• Pagina inicial
  • Artigos
  • Guia
  • Quais fatores de segurança você deve considerar ao escolher seu provedor de hospedagem WodPress?

Quais fatores de segurança você deve considerar ao escolher seu provedor de hospedagem WodPress?

Publicados: 2021-12-03

Devido à crescente popularidade do WordPress em geral, há cada vez mais incidentes de segurança que afetam diferentes empresas de hospedagem de sites WordPress.

O GoDaddy é o exemplo mais recente, pois recentemente houve uma violação de segurança em seu ambiente de hospedagem WordPress. Na semana passada, anunciou que houve acesso não autorizado de terceiros ao seu ambiente de hospedagem Managed WordPress, afetando dados de até 1,2 milhão de clientes ativos e inativos .

Violação de segurança do WordPress no GoDaddy

O Chief Information Security Officer (CISO), Demetrius Comes, anunciou em 22 de novembro, em um arquivo com a Securities and Exchange Commission (SEC), que em 17 de novembro eles descobriram acesso não autorizado aos servidores Managed WordPress da GoDaddy. Eles determinaram que o incidente começou em 6 de setembro de 2021 e expôs os dados de 1,2 milhão de clientes gerenciados do WordPress ativos e inativos. Eles identificaram atividades suspeitas no ambiente de hospedagem do Managed WordPress e imediatamente iniciaram uma investigação com a ajuda de uma empresa forense de TI e entraram em contato com as autoridades legais. Uma senha comprometida concedeu aos invasores acesso aos seus sistemas.

O anúncio indicava que:

  • Até 1,2 milhão de clientes Managed WordPress ativos e inativos tiveram seu endereço de e-mail e número de cliente expostos. A exposição de endereços de e-mail apresenta risco de ataques de phishing.
  • A senha de administrador do WordPress original que foi definida no momento do provisionamento foi exposta. Se essas credenciais ainda estiverem em uso, elas redefinirão essas senhas.
  • Para clientes ativos, os nomes de usuário e senhas do sFTP e do banco de dados foram expostos. Eles redefinem as duas senhas.
  • Para um subconjunto de clientes ativos, a chave privada SSL foi exposta. Eles estão em processo de emissão e instalação de novos certificados para esses clientes.

Por fim, Comes acrescentou: “Lamentamos sinceramente este incidente e a preocupação que causa aos nossos clientes. Nós, líderes e funcionários da GoDaddy, levamos muito a sério nossa responsabilidade de proteger os dados de nossos clientes e nunca queremos decepcioná-los. Aprenderemos com este incidente e já estamos tomando medidas para fortalecer nosso sistema de provisionamento com camadas adicionais de proteção.”

Como você pode imaginar, há muitas mensagens na Internet criticando a GoDaddy, não apenas por levar 5 dias para relatar a violação, mas também por ter demorado mais de 2 meses para detectar o referido ataque, pois presumivelmente ocorreu em 6 de setembro. Você também encontrará informações adicionais sobre quais ações você deve tomar, tanto técnica quanto legalmente, se for um cliente afetado. Não quero nem pensar na confusão que isso representa para a GoDaddy e todos os clientes que podem ter sido afetados!

A importância da segurança ao selecionar uma empresa de hospedagem

Quando falamos sobre os principais requisitos para escolher sua hospedagem WordPress, analisamos todo um conjunto de fatores: compatibilidade com diferentes versões do PHP, quais recursos e ferramentas oferece para gerenciar facilmente a instalação do WordPress, velocidade de carregamento rápido de nossas páginas, suporte eficiente serviço e, claro, um custo razoável.

Mas não nos enganemos: muitas vezes acabamos relegando o aspecto de segurança para o fundo de nossas prioridades. Por quê? Primeiro, porque a segurança do nosso provedor de hospedagem é algo que damos como certo. Mas isso é um absurdo, porque se há uma coisa que sabemos com certeza é que nenhum sistema de computador é 100% seguro. Em segundo lugar, a segurança é difícil de avaliar rápida e facilmente. É somente quando ocorre uma violação de segurança que tomamos conhecimento de possíveis vulnerabilidades.

A segurança do seu site é um pouco como a sua saúde. Se você está bem, você não pensa muito nisso. Mas no dia em que você está doente, o mundo desabar sobre você. Muitas vezes, ficar doente é inevitável, mas a prevenção e a detecção precoce podem poupar muito sofrimento. É o mesmo com a segurança. Se o seu site for invadido, não apenas sua empresa pode falir, mas você também pode acabar em um problema legal por não ter tomado as medidas de segurança apropriadas.

Se queremos tentar evitar uma violação de segurança, o que devemos esperar do nosso provedor de hospedagem?

Segurança de software

Algo que nos aborrece a todos é ter que atualizar o software que usamos em nossos computadores. Mas é muito importante que o façamos, pois a maioria das atualizações é justamente para protegê-lo de vulnerabilidades conhecidas!

Por esse motivo, ao hospedar um site WordPress com uma empresa de hospedagem, verifique se ele atende aos requisitos de compatibilidade e às atualizações de software mais recentes recomendadas pelo WordPress. Dê uma olhada no site oficial do WordPress para conhecê-los. No momento da redação deste post, os requisitos recomendados eram:

  • PHP 7.4 ou mais recente.
  • MySQL 5.6 ou mais recente, ou MariaDB 10.1 ou mais recente.
  • HTTPS

Minha recomendação: nem considere nenhuma empresa de hospedagem que não atenda a esses requisitos.

