Chrome Dev Summit 2018 is happening now and streaming live on YouTube. Watch now.

Formas mais comuns de invasão de websites por criadores de spam

Saber como seu site foi comprometido é parte importante da proteção contra ataques. Neste artigo, abordaremos algumas vulnerabilidades de segurança que podem comprometer o site.

Senhas comprometidas

Os invasores podem usar técnicas de adivinhação de senhas, tentando diferentes combinações até adivinharem a correta. Os ataques de adivinhação de senha podem ser feitos por meio de vários métodos, como tentar senhas comuns ou inserir combinações aleatórias de letras e números até que a senha seja descoberta. Para evitar isso, crie uma senha forte que seja difícil de adivinhar. Veja as dicas para criar uma senha forte no artigo da Central de Ajuda do Google.

É importante lembrar de dois pontos. Primeiro, é essencial evitar a reutilização de senhas em diferentes serviços. Depois que os invasores identificarem uma combinação de nome de usuário e senha, eles tentarão usar essa combinação em todos os serviços possíveis. Portanto, usar senhas distintas em diferentes serviços pode impedir que as contas de outros serviços sejam comprometidas.

Em segundo lugar, use a autenticação de dois fatores (2FA), como a Verificação em duas etapas do Google, se essa opção estiver disponível. A 2FA cria uma segunda camada de credenciais de login, geralmente por um código enviado por mensagem de texto ou outro código gerado dinamicamente, o que diminui a possibilidade de um invasor acessar sua conta somente com uma senha roubada. Alguns fornecedores de CMS têm orientações sobre a configuração da 2FA. Para isso, consulte a documentação do Joomla! , WordPress ou Drupal.

Falta de atualizações de segurança

Versões mais antigas de softwares podem ser afetadas por vulnerabilidades de segurança de alto risco que permitem aos invasores comprometerem um site inteiro. Os invasores procuram ativamente softwares antigos com vulnerabilidades. Ignorar uma vulnerabilidade no site aumenta a chance de que ele seja atacado.

Observação: é essencial verificar periodicamente as atualizações de software do site para corrigir vulnerabilidades. É ainda melhor ativar as atualizações automáticas do software, quando possível, e inscrever-se em listas de avisos de segurança dos softwares em execução.

Veja abaixo alguns exemplos de softwares que devem ser atualizados:

  • Softwares servidores da Web, caso você gerencie seus próprios servidores.
  • Sistemas de gerenciamento de conteúdo. Por exemplo: atualizações de segurança do WordPpress, Drupal e Joomla!.
  • Todos os plug-ins e complementos usados no site.

Temas e plug-ins inseguros

Os plug-ins e temas em um CMS adicionam funcionalidades valiosas e aprimoradas. No entanto, se não estiverem atualizados nem corrigidos, eles serão uma fonte considerável de vulnerabilidades em websites. Se você usa temas ou plug-ins no site, mantenha-os atualizados. Remova temas ou plug-ins que não são mais mantidos pelos desenvolvedores.

Seja extremamente cauteloso com plug-ins ou temas gratuitos de sites não confiáveis. É comum que os atacantes adicionem códigos maliciosos a versões gratuitas de complementos ou temas pagos. Ao remover um plug-in, remova todos os arquivos do servidor, em vez de simplesmente desativá-lo.

Engenharia social

A engenharia social envolve a exploração da natureza humana para contornar infraestruturas de segurança sofisticadas. Esses tipos de ataques enganam os usuários autorizados para que eles forneçam informações confidenciais, como senhas. Por exemplo, uma forma comum de engenharia social é o phishing. Durante uma tentativa de phishing, o invasor envia um email fingindo ser uma organização legítima e solicita informações confidenciais.

Observação: de acordo com um estudo do Google sobre engenharia social, as campanhas de phishing mais eficazes têm uma taxa de sucesso de 45%.

Nunca dê informações confidenciais (por exemplo, senhas, números de cartão de crédito, informações bancárias ou até a data de nascimento), a menos que você tenha certeza sobre a identidade do requerente. Se o site for gerenciado por várias pessoas, considere fornecer treinamento para conscientizá-las sobre a segurança contra ataques de engenharia social. Consulte a Central de Ajuda do Gmail para ver dicas básicas de proteção contra phishing.

Buracos na política de segurança

Se você for um administrador de sistema ou do seu próprio site, lembre-se de que políticas de segurança fracas podem permitir que invasores comprometam o site. Alguns exemplos incluem:

  • permitir que os usuários criem senhas fracas;
  • dar acesso administrativo a usuários sem necessidade;
  • não ativar o HTTPS no site e permitir que os usuários façam login usando HTTP;
  • permitir o upload de arquivos por usuários não autenticados ou sem verificação de tipo.

Veja algumas dicas básicas para proteção do site:

  • Mantenha o website configurado com controles de alta segurança desabilitando serviços desnecessários.
  • Teste o controle de acesso e os privilégios de usuário.
  • Use criptografia nas páginas que manipulam informações confidenciais, como páginas de login.
  • Verifique regularmente se há alguma atividade suspeita nos registros.

Vazamento de dados

Podem ocorrer vazamentos de dados após o upload de dados confidenciais, caso uma configuração incorreta torne essas informações disponíveis publicamente. Por exemplo, as mensagens e o tratamento de erros em um aplicativo da Web podem vazar informações de configuração em uma mensagem de erro não tratada. Com um método conhecido como "dorking", pessoas mal-intencionadas podem explorar a funcionalidade de mecanismos de pesquisa para encontrar esses dados.

Garanta que seu site não revele informações confidenciais a usuários não autorizados ao fazer verificações periódicas e restringir dados confidenciais a entidades confiáveis por meio das políticas de segurança. Se você descobrir que alguma informação confidencial exibida no site precisa ser removida urgentemente dos resultados da Pesquisa Google, use a ferramenta de remoção de URL para remover URLs individuais da Pesquisa Google.