Se você administra uma loja online, é provável que observe um aumento acentuado no tráfego durante as festas de fim de ano. Com novos clientes inserindo suas informações de pagamento e endereços pessoais em seu site, é mais importante do que nunca proteger sua loja online em preparação para o feriado.

Novembro e dezembro são os meses de compras mais movimentados do ano, o que torna qualquer tempo de inatividade relacionado a um hack ou falha de segurança mais caro do que em qualquer outra época do ano. O tempo de atividade do seu site nunca foi tão valioso, e é por isso que este é o momento perfeito para realizar uma auditoria de segurança da sua loja online.

Perguntas importantes para a segurança do seu site

No final da auditoria de segurança do seu site, você deve ser capaz de responder a estas 10 perguntas:

• 1. Minha loja está na plataforma certa?
• 2. Minha loja está no host certo?
• 3. Minha loja é compatível com PCI-DSS?
• 4. Coleto muitos dados sobre meus clientes?
• 5. Estou criptografando a comunicação entre meus clientes e minha loja?
• 6. Minhas contas de cliente estão seguras?
• 7. O software que executa minha loja online está atualizado?
• 8. Estou visitando regularmente o front-end do meu site?
• 9. Estou usando um CDN e WAF?
• 10. Eu protejo minha conexão ao trabalhar em espaços públicos?

Uma auditoria de segurança de sites de 10 pontos

Não se preocupe se você não souber responder a algumas ou a todas essas perguntas. Você saberá como responder a todas essas perguntas no final deste post.

Conforme analisamos o restante desta postagem, você pode querer fazer anotações sobre os resultados de sua auditoria, bem como quaisquer ações a serem tomadas. Esta auditoria também é um excelente serviço para fornecer aos seus clientes de web design (em qualquer época do ano).

Vamos começar a auditoria de segurança do seu site na preparação para a temporada de férias.

1. Minha loja está na plataforma certa?

Shopify, Magento e WordPress são três das plataformas mais populares que as pessoas usam para criar suas lojas. Nenhuma dessas plataformas seriam soluções populares de comércio eletrônico se não fossem seguras. Todas as três plataformas têm seus pontos fortes e fracos, então você deve fazer uma pequena pesquisa para descobrir qual delas se adapta melhor às suas necessidades.

Uma auditoria rápida de sua plataforma atual pode incluir as seguintes perguntas:

• 1. A plataforma envia atualizações com frequência para lidar com vulnerabilidades de segurança?
• 2. A plataforma emprega / utiliza uma equipe dedicada a garantir que os padrões de segurança sejam atendidos?
• 3. A plataforma tem um histórico de violações de dados em grande escala ou vulnerabilidades que foram deixadas abertas?
• 4. Qual é a reputação da plataforma como sendo segura?

Uma coisa a ter em mente é como seria fácil mover sua loja para outra plataforma ou host. Se precisar sair do Shopify, você pode migrar o Shopify para o WooCommerce. No entanto, não será tão fácil quanto mover uma loja WordPress para um novo host da web. O WordPress também permite mais personalização e flexibilidade para as ferramentas que você pode usar.

2. Minha loja está no host certo?

Colocar o seu site na mesma hospedagem compartilhada do blog do seu amigo é uma má ideia. Porque? Um site de comércio eletrônico adiciona muita complexidade, o que requer maior conhecimento para ser protegido de forma adequada. Você não criou uma loja porque sonhava em se tornar um especialista em segurança cibernética, então você deve transferir essa responsabilidade para o seu host.

Investir em uma solução de hospedagem focada em comércio eletrônico, como Managed WooCommerce Hosting ou Managed WordPress hosting, é o caminho a percorrer. Divulgação completa, Liquid Web é nossa empresa controladora, mas é uma ótima hospedagem para você. Vá comprar preços e encontre outra empresa de hospedagem que concorra com aquele valor por aquele preço. Ter um host gerenciado de comércio eletrônico vai economizar muito tempo e aborrecimento no gerenciamento do seu site - tempo que você pode usar para expandir seus negócios.