Disponibilidade e suporte SSL

O Hypertext Transfer Protocol ( H yper T ext T ransfer Protocol ou HTTP ) é um protocolo utilizado em sistemas de rede, projetado com a finalidade de definir e padronizar a sintaxe e a semântica das transações que ocorrem entre os diferentes computadores que compõem uma rede. . Em outras palavras, descreve a forma como um servidor web se comunica com navegadores web como Google Chrome ou Mozilla Firefox.

HTTPS refere-se ao uso de HTTP sobre Secure Sockets Layer (SSL) ou uma conexão com Transport Layer Security (TLS), e é responsável por criptografar todas as mensagens HTTP para que sua transmissão seja segura. Quando um usuário envia informações para um servidor web, o SSL basicamente fornece um conjunto completo de camadas de proteção:

  • criptografia : se um invasor conseguir interceptar essa informação, será inútil, pois eles não saberão como descriptografá-la (mas você saberá).
  • integridade dos dados : os invasores não poderão “modificar” o conteúdo da mensagem enviada.
  • autenticação : são evitados ataques de phishing ou man-in-the-middle, nos quais um usuário fornece informações a terceiros quando acredita estar falando com outra pessoa.

Desta forma, por exemplo, você garante que os dados das compras realizadas em seu site não possam ser lidos e/ou modificados por criminosos.

Se o seu site usa SSL, a maioria dos navegadores exibirá o URL da Web começando com https:// e um ícone de cadeado em algum lugar próximo ou na barra de endereço, fornecendo aos visitantes uma pista visual sobre a segurança do site atual.

Imagem da URL de Nélio exibida no navegador
Imagem da URL do Nélio exibida no navegador.

Ao procurar um provedor de serviços de hospedagem, certifique-se de que ele suporte SSL e verifique como é fácil configurá-lo.

Backup e restauração

Se você sofrer um ataque de malware no seu WordPress, muito possivelmente acabará precisando restaurar um backup antigo que esteja livre de código infectado. Por esse motivo, certifique-se de que seu provedor de hospedagem faça backups regulares e automáticos do seu site WordPress .

Certifique-se de saber:

  • Frequência de backups,
  • A quantos backups do seu site você tem acesso,
  • Se você pode restaurar facilmente todos eles por conta própria ou deve solicitar uma restauração e pagar pelo serviço,
  • Se você pode executar restaurações parciais de arquivos, pastas, contas de e-mail ou bancos de dados,
  • Se você pode acessar o histórico de restauração.

Proteção contra ataques DDoS

Um ataque Distributed Denial of Service (DDoS) é um tipo de ataque que tenta derrubar o servidor da Web acionando “uma tonelada” de solicitações até que o servidor fique sobrecarregado e falhe.

Ilustração de ataque DDoS
Ilustração de ataque DDoS (fonte: Anti DDoS)

Para evitá-los, alguns provedores de hospedagem, como SiteGround e Bluehost, trabalham com Content Delivery Networks (CDNs) como Cloudflare. As CDNs operam redes globais de servidores que facilitam o fornecimento de dados mais rápido e absorvem ataques que consomem muitos recursos, como DDoS. Isso ajuda as empresas de hospedagem a reduzir a carga em seus próprios servidores sem precisar investir pesadamente em infraestrutura adicional. É altamente recomendável que você verifique se sua empresa de hospedagem trabalha com CDNs.

Certifique-se também de que eles tenham protocolos preparados para esse tipo de ataque, como:

  • Hardware de firewall que filtra o tráfego de inundação,
  • Software de firewall baseado em iptables com funções complexas e monitoramento de tráfego,
  • Eles limitam o número de conexões que podem ser estabelecidas remotamente,
  • Eles verificam o alto número de tentativas de conexão com falha dos hosts e realizam a filtragem.

Verificação de malware

Malware, como vimos no caso do GoDaddy, é um software malicioso que pode afetar servidores. Eles podem causar uma infecção menor, como o roubo de determinados dados, ou eliminar um banco de dados inteiro.

É importante saber como seu provedor de hospedagem controla e verifica esse tipo de ataque. Com que frequência eles realizam varreduras? Eles têm um sistema de isolamento de contas para que, em caso de infecção, seja contido?

Disponibilidade e tempo de atividade

Os três pilares da segurança da informação são conhecidos como a tríade da CIA (Confidencialidade, Integridade e Disponibilidade). A disponibilidade e o tempo de atividade do seu site (porcentagem de tempo em que um site está ativo e disponível) são críticos em qualquer site.

As empresas de hospedagem têm muitas maneiras de garantir essa disponibilidade. Por exemplo, alguns empregam tecnologia RAID, redundâncias de hardware, redundâncias de rede e até mesmo locais alternativos de espelho. Certifique-se de que seu provedor de hospedagem garante disponibilidade mínima no contrato de nível de serviço (SLA) de seus termos e condições. Por exemplo, no caso do Siteground, eles garantem:

5.2. Garantimos uptime de rede de 99,9% em uma base anual. Se ficarmos abaixo do tempo de atividade da rede garantido, iremos compensá-lo da seguinte forma ;

  • 99,9% – 99,00% de tempo de atividade: 1 mês de hospedagem gratuita
  • Um mês adicional de hospedagem gratuita para cada 1% de tempo de atividade perdido abaixo de 99,00% .

O SLA é outro indicador do investimento em infraestrutura feito pelo seu provedor de hospedagem e do compromisso que ele assume para garantir o serviço.

Conclusão

A segurança, como já mencionei, é como a saúde. Embora você nunca possa garantir o controle absoluto sobre ele, quanto menos riscos você correr, melhor. Proteger seu site e cuidar de sua segurança pode evitar grandes consequências indesejáveis. E essa proteção começa com a seleção de um bom provedor de hospedagem para o seu site WordPress.

Imagem em destaque de Liam Tucker no Unsplash.