4 Passos para proteger o seu site

O seu site é fundamental para o sucesso do seu negócio, é o rosto da sua empresa e, provavelmente, o principal canal de criação de receita e pedidos de contacto. No entanto, o seu site e a sua empresa são colocados em risco todos os dias por uma ameaça invisível: ataques cibernéticos.

Em média, um site é alvo de 59 ataques diários, qualquer um dos quais pode resultar no roubo de dados dos clientes, constar na lista negra dos motores de busca ou mesmo a suspensão do serviço de alojamento. Um ataque bem-sucedido pode afectar as suas receitas, manchar a sua reputação e degradar a relação com os seus clientes. Para se proteger contra um possível ataque cibernético e mitigar as consequências que este lhe possa causar, é necessário que invista na segurança do site.

Muitos proprietários acreditam que os seus sites são seguros, ou que a segurança do site é da responsabilidade fornecedor do serviço de alojamento web. Na verdade, dados recentes mostram que 45% dos proprietários de sites acreditam que o fornecedor de alojamento web garante a segurança dos seus sites.

O fornecedor de alojamento web garante apenas a segurança do servidor, a protecção dos sites é da responsabilidade dos proprietários. Podemos fazer uma analogia com um prédio, a gestão da propriedade (fornecedor de alojamento web) garante que o prédio é habitável, mas é da responsabilidade de cada inquilino (proprietário do site) fechar as portas e janelas da sua casa.

Não se preocupe, garantir a segurança do seu site é mais fácil do que pensa! Basta que siga estas quatro etapas.

1. Instale um Certificado de Segurança SSL

Mesmo que não esteja familiarizado com o termo, provavelmente já conhece os Certificados SSL. Se acedeu a um site em que o URL começa com “https” e um ícone com um cadeado verde é apresentado na barra do seu navegador, então encontrou um site que possui um Certificado SSL instalado. Isto significa que informações confidenciais, como credenciais de acesso ou números de cartão de crédito, são encriptadas entre o site e servidor de alojamento web. O certificado não protege contra as vulnaberilidades de segurança, apenas evita que os cibercriminosos interceptem as informações trocadas entre os visitantes e o site.

A maioria das entidades certificadoras oferece Selos de Segurança que podem ser apresentados no seu site. Estudos revelam que 79% dos clientes que compram online esperam ver um Selo ao visitar um site. Mesmo que a sua empresa não venda produtos online, um Selo de Segurança demonstra que o site para além de seguro é fidedigno.

Os Certificados SSL podem também ajudar a melhor o posicionamento do seu site nos motores de busca (SEO), o que leva a um aumento do tráfego, visibilidade e credibilidade do site. Desde 2014, o Google deu uma maior prioridade aos sites seguros, com o objectivo de incentivar a mudança de HTTP para HTTPS. A partir de Janeiro de 2017, o Google começou a identificar os sites inseguros, ou seja, aqueles que não possuem o Certificado Digital. Os sites que colectam informações sensíveis sem um Certificado SSL são marcados como “não seguros” nos resultados de pesquisa e no próprio site.

2. Use o CAPTCHA

Todos nós já utilizamos as confirmações dos testes CAPTCHA para provarmos que não somos robôs. Mas sabe por que motivo estes testes são usados?

Os formulários existentes nos sites, como campos de login ou formulários de contacto, podem ser usados ​​​​por cibercriminosos e spammers. Desprotegidos, estes servem como ponto de entrada nos sites, visto que é possível injectar código que visa alcançar uma série de fins maliciosos como: roubar informações do cliente, distribuir spam ou mesmo controlar o site.

Raramente um hacker ataca um site específico, estes preferem programar bots para rastrear automaticamente sites que não tenham verificações CAPTCHA. Apesar dos sites com CAPTCHA afastarem os robôs, pode ser complicado para muitas empresas implementarem este tipo de testes de confirmação. Os formulários CAPTCHA antiquados requerem um esforço brutal por parte dos potenciais clientes, uma vez que leva em média de 10 segundos para serem concluídos, o que causa uma grande frustração para os clientes reflectindo de forma negativa nas conversões.

O reCAPTCHA da Google começou a mudar a eficácia e a simplicidade do sistema CAPTCHA. Em vez de decifrar áudio difuso ou texto squiggly, o reCAPTCHA pode ser resolvido com apenas um clique. O reCAPTCHA é totalmente gratuito e não requer conhecimentos técnicos. Se usa um gestor de conteúdos (CMS), como o WordPress, adicionar um CAPTCHA ao seu site é tão fácil como instalar um plugin.

3. Implementar WAF / CDN

Imagine que acede às estatísticas do seu site um dia e constata que houve um aumento enorme no tráfego. Assume que é uma excelente notícia para o seu negócio, certo? Poderia ser, mas também pode ser um ataque de bots maliciosos que está a sobrecarregar o servidor.

