Foco 1: hospedar um site, sua primeira proteção

No capítulo introdutório do nosso especial de segurança listamos uma série de medidas úteis para proteger o seu negócio de ataques e perigos inerentes à rede. Malware, crackers, perda de dados devido à falta de backups: as ameaças são muitas e aumentam constantemente, a tal ponto que nos últimos anos apareceu uma nova figura, o responsável pela chamada segurança cibernética. Escusado será dizer que você não precisa necessariamente ir de um extremo ao outro e contratar um especialista em segurança cibernética a todos os custos (geralmente altos). Para atividades normais com um site vitrine ou um comércio eletrônico, basta adotar precauções direcionadas, essenciais para manter as "defesas imunológicas" altas contra ameaças externas.

Neste primeiro enfoque veremos assim uma etapa crucial em termos mais concretos, nomeadamente a escolha do alojamento, ou seja, o serviço a quem confiar os conteúdos do próprio site (imagens, texto, código, etc.). Os serviços de hospedagem se tornaram muito populares ao longo dos anos, graças ao advento da web e ao crescimento exponencial do número de sites em circulação. No entanto, é claro que nem sempre o aumento da procura é acompanhado por um aumento da qualidade dos serviços prestados. De fato: de mãos dadas com a explosão da rede, assistimos à proliferação de serviços de hospedagem de baixo custo, tão baratos que não garantem conformidade com os requisitos mínimos de segurança. Então, como agir para não se tornar uma presa fácil para piratas de computador, vírus e assim por diante?

A ESCOLHA DE UM SERVIÇO DE HOSPEDAGEM NA ALTURA

Para que você entenda imediatamente as enormes diferenças que existem entre um serviço de hospedagem e outro, escolhemos trazer um trecho de um artigo publicado online por um especialista da web. Por razões óbvias de privacidade e netiqueta evitamos nomear o autor e o serviço de hospedagem, mas temos certeza de que o exemplo será igualmente esclarecedor:

Não há velocidade, confiabilidade e atendimento ao cliente. Eu tentei me masturbar por algum tempo, mas colidi com uma gestão semelhante à burocracia estatal do nosso belo país. Se você já teve problemas com erros 404, sabe como o atendimento ao cliente é importante para ajudá-lo a corrigi-los rapidamente! Para a transferência de um domínio, o processo torna-se tão fácil quanto obter um reembolso da Equitalia. Eu não digo para você ter um site instalado e funcionando. A gestão de serviços públicos no centro do cliente é terrível. Eu esperei 7 dias antes de uma resposta. E o que eles me dizem? “Traga de novo”.

Já que a questão da segurança não pode cair inteiramente em suas mãos, você deve estar ciente da importância de uma hospedagem capaz de fornecer um serviço de qualidade, também em termos de atendimento. Qualidade não significa necessariamente um serviço caro, pois além da segurança existe a performance (que pode afetar significativamente o preço final de uma hospedagem). O que é certo é que para ter um mínimo de proteção você deve pelo menos ler as avaliações, enviar um e-mail solicitando para testar a velocidade de resposta e verificar com atenção quais são as características do serviço oferecido. E aqui vem a segunda questão relacionada com funcionalidade fornecida por padrão pela hospedagem. 

DE FIREWALL A ANTIVÍRUS DE E-MAIL E ANTISPAM

As políticas comerciais dos provedores de hospedagem às vezes mudam radicalmente de país para país e de serviço para serviço. Há quem não desça abaixo de um determinado limite e há quem ofereça um preço econômico ao qual podem ser adicionadas quaisquer opções extras para uma configuração ideal. A razão dessa premissa puramente econômica é logo explicada: em sua busca por hospedagem segura você encontrará serviços já completos (e mais seguros) e serviços menos completos que não possuem os padrões de segurança exigidos pelo mercado (mas no caso deles opcionais).  Entre as características que merecem atenção, mencionamos:

firewall

Quanto ao PC, existem firewalls para hospedagem que impedem que pessoas mal-intencionadas acessem seu site. Atualmente existem diversos padrões de segurança, sendo o mais comum o firewall L3. Se nenhum firewall estiver previsto, aconselhamos adicioná-lo com plugins especiais, como Tudo em um WP Segurança e Firewall para WordPress.

Anti-vírus e anti-spam

Antivírus e antispam podem ser implementados de várias formas no seu site ou na sua caixa de e-mail, mas se o provedor (ou seja, o fornecedor) já te oferece hospedagem com um ou mais desses sistemas, tudo bem. No que diz respeito ao filtro de spam, isso se aplica às mensagens que você recebe no site (por exemplo, do formulário de contato ou dos comentários do artigo), mas também à sua caixa de e-mail.

acesso FTP

Inacreditável, mas é verdade, alguns serviços de hospedagem não permitem o acesso às pastas FTP, ou seja, aos bastidores do seu site. Do ponto de vista da segurança, esse limite pode se tornar um grande problema na medida em que seu site é direcionado em profundidade, por exemplo, com a instalação de código enganoso em páginas individuais ou fichas de produtos individuais.

O "PROTOCOLO" HTTPS E CERTIFICAÇÕES RELACIONADAS

Além da infraestrutura e sistemas para manter acessos, spam e vírus sob controle, nós, desenvolvedores e agências, podemos contar com um proteção adicional que leva o nome do protocolo HTTPS. Na realidade, não é um protocolo no verdadeiro sentido da palavra (o protocolo atual continua sendo o HTTP, combinado com o protocolo SSL/TLS), mas um sistema de comunicação "blindado" baseado na criptografia do protocolo HTTP. Sem entrar em muitos detalhes técnicos, é útil lembrar o vínculo estreito entre HTTPS e certificados de autoridade. Estes últimos são por vezes emitidos por organismos reconhecidos, por vezes pelos próprios fornecedores de serviços web e de alojamento (seja diretamente ou como intermediários). Como a tecnologia muda na velocidade da luz, também As certificações evoluem com o tempo, desde modelos discretos até modelos mais seguros e modernos. 

Aqui está uma breve lista das certificações de referência:

Let’s Encrypt

É uma autoridade certificadora que automatiza a criação, validação, emissão e renovação gratuita de certificados X.509 para o protocolo TLS. Sendo baseado em software livre, o sistema de certificação Let's Encrypt é o menos seguro que existe.

RapidSSLName

A entidade certificadora Rapid SSL oferece uma das certificações mais baratas do mercado: por alguns euros por ano é possível ativar imediatamente o próprio url precedido das iniciais https, beneficiando assim de uma proteção de nível de entrada válida para a maioria dos cenários.

Descongelar SSL

Outro sistema de certificação válido é o oferecido pela Thawte, uma empresa posicionada a meio caminho entre serviços básicos e serviços premium. O que muda neste caso também é o seguro previsto para eventuais danos e roubo de dados, que pode chegar a 1,5 milhão de dólares.

GeoTrust® True Business ID com EV

O organismo de certificação Get GeoTrust® oferece proteção True BusinessID com Extended Validation (EV), que além de aumentar o nível de segurança permite exibir um https com fundo verde, uma solução graficamente mais atraente também para o usuário. O preço é alto, mas para ecommerce estruturado vale a pena!

Agora que você entendeu a importância de um serviço de hospedagem, só nos resta passar para próximo capítulo dedicado à manutenção ordinária e extraordinária do seu site. Sim, porque um site é como um carro se você não cuidar dele poderia literalmente deixá-lo encalhado! Continue a seguir-nos e explicaremos como fazê-lo.