade.