Entender como seu site foi comprometido é uma parte importante para protegê-lo contra ataques. Esta página aborda algumas vulnerabilidades de segurança que podem resultar no comprometimento do seu site.
O vídeo a seguir descreve os diferentes tipos de invasão e como os hackers podem controlar seu site.
Senhas comprometidas
Os invasores podem usar técnicas de adivinhação de senhas, tentando diferentes até adivinharem a correta. Os ataques de adivinhação de senhas podem ser realizados por vários métodos, como tentar senhas comuns ou verificar combinações aleatórias de letras e números até que a senha seja descoberta. Para evitar isso, crie uma senha forte que seja difícil de adivinhar. Veja dicas para criar uma senha forte no artigo da Central de Ajuda do Google.
É importante lembrar de dois pontos. Primeiro, é importante evitar a reutilização de senhas nos serviços. Quando os invasores conseguem identificar uma combinação de nome de usuário e senha ativa, eles tentam usar essa combinação no maior número possível de serviços. Portanto, usar senhas diferentes em diferentes serviços pode impedir que outras contas em outros serviços sejam comprometidas.
Em segundo lugar, aproveite a autenticação de dois fatores (2FA), como a verificação em duas etapas do Google, se a opção estiver disponível. A 2FA permite uma segunda camada de credenciais de login, geralmente por um código por mensagem de texto ou outro PIN gerado dinamicamente, que diminui a capacidade de um invasor de acessar apenas uma senha roubada. Alguns provedores de CMS têm orientações sobre a configuração da 2FA. Consulte a documentação do Joomla!, WordPress ou Drupal.
Atualizações de segurança perdidas
Versões anteriores de software podem ser afetadas por vulnerabilidades de segurança de alto risco que permitem que invasores comprometam um site inteiro. Os atacantes procuram ativamente softwares antigos com vulnerabilidades. Ignorar uma vulnerabilidade no seu site aumenta a chance de ele ser atacado.
Alguns exemplos de software que você deve manter atualizado incluem:
- Software servidor da Web, se você gerencia seus próprios servidores.
- seu sistema de gerenciamento de conteúdo (CMS, na sigla em inglês); Por exemplo: lançamentos de segurança do Wordpress, Drupal e Joomla!.
- Todos os plug-ins e complementos que você usa no seu site.
Plug-ins e temas não seguros
Os plug-ins e temas em um CMS agregam recursos valiosos e aprimorados. No entanto, plug-ins e temas desatualizados ou sem patches são uma grande fonte de vulnerabilidades em sites. Se você usa temas ou plug-ins no site, mantenha-os atualizados. Remover temas ou plug-ins que não são mais mantidos pelos desenvolvedores.
Seja extremamente cauteloso com plug-ins ou temas sem custo financeiro de sites não confiáveis. É uma tática comum dos invasores adicionar código malicioso a versões sem custo financeiro de plug-ins ou temas pagos. Ao remover um plug-in, remova todos os arquivos do servidor em vez de apenas desativá-lo.
Engenharia social
A engenharia social trata da exploração da natureza humana para contornar infraestruturas de segurança sofisticadas. Esses tipos de ataques enganam os usuários autorizados para que eles forneçam informações confidenciais, como senhas. Uma forma comum de engenharia social é o phishing. Durante uma tentativa de phishing, um invasor envia um e-mail fingindo ser uma organização legítima e solicita informações confidenciais.
Nunca forneça informações sensíveis (por exemplo, senhas, números de cartão de crédito, informações bancárias ou até mesmo sua data de nascimento), a menos que você tenha certeza sobre a identidade do solicitante. Caso seu site seja gerenciado por várias pessoas, considere fornecer treinamento para aumentar a conscientização de segurança contra ataques de engenharia social. Para conferir dicas básicas de proteção contra phishing, consulte a Central de Ajuda do Gmail.
Buracos na política de segurança
Se você é administrador de sistemas ou administra seu próprio site, lembre-se de que políticas de segurança insatisfatórias podem permitir que invasores comprometam o site. Veja alguns exemplos:
- Permitir que os usuários criem senhas fracas.
- Conceder acesso administrativo a usuários que não precisam dele.
- Não ativar o HTTPS no site e permitir que os usuários façam login usando HTTP.
- Permitir o upload de arquivos por usuários não autenticados ou sem verificação de tipo.
Veja algumas dicas básicas para proteção do site:
- Desative serviços desnecessários para garantir que seu site esteja configurado com controles de alta segurança.
- Teste os controles de acesso e os privilégios do usuário.
- Use criptografia em páginas que lidam com informações sensíveis, como as de login.
- Verifique seus registros regularmente em busca de atividades suspeitas.
Vazamento de dados
Podem acontecer vazamentos de dados confidenciais quando dados confidenciais são enviados e uma configuração incorreta as disponibiliza publicamente. Por exemplo, o tratamento de erros e as mensagens em um aplicativo da Web podem vazar informações de configuração em uma mensagem de erro não processada. Com um método conhecido como "dorking", atores mal-intencionados podem explorar a funcionalidade do mecanismo de pesquisa para encontrar esses dados.
Garanta que o site não revele informações sensíveis a usuários não autorizados. Para isso, faça verificações periódicas e restrinja dados confidenciais a entidades confiáveis por meio de políticas de segurança. Se você descobrir informações confidenciais exibidas no seu site que precisem ser removidas urgentemente dos resultados da Pesquisa Google, use a ferramenta de remoção de URL para remover URLs individuais da Pesquisa Google.