Formas mais comuns de invasão de sites por criadores de spam

Para proteger seu site de ataques futuros, é importante entender como ele foi comprometido. Este documento aborda algumas das vulnerabilidades de segurança que podem resultar no comprometimento do seu site.

O vídeo a seguir descreve os tipos de hacks e como os hackers assumem o controle do seu site.

Senhas comprometidas

Os invasores podem descobrir sua senha tentando várias senhas até acertar. Os ataques de adivinhação de senhas usam métodos como tentar senhas comuns ou verificar combinações aleatórias de letras e números. Para evitar isso, crie uma senha forte e difícil de adivinhar. Você pode encontrar dicas para criar uma senha forte no artigo da Central de Ajuda do Google.

Lembre-se de dois pontos.

  1. Evite reutilizar senhas em vários serviços. Depois que os invasores identificam uma combinação de nome de usuário e senha que funciona, eles tentam as credenciais em quantos serviços for possível. Use uma senha exclusiva para evitar que outras contas sejam comprometidas.
  2. Use a autenticação de dois fatores (2FA), como a verificação em duas etapas do Google. A 2FA adiciona uma segunda camada de credenciais, por meio de um código de mensagem de texto ou um PIN gerado dinamicamente, para impedir que invasores acessem sua conta. Alguns provedores de CMS têm orientações sobre como configurar a 2FA:

Atualizações de segurança perdidas

Versões de software mais antigas podem ter vulnerabilidades de segurança de alto risco que permitem que invasores comprometam um site inteiro. Os invasores procuram ativamente softwares antigos com vulnerabilidades. Ignorar vulnerabilidades aumenta o risco de ataque.

Exemplo:

  • Software de servidor da Web (se você hospedar seus próprios servidores).
  • Seu sistema de gerenciamento de conteúdo (CMS). Por exemplo, versões de segurança do Wordpress, Drupal, e Joomla!.
  • Todos os plug-ins e complementos que você usa no seu site.

Temas e plug-ins não seguros

Os temas e plug-ins do CMS adicionam recursos valiosos. No entanto, temas e plug-ins desatualizados ou não corrigidos são uma grande fonte de vulnerabilidades. Mantenha temas e plug-ins atualizados. Remova temas ou plug-ins que não são mais mantidos.

Tenha muito cuidado com plug-ins ou temas sem custo financeiro de sites não confiáveis. É uma tática comum para invasores adicionar código malicioso a versões sem custo financeiro de plug-ins ou temas pagos. Ao remover um plug-in, remova todos os arquivos dele do servidor em vez de apenas desativá-lo.

Engenharia social

A engenharia social explora a natureza humana para ignorar a segurança. Esses ataques enganam os usuários para que forneçam informações confidenciais, como senhas. Uma forma comum de engenharia social é o phishing. Em uma tentativa de phishing, um invasor envia um e-mail fingindo ser uma organização legítima para solicitar informações confidenciais.

Nunca compartilhe informações sensíveis (por exemplo, senhas, números de cartão de crédito, informações bancárias ou até mesmo sua data de nascimento), a menos que você tenha certeza da identidade do solicitante. Se várias pessoas gerenciarem seu site, ofereça treinamento para aumentar a conscientização sobre engenharia social. Para dicas básicas de proteção contra phishing, consulte a Central de Ajuda do Gmail.

Buracos na política de segurança

Se você é um administrador de sistemas ou hospeda seu próprio site, políticas de segurança inadequadas podem permitir que invasores comprometam seu site. Exemplos incluem:

  • Permitir que os usuários criem senhas fracas.
  • Conceder acesso administrativo a usuários que não precisam dele.
  • Não ativar o HTTPS e permitir que os usuários façam login usando HTTP.
  • Permitir uploads de arquivos de usuários não autenticados sem verificação de tipo.

Confira algumas dicas para proteger seu site:

  • Configure seu site com controles de alta segurança desativando serviços desnecessários.
  • Teste os controles de acesso e os privilégios do usuário.
  • Use criptografia para páginas que processam informações sensíveis, como páginas de login.
  • Verifique seus registros regularmente para atividades suspeitas.

Vazamentos de dados

Os vazamentos de dados ocorrem quando dados confidenciais são enviados e configurados incorretamente para serem disponibilizados publicamente. Por exemplo, mensagens de erro de aplicativos da Web podem vazar informações de configuração. Usando um método conhecido como "dorking", agentes maliciosos podem explorar a funcionalidade do mecanismo de pesquisa para encontrar esses dados.

Verifique periodicamente e restrinja dados confidenciais para garantir que seu site não revele informações sensíveis. Se você descobrir informações sensíveis no seu site que precisam ser removidas urgentemente da Pesquisa Google, use a ferramenta de remoção de URL.