É fácil cometer erros durante a excitação de abrir um novo site Como fazer um site: Para iniciantes Como fazer um site: Para iniciantes Hoje eu vou estar guiando você através do processo de fazer um site completo a partir do zero. Não se preocupe se isso parece difícil. Eu irei te guiar através disso a cada passo do caminho. Consulte Mais informação . Preparar uma pequena loja, portfólio ou blog é muito divertido - mas lidar com brechas de segurança e hacks é muito menos do que isso. Quando você está configurando um novo website, é importante garantir que ele esteja seguro.
Felizmente, a maioria das coisas que você deve fazer são muito fáceis. Alguns vão demorar um pouco, mas é um investimento digno. Não deixe seu site desprotegido! Aqui estão 10 coisas que você pode fazer para mantê-lo seguro.
1. Escolha um registrador de domínio seguro
Ao registrar seu domínio, você quer ter certeza de que ninguém vai ter controle sobre ele. Se um mal-intencionado conseguir entrar no registrador de seu domínio, ele poderá transferi-lo para si ou causar mais danos.
Existem algumas opções para registradores de domínio que usam autenticação de dois fatores (2FA) O que é autenticação de dois fatores e por que você deve usá-la O que é autenticação de dois fatores e por que você deve usá-la Autenticação de dois fatores (2FA) é um método de segurança que requer duas maneiras diferentes de provar sua identidade. É comumente usado na vida cotidiana. Por exemplo, pagando com um cartão de crédito, não só exige o cartão, ... Leia Mais. Isso adiciona mais um nível de segurança e dificulta o acesso de outra pessoa. Mesmo que alguém consiga obter sua senha, ela provavelmente não terá acesso ao seu telefone.
Aqui estão alguns registradores que oferecem 2FA:
- Dynadot
- Vai Papai
- Lexsynergy
- Name.com
- NameCheap
2. Esconder suas informações de WHOIS
Cada site tem uma entrada WHOIS, e se você não tomar medidas para garantir que suas informações estejam protegidas, seu nome e endereço de e-mail será fácil para as empresas de spam encontrarem. Tanto o seu nome como o seu endereço de e-mail são necessários para o roubo de identidade, portanto, mantê-los privados pode ajudar a protegê-lo também.
A maioria dos hosts da web oferece registro WHOIS anônimo por uma pequena taxa, mas há alguns que fornecem isso gratuitamente. Tanto o Dreamhost quanto o 1and1 permitem que você abra um site com informações WHOIS anônimas sem nenhum custo.
Se você decidir pagar por isso ou não, faça o que puder para manter seu nome e e-mail (ou mesmo apenas seu endereço de e-mail) fora do seu registro WHOIS. Você economizará tempo de lidar com muito spam e dificultará um pouco mais a obtenção de informações por parte de alguém.
3. Mude suas senhas
Espero que isso seja óbvio, mas mude suas senhas imediatamente Como gerar senhas fortes que combinam com sua personalidade Como gerar senhas fortes que correspondam à sua personalidade Sem uma senha forte, você pode rapidamente se encontrar na extremidade receptora de um crime cibernético. Uma maneira de criar uma senha memorável seria combiná-la com sua personalidade. Consulte Mais informação . Se o seu domínio, host, CMS ou qualquer outra coisa vier com uma senha de administrador padrão, altere-a. Você deve até mudar o seu nome de usuário de "admin" para outra coisa, se esse for o padrão.
Não é uma má idéia mudar suas senhas regularmente também. Use um gerenciador de senhas 7 Clever Password Manager Superpotências Você tem que começar a usar 7 Superpotências de gerenciador de senhas inteligentes Você tem que começar a usar Gerenciadores de senhas carregam um monte de ótimos recursos, mas você sabia sobre isso? Aqui estão sete aspectos de um gerenciador de senhas que você deve aproveitar. Leia mais para acompanhá-los e verifique se eles são seguros.
