Recebi um e-mail super legal da minha hospedagem (Pre-Lude ♥) com dicas de segurança para proteger o blog e resolvi compartilhar aqui com vocês.
Se você toma alguns cuidados para garantir sua proteção quando sai de casa é porque sabe do risco de assaltos e outros crimes. A internet também se mostra como um lugar perigoso e é necessário alguns cuidados para evitar golpes, roubo de arquivos e senhas, ou espionagem de suas atividades nas contas de e-mail, websites ou até mesmo em seu PC. É para ajudá-lo(a) a lidar com isso que fizemos este pequeno guia que apresenta 06 dicas de como manter a segurança em seu website.
01. Senhas: Ainda que simples muito importantes!
Nunca use a mesma senha duas vezes. Se alguma senha é encontrada, o criminoso tentará usá-la para acessar outras áreas de seu site. Não use a mesma senha do seu cPanel em arquivos de configuração do php, config.php, por exemplo. Se um criminoso achar um modo de ler tal arquivo, ele pode tentar tais senhas para acessar toda a sua conta. As melhores senhas e também as mais seguras são as que se parecem com isto: kU95IfT8
02. Fique em dia! Fique de olho nos seus scripts de PHP
Tenha certeza de que sempre é feito upgrade das suas aplicações para versões mais novas. Livro de Visitas, blogs, lojas, calendários, basicamente qualquer script com base em PHP terá geralmente pelo menos um exploit (um bug do qual se é possível tirar vantagem), durante sua existência. Tenha isto em mente e se cadastre nas listas sobre os alertas de segurança se o programador do código der suporte a elas. A maioria dos sites que disponibilizam os scripts têm forums e blogs para ajudar nas suas atualizações de modo que todos possam fazer upgrades quando novas versões são liberadas.
Se você não tem certeza se o programa que você usa tem edições de segurança, faça uma busca no Secunia – http://www.secunia.com (em inglês).
03. Coloque arquivos index em branco em todos os diretórios
É uma boa idéia colocar um arquivo index.html em branco nos diretórios desse modo o conteúdo dos mesmos não poderá ser visto facilmente na web. Você pode também usar o Index Manager do cPanel em vez de fazer isso. Mantenha todos os arquivos e suas pastas ocultas!
04. Não está usando? Apague!
Instalações antigas são convites para o crime! Se você testar a ferramenta mais recente e melhor para seu site e decidir não usá-la, por favor, a remova. É tentador deixar tudo lá e esquecer, mas infelizmente não é uma boa idéia. :) A verão mais recente logo se tornará obsoleta e terá algum exploit para ser explorado.
05. E se o seu site se tornar uma cena de crime?
Se algo assim tem acontecido e spam tem sido enviado de seu site, ou se seus arquivos que estão lá não são os seus, a primeira coisa que você deve fazer é mudar todas as suas senhas. Em seguida, procurar em seu site instalações antigas e conferir as versões de todas as suas aplicações. Faça um upgrade se necessário. Depois dê uma olhada no log de erros do cPanel, procure por alguma requisição suspeita. Finalmente, peça ajuda ao suporte onde você hospeda seu website. Eles podem conferir os IPs que têm acessado seu espaço e resolver o problema.
06. Faça o seu próprio backup e o guarde em seu computador!
Aconselhamos que você faça seu próprio backup pelo menos 1 vez por mês ou, quando fizer grandes alterações ou atualizações em seu site. ELE É SUA MAIOR SEGURANÇA! Isto porque, o servidor cria backups automaticamente das contas e apesar de podemos voltá-los (rollback), se eles já tiverem sido reescritos (salvos por exemplo depois que uma invasão ocorreu) isso não vai corrigir o problema da perda de arquivos.
– Mas, e sobre o WordPress?!?
Se você utiliza WordPress Nós recomendamos que troque todas as senhas de acesso dos usuários para outras mais seguras, delete todos os plugins que não estão sendo utilizados e reinstale somente os que forem extremamente necessários e vindos do site oficial de plugins do wordpress.org.
A limpeza é necessária em todos os diretórios e não somente na raiz onde está instalado o principal. O servidor possui dois firewalls, mas se a vulnerabilidade estiver no código malicioso de algum plugin ou mesmo no tema, infelizmente não será possível evitar que isto aconteça novamente.
Visite também este link e siga todas essas dicas:
http://blog.difluir.com/2012/08/malware-no-blog-wordpress/
Apesar delas serem a respeito de Malware funcionam bem para a segurança geral do WordPress. Em breve publicaremos nosso próprio manual a respeito.
A verdade é, que isso pode acontecer com qualquer pessoa – mesmo quando se é extremamente cuidadoso(a). Scammers sempre estão desesperados e vasculham a internet atrás de falhas. Qualquer site corre este risco, por favor se lembre disso! As coisas mais importantes e que você deve mesmo se lembrar é a importância de se ter senhas diferentes e sempre fazer upgrade de qualquer script em PHP que você escolher instalar. Scammers são facilmente tapeados então vamos mantê-los longe!
Em caso de dúvidas, não deixe de entrar em contato com a sua hospedagem :)
