Este wikiHow ensina como garantir que seu site esteja protegido contra ataques. Usar um certificado SSL e HTTPS é a maneira mais fácil de proteger um endereço, mas há algumas outras coisas que você pode fazer para evitar que hackers e malware comprometam seu site.
Passos
Etapa 1. Mantenha seu site atualizado
Deixar de atualizar o software, a segurança e os scripts do seu site quando necessário é uma maneira garantida de permitir que invasores e malware tirem proveito do seu site.
- Isso também se aplica aos patches do serviço de hospedagem do seu site (se aplicável). Sempre que uma atualização para o seu site estiver disponível, instale-a o mais imediatamente possível.
- Você também deve manter os certificados do seu site atualizados. Embora isso não afete diretamente a segurança do seu site, vai garantir que ele continue a aparecer nos mecanismos de pesquisa.
Etapa 2. Use software de segurança ou plug-ins
Existem vários firewalls de sites diferentes nos quais você pode se inscrever para proteção constante, e os serviços de hospedagem de sites como o WordPress costumam oferecer plug-ins de segurança também. Assim como proteger seu computador com um programa antivírus, é aconselhável proteger seu site com um software de segurança.
- O Firewall Sucuri é uma boa opção paga, e você deve conseguir encontrar um firewall gratuito ou plug-ins de segurança para WordPress, Weebly, Wix e outros serviços de hospedagem.
- Os firewalls de aplicativos de sites (WAFs) são geralmente baseados em nuvem, o que significa que você não deve baixar nenhum software em seu computador para usá-los.
Etapa 3. Impedir que os usuários enviem arquivos
Permitir que as pessoas carreguem arquivos no seu site automaticamente cria uma vulnerabilidade de segurança. Se possível, remova todos os formulários ou áreas para os quais os usuários do site podem enviar arquivos.
- A limitação de formulários que permitem uploads para suportar apenas um tipo de arquivo (por exemplo,-j.webp" />
- Isso pode ser complicado se o seu site depender de um formulário de página da web para coisas como o envio de cartas de apresentação. Você pode contornar esse problema configurando um endereço de e-mail para envios e adicionando o endereço à sua página "Contato" para que os usuários possam enviar seus arquivos por e-mail em vez de enviá-los ao seu site.
Etapa 4. Instale um certificado SSL
Um certificado SSL essencialmente confirma que seu site é seguro e capaz de transferir informações criptografadas entre o seu servidor e o navegador de uma pessoa. Normalmente, você terá que pagar uma taxa anual para manter seu certificado SSL.
- As opções de distribuição de SSL pago incluem GoGetSSL e SSLs.com.
- Um serviço gratuito chamado "Let's Encrypt" também emitirá um certificado SSL.
- Ao escolher um certificado SSL, você tem três opções: validação de domínio, validação de negócios e validação estendida. A validação de negócios e a validação estendida são exigidas pelo Google para receber a barra verde "Segura" ao lado do URL do seu site.
Etapa 5. Use criptografia
Depois de instalar um certificado SSL, seu site deve se qualificar para criptografia HTTPS; geralmente você pode ativar a criptografia HTTPS instalando seu certificado SSL na seção "Certificados" do seu site.
- Se você usa uma plataforma de site como WordPress ou Weebly, seu site provavelmente já usa
- Um certificado HTTPS deve ser renovado a cada ano.
Etapa 6. Crie senhas seguras
Usar senhas exclusivas para os aspectos do seu site de nível de administrador não é suficiente; você precisará criar senhas complicadas e aleatórias que não sejam replicadas em nenhum outro lugar e armazenem sua chave em algum lugar fora do diretório do site.
Por exemplo, você pode usar uma mistura de letras e números de 16 dígitos como senha. Você pode então armazenar a senha em um arquivo offline em um computador ou disco rígido diferente
Etapa 7. Ocultar suas pastas de administrador
Nomear a pasta de arquivos confidenciais do seu site como "admin" ou "root" é conveniente; infelizmente, isso vale tanto para você quanto para os hackers. Alterar o nome da localização desses arquivos para algo chato (por exemplo, "Nova pasta (2)" ou "histórico") pode tornar mais difícil para possíveis invasores localizar seus arquivos.
Etapa 8. Mantenha as mensagens de erro simples
Se a sua mensagem de erro fornecer muitas informações, os hackers e malware podem explorar as informações para encontrar e obter acesso a coisas como o diretório raiz do seu site. Em vez de adicionar detalhes explícitos às mensagens de erro do seu site, considere oferecer um pedido de desculpas conciso e vincular de volta ao site principal.
Isso vale para qualquer coisa, de erros 404 a códigos de servidor do tipo 500
Etapa 9. Sempre hash as senhas
Se você armazenar senhas de usuário em seu site, certifique-se de armazená-las em um formato de hash. Um erro comum entre novos proprietários de sites é armazenar senhas em formato de texto simples, o que torna as senhas fáceis de roubar se um hacker conseguir encontrar o arquivo.
Mesmo sites prolíficos como o Twitter foram culpados desse erro no passado
Pontas
- Contratar um consultor de segurança da web para dar uma olhada em seus scripts é a maneira mais rápida (embora a mais cara) de resolver possíveis falhas em seu site.
- Sempre teste seu site por meio de uma ferramenta de segurança (por exemplo, Observatório da Mozilla) antes de publicar a versão mais recente.