4. Atualize o software do seu site
Depois de ter garantido o seu registro, é hora de proteger o site em si. E o primeiro passo para isso - bem como o primeiro passo para garantir qualquer outra coisa - é manter tudo atualizado.
Conforme as empresas descobrem falhas em sua segurança, elas lançam patches e atualizações. Se você não estiver atualizando seu software, ficará vulnerável. A maioria dos hosts torna isso muito fácil e, muitas vezes, o lembra de atualizar quando há uma nova versão disponível. Mesmo assim, é uma boa ideia verificar regularmente as informações da sua versão.
5. Use os plugins de segurança
Se você estiver usando um sistema de gerenciamento de conteúdo (CMS) 10 Sistemas de Gerenciamento de Conteúdo Mais Populares Online 10 Sistemas de Gerenciamento de Conteúdo Mais Populares Online Os dias de páginas HTML codificadas manualmente e de masterização de CSS desapareceram. Instale um sistema de gerenciamento de conteúdo (CMS) e em poucos minutos você pode ter um site para compartilhar com o mundo. Leia mais, existem plugins de segurança disponíveis para isso. Os grandes como WordPress 18 Plugins de Segurança Wordpress & Dicas para proteger o seu blog 18 Plugins de Segurança Wordpress & Dicas para proteger o seu blog Leia mais, Drupal, Joomla e Magento todos têm uma tonelada deles. Tudo o que você precisa fazer é escolher os que melhor se adaptam à sua situação, depois baixá-los, instalá-los e ativá-los.
Cada CMS e extensão de segurança lhe dará conselhos diferentes sobre exatamente o que você deve usar. Também é uma boa ideia consultar revisões de terceiros sobre plug-ins de segurança. Mas se o plug-in for feito por um fornecedor respeitável, ajudará a manter seu site seguro. Use configurações de segurança mais altas para eliminar ainda mais vulnerabilidades e mantenha suas extensões atualizadas também.
6. Ativar HTTPS
Não é apenas sua própria segurança que você deve pensar. Seus visitantes e o Google irão apreciar que você criptografe todo o tráfego em seu site. Especialmente se seus visitantes compartilharem informações confidenciais.
Alguns serviços de hospedagem ativam automaticamente o HTTPS para você, e outros permitem que você faça isso com um clique ou dois. Se você for uma hospedagem própria ou simplesmente alugar um espaço no servidor, talvez seja necessário fazer isso da maneira mais difícil. Isso envolve comprar um certificado SSL, ativá-lo e configurar seu site para usar HTTPS.
Não é especialmente complicado, mas o processo pode ser diferente no seu serviço de hospedagem, portanto, verifique com eles para encontrar a melhor maneira de fazê-lo.
7. Verifique as permissões
Vários usuários do seu site terão diferentes níveis de permissão. Como administrador, você terá permissão para alterar o que quiser - outras pessoas devem ser mais restritas. Os CMSs geralmente permitem que você altere as permissões para visitantes, visitantes conectados, editores, colaboradores e muitos outros grupos de usuários.
Pense em quanto acesso cada grupo deve ter. Seus editores precisam criar novos usuários? Seus leitores devem poder editar páginas? Conceda a todos o menor número de permissões possíveis para que façam seu trabalho.
Se você quiser ficar realmente técnico, você pode usar um cliente FTP Como transformar o Windows File Explorer em um cliente FTP Como transformar o Windows File Explorer em um cliente FTP Quando você precisar mover arquivos entre computadores, o FTP é uma ótima maneira de fazer isto. E se você usar o Windows File Explorer, não precisará mais de um cliente FTP de terceiros. Veja como ... Leia Mais para ver todos os arquivos em seu site e verifique suas permissões em notação simbólica ou numérica. Você pode então usar o terminal de comando para alterar as permissões. (Se você não tem ideia do que eu estou falando, tenha cuidado com isso!)
