Leia sobre dicas e funcionalidades da GoCache CDN para melhorar a seguranca do seu site, loja virtual ou app mobile.

Guia de Segurança para WordPress: Gerenciamento e Logins

No post de hoje, vamos explorar como manter a segurança de um site ou loja virtual e como gerenciar melhor os logins. Vamos ir um pouco além das dicas como “escolha uma senha complicada” para aprofundar um pouco mais sobre as questões essenciais.

Na hora de criar sua loja virtual é importante que você tenha em mente que a segurança é um fator decisivo para o sucesso – e longevidade – do seu negócio online.

Está pronto?

Limite de logins

Uma das primeiras coisas que você pode fazer para gerenciar a segurança do WordPress é limitar o número de vezes que as pessoas podem tentar fazer o login. Muitos hackers usam ataques de força bruta para tentar decifrar seu nome de usuário e/ou senha. Mesmo que essas investidas não sejam bem-sucedidos, a natureza repetitiva pode colocar uma carga significativa em seu servidor.

Ao limitar logins, você evita que um hacker tente um ataque de força bruta. Ele tentaria duas a três vezes e então seu IP seria banido. Você pode facilmente configurar isso usando o plugin Loginizer.

Uma outra opção muito interessante é o plugin Login Lockdown. Como essas duas opções limitam o número de tentativas de login que um usuário pode fazer antes que seu IP seja banido por quantas horas você determinar, ataques de força bruta seriam muito mais difíceis de serem executados. O plugin continuaria proibindo esse endereço IP após um determinado número de tentativas de login com falha. Além disso, você pode personalizar para criar a configuração de segurança ideal para o seu site.

Banir usuários que tentam usar “admin” como nome de usuário

Evite usar o nome de usuário como “admin”, visto que boa parte dos ataques de força bruta nos dias de hoje são de hackers que utilizam esse nome de usuário padrão para tentar invadir o site. No entanto, você pode interromper suas tentativas, proibindo qualquer pessoa que tente usar o “admin”.

O plugin Wordfence é muito bom para configurar esse recurso de proibição automática. É claro que este plugin inclui muitos outros recursos, como autenticação de dois fatores, bloqueio de invasores conhecidos e muito mais.

Estabelecer as permissões corretas dos arquivos

Outra coisa que você quer fazer é estabelecer as permissões de arquivo corretas no seu site. De acordo com o WordPress.org, a configuração de um diretório com permissões 777 pode permitir que um hacker ou outra entidade mal-intencionada edite seus arquivos ou até mesmo faça o upload de novos, como malwares. Seu arquivo wp-config.php deve ser configurado para 600; seus arquivos regulares devem ser configurados para 640 ou 644; e seus diretórios devem ser configurados para 750 ou 755. Embora não seja necessário fazer essa alteração em todos os hosts, você ainda deve consultá-lo através do guia do WordPress para alterar permissões de arquivos.

Ocultar a página de login

O arquivo .htaccess é um arquivo de texto oculto usado pelo servidor da web Apache para configurar seu site sem a necessidade de criar ou modificar arquivos globais de configuração do servidor. Geralmente, ele está localizado na pasta raiz do site, mas também pode estar em outros locais, dependendo de quais arquivos e pastas você deseja que sejam afetados pela configuração especificada.

Essa é outra modificação do .htaccess, mas é um pouco diferente das outras. Você pode negar o acesso à página de login do seu site WordPress completamente. Claro, só funciona se o site tiver um único autor e se o endereço praticamente nunca tenha sido alterado. Outras poucas linhas de código no arquivo .htaccess negarão o acesso à página de login para todos, exceto os endereços IP que você especificar.

Se você deseja manter suas opções abertas em termos de adicionar autores ao seu site mais tarde, você sempre pode usar um plugin para simplesmente ocultar a página de login de usuários não autorizados. Secure Hidden Login é uma dessas opções. Embora você possa configurá-lo para que a tela de login apareça quando o logotipo do WordPress for clicado, uma opção mais segura seria definir a ativação dos campos de nome de usuário e senha pressionando uma combinação de teclas.

Remover informações da tag do gerador

Hackers podem fazer todo tipo de ação para tentar entrar em sites do WordPress, como por exemplo executar scripts para encontrar instalações da plataforma na Internet com base em footprints.

Footprints são linhas de texto ou códigos identificáveis ou ainda recorrentes que identificam que um site usa um conjunto particular de código.

No caso do WordPress, por exemplo, é um exemplo de “linhas recorrentes de texto ou código”. Além disso, por padrão, a plataforma identifica que o site que você está vendo foi construído no WP.

O código fonte de um site WordPress vai dizer algo assim:

<meta name=”generator” content=”WordPress 3.8.4″ />

Você pode remover essa tag do código-fonte, o que dá aos hackers algo a menos para encontrar (e segmentar) seu site. Os webmasters podem adicionar a seguinte linha de código ao seu arquivo functions.php:

remove_action(‘wp_head’, ‘wp_generator’);

Remover a tag generator significa que seu site não se identifica mais como WordPress.

Ativar autenticação em duas etapas

Outra ação bastante indicada para proteger seu site é configurar a autenticação em duas etapas. Ao exigir que os usuários do site executem duas etapas para o login, potencialmente desestimulará os ataques de força bruta da maioria dos hackers. Tudo isso irá fazer com que seu site se torne considerado difícil de quebrar, o que definitivamente é algo muito bom!

Existem vários plugins que ativam esse recurso em seu site. Alguns favoritos em particular incluem:

  • Clef : uma vez configurado, tudo o que você precisa fazer é abrir o aplicativo Clef no seu celular e focar sua câmera em uma imagem em movimento na tela do seu computador. Ele vai “travar” no lugar e você estará logado.
  • Duo Two-Factor Authentication : depois de inserir sua senha através do formulário de login normal, você terá que concluir uma etapa secundária para efetuar login, como confirmá-la em um aplicativo de telefone, em uma mensagem de texto SMS ou em uma chamada telefônica.

WAF (Web Application Firewall)

Uma das maneiras mais rápidas de proteger um site em WordPress é usar o WAF (Web Application Firewall). O WAF adiciona vários elementos de segurança de imediato e protege contra as maiores ameaças online.

Basicamente um WAF (Web Application Firewall) é um filtro que fica na frente de seu aplicativo, inspecionando o tráfego de entrada em busca das ameaças mais comuns como Cross-Site Scripting (XSS) e SQL Injection e DDoS. É um dos meios mais comuns de proteção contra ataques na camada de aplicativo.

Você pode utilizar um WAF hospedado ou um WAF baseado em nuvem. Quando baseado em nuvem, você pode contrata-lo individualmente, ou como em muitos casos, contratá-lo em um pacote disponibilizado por um fornecedor CDN (Content Delivery Network, veja o que é uma CDN).

A GoCache oferece WAF em todos os planos de CDN que disponibiliza, sem custo adicional. Além de proteger seu site, você pode acelerá-lo sem muito esforço, pois já existem configurações específicas para WordPress e um plugin para integração com o Back-End.

Conclusão

Gerenciar a segurança em seu site WordPress e configurar logins seguros levará algum tempo. Mas uma vez que todas essas medidas estiverem em vigor, seu site será muito mais confiável para seus usuários. E você terá a tranquilidade de saber que uma queda maliciosa é improvável.

Você usa algum dos métodos de segurança mencionados anteriormente? Você faz mais alguma coisa que não citamos aqui? Comente abaixo!

 

“Este é um post escrito por nosso convidado Caio Nogueira, co-fundador e da UpSites Digital, empresa especializada em criação de sites responsivos WordPress. Apaixonado por novas tecnologias e pelo desafio de criar soluções na internet que ajudem empresas e pessoas a aumentar as vendas, gerar leads e contar histórias”.