3. Minha loja é compatível com PCI-DSS?

Se você aceita pagamentos com cartão de crédito, deve atender aos padrões de segurança de dados da indústria de cartões de pagamento (PCI-DSS). De acordo com o PCI Security Standards Council oficial, “ Se você aceitar ou processar cartões de pagamento, os padrões de segurança de dados PCI se aplicam a você”. Esses padrões incluem mais de 300 requisitos de segurança diferentes, mas aqui está uma visão geral das práticas recomendadas de PCI-DSS:

Padrão de segurança de dados PCI

Quando você opta por obter os números dos cartões de débito das pessoas, atender a esses requisitos ajudará muito a evitar que um invasor mal-intencionado esvazie suas contas bancárias. Eu recomendo fortemente que você obtenha alguns conselhos de especialistas para garantir que está atendendo aos requisitos do PCI-DSS.

4. Coleto muitos dados sobre meus clientes?

Quanto mais informações você coleta sobre seus clientes, mais informações podem ser comprometidas durante uma violação. Hoje em dia, dificilmente podemos passar uma semana sem ouvir que alguma empresa foi vítima de uma violação de dados que expôs dados de clientes. Por exemplo, na violação do Doordash, os números de telefone, endereços de e-mail, endereços residenciais e senhas com hash dos clientes foram comprometidos. Essa combinação de informações pode ser tudo o que você precisa para fazer um empréstimo fraudulento.

Você nunca deve coletar mais informações sobre seus clientes do que o necessário. Se você está vendendo produtos digitais que não são renovados automaticamente, por que coletaria e armazenaria o endereço de correspondência?

Você também deve considerar o uso de um gateway de pagamento como o Stripe. Os gateways de pagamento permitem que você descarregue pagamentos com cartão de crédito, para que sua loja possa aceitar pagamentos online sem processar ou armazenar números de cartão de crédito. O Stripe também o ajudará a se tornar compatível com PCI-DDS.

Infelizmente, sempre haverá invasores online e não haverá falta de relatórios de sites comprometidos. Limitar as informações que você coleta sobre seus clientes limitará a quantidade de informações exposta durante uma violação. Você não pode perder dados confidenciais de clientes que não possui.

5. Estou criptografando a comunicação entre meus clientes e minha loja?

SSL criptografa a comunicação que seus clientes digitam em seus navegadores e enviam para seu site. Com o SLL, quando alguém insere seu nome de conta e senha, ela fica protegida quando essa informação é enviada ao servidor do seu site para confirmação. Criptografar o nome de usuário e a senha tornará mais difícil para um invasor interceptar o nome de usuário e a senha em trânsito do navegador para o seu servidor.

Não vamos perder muito tempo com isso porque vamos presumir que todos já estão usando um certificado SSL em seus sites. Você pode verificar nosso treinamento https em WordPress se não estiver familiarizado com SSL. Se você estiver usando um host especializado em comércio eletrônico, seu site provavelmente já está usando SSL com segurança.

6. Minhas contas de cliente estão seguras?

Um ataque de força bruta é o tipo mais comum de ataque às contas de seus clientes. Força bruta é um tipo de ataque quando um hacker tenta adivinhar uma combinação aleatória de nomes de usuário e senhas até encontrar o correto. A razão pela qual os ataques de força bruta são tão populares é que a barreira de habilidade de entrada é muito baixa. Você pode encontrar muitas ferramentas gratuitas de quebra de senha com uma rápida pesquisa no Google.

A grande notícia é que usar um plugin de segurança WordPress como o iThemes Security Pro em seu site WordPress torna mais fácil evitar que ataques ao login de seu cliente sejam bem-sucedidos.

Com base na pesquisa do blog de segurança do Google, você deve seguir estas 5 regras para impedir 100% dos ataques de força bruta:

Você pode estar pensando que nunca dificultaria o login de seus clientes. Eu realmente entendo de onde você vem, mas deixe-me contar uma história rápida que pode mudar sua mente.