8. Ocultar suas páginas de administração
As páginas que você usa para fazer login e gerenciar seu site não devem ficar visíveis para os mecanismos de pesquisa. Isso pode não parecer muito como uma medida de segurança, mas torna mais difícil para as pessoas com más intenções encontrarem essas páginas. E porque geralmente é muito fácil de fazer, vale a pena levar alguns minutos.
Alguns CMSs e plugins de segurança permitem ocultar essas páginas dos mecanismos de pesquisa. Se o seu não fornecer essa funcionalidade, você poderá fazê-lo manualmente editando o arquivo robots.txt, que deve estar acessível nas configurações do CMS ou na seção do administrador do cPanel. Adicione o seguinte ao arquivo:
User-agent: * Disallow: [the relative URL of the page]
No WordPress, você usaria “/ wp-admin /” como o URL. Outros CMSs terão URLs diferentes. Você também pode proibir qualquer outra página que os usuários não precisem ver. Não só isso é bom para a segurança, mas também pode ajudar o seu SEO!
9. Proteger contra scripts entre sites
O XSS é uma tática de hacking O que é uma ameaça à segurança? O que é uma ameaça à segurança? As vulnerabilidades de script entre sites são o maior problema de segurança de sites hoje. Estudos descobriram que eles são surpreendentemente comuns - 55% dos sites continham vulnerabilidades XSS em 2011, de acordo com o último relatório da White Hat Security, lançado em junho ... Read More que envolve a execução de código em seu site através de métodos de round-about. Isso poderia acontecer em um formulário de contato, por exemplo. Ao incluir um script no formulário de contato, um hacker pode fazer com que seu site execute esse código, dando-lhe acesso ou causando estragos.
Proteger contra este tipo de ataque é realmente bastante complicado. Se você quer aprender sobre os métodos que você pode usar, confira esta incrível folha de fraude anti-XSS do OWASP. Se você está menos inclinado tecnicamente, há muitos plugins anti-XSS disponíveis. Alguns plug-ins de segurança padrão podem cobrir essa vulnerabilidade, mas não presuma que isso aconteça. Verifique se você está protegido.
10. Evitar vazamento de informações
Enquanto XSS, injeção SQL O que é uma injeção SQL? [MakeUseOf explica] O que é uma injeção de SQL? [MakeUseOf Explains] O mundo da segurança da Internet está repleto de portas abertas, backdoors, falhas de segurança, cavalos de Tróia, worms, vulnerabilidades de firewall e uma série de outras questões que nos mantêm todos os dias em nossos dedos. Para usuários particulares, ... Read More, quebra de senhas e outros métodos de hacking podem parecer os mais perigosos, muitas vezes são as coisas mais simples que causam problemas. O vazamento de informações é uma dessas coisas.
Quando você acidentalmente fornece informações que não pretendia (ou não sabe), isso é vazamento de informações. É fácil para os desenvolvedores deixar acidentalmente comentários HTML no código do seu site, por exemplo, que contêm informações confidenciais.
Se você estiver trabalhando com uma implementação padrão do CMS, isso não será um grande problema. Mas se você fez alguém projetar um tema personalizado para você, ou fez um extenso trabalho de desenvolvimento no site, você deve verificar se há vazamento de informações. Uma das melhores maneiras é simplesmente usar a opção Exibir código-fonte no seu navegador e verificar rapidamente os comentários em HTML que não foram excluídos.
Sites maiores, com centenas ou milhares de páginas, podem exigir que um especialista em segurança dedicado (ou pelo menos um estagiário) passe por esse processo. De qualquer maneira, é uma coisa fácil de verificar, por isso não pule.
Proteja seu site agora!
Quando você cria um novo site, há muitas coisas que você precisa fazer. E é fácil esquecer essas medidas básicas de segurança. Mas eles podem poupar muitos problemas (e potencialmente muito dinheiro) a longo prazo. Então não pule neles! Verifique se seu site está seguro antes de começar a trabalhar em seu conteúdo.
Que outras dicas você tem para proteger novos sites? Compartilhe seus pensamentos nos comentários abaixo!