 

5 Ferramentas a Favor da Segurança de TI da Sua Empresa

5 Ferramentas a Favor da Segurança de TI da Sua Empresa

 

*guest post da Gestão Click

 

A segurança empresarial é, desde sempre, um dos fatores primordiais da gestão. Ela assegura que informações sensíveis estejam devidamente disponibilizadas, que sejam confiáveis e que permaneçam restritas ao âmbito da organização, das áreas ou até de algumas pessoas específicas, que.

Apesar de ser um aspecto de longa data, nos últimos anos se tornou um fator altamente crítico graças ao ganho de importância da internet e dos meios digitais nas empresas. Isso representou uma verdadeira revolução, que independe do segmento e do porte do negócio.

Diante disso, é essencial encontrar caminhos que viabilizem um nível de proteção aprimorado, condizente com as exigências e desafios da atualidade. Vejamos 5 ferramentas que representam importantes recursos para quem deseja blindar sua organização contra as ameaças à segurança empresarial.

 

O Bom e Velho Antivírus

O antivírus é o recurso de segurança da informação mais conhecido e presente no mercado há mais tempo. Uma ampla gama de opções encontra-se disponível no mercado, oferecendo soluções para negócios de todos os perfis. Apesar disso, muitas organizações e profissionais negligenciam seu uso.

Não basta instalar qualquer antivírus em seus equipamentos e torcer para funcionar. É preciso encontrar uma opção condizente os o nível de riscos dos seus dados, levando em consideração a exposição a ameaças, o nível de criticidade das informações e a infraestrutura que deve ser protegida.

 

Backup: Resguarde seus Dados Contra Perdas

Outra solução de extrema importância, que mescla o uso de tecnologias específicas com estratégias operacionais, se refere à realização de backups. Trata-se da prática de criar cópias de segurança das suas informações, gerando redundâncias e arquivos históricos para o caso de um fato indesejado levar à perda de dados.

Trata-se de uma prática consolidada no mercado que muitos negócios, especialmente de pequeno porte, deixam de lado. Existem diversas ferramentas que apoiam o processo, sendo relativamente barato desenvolvê-lo.

 

O ERP e a Gestão Integrada dos Dados

Um ERP, basicamente, cria uma interface virtual da sua empresa, agregando dados de diversos processos de negócio de forma a disponibilizar e tratar informações de forma a elevar a produtividade empresarial.

No entanto, um fator que nem todos consideram a respeito do recurso é a capacidade que ele possui para resguardar as informações que armazena. Os itens salvos em seu diretório ficam resguardados por uma barreira adicional, controlada por meio dos mais severos critérios de segurança da informação.

Dados referentes a controle financeiro, controle de estoque e cadastros de clientes são exemplos de informações altamente críticas, tratadas nesse Software de Gestão Empresarial Online, e consequentemente guardadas de forma consistente e confiável.

 

Firewall: Controle o Tráfego da Rede

O Firewall é uma das ferramentas mais utilizadas na proteção de dados empresariais. Seu grande objetivo é funcionar como uma barreira de proteção entre uma determinada rede e conteúdo malicioso que possa, eventualmente, prejudicar os bancos de dados empresariais.

Assim, quando consideramos computadores e servidores utilizados no negócio, o firewall cria um processo dinâmico de monitoramento e controle do fluxo de dados e acessos, mantendo um alto nível de segurança sem prejudicar os processos e sistemas organizacionais.

 

Capacitação: O Fator Humano na Proteção Empresarial

Por fim, a última estratégia de proteção empresarial que queremos destacar é a mais efetiva e talvez a mais óbvia. Preparar sua equipe para desenvolver ações conscientes no sentido de resguardar as informações do negócio é um aspecto básico e precisa ser levado em conta para que o uso dos recursos seja efetivo.

Não adianta criar potencial tecnológico para se proteger e não conceder às pessoas o conhecimento, a conduta e a habilidade ideal frente às possíveis ameaças. Desenvolver uma cultura adequada precisa ser o primeiro passo, uma vez que representa algo que independe das ferramentas utilizadas.

A forma de agir e pensar da sua equipe são os pontos centrais da iniciativa. Qualquer outro fator é um apoiador no processo e, apesar da grande importância que desempenhe, não realizará nada de forma adequada sem as ações corretas por parte dos indivíduos envolvidos.

 

Protegendo seu Site e Economizando Banda com WAF

Quando alguém precisa descobrir o IP de um computador é quase certo que utilizará o famoso site MeuIP.com.br. O site tem mais de 20 anos de existência e é, de longe, o mais usado para essa simples, porém importante, funcionalidade.

Nos últimos meses este site estava tendo um problema muito grande de gastos com banda, desproporcional ao número de visitantes que recebia. Após alguns dias analisando o problema, os administradores chegaram a conclusão de que havia um número excessivo de acessos de robôs, crawlers e outros tipos de user agents maliciosos, e estes estavam consumindo muita banda e processamento do servidor (user agent é o identificador dos navegadores que acessam seu site).

Foi então que o MeuIP decidiu utilizar um WAF (Web Application Firewall) para bloquear esses acessos indesejados. Eles utilizaram o sistema da GoCache para isso e o sucesso foi tamanho que resolveram dividir conosco, através deste artigo, os resultados que conseguiram. 

Acesso de User Agents indesejados ao site:

Após analisar profundamente os acessos ao site, os administradores notaram que haviam milhares de acessos onde o user agent continha strings como: Indy, Sinapse, curl, Python, Delphi, Java, Ruby e mesmo vazia.

Aparentemente isso ocorria porque inúmeros aplicativos estavam usando o servidor, indevidamente, para resolver o endereço IP dos computadores onde estavam rodando. O problema é que o site não estava preparado para isso, o que acabou por sobrecarregar os servidores e consumir muita banda.

A solução foi utilizar o WAF da GoCache para bloquear esses acessos indesejados, veja como:

 

Configurando o Web Application Firewall:

1. Nível de Segurança:

O primeiro ponto a ser configurado foi em regras “Geral” do Firewall. Conforme pode ver abaixo, foi escolhido o nível de segurança Alto, e modo de Simulação.

O modo de simulação costuma ser inicialmente utilizado para ter certeza de que não estará bloqueando acessos que gostaria que fossem permitidos. Após simularmos e termos certeza de que está tudo certo, muda-se o Modo de Segurança de “Simular” para “Bloquear”.

 

Em apenas alguns segundos após habilitar essa regra no firewall, dezenas de eventos de bloqueio aparecem na aba “Eventos”:

Clicando no ícone azul, do lado direito, pudemos analisar os bloqueios que seriam feitos. Veja, por exemplo, que o WAF bloqueará acesso do User Agent Indy, que é considerado um Rogue Crawler, ou seja, um Navegador malicioso, muito usado para Spam, por exemplo.

Além deste User Agent, o WAF também mostrou outros eventos de bloqueio, como User Agent Vazio ou outros acessos suspeitos.

No entanto, ainda havia vários outros User Agent que gostaríamos de bloquear. Poderíamos adicionar outras regras ao Firewall, uma para cada User Agent que desejássemos bloquear. No entanto, optamos por utilizar as SmartRules do Firewall, como verá abaixo.

2. Regras SmartRules do Firewall:

Ao invés de colocarmos uma regra para cada User Agent que desejávamos bloquear, utilizamos apenas uma SmartRule para WAF, bloqueando todos os agentes. (Para usar, clique em SmartRules e depois Firewall).

Isso ocorre porque nas SmartRules podemos usar expressões regulares, como os símbolos: * = significando tudo, & = significando ‘e’, | = significando ‘ou’.

Veja a nossa regra de bloqueio:

curl*|Wget*|Python*|Synapse*|Indy*|DynDNS*|Java*|ELinks*|Delphi*|Lynx*|DDNS*|DirectUpdate*|Test*|Ruby*|AAA*

Inicialmente parece um pouco assustadora, mas ela é bem simples e foi capaz de bloquear praticamente todos os User Agents indesejados.

É importante lembrar que, para que todas as configurações façam efeito, você precisa trocar o Modo de Segurança do Firewall, do modo “Simular” para o modo “Bloquear”.

 

Economia de Banda após o uso do WAF:

Imediatamente após proteger o site com o Web Application Firewall e bloquear os User Agents com a SmartRule, ocorreu uma queda surpreendente no consumo de banda. Veja os gráficos do servidor que estava hospedado na AWS (Amazon).

O site estava consumindo por volta de 27MBytes a cada 5 minutos e passou a consumir pouco mais de 10MBytes. Isso representou uma economia de quase 70% de banda, muito mais do que os administradores do site esperavam.

Veja que o Gráfico de Consumo encontrado no Painel da GoCache também confirma a redução de 3 vezes na transferência de dados. (A escala é diferente do anterior e um deles está no horário de SP e outro GMT).

Também note que o tráfego na CDN se manteve igual (verde escuro) e os tráfegos no servidor (verde claro) e total (marrom) foram reduzidos. Ou seja, a CDN bloqueou o tráfego indesejado ao servidor, economizando banda e processamento.

Considerando que a banda era um dos principais gastos do site, o uso do WAF representou uma excepcional economia com da transferência de dados. Especialmente se considerar que o tráfego de dados na Amazon é bastante caro.

Por fim, além da economia de banda, o WAF também, certamente, deixou o sistema mais seguro contra outros tipos de ataques, como DDoS e Força Bruta.

Uma outra dica interessante sobre WAF é que você pode também bloquear o acesso de ataques vindos de outros países, deixando seu site ainda mais seguro. Veja como fazer isto neste artigo: Bloquear IPs de outros países.

E, para entender melhor como uma CDN pode acelerar e proteger seu site, não deixe de ver o vídeo abaixo.

Veja os 10 países do mundo com maior número de hackers e crimes cibernéticos

Motivados por uma série de razões diferentes, como desafio, ganho financeiro, ameaça, vingança ou emoção, as comunidades de hackers funcionam ativamente em todo o mundo.

A CDN GoCache fez um estudo sobre o assunto e apontou que a principais fontes de ciberataques no mundo são a China, os EUA, Turquia, Rússia e Taiwan.

Mas note que o Brasil também está neste Ranking, e muito bem colocado. Veja abaixo os 10 países com maior participação no número global de ataques cibernéticos.

Os 10 principais países em quantidades de cybercrimes.

hackers no mundo

 1. CHINA

Não é uma surpresa para ninguém. Pergunte a qualquer profissional de segurança da internet sobre cybercrimes e, certamente, a China será um dos primeiros nomes em mente. De fato, para ganhar superioridade competitiva em relação aos outros países no ciberespaço, a China tem promovido a segurança cibernética como uma cultura, com uma alfabetização em informática muito boa entre seus jovens.

Isso também, infelizmente, levou a um aumento do cibercrime e aumento do número de cibercriminosos.

De acordo com várias estimativas, 41% dos ataques cibernéticos mundiais têm sua origem na China. Acredita-se que as redes organizadas de hackers sejam executadas na China, que são apoiadas pelo Exército de Libertação Popular da China. O objetivo é, principalmente, hackear as redes governamentais dos EUA e as de seus aliados. Mas também cometem crimes e roubos em milhões de sites no mundo, como forma de angariar recursos para manterem suas ações.

 

2. ESTADOS UNIDOS

Numa das últimas reuniões do G20, o presidente dos Estados Unidos, Barack Obama, disse que os EUA têm o maior e melhor arsenal cibernético do mundo. Isso pode ser realmente verdade, dada a sofisticação dos ataques cibernéticos alegadamente realizados pelo “Stuxnet”

Sim, o mesmo Trojan que foi plantado na central nuclear iraniana para interromper as centrífugas. De acordo com várias estimativas, os EUA representam quase 10% do tráfego de ataque mundial. É o lar de muitos hackers famosos e infames.

Em um dos principais casos de cyber crimes dos EUA, um hacker foi condenado por 20 anos de prisão e multado em US$25.000, por roubar 90 milhões de números de cartões de crédito e débito dos principais varejistas americanos.

Um outro hacker foi condenado por 10 anos de prisão depois que ele acessou as contas pessoais de e-mail das estrelas da indústria de Hollywood, como as atrizes Scarlett Johansson, Mila Kunis, a cantora Christina Aguilera e ainda publicou suas fotos pessoais on-line.

 

3. TURQUIA

O terceiro lugar é ocupado pela Turquia. Este país é responsável por 4,7% dos cyberatques feitos no mundo. Os hackers turcos aumentaram muito suas atividades na última década.

A situação política na Turquia, a religião, e o importante papel da redes sociais, estão relacionadas aos tipos de ataques que os hackers turcos fazem: normalmente são motivos religiosos e políticos. Assim, os hackers turcos visam crimes que lhes dê visibilidade ou dinheiro.

O ataque ao site do Vaticano, o cancelamento de uma conta de energia elétrica por US$ 670.000, vingança de uma empresa que forneceu leite estragado às escolas turcas, vazamento de informações governamentais secretas – estes e muitos outros ataques são atribuídos a hackers da Turquia. Os hackers turcos geralmente usam injeção de SQL, malwares, e outras técnicas para atacar suas vítimas.

 

4. RÚSSIA

Os últimos ataques Russos ao comitê democrático nacional, dos estados unidos, mostraram a força da Rússia nesta área. Este ataque cibernético provocou temores de manipulação das próximas eleições presidenciais dos EUA por hackers russos. Segundo estimativas, cerca de 4,3% dos cyber ataques globais é gerado a partir da Rússia. Os hackers russos são famosos em todo o mundo e têm habilidades para atacar as redes mais seguras e sofisticadas como as do Google, do Facebook, NASA e da Apple.

Mas muitos roubos e ataques, mesmo a sites menores, também vem da Rússia, responsáveis por prejuízos anuais que podem chegar a bilhões de dólares.

“Na Rússia, as revistas e softwares de pirataria são vendidos livremente nas ruas de Moscou”, diz Ken Dunham, diretor da empresa americana iDefense. A reputação dos programadores russos é muito conhecida. Não surpreendentemente, a pessoa mais procurada pelo FBI no área da segurança cibernética é um hacker russo.

A popularidade do hacking na Rússia pode ser explicada por vários fatores: um grande número de especialistas em TI altamente educados com excelentes habilidades em matemática e informática, falta de empregos qualificados, a difícil situação financeira do país e circunstâncias geopolíticas.

5. TAIWAN

“Pequeno, mas fortes!” Esse devia ser o lema dos hackers taiwaneses. A pequena ilha, localizada perto da China, é um grande celeiro de hackers. Sozinha é responsável por quase 3,7%  dos ataques cibernéticos globais.

Não há um lugar melhor para um hacker dedicado a praticar habilidades profissionais do que Taiwan. Devido à sua localização geopolítica, Taiwan é um campo de batalha, onde acontecem uma grande quantidade de ataques cibernéticos, vindos especialmente da China.

O perigo frequente de ataques cibernéticos incentiva os especialistas taiwaneses em segurança de TI a melhorarem suas habilidades profissionais. Os hackers taiwaneses frequentemente ganham prêmios em prestigiosas competições de hackers, como as competições “Capture the Flag” nos EUA e no Japão.

 

6. BRASIL

A olimpíada recentemente realizada no Rio trouxe o foco do mundo inteiro para hackers brasileiros. Com 3,3% de participação no número global de cyber ataques, o Brasil ocupa o 6º lugar do ranking.

De fato, o Brasil tem o maior número de ataques cibernéticos, não apenas na América do Sul, mas em todo o hemisfério sul. Só no último ano, o CERT.br registrou mais de meio milhão de ataques, e isto porque acredita-se que a grande maioria dos ataques sequer são registrados oficialmente.