Eu tinha um membro da família que teve uma de suas contas hackeada. Lembre-se de que o hacker só conseguiu baixar os produtos que o membro da família comprou gratuitamente. Nenhuma de suas informações pessoais foi armazenada (veja o nº 4), então eles não ficaram sabendo de nada. No entanto, esse membro da família ainda estava chateado. A empresa onde a conta foi violada deu a eles um reembolso total e garantiu que sua conta estaria segura assim que atualizassem sua senha.

Assim, ao ouvir isso, decidi fazer minha melhor impressão de Sherlock Holmes e iniciar uma investigação. Consegui determinar que o hacker provavelmente encontrou o endereço de e-mail e a senha do membro da família em um dos vários despejos de violação de dados. Meu membro da família usava a mesma combinação de senha e nome de usuário há anos. Eu mostrei a eles todas as violações de banco de dados em que seu endereço de e-mail fazia parte em haveibeenpwned.com e os incentivei a atualizar suas senhas em todas as suas contas antes que essas contas também fossem hackeadas.

Depois de saber que a senha deles estava disponível para qualquer pessoa usar, você acha que eles culparam a escolha de uma senha fraca ou a empresa pelo comprometimento da conta? Se você disse culpou a empresa, acertou. Quando eles contam a história do hack, você acha que eles estão mais propensos a falar negativamente sobre a empresa ou suas práticas de senha inadequadas? Mesmo que a culpa fosse toda deles, eles ainda achavam que a responsabilidade recaiu sobre a empresa em proteger sua conta.

Então o que podemos aprender com isso? Depende de nós, como proprietários de lojas, exigir senhas fortes e autenticação de dois fatores para proteger as contas dos clientes. Porque quando a conta de um cliente é hackeada, os donos das lojas provavelmente são os culpados.

A boa notícia é que o plugin iThemes Security Pro tem um novo recurso de login sem senha do WordPress que permite exigir que os usuários usem senhas fortes e autenticação de dois fatores sem nunca inserir uma senha ou um código de autenticação extra . Agora você pode oferecer toda a segurança sem sacrificar a usabilidade.

7. O software que executa minha loja online está atualizado?

As atualizações de software não são apenas para novos recursos ou correções de bugs. As atualizações também podem incluir patches de segurança para explorações de segurança conhecidas. Executar software desatualizado com exploits conhecidos é um dos motivos mais comuns pelos quais sites são hackeados. É crucial para a segurança do seu site WordPress que você tenha uma rotina de atualização. Você deve entrar em seus sites pelo menos uma vez por semana para realizar atualizações.

Usando o recurso de gerenciamento de versão do plugin iThemes Security Pro, você pode habilitar atualizações automáticas do WordPress para garantir que está obtendo os patches de segurança mais recentes. Atualizar seu software é a coisa mais fácil que você pode fazer para ajudar a proteger sua loja online.

8. Estou visitando regularmente o front-end do meu site?

Quando foi a última vez que você percorreu o front-end do seu site ou mesmo consultou a sua página inicial? Como proprietários de sites ocupados, normalmente nos conectamos diretamente ao back-end de nossos sites para adicionar novos produtos, conteúdo e realizar atualizações do site. Percorrer as páginas e os produtos do seu site pode ajudá-lo a encontrar sinais de infecção. Você deve procurar esses 3 sinais de infecção ao inspecionar o front-end do seu site ou ao perguntar se meu site WordPress foi hackeado.

1. Verifique se há alterações em sua página inicial - O objetivo principal de alguns hacks é roubar um site ou ganhar notoriedade. Então, eles apenas mudam sua página inicial para algo que eles acham engraçado ou para deixar um cartão de visita hackeado.
2. Procure por pop-ups maliciosos ou spam - há algum produto anunciado em seu site que você não vende?
3. Encontre redirecionamentos inesperados - você clica em um dos links de um dos produtos apenas para ser redirecionado a uma loja mal-intencionada que está tentando coletar os dados do seu cliente?