Um ataque DDoS ocorre quando um site está sobrecarregado com pedidos ilegítimos ou automatizados provocando a indisponibilidade do serviço. O tempo de inactividade do site pode ser extremamente dispendioso e não transmite uma boa impressão aos potenciais clientes. Na verdade, 40% dos clientes que compram online clicaram num site que demorou mais de três segundos a carregar, à medida que o tempo de carregamento aumenta, a taxa de abandono também aumenta. Existem algumas opções para proteger seu site de um ataque DDoS, a melhor delas é com uma WAF (Web Application Firewall), que bloqueia automaticamente o tráfego malicioso.

Está a trabalhar afincadamente na optimização SEO do seu site? Então sabe o quão importante é evitar o conteúdo duplicado, este é outro motivo para se preocupar com os robôs. Os robôs conhecidos como “scrapers” podem copiar conteúdo de um site e publicá-lo noutro site, criando conteúdo duplicado e prejudicando o SEO do site original.

Conforme mencionado anteriormente, um site que demora a carregar pode dissuadir potenciais clientes, certifique-se que está tecnicamente preparado para receber um aumento de tráfego legítimo. Uma Rede de Distribuição de Conteúdo (CDN) usa Datacenters espalhados pelo mundo para armazenar em cache o conteúdo de um site, diminuindo o tempo de carregamento. Por exemplo, se o servidor do seu site estiver em Lisboa, mas seu cliente estiver na Suécia, estes receberão uma versão em cache do seu site do Datacenter de Estocolmo. Os dados não precisam percorrer grandes distâncias, o que significa tempos de carregamento mais rápidos para o seu site e clientes mais felizes.

4. Use um scanner

Nenhum plano de segurança para um site está completo sem uma ferramenta que verifica e remove automaticamente o malware. O malware é uma ameaça que está sempre presente e que continua a evoluir tornando cada vez mais difícil a sua detecção. Na verdade, no segundo trimestre de 2017, quatro das seis principais tendências de malware especializaram-se em infectar silenciosamente os sites e não foram detectados. Um scanner de segurança automatizado pode monitorizar o seu site a fim de prevenir ameaças diárias.

Os diferentes tipos de malware podem causar danos à sua empresa de várias maneiras, incluindo o roubo de dados pessoais e financeiros dos seus clientes. O malware pode também prejudicar a reputação da sua empresa ao ficar por exemplo listado na lista negra do Google.

Se o Google detectar malware no seu site, os seus clientes verão uma mensagem de alerta e o site removido dos resultados da pesquisa, até que este seja limpo. Normalmente, é através do alerta do Google que os proprietários dos sites descobrem que o site tem malware. A lista negra pode ter um efeito devastador sobre as vendas bem como para a reputação do site.

Para evitar o malware no seu site e mantê-lo fora da lista negra do Google, é necessário que esteja atento aos ataques de segurança. A maneira mais eficaz de combater o malware é também a mais fácil, basta que tenha uma ferramenta que efectue um scan diário de malware aos ficheiros do seu site. O scan automático efectua a remoção automatizada de malware, garantindo que possa mitigar as ameaças à medida que estas acontecem, minimizando assim o impacto no seu site. O scanner da SiteLock é o único scanner do mercado que remove o malware conhecido de forma automática.

Se a segurança do site não fazia parte do seu plano de negócios, então este é o momento certo para aplicar uma estratégia que visa proteger o seu negócio. A SiteLock oferece um conjunto de soluções abrangentes de segurança para empresas de qualquer dimensão.

 

Fontes:

1 https://developer.joomla.org/security-centre.html

2 https://www.drupal.org/forum/newsletters/security-advisories-for-drupal-core/2017-08-16/drupal-core-multiple

3 https://wordpress.org/news/2017/09/wordpress-4-8-2-security-and-maintenance-release/

4 https://wpvulndb.com/

5 https://vel.joomla.org/live-vel

6 https://www.drupal.org/security/contrib

7 https://w3techs.com/

8 https://w3techs.com/

9 https://wordpress.org/plugins/broken-link-checker/

10 https://www.us-cert.gov/ncas/bulletins/SB17-240

11 https://wordpress.org/plugins/formcraft-form-builder/

12 https://www.us-cert.gov/ncas/bulletins/SB17-240

13 https://w3techs.com/

14 https://www.cvedetails.com/vulnerability-list/vendor_id-3496/product_id-16499/Joomla-Joomla-.html

15 https://www.drupal.org/forum/newsletters/security-advisories-for-drupal-core/2017-08-16/drupal-core-multiple

16 http://www.internetlivestats.com/total-number-of-websites/

17 https://www.sitelock.com/