Um dos grandes motivos de cibercrime no Brasil é o fato de ser uma economia que, cada dia mais, utiliza mais cartões de crédito e sistemas eletrônicos de pagamento e menos dinheiro em espécie.

Isto se torna um prato cheio para os cyber criminosos, que praticam crimes conhecidos como phishing ou usam cavalos de tróia para roubar dados de suas vítimas, como de contas bancárias e cartões de créditos.

Apesar do considerável número de cyber crimes, ataques como DDoS, que visam derrubar sites de concorrentes ou inimigos, são muito menos frequentes no Brasil.

 

7. ROMÊNIA

Na 7ª posição, a Romênia é responável por 3,3% do cibercrime global. Você ficará surpreso, mas há uma cidade na Romênia, chamada “Ramnicu Valcea”, que é popularmente conhecida como o centro dos criminosos hackers. A maioria dos ataques cibernéticos da Romênia tem origem nesta cidade.

 

8. ÍNDIA

Em 8º lugar na lista está a Índia, um dos centros de TI do mundo. Nos últimos tempos, a Índia está testemunhando um número crescente de crimes cibernéticos. Os hackers indianos são responsáveis por 2,3% no crime cibernético global.

Os hackers indianos foram acusados ​​de espionagem cibernética internacional quando uma série de ataques de espionagem foram feitas contra empresas civis e de interesse de segurança nacional, como a Porsche Holdings, a Delta Airlines, escritórios de advocacia dos EUA e alvos paquistaneses. O grupo de hackers operou por três anos e organizou ataques de phishing.

Apesar de muitas vezes não ser considerado criminosos, a Índia é também uma das principais fontes dos conhecidos e detestados Spammers.  Os baixos salários do país permitem que empresas de todo o mundo contratem exércitos de indianos para ficarem enchendo blogs e fóruns com propagandas (spams), manualmente ou através de spammer bots (robôs que fazem este trabalho).

 

9. ITÁLIA

Na nona posição da lista de países com a mais hackers e crimes cibernéticos, está a Itália. Cerca de 1,6% das atividades totais de cibercrimes são feitas pelos hackers italianos. Existem, aliás, dois hackers italianos muito famosos: Luigi Auriemma e Donato Farrante Aureima. Eles estão envolvidos em hackear sites governamentais e revelar publicamente informações sobre quaisquer ameaças de segurança.

 

10. HUNGRIA

O décimo lugar é ocupado pela Hungria. A Hungria é um pequeno país europeu, mas possui uma considerável rede de hackers. Ela bateu de perto a Coréia do Sul, tomando o 10º lugar no Ranking. Os hackers húngaros são responsáveis por 1,4% na atividade global de crimes cibernéticos.

 

Mas como se proteger de Hackers?

Com tantos crimes cibernéticos ocorrendo pelo mundo, como uma empresa pode se proteger, sem ter que contar com uma grande equipe de especialistas em Segurança da Internet?

A resposta está em adotar as melhores práticas de segurança em aplicações web. Por exemplo, as chamadas CDNs, além de melhorar o desempenho de sites, os deixam mais seguros, através da utilização dos chamados WAF, Web Application Firewalls.

Veja o tutorial: como se proteger de ataques vindos de outros países.

Esses firewalls agem como uma muralha entre o atacante e os sites das empresas/governos. Eles contam com uma série de bloqueios a ataques, permitindo até mesmo bloquear o acesso dos IPs desses países, considerados de alto risco.

Veja no vídeo abaixo como uma CDN pode ajudar a te proteger.

 

 

Empresas utilizam WAF e CDN para se protegerem de ataques de hackers

Segundo estatísticas divulgadas pelo CERT.br, Grupo de Resposta a Incidentes de Segurança para a Internet brasileira, só no último ano foram reportados nada menos que 647 mil incidentes referentes a ataques contra a segurança da informação de dados de empresas e organizações, utilizando a internet.

Deste total, 59,33% foram ataques do tipo Scan, quando os hackers fazem uma varredura na rede da empresa em busca de brechas de segurança, 15,87% foram tentativas de fraude e 9,34% ataques de negação de serviços, em que se pretende tirar o site da empresa do ar.

Apesar de alarmante, os números revelam uma expressiva melhora em relação ao ano de 2014, quando foi reportado o maior número de ataques, com mais de 1 milhão de incidentes envolvendo segurança da informação notificados ao órgão.

E foi exatamente por começarem a se defender preventivamente deste tipo de ameaça que as empresas conseguiram baixar esses números.

Mas como uma empresa pode tomar providências nesse sentido rapidamente, mesmo sem contar com um departamento de TI especializado no assunto?

A resposta está em adotar as melhores práticas de segurança em aplicações web, por exemplo, as chamadas CDNs, redes de distribuição de conteúdos que além de melhorar o desempenho de sites, os deixam mais seguros, através da utilização dos chamados WAF (Web Application Firewalls).

 

COMO O USO DE UMA CDN PODE DEIXAR SITES MAIS SEGUROS RAPIDAMENTE?

As providências de segurança em aplicações web envolvem uma diversidade de boas práticas que incluem criar um plano de segurança, fazer um inventário e definir suas aplicações web prioritárias, detectar vulnerabilidades, usar cookies de forma segura, endereços HTTPS, backups, fazer treinamentos, entre outras.

Mas uma das formas mais objetivas e rápidas de se implementar a segurança em um site de empresa pode ser o uso de uma CDN.

CDN (Content Delivery Network) significa Rede de Distribuição de Conteúdo. Essa rede armazena réplicas de outros sites na memória de diversos servidores espalhados pelo Brasil e pelo mundo. Posteriormente, será através dos servidores mais próximos dos usuários, que os conteúdos do site são entregues, proporcionando muito mais agilidade e rapidez para quem interagir com essas páginas.

E os benefícios não param por aí.
Um bom serviço CDN deve conter seu próprio sistema de proteção contra ataques e vulnerabilidades e, além disso, disponibilizar para seus usuários os famosos Firewalls, chamados tecnicamente de WAF (Web Application Firewall), que protegem os sites de ataques dos mais variados tipos e permitem filtrar o tráfego.

Existem diversas CDN disponíveis no mercado, mas qual deles escolher?

Para começar, especialistas recomendam o uso de uma CDN localizada no Brasil, porque tem seus servidores espalhados no país e, portanto, mais próximo dos usuários, tornando tudo muito mais rápido.

Além disso, um serviço instalado no Brasil não oferece risco cambial, isto é, um súbito aumento de preços em função de um alta repentina do dólar.

Por fim, servidores no Brasil garantem que seus usuários não serão afetados caso haja algum problema no link internacional, como houve, por exemplo, durante a passagem do último furacão em Porto Rico.

Outra dica importante é comparar o que cada CDN tem a oferecer, como o número de pontos de presença no Brasil, disponibilidade de canais para suporte técnico, se dá acesso a dados analíticos em tempo real e, principalmente, se conta com um acordo de qualidade de serviço SLA (Service Level Agreement).

Portanto, quem busca uma maneira rápida e ágil de proteger seu site e seus dados pode contar com uma CDN para isso, apenas deve tomar o cuidado de escolher a melhor opção para sua empresa.

Veja no vídeo abaixo, como uma CDN pode ter ajudar a proteger e acelerar seu site:

Conheça os Tipos de Certificado SSL

tipos de ssl

 

Conheça os Tipos de Certificado SSL

 

Mesmo os administradores dos servidores das mais robustas companhias de tecnologia, os gerentes de produtos financeiros de instituições consolidadas, até mesmo startups que estão se lançando no mundo digital, todos querem segurança em suas transações online.

 

É errôneo ignorar o poder decisivo que a segurança tem na mente de um consumidor online. Imagine-se em um momento de escolha entre qual site optar para adquirir um novo produto. Ao encontrar três opções de preços atraentes, qual fator vai impulsionar sua próxima ação?

 

No perfil do consumidor atual, a credibilidade e privacidade dos dados na internet são relevantes no momento da compra. Sites com histórico e reputação na internet determinam a autenticação e inconscientemente ou conscientemente finalizam o que o usuário busca.

 

A credibilidade de um site pode ser estabelecida com reviews, que são comentários de compradores anteriores sobre o processo de pagamento, entrega e da utilização dos produtos e serviços, e claro, dos certificados de segurança.

 

Chamados de SSL, a sigla vem do termo em inglês Secure Socket Layer e basicamente tem a mesma funcionalidade de proteger, criptografar informações durante as movimentações entre o usuário e o servidor.

 

Um site que possui o certificado de segurança passa de http:// para https:// (Hyper Text Transfer Protocol Secure), sendo a letra s referente à segurança, e também passa a apresentar o cadeado com a palavra seguro.

url segura

 

 

Para se compreender a relevância do SSL, saiba que o Google notifica o usuário quando o site não é seguro.

A notificação pode vir com o sinal de informação abaixo, onde diz que não há garantia de segurança.

site inseguro

 

 

 

 

Ou já informa que não há segurança definitivamente.

url insegura

 

 

E mesmo ao forçar incluir o https, a mensagem é:

conexao insegura

Outro fator compete aos mecanismos de buscas, que não dão um bom posicionamento para sites sem segurança e isso faz com que o site não seja encontrado com facilidade na rede. Leia mais sobre o certificado SSL neste artigo.

 

certificados ssl

Tenha um Certificado de Segurança

 

Antes de adquirir um certificado, é função dos gerenciadores fazer uma análise para saber qual o mais apropriado. Trata-se de segurança interna ou externa? Quais as funcionalidades e limites do certificado? Será instalado em qual software ou servidor? De qual sistema estamos falando? E quais as políticas de segurança envolvidas?  

 

Por trás de toda técnica, geralmente uma questão muito importante é negligenciada, estamos falando da Confiança do Cliente. Escolher um certificado de segurança não envolve somente a funcionalidade mas preferivelmente tem que conquistar a confiança do seu cliente.

 

Hoje encontramos três tipos de certificados que oferecem três níveis de confiança do usuário, são eles: Domain Validated (DV), Organization Validated (OV) e Extended Validated (EV). Traduzidos significam Validação de Domínio, Validação da Organização e Validação Estendida, respectivamente.

 

Certificado de Validação de Domínio

 

Certificado de Validação de Domínio são certificados mais básicos que, como o próprio nome já diz, conferem a validade do domínio. Em geral, são mais baratos do que os outros mas têm funcionalidades que atendem a maioria dos sites.

 

Pode tranquilamente ser usado em sites e blogs que trocam informações via formulários, como nome, email, telefone, pois fornece criptografia básica, garantindo a privacidade das informações e que não haverá acessos de terceiros.

 

Certificado de Validação da Organização

 

Certificados de Validação da Organização são confiáveis já que as mesmas são minuciosamente autenticadas por agentes reais, conferidas em banco de dados hospedados por governos e documentadas para registro da veracidade.

 

No OV também conta validação das informações empresariais, sendo assim recomendadas para projetos comerciais ou sites com mais tráfego e informações a serem trocadas.

 

Portanto, confere-se a veracidade e responsabilidade da empresa por trás do domínio, o que eleva o nível de confiança do cliente.

 

Certificado de Validação Estendida

Este é o certificado mais confiável dentre os três e o mais usado e desejado pelas organizações, pois além de todas as comprovações empresariais de responsabilidade nas informações, também passa por auditoria anual e verificações minuciosas.

 

Sites que possuem este certificado, mostram o nome da empresa junto ao domínio, destacados em verde.

certificado EV

 

SSL x Navegadores

 

Além de informar se o site fornece segurança ou não, os navegadores não aceitam determinados certificados.

 

certificado não confiável

 

Este é um exemplo de acesso pelo Google Chrome:

 

Por isso, verifique a compatibilidade dos certificados com os navegadores mais utilizados pelo seu público para garantir a segurança nas transações.

 

Caso você já tenha concluído a instalação do certificado em seu site e percebe que ele ainda carrega como http e https, é preciso forçar o acesso dentro do seu painel. Entenda como forçar o acesso SSL em seu site neste artigo.

 

Conclusão

 

Esperamos ter esclarecido a importância de ter um certificado SSL no seu site e os motivos pelos quais isso requer estudo e análise antes da contratação.

 

Investimentos que melhoram a experiência do usuário agregam muito mais ao seu usuário do que simplesmente baixar o valor dos seus produtos. A decisão final do consumidor vai além disso.

 

Algumas empresas de hospedagem de sites oferecem Certificados SSL gratuitos para planos de hospedagem que já exercem o papel com bastante eficiência, proteger e assegurar os dados e transações do seu site.

 

Este artigo foi produzido pela Hostinger, referência no mercado de hospedagem de sites, além de oferecer hospedagem barata, serviços de registro de domínio, certificado SSL e VPS. O Grupo Hostinger Global atua no Brasil com as marcas Hostinger e WebLink.

Bloquear seu site contra o acesso de IPs de outros países

Você sabia que quase 97% destes ataques de hackers a sites são originados fora do Brasil. E, mesmo os ataques brasileiros, são muito mais focados em computadores pessoais, com técnicas como Phishing e cavalos de tróia, do que ataques a servidores. (Veja os países mais perigosos, que geram mais ataques de hackers)

Rapidamente podemos concluir que, ao bloquear o acesso de IPs de outros países ao seu site, você pode reduzir drasticamente a possibilidade de ter seu servidor atacado por um hacker.

Além disso, se você tem um comércio eletrônico que vende apenas no Brasil, ou um Blog WordPress com artigos apenas em Português, qual é o sentido de deixar as portas escancaradas para que qualquer hacker, de qualquer lugar do mundo, possa te invadir? Você está correndo um risco totalmente desnecessário, concorda? Então aprenda abaixo uma pouco sobre o WAF.

Pelos motivos apresentados acima, cada dia mais blogs, sites e e-commerces tem utilizado o bloqueio de IPs internacionais como um forte reforço de segurança para seus servidores de internet. Esses bloqueios são normalmente feitos através do que chamamos de WAF, ou seja, Web Application Firewalls.

Este tipo de firewall é uma barreira que fica entre o seu site e o resto do mundo, evitando que um infinidade de tipos de ataques sequer cheguem a acessar seu servidor.

Existem atualmente algumas empresas que fornecem WAF no Brasil. Uma delas é a GoCache, que além de acelerar seu site através de uma CDN, ainda incorpora gratuitamente um WAF, para trazer mais segurança para suas aplicações na internet.

Se você já usa GoCache, veja como é simples bloquear o acesso de IP de outros países ao seu site:

No Painel de controle você escolhe o domínio ou site que deseja proteger e clica em segurança.

Depois, você clicará em Firewall e adicionará uma nova regra, que vai bloquear todos os IPs de um Continente.

Escolha, por exemplo, o continente Asiático:

Depois você escolhe uma “Ação do Firewall”, no caso será “Blacklist”, que significa que nenhum destes IPs (da ásia) poderá acessar seu servidor.

Depois basta clicar em Salvar. Você pode salvar esta regra só pra este domínio ou para todos os seus domínios que estão na GoCache, como preferir.

Pronto, com esta simples regra você está se protegendo de qualquer hacker que esteja em países da Ásia, incluindo países perigosos como China, Índia, Taiwan e Coréia. Só estes países já representam quase 50% dos ataques a sites no Mundo!

Mas lembrando que, apesar de ter grande parte de seu território na ásia, a Rússia é considerada um país Europeu e é uma das grandes fontes de ataques hacker no mundo. Então vamos nos proteger de acessos vindos de IP da Rússia também.

Repita o processo, mas dessa vez escolha “País” ao invés de “Continente”, depois escolha Russian Federation. Escolha “Blacklist”. Salve e estará pronto.

Você poderá repetir o processo para outros países ou continentes que desejar.

Depois, clique na aba “Geral”, escolha um nível de segurança e clique em ligar (On/Off).

Veja que seu firewall estará inicialmente em “Modo de Segurança” do tipo “Simular”. Isto significa que ele estará detectando as ameaças mas não estará bloqueando, estará apenas simulando.

E pra que serve essa simulação? É aconselhável você simular os bloqueios antes de colocá-los em prática, pois você pode ver se não está bloqueando algo que não queria.

Suponha, por exemplo, que você tem uma comunidade enorme de brasileiros que compram em seu website lá do Japão, mas você tinha esquecido. Na simulação você verá que está bloqueando os acessos de seus compradores do Japão e poderá então decidir colocar o Japão na sua “WhiteList”.

Você pode ver os acessos que seriam bloqueados clicando em “Eventos”.

Por fim, quando estiver feliz com as configurações que fez, bastará voltar na aba Geral e trocar “Simular” por “Bloquear”.

Pronto, agora seu site estará a salvo da grande maiorias do ataques de hackers que ocorrem pelo mundo.

Mas, se você ainda não usa a CDN da GoCache, faça um teste gratuito agora mesmo.

21 Dicas de Segurança pra Proteger seu site WordPress

É muito comum ver os proprietários de sites WordPress irritados com questões de segurança.

A opinião mais comum é que um software de código aberto (open source) é vulnerável a todos os tipos de ataques. Mas isso não é verdade – normalmente é o contrário. Ou, ok, digamos que é parcialmente verdade, mas mesmo assim você não deve culpar o WordPress.

Por quê? Porque costuma ser sua culpa que seu site tenha sido hackeado. Existem algumas responsabilidades que você precisa ter como proprietário de um site. Então, a questão-chave é sempre: o que você está fazendo para garantir a segurança do seu site?

Vamos ver abaixo alguns truques simples que podem ajudá-lo a proteger seu site WordPress:

protecao wordpress

Parte (a): Proteja a página de login e evite ataques de força bruta

Todos conhecem a URL padrão da página de login do WordPress. O backend do site é acessado a partir daí, e essa é a razão pela qual as pessoas tentam entrar na força bruta. Basta adicionar /wp-login.php ou /wp-admin/ no final do seu nome de domínio e pronto, o hacker já sabe a URL que deve atacar.

O que recomendamos é personalizar o URL da página de login. Essa é a primeira coisa a ser feita para começar a proteger seu site.

Abaixo estão mais algumas sugestões para proteger sua página de login:

 

1. Configurar bloqueio do site e proibir os usuários

Um recurso de bloqueio limitando o número de tentativas de login pode resolver um enorme problema, pois não dará mais pra ficar usando força-bruta, testando milhares de senhas. Sempre que alguém tentar hackear com senhas erradas e de forma repetitiva, o site ficará bloqueado e você será notificado dessa atividade não autorizada.

O plugin iThemes Security é um dos melhores plugins desse tipo, e já o uso há muito tempo. Esse plugin tem muito a oferecer a esse respeito. Você pode especificar um certo número de tentativas de login, após as quais o plugin proíbe acessos do endereço IP do invasor.

 (Alternativamente, você também pode usar o plugin Login LockDown que foi criado para ajudá-lo especificamente com esse problema.)

2. Use a autenticação de dois fatores

Apresentar a autenticação de 2 fatores (2FA) na página de login é outra boa medida de segurança. Nesse caso, o usuário fornece detalhes de login para dois componentes diferentes. O proprietário do site decide o que esses são esses dois fatores. Pode ser uma senha regular seguida de uma pergunta secreta, um código secreto, um conjunto de caracteres, etc.

Há pessoas que preferem usar um código secreto ao implantar o 2FA em seus sites. O plugin do Google Authenticator pode ajudar com isso em apenas alguns cliques.

3. Use o email como login

Por padrão, você deve inserir seu nome de usuário para fazer login. Usar uma ID de email em vez de um nome de usuário é uma abordagem mais segura. Os motivos são bastante óbvios. Os nomes de usuário são fáceis de prever, enquanto as IDs de e-mail não são. Além disso, qualquer conta de usuário do WordPress sempre é criada com um endereço de e-mail exclusivo, tornando-se um identificador válido para iniciar sessão.

O plug-in de Login por Email do WP funciona muito bem para isso. Ele começa a funcionar logo após a ativação e não requer nenhuma configuração.

Para testá-lo, basta sair do seu site e, em seguida, fazer login novamente, mas desta vez use o endereço de e-mail com o qual você criou a conta.

4. Renomeie seu URL de login

Alterar a URL de login é algo muito fácil de ser feito. Por padrão, a página de login do WordPress pode ser acessada facilmente em wp-login.php ou wp-admin, adicionado à URL principal do site. Exemplo: http://seublog.com/wp-admin

Quando os hackers conhecem a URL da sua página de login, eles podem tentar entrar na força bruta. Tentam fazer login com o GWDb (Guess Work Database, ou seja, um banco de dados de nomes de usuário e senhas, por exemplo, nome de usuário: admin e senha: p@ssword … com milhões de tais combinações).

Então, até este momento – se você acompanhou – já restringimos as tentativas de login do usuário e trocamos os nomes de usuário por IDs de e-mail. Agora podemos substituir o URL de login e eliminar 99% dos ataques diretos de força bruta.

Este pequeno truque restringe a entrada de alguém mal intencionado na página de login. Somente alguém com a URL exato pode fazer isso. Mais uma vez, o plugin iThemes Security pode ajudá-lo a alterar seus URLs de login. Algo como:

  • Altere wp-login.php para algo único; por exemplo my_new_login
  • Alterar /wp-admin/ para algo único; por exemplo my_new_admin
  • Mude /wp-login.php?action=register para algo único, ex: my_new_registration

5. Ajuste suas senhas

Trabalhe com as senhas do site e mude-as regularmente. Melhore sua força adicionando letras maiúsculas e minúsculas, números e caracteres especiais. Esse Gerador de Senha, por exemplo, pode te ajudar nessa tarefa.

ajuste de senha

Parte (b): proteja seu painel de administração

Para um hacker, a parte mais desejada de um site é o Painel do Administrador, que é de fato a seção mais protegida de todos. Então, atacar a parte mais forte é o verdadeiro desafio e, se cumprido, dá ao hacker uma vitória moral e o acesso para causar um dano enorme.

Veja o que você pode fazer para se proteger:

6. Proteja o diretório wp-admin

O diretório wp-admin é o coração de qualquer site do WordPress. Portanto, se esta parte do seu site for violada, todo o site pode ficar danificado.

Uma maneira de evitar isso é proteger com senha o diretório wp-admin . Com essa medida de segurança, o proprietário do site pode acessar o painel exibindo duas senhas. Um protege a página de login e a outra a área de administração do WordPress. Se os usuários do site forem obrigados a acessar algumas partes específicas do wp-admin , você pode desbloquear essas partes enquanto bloqueia o resto.

Você pode usar o plugin AskApache Password Protect para proteger a área de administração. Ele gera automaticamente um arquivo .htpasswd , criptografa a senha e configura as permissões de segurança do arquivo.

7. Use SSL para criptografar dados

A implementação de um certificado SSL (Secure Socket Layer) é uma jogada inteligente para proteger o painel de administração. O SSL garante a transferência segura de dados entre os navegadores dos usuários e o servidor, dificultando a invasão de hackers ou a falsificação de suas informações.

Obter um certificado SSL para o seu site WordPress não é um problema. Você pode comprar um de algumas empresas dedicadas, ou mesmo utilizar um Certificado SSL Gratuito .

O certificado SSL também afeta o ranking do seu site no Google. O Google classifica sites com SSL superiores aos que não possuem. Isso significa mais tráfego. Quem não quer isso?

8. Adicione contas de usuários com cuidado

Se você tiver um blog do WordPress com vários autores, então você precisa lidar com várias pessoas que acessam seu painel de administração. Isso pode tornar seu site mais vulnerável a ameaças de segurança.

Você pode usar um plugin que force seus usuários a usarem senhas fortes, assim você garante que as senhas que utilizam sejam seguras. Esta é apenas uma medida de precaução.

9. Altere o nome de usuário do administrador

Durante a instalação do WordPress, você nunca deve escolher “admin” como o nome de usuário da sua conta de administrador principal. Esse nome de usuário é fácil de adivinhar e acessível para hackers. Metade do trabalho dos hackers já estará feita, só vão precisar descobrir a senha, pois já sabem o ID do administrador.

Novamente, o plugin de iThemes Security pode interromper tentativas de Login do usuário Admin, de forma inteligente, proibindo imediatamente qualquer endereço IP que tente fazer login com esse nome de usuário.

 

10. Monitore seus arquivos

Se você quiser alguma segurança extra adicionada, você pode monitorar as alterações nos arquivos do site através de plugins como Wordfence ou, novamente, iThemes Security.

Parte (c): Proteja o banco de dados

Todos os dados e informações do seu site são armazenados no banco de dados. Cuidar disso é crucial. Aqui estão algumas coisas que você pode fazer para torná-lo mais seguro:

11. Altere o prefixo da tabela de banco de dados do WordPress

Se você já instalou o WordPress, você está familiarizado com o prefixo wp- table que é usado pelo banco de dados. É recomendado que você mude isso para algo único.

O uso do prefixo padrão torna o banco de dados do site propenso a ataques de injeção SQL. Esse ataque pode ser evitado mudando wp- para algum outro termo, por exemplo, você pode usar mywp- , wpnew- , etc.

Se você já instalou seu site do WordPress com o prefixo padrão, então você pode usar alguns plugins para alterá-lo. Plugins como WP-DBManager ou iThemes Security podem ajudá-lo a fazer o trabalho com apenas um clique de um botão. (Certifique-se de fazer uma cópia de segurança do seu site antes de fazer qualquer coisa no banco de dados).

12. Faça backup de seu site regularmente

Não importa o quão seguro o seu site é, sempre há margem para melhorias. E no final das contas, manter um backup, longe de seu servidor original, talvez seja o melhor antídoto, não importa o que aconteça.

Se você tem um backup, você sempre pode restaurar seu site WordPress para um estado de trabalho sempre que desejar. Existem alguns plugins que podem ajudá-lo a esse respeito. Por exemplo, existem todos estes.

protecao para wordpress

Se você está procurando uma solução premium, então eu recomendo o VaultPress pela Automattic, o que é excelente. Eu tenho configurado para criar backups a cada 30 minutos. E se alguma coisa ruim acontecer, eu posso facilmente restaurar o site com apenas um clique. Além disso, ele também verifica meu site em busca de malware, e me avisa se alguma coisa está acontecendo.

Outra opção é utilizar o site DropMySte. Ele faz backups diário dos seus arquivos e do seu banco de dados, e é super fácil restaurar caso tenha problemas.

13. Defina senhas fortes para o seu banco de dados

Uma senha forte para o usuário principal do banco de dados é uma obrigação!.

Como sempre, use letras maiúsculas, minúsculas, números e caracteres especiais para a senha. Recomendamos mais uma vez usar um gerador de senhas para isso

 

Parte (d): Proteja sua configuração de hospedagem

Quase todas as empresas de hospedagem afirmam fornecer um ambiente otimizado para o WordPress, mas ainda podemos dar um passo adiante:

14. WAF (Web Application Firewall)

Ao falarmos em proteção de Hospedagem, não há nada mais eficiente e completo que o novo conceito de Firewall para Web, mais conhecido como WAF – Web Application Firewall para WordPress.

O WAF para WordPress é um filtro de acesso ao ser servidor de hospedagem, que aplica um conjunto de regras, com o objetivo de proteger seu site de ataques comuns, tais como Cross-Site Scripting (XSS) e SQL Injection e DDoS. Isso tudo, antes mesmo do atacante sequer chegar ao seu servidor de hospedagem.

Esse tipo de serviço é muito recomendável e pode ser contratado individualmente, ou como parte integrante dos serviços disponibilizados por uma boa CDN (Veja o que é CDN).

WAF - Web Application Firewall

15. Proteja o arquivo wp-config.php

O arquivo wp-config.php contém informações cruciais sobre sua instalação do WordPress e, de fato, é o arquivo mais importante no diretório raiz do seu site. Protegê-lo significa proteger o núcleo do seu blog WordPress.

É difícil para hackers violar a segurança do seu site se o arquivo wp-config.php se tornar inacessível para eles.

A boa notícia é que fazer isso é realmente fácil. Basta pegar o seu arquivo wp-config.php e movê-lo para um nível superior ao seu diretório raiz.

Agora a questão é, se você armazená-lo em outro lugar, como o servidor irá acessá-lo? Na arquitetura atual do WordPress, mesmo que o arquivo de configuração seja armazenado um nível acima do diretório raiz, o WordPress ainda poderá vê-lo.

16. Proibir a edição de arquivos

Se um usuário tiver acesso de administrador ao seu painel do WordPress, ele pode editar quaisquer arquivos que façam parte da instalação. Isso inclui todos os plugins e temas.

No entanto, se você não permitir a edição de arquivos, mesmo que um hacker obtenha acesso de administrador ao seu painel do WordPress, eles ainda não poderão modificar nenhum arquivo.

Adicione o seguinte ao arquivo wp-config.php (no final):

define('DISALLOW_FILE_EDIT', true);

17. Conecte o servidor corretamente

Ao configurar seu site, conecte o servidor somente através de SFTP ou SSH. O SFTP é sempre preferido ao invés do FTP tradicional por causa de seus recursos de segurança que, claro, não são atribuídos ao FTP.

A conexão do servidor dessa maneira garante transferências seguras de todos os arquivos. Muitos provedores de hospedagem oferecem este serviço como parte de seu pacote. Caso contrário – você pode fazê-lo manualmente (procure no google por tutoriais, vai achar muita coisa).

 

18. Defina as permissões do diretório com cuidado

As permissões de diretório incorretas podem ser fatais, especialmente se você estiver trabalhando em um ambiente de hospedagem compartilhado.

Nesse caso, alterar arquivos e permissões de diretório é uma boa jogada para proteger o site no nível de hospedagem. Definir as permissões de diretório para “755” e os arquivos para “644” protegem todo o sistema de arquivos – diretórios, subdiretórios e arquivos individuais.

Isso pode ser feito manualmente através do Gerenciador de arquivos, dentro do seu painel de controle de hospedagem, ou através do terminal (conectado via SSH) – use o comando “chmod”.

Para mais informações, você pode ler sobre o esquema de permissão correto do WordPress ou instalar o plugin iThemes Security para verificar suas configurações de permissão atuais.

 

19. Desativar listagem de diretórios com .htaccess

Se você criar um novo diretório no seu site e não colocar um arquivo index.html dentro dele, você ficará surpreso ao descobrir que seus visitantes podem obter uma listagem completa do diretório e de tudo o que está lá dentro.

Por exemplo, se você criar um diretório chamado “dados”, você pode ver tudo nesse diretório simplesmente digitando http://www.seublog.com/dados/ no seu navegador. Nenhuma senha ou qualquer coisa é necessária.

Você pode evitar isso adicionando a seguinte linha de código no seu arquivo .htaccess :

Options All -Indexes

Parte (e): proteja seus temas e plugins do WordPress

Temas e plugins são ingredientes essenciais de qualquer website do WordPress. Infelizmente, eles também podem representar sérias ameaças à segurança. Vamos descobrir como podemos proteger os temas e plugins do WordPress da maneira correta:

20. Atualize regularmente

Todo bom produto de software é suportado por seus desenvolvedores e é atualizado frequentemente, o WordPress não foge à regra é atualizado com muita frequência. Essas atualizações destinam-se a corrigir erros e às vezes possuem patches de segurança muito importantes.

Não atualizar seus temas e plugins pode significar sérios problemas. Muitos hackers contam com o fato das pessoas não se preocuparem em atualizar seus plugins e temas. Na maioria das vezes, esses hackers exploram erros e falhas de segurança que já foram corrigidas nas versões atuais.

Então, se você estiver usando os produtos do WordPress, atualize-os regularmente plugins, temas, tudo.

21. Remova o número da versão do WordPress

Seu número de versão atual do WordPress pode ser encontrado com muita facilidade.

Isso é algo básico, se os hackers sabem qual versão do WordPress você usa, é mais fácil para elas criarem o ataque perfeito.

Quase todos os plugins de segurança que mencionamos acima podem ajudar você, ocultando o número de versão do seu WordPress.

Firewall Global na GoCache – proteção simples e eficiente para seus sites

Lançamento GoCache – Firewall Global

Novidade saindo do forno da nossa equipe de desenvolvimento! Clientes GoCache com múltiplos domínios em nossa plataforma contam com uma nova funcionalidade, o Firewall Global.

 

Qual é a diferença do Firewall Global?

 

Na GoCache todas as configurações são isoladas por domínio. O Firewall aplica as regras de whitelist/blacklist somente para o domínio onde foram configuradas.

Já o Firewall Global permite que as regras sejam aplicadas para os demais domínios presentes na conta.

Isso é extremamente útil para clientes com múltiplos domínios, como por exemplo é o caso das plataformas de e-commerce e agências digitais.

No dia a dia da operação deste tipo de cliente são comuns as tentativas de ataques. Muitas vezes sem saber qual site era o ofensor, havia a necessidade de criar uma regra de Firewall em cada domínio para mitigar esses acessos maliciosos na GoCache. Agora, com um único clique (ou chamada em nossa API), uma regra pode ser aplicada a todos os domínios de uma só vez.

 

Como funciona o Firewall Global?

 

No menu “Segurança” do seu painel de controle, acesse a aba “Firewall” e crie a regra desejada. Você verá que agora os botões exibidos na conclusão da regra são “Salvar para este domínio”, “Salvar para todos domínios”, além do botão “Cancelar”.

 

firewall global

A opção “Salvar para todos domínios” faz com que a regra seja automaticamente replicada para os demais domínios presentes na conta.

É possível identificar a regra global na lista de regras pois ela é assinalada como aplicável a todos os domínios:

firewall global regras

A regra global é exibida na lista de regras de firewall no mesmo formato para todos os domínios de uma mesma conta, no exemplo deste artigo a regra foi criada para o domínio gocache.com.br, veja o que aparece no painel do domínio gocache.net:

firewall global dominio extra

 

Com a implantação do Firewall Global as configurações de controle acesso ficam ainda mais fáceis e práticas para que administra múltiplos domínios na plataforma GoCache.

 

Safer, Faster, GoCache!

 

Como proteger seu site, loja virtual ou APP contra SQL Injection, XSS e Brute-Force usando WAF

Como proteger seu site ou loja virtual com WAF

 

Quem não está preocupado com a segurança da sua aplicação online? Quer saber como proteger seu site ou loja virtual com WAF? Vamos demonstrar neste artigo.

A configuração da segurança na camada de aplicação é crucial. Falhas podem levar a enormes prejuízos, financeiros e de reputação da sua marca.

Se você pensa que este é um problema exclusivamente das grandes empresas, ledo engano. Mais de 60% dos ataques têm como alvo as empresas de pequeno e médio porte. E a má notícia é que, caso um ataque destes seja bem sucedido, mais de 60% destas empresas irá fechar por não ter recursos suficientes para se recuperar.

Para um blog, perda ou deformação de conteúdo. Uma loja virtual pode sofrer roubo de dados, ou até mesmo fraudes em suas transações comerciais. Um aplicativo móvel pode ter suas chamadas de API clonadas e sofrer todos estes sintomas. A área administrativa de qualquer destas aplicações pode ser indevidamente acessada e o estrago pode ser irreparável.

Quem quer correr estes riscos?

Mas a pergunta que importa mesmo é, como saber se o seu site/loja/app está vulnerável? Ou se está na “mira” de algum usuário mal-intencionado?

Um case de uso do WAF

Resolvemos abrir um case para vocês, o do nosso próprio site – www.gocache.com.br

Em nosso site utilizamos o WordPress em sua última versão, com todos plugins atualizados e hospedado em servidor virtual.

Pouco antes de lançarmos nossa solução de WAF, partimos para o teste final, nada mais justo que testar a ferramenta em nosso site de produção.

A situação inicial

Ativamos o Web Application Firewall com alto critério de filtragem e em modo simulação, para que apenas fossem gerados logs, já que não queríamos arriscar um falso positivo.

Eis o resultado:

waf dia1

Tivemos apenas uma tentativa de acesso suspeita. Eis os detalhes do incidente:

log waf dia1

Pelas características do incidente deduzimos tratar-se de um robô, provavelmente sondando vulnerabilidades.

No segundo dia com a ferramenta ativa, percebemos que este tipo de acesso não era raro:

waf dia2

Foram 25 acessos que a ferramenta identificou como suspeitos.

Ao checar os detalhes destes eventos, identificamos o seguinte:
log1 waf dia2
log2 waf dia2

 

Além do acesso de um robô semelhante ao do primeiro dia, também houve tentativas de quebra de senha (brute-force) na área administrativa.

 

O tamanho do problema

Com o tempo o volume de acessos suspeitos foi aumentando consideravelmente. Ainda estávamos utilizando o modo de simulação da ferramenta para termos certeza de que não ocorreriam falsos positivos, ou que caso ocorressem poderíamos identificar e criar uma regra de filtragem que evitasse o falso positivo quando habilitássemos o modo de bloqueio.

Seguimos com o plano inicial, de gerar logs durante uma semana antes de ativar o bloqueio. Veja a que ponto chegamos:


waf dia4

waf dia4 pag2

log waf dia3

 

Sim, 14 páginas de log para o dia 13, apenas uma semana após o início do uso da ferramenta. Mais de 400 tentativas de ataque ao nosso site em apenas um dia.

 

A Solução

A esta altura já tinhamos dados suficientes para configurar uma regra de filtragem específica e então modificar o modo de funcionamento do WAF para “bloquear” ao invés de “simular”:

regra waf login

 

Note que para esta regra específica colocamos o WAF em modo “desafiar” ao invés de “bloquear”.  Isso porque para o tipo de ataque que identificamos, feito via robô, o desafio é uma medida um pouco menos drástica e quase tão eficiente quanto o bloqueio. O resultado desta regra é a exibição desta tela antes de apresentar os campos para autenticação na área administrativa do WordPress:

tela desafio waf

 

Com isso ficamos tranquilos para ativar o bloqueio completo dos acessos suspeitos.

 

Os Benefícios

O resultado, além da segurança da aplicação, é a economia de recursos computacionais e de rede, uma vez que os acessos bloqueados no WAF ficam na borda e não consomem a banda na infraestrutura de hospedagem.

Ou seja, além de proteção você também economiza.

Acreditamos que o uso de WAF não é mais uma opção, mas sim uma necessidade, e quem deixar para depois pode não ter tempo para se arrepender. É melhor prevenir do que remediar!