Usar o recurso File Change Detection do iThemes Security Pro pode ajudá-lo a ficar ciente de quaisquer alterações inesperadas feitas em seu site. É crucial ser alertado sobre um ataque bem-sucedido ao seu site, quanto mais cedo a violação for identificada, mais você poderá mitigar o dano causado.

9. Estou usando um CDN e WAF?

Usar uma rede de entrega de conteúdo (CDN) como o Cloudflare CDN pode ajudar a proteger sua loja contra ataques DDoS. O CDN está em um servidor diferente do seu site e é capaz de inspecionar as solicitações feitas ao seu site antes que elas cheguem ao seu site. Um Ataque de negação de serviço (DDos) ocorre quando um invasor tenta interromper ou derrubar seu site com uma enxurrada de tráfego da Internet. Dependendo do seu plano de hospedagem, pode não ser necessário muito tráfego extra para desativar o seu site.

Um CDN pode ajudar a mitigar um ataque DDoS de duas maneiras diferentes. A primeira coisa que um CDN fará é monitorar ativamente e identificar se seu site está sob ataque, o que é crítico. Você não pode interromper um ataque que não está configurado para detectar. Assim que os IPs maliciosos forem identificados, o CDN impedirá que quaisquer solicitações dos IPs cheguem ao seu site.

Você também deve considerar o uso de um Web Application Firewall (WAF). Um WAF é capaz de identificar e filtrar o tráfego malicioso antes que ele chegue ao seu site. Ao contrário de um firewall de aplicativo da Web PHP, um WAF como o Cloudflare WAF fornece não está no mesmo servidor que seu site. Portanto, toda a filtragem de segurança é feita externamente e não adiciona nenhuma carga extra ou diminui a velocidade do seu site.

10. Eu protejo minha conexão ao trabalhar em espaços públicos?

Uma das grandes vantagens de administrar uma loja online é que você pode trabalhar em qualquer lugar. Infelizmente, o wi-fi público é conhecido por ser muito inseguro, tornando as bibliotecas públicas, hotéis, cafés e aeroportos locais privilegiados para que os hackers interceptem comunicações e colham senhas.

Certa vez, trabalhei com um cliente do iThemes Security Pro que não conseguia descobrir como sua conta de administrador continuava sendo hackeada, mesmo depois de alterar a senha. Depois de algumas idas, descobri que eles gostam de trabalhar em sua biblioteca local e que estavam conectados ao wi-fi sem usar uma rede privada virtual (VPN).

Uma rede privada virtual permite que você se comunique com segurança com seu banco ou loja online, criptografando o tráfego da Internet. Como o cliente do iThemes Security Pro não estava usando uma VPN, seu tráfego não era criptografado e sua senha continuava sendo interceptada por um agente malicioso. Depois de sugerirmos que eles tentassem usar uma VPN na biblioteca local, eles nos relataram que o uso da VPN acabou com os hacks.

Se você precisar de mais provas sobre a insegurança do wi-fi público, aqui está um ótimo artigo do USA Today onde um jornalista escreveu sobre sua experiência de ser hackeado enquanto usava wi-fi em vôo: Fui hackeado no meio do ar enquanto escrevia uma história da Apple-FBI.

Resumindo: Práticas recomendadas de segurança online

A maioria dos ataques à sua loja online pode ser evitada com um pouco de ação de sua parte. Agora é um ótimo momento para fazer uma auditoria de segurança para ter certeza de que seu site está seguro para as festas de fim de ano!

Um plug-in de segurança do WordPress pode ajudar a proteger seu site do WordPress

O iThemes Security Pro, nosso plugin de segurança para WordPress, oferece mais de 50 maneiras de proteger e proteger seu site de vulnerabilidades comuns de segurança do WordPress. Com a autenticação de dois fatores do WordPress, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar uma camada extra de segurança ao seu site.

Obtenha o iThemes Security Pro

Michael Moore

A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.