{"id":24216,"date":"2022-12-09T11:11:00","date_gmt":"2022-12-09T14:11:00","guid":{"rendered":"https:\/\/blog.locaweb.com.br\/?p=24216"},"modified":"2024-07-31T13:05:03","modified_gmt":"2024-07-31T16:05:03","slug":"como-melhorar-a-seguranca-do-seu-site","status":"publish","type":"post","link":"https:\/\/www.locaweb.com.br\/blog\/temas\/seguranca-digital\/como-melhorar-a-seguranca-do-seu-site\/","title":{"rendered":"5 dicas para melhorar a seguran\u00e7a do seu site"},"content":{"rendered":"\n

Ol\u00e1 pessoas, tudo bem com voc\u00eas? Pokemaobr aqui novamente para esse blog maraviwonderful que \u00e9 o blog da Locaweb e trazendo mais um conte\u00fado muito importante para voc\u00ea que desenvolve websites<\/strong>. Um tema temido por muitas pessoas e estudado por tantas outras. Vamos falar sobre a seguran\u00e7a do seu site.<\/p>\n\n\n\n

\u00c9 muito importante para n\u00f3s como devs divulgar nossos trabalhos para o maior n\u00famero de pessoas. Ter bastante visita \u00e9 algo muito bom quando falamos da quest\u00e3o de ter sucesso em um site<\/a>. Mas, quanto mais visitado \u00e9 um site, mais visado por pessoas sem as melhores inten\u00e7\u00f5es, que procurar\u00e3o por pequenas brechas para descobrir algumas informa\u00e7\u00f5es indevidas ou at\u00e9 mesmo explorar alguma funcionalidade que deveria ser exclusiva para certos tipos de usu\u00e1rios.<\/p>\n\n\n\n

Durante esse artigo voc\u00ea vai perceber que as maiores falhas de seguran\u00e7a<\/strong> s\u00e3o as mais comuns. Ent\u00e3o, para come\u00e7armos a nos preocupar com a seguran\u00e7a do seu site<\/strong>, comecemos do princ\u00edpio:<\/p>\n\n\n\n

1) Atualize tudo que puder<\/strong><\/h2>\n\n\n\n

Quanto mais o mundo de desenvolvimento evolui, mais utilizamos plataformas abertas, utilizadas por muitas pessoas, por\u00e9m, exploradas por outras tamb\u00e9m. Por isso de come\u00e7o a melhor dica para refor\u00e7ar a seguran\u00e7a de qualquer aplica\u00e7\u00e3o \u00e9: mantenha tudo que voc\u00ea puder o mais atualizado poss\u00edvel<\/strong>, de prefer\u00eancia na \u00faltima vers\u00e3o est\u00e1vel. <\/p>\n\n\n\n

Muitas brechas de seguran\u00e7a s\u00e3o encontradas e atualizadas muito r\u00e1pido pelas pessoas que desenvolvem<\/strong>, manter servidores, vers\u00f5es de linguagens<\/a>, ferramentas, frameworks e plug-ins desatualizados atrapalha muito a manuten\u00e7\u00e3o de seguran\u00e7a de sua aplica\u00e7\u00e3o.<\/p>\n\n\n\n

Juntamente com isso, reestude sempre as boas pr\u00e1ticas da sua linguagem<\/strong> e bibliotecas em geral<\/a> e veja se alguma fun\u00e7\u00e3o, pacote ou outra funcionalidade mais nova corrige alguns processos de seguran\u00e7a<\/strong> de vers\u00f5es passadas.<\/p>\n\n\n\n

Para garantir que a navega\u00e7\u00e3o no seu site seja segura, tenha um Certificado SSL!<\/p>SAIBA COMO<\/a><\/div>\n\n\n\n

2) Entenda um pouco das configura\u00e7\u00f5es de seguran\u00e7a do seu servidor<\/strong><\/h2>\n\n\n\n

