Entender como seu site foi comprometido é uma parte importante da proteção contra ataques. Esta página aborda algumas vulnerabilidades de segurança que podem resultar na invasão do seu site.
O vídeo a seguir descreve os diferentes tipos de invasões e como os hackers podem assumir o controle do seu site.
Senhas comprometidas
Os invasores podem usar técnicas de adivinhação de senhas tentando diferentes senhas até acertar a correta. Os ataques de adivinhação de senhas podem ser realizados por vários métodos, como tentar senhas comuns ou verificar combinações aleatórias de letras e números até que a senha seja descoberta. Para evitar isso, crie uma senha forte que seja difícil de adivinhar. Confira dicas para criar uma senha forte no artigo da Central de Ajuda do Google.
É importante lembrar de dois pontos. Primeiro, é importante evitar reutilizar senhas em vários serviços. Depois de identificar uma combinação de nome de usuário e senha que funciona, os invasores tentam usar essa combinação em o máximo de serviços possível. Portanto, usar senhas diferentes em serviços diferentes pode evitar que outras contas em outros serviços sejam comprometidas.
Em segundo lugar, aproveite a autenticação de dois fatores (2FA), como a verificação em duas etapas do Google, se a opção estiver disponível. A 2FA permite uma segunda camada de credenciais de login, geralmente por um código de mensagem de texto ou outro PIN gerado dinamicamente, que diminui a capacidade de um invasor acessar sua conta apenas com uma senha roubada. Alguns provedores de CMS têm orientações sobre como configurar a 2FA. Consulte a documentação do Joomla!, WordPress ou Drupal.
Atualizações de segurança perdidas
Versões anteriores de software podem ser afetadas por vulnerabilidades de segurança de alto risco que permitem que invasores comprometam um site inteiro. Os invasores procuram ativamente softwares antigos com vulnerabilidades. Ignorar uma vulnerabilidade no seu site aumenta a chance de ele ser atacado.
Confira alguns exemplos de softwares que você precisa manter atualizados:
- Software de servidor da Web, se você executa seus próprios servidores.
- Seu sistema de gerenciamento de conteúdo (CMS). Exemplo: lançamentos de segurança do Wordpress, Drupal e Joomla!.
- Todos os plug-ins e complementos que você usa no seu site.
Temas e plug-ins inseguros
Os plug-ins e temas em um CMS adicionam recursos valiosos e aprimorados. No entanto, temas e plug-ins desatualizados ou sem patch são uma grande fonte de vulnerabilidades em sites. Se você usa temas ou plug-ins no site, mantenha-os atualizados. Remova temas ou plug-ins que não são mais mantidos pelos desenvolvedores.
Tenha muito cuidado com plug-ins ou temas sem custo financeiro de sites não confiáveis. É uma tática comum de invasores adicionar código malicioso a versões sem custo financeiro de plug-ins ou temas pagos. Ao remover um plug-in, remova todos os arquivos dele do servidor em vez de apenas desativá-lo.
Engenharia social
Engenharia social é a exploração da natureza humana para burlar infraestruturas de segurança sofisticadas. Esses tipos de ataques enganam usuários autorizados para que eles forneçam informações confidenciais, como senhas. Uma forma comum de engenharia social é o phishing. Durante uma tentativa de phishing, um invasor envia um e-mail fingindo ser uma organização legítima e pede informações confidenciais.
Nunca forneça informações sensíveis (por exemplo, senhas, números de cartão de crédito, informações bancárias ou até mesmo sua data de nascimento), a menos que você tenha certeza da identidade do solicitante. Se o site for gerenciado por várias pessoas, ofereça treinamento para aumentar a conscientização sobre segurança contra ataques de engenharia social. Para dicas básicas de proteção contra phishing, consulte a Central de Ajuda do Gmail.
Buracos na política de segurança
Se você é administrador de sistema ou gerencia seu próprio site, lembre-se de que políticas de segurança deficientes podem permitir que invasores comprometam seu site. Veja alguns exemplos:
- Permitir que os usuários criem senhas fracas.
- Conceder acesso administrativo a usuários que não precisam dele.
- Não ativar o HTTPS no seu site e permitir que os usuários façam login usando HTTP.
- Permitir uploads de arquivos de usuários não autenticados ou sem verificação de tipo.
Veja algumas dicas básicas para proteção do site:
- Desative serviços desnecessários para garantir que seu site esteja configurado com controles de alta segurança.
- Teste os controles de acesso e os privilégios do usuário.
- Use criptografia em páginas que lidam com informações sensíveis, como páginas de login.
- Verifique seus registros regularmente para identificar atividades suspeitas.
Vazamentos de dados
Os vazamentos de dados podem acontecer quando dados confidenciais são enviados e uma configuração incorreta torna essas informações confidenciais disponíveis publicamente. Por exemplo, o tratamento de erros e o envio de mensagens em um aplicativo da Web podem vazar informações de configuração em uma mensagem de erro não tratada. Usando um método conhecido como dorking, agentes maliciosos podem explorar a funcionalidade do mecanismo de pesquisa para encontrar esses dados.
Faça verificações periódicas e restrinja dados confidenciais a entidades confiáveis por meio de políticas de segurança para garantir que seu site não revele informações sensíveis a usuários não autorizados. Se você descobrir informações sensíveis exibidas no seu site que precisam ser removidas com urgência dos resultados da Pesquisa Google, use a ferramenta de remoção de URL para remover URLs individuais da Pesquisa Google.