Dicas para aumentar a segurança da conta de hospedagem

Cada dia é mais comum encontrarmos na mídia notícias sobre ataques de todos os tipos a sites. Sites de governos, a rede da Sony / Playstation, o PayPal, estão entre os milhares de outros domínios ao redor do mundo que têm sido alvo de hackers (crackers), com objetivos os mais diversos. Nos casos mais famosos, há até razões consideradas mais “nobres”, como por exemplo, uma maneira de se realizar um protesto ideológico ou algo semelhante.

Mas na maioria das vezes os objetivos são bastante ilícitos ou mesmo medíocres. Há invasores que tem o prazer de desfigurar – “técnica” conhecida como defacing – apenas com o objetivo de melhorar seu status no meio cracker. Muitas vezes, a conta é mantida aparentemente intacta, mas o invasor a usa para, por exemplo, o envio de phishing ou spam. Em alguns casos a conta invadida integra uma rede de computadores zumbis, que permanecem a disposição do invasor para alguma ação em massa, como por exemplo, derrubar uma rede de servidores.

Dependendo do nível de conhecimento e determinação do invasor, há pouco o que se pode fazer, mas em muitos casos, alguns cuidados básicos dificultam muito - ou até mesmo consegue impedir - que os piratas virtuais tenham sucesso.

Eis a seguir os pontos que podem ajudar a garantir a integridade dos dados que você hospeda:

• Se você tem sites baseados em CMSs (Content Management System), é importante adotar alguns cuidados. CMSs desatualizados (WordPress, Joomla, OsCommerce, …) consistem em uma via popular de invasão. É bastante comum a exploração de vulnerabilidades nesses sistemas, justamente por serem atualmente empregados em muitos sites no mundo todo. Uma maneira de diminuir esses riscos é manter atualizado o sistema com a versão mais recente e não usar plugins que não tenham sido extensivamente testados e aprovados.
• Normalmente, os CMSs mais populares, tem comunidades que mantém fóruns ou algum site com atualizações, dicas, informações sobre segurança, falhas e correções relativas ao sistema. Cadastrar-se nestas mídias é importante para manter-se atualizado.
• Usar códigos de terceiros, sem certificar-se quanto à sua segurança e funcionamento, é perigoso. Há uma técnica amplamente difundida no meio, conhecida como CodeInjection, por meio da qual é razoavelmente simples usar uma página em PHP mal formulada para se ganhar acesso à conta de hospedagem. Portanto, se não tem certeza quanto à preocupação com o tratamento do código usado, não o use!
• Malwares (vírus, trojans, spywares, etc) nos computadores que têm acesso à conta (FTP, cPanel, MySQL remoto, etc), são outro motivo frequente de invasão. Mas tenha em mente que não existe software antivírus 100% eficaz.
• Senhas fracas (12345, admin, teste, qwerty, 102030). Uma recente pesquisa apontou dados alarmantes, entre eles, que a senha mais usada no mundo, é 123456. Uma conta que use uma senha como esta, é invadida sem trabalho algum. Senhas consideradas “fortes”, devem ter pelo menos 16 caracteres, combinando letras, números e caracteres especiais (@#$%&*{}). Lembrando que o sistema é case sensitive, ou seja, diferencia maiúsculas e minúsculas.
• Evite usar a mesma senha para várias contas ou para diversos fins (e-mail, cPanel, login no sistema operacional, etc). Se o invasor conseguir acesso a senha em uma condição como esta, conseguirá produzir um estrago muito maior.
• Acesso à conta (FTP, cPanel, MySQL remoto, etc) por meio de computadores ou redes cuja segurança não se possa garantir (lanhouse, wireless público), é altamente desaconselhável. No caso de uso de redes wireless, adotar procedimentos de segurança adicional, é vital. Consulte o manual do seu roteador wifi sobre os recursos de segurança que ele oferece. As precauções com padrão de senha da conta, devem ser igualmente aplicados à senha do seu acesso wifi.
• Adotar boas práticas de programação e segurança para sistemas próprios. É altamente recomendável inscrever-se em fóruns que tratam de questões de segurança ligadas à programação, como por exemplo, para impedir que o seu código não possa ser usado para CodeInjection.
• Usar permissionamento correto em pastas e arquivos. O padrão para permissões de pastas, é 755. Para arquivos, é 644. Permissionamento diferente do citado, só deve ser usado em situações MUITO especiais e em caráter TEMPORÁRIO.

A Mareweb trabalha incessantemente pesquisando e implantando práticas e ferramentas com o intuito de mantermos um ambiente de hospedagem seguro e estável. Entretanto, por mais que adotemos os padrões mais rígidos possíveis, se o cliente não fizer a sua parte, nossos esforços terão sido em vão. Para que os dados contidos em sua conta mantenham-se seguros, verifique com especial atenção se você está seguindo a risca cada um dos tópicos acima.