Outras pr\u00e1ticas interessantes para a gente come\u00e7ar a entrar um pouco mais na seguran\u00e7a s\u00e3o as configura\u00e7\u00f5es de servidores<\/strong>. Por muitas vezes pegamos apenas uma configura\u00e7\u00e3o padr\u00e3o e colocamos nosso site no ar com aquilo. \u00c9 muito importante entendermos quais diretrizes s\u00e3o importantes para ajustar e liberar ou n\u00e3o acessos para a aplica\u00e7\u00e3o.<\/p>\n\n\n\n

\u00c9 interessante entender tamb\u00e9m quais portas precisam realmente estar abertas para nosso site funcionar corretamente<\/strong> e quais podem estar fechadas diminuindo assim a exposi\u00e7\u00e3o das coisas.<\/p>\n\n\n\n

Juntamente com isso, as permiss\u00f5es de pastas e arquivos devem ser sempre revisitadas para que apenas os usu\u00e1rios corretos do sistema possam acess\u00e1-las. Bem como n\u00e3o permitir que uma pessoa acesse arquivos que n\u00e3o s\u00e3o das extens\u00f5es que sua linguagem utiliza. <\/p>\n\n\n\n

Por exemplo, n\u00e3o faz sentido voc\u00ea permitir que seu servidor fornecesse acesso a qualquer pessoa para arquivos .txt se seu site \u00e9 em PHP<\/a>, provavelmente um arquivo .txt ter\u00e1 informa\u00e7\u00f5es de logs ou outros dados que n\u00e3o interessam a uma pessoa usu\u00e1ria comum.<\/p>\n\n\n\n

3) Guarde bem as suas senhas<\/strong><\/h2>\n\n\n\n

Quando falamos de armazenamento de senhas<\/strong> dentro de um website o neg\u00f3cio fica um pouco mais tenso. Muitas pessoas falam que simplesmente usar hashs para \u201cencodar\u201d as senhas e salvar no banco, j\u00e1 que os hashs n\u00e3o s\u00e3o revers\u00edveis, ou seja, n\u00e3o \u00e9 poss\u00edvel utilizar um algoritmo para retornar o valor para o inicial. <\/p>\n\n\n\n

Mas, por exemplo, um algoritmo de hash muito utilizado para isso \u00e9 o MD5, e, embora realmente caso voc\u00ea pegue por exemplo 1q2w3e<\/strong> e transforme em MD5, o que seria 3fde6bb0541387e4ebdadf7c2ff31123<\/strong>, n\u00e3o existe um comando para que o resultado disso volte o 3fde6bb0541387e4ebdadf7c2ff31123<\/strong> para 1q2w3e<\/strong>, por\u00e9m, como sempre o MD5 gera a mesma string 3fde6bb0541387e4ebdadf7c2ff31123<\/strong> quando codificado. <\/p>\n\n\n\n

Existe o que chamamos de tabela de hash<\/strong>, onde voc\u00ea pode, sabendo qual \u00e9 o MD5 gerado procurar pelo valor inicial. Portanto utilize algoritmos mais modernos e confi\u00e1veis (de prefer\u00eancia aqueles que utilizam o conceito de salt) como SHA256, BCRYPT e ARGON2<\/strong><\/p>\n\n\n

\n
\"seguran\u00e7a<\/figure>\n<\/div>\n\n\n

4) Fique de olho no SQL Injection<\/strong><\/h2>\n\n\n\n

Embora esse seja um tema que sempre \u00e9 falado quando \u00e9 o de SQL Injection, n\u00e3o tem como n\u00e3o falar sobre isso. O SQL Injection consiste em um ataque onde uma pessoa utiliza os formul\u00e1rios de um site ou algum endpoint que esteja de f\u00e1cil acesso e tenta executar um comando SQL malicioso. Por exemplo:<\/p>\n\n\n

\n
\"sql<\/figure>\n<\/div>\n\n\n

No exemplo acima a utiliza\u00e7\u00e3o correta dos campos User e Senha deveria ser da pessoa digitar um nome de usu\u00e1rio no primeiro input e a senha desse usu\u00e1rio no segundo input. Por\u00e9m, caso o site execute o sql de busca de usu\u00e1rios diretamente apenas substituindo os valores no c\u00f3digo, uma pessoa m\u00e1 intencionada poderia colocar um c\u00f3digo malicioso nos campos para que o SQL executado retorne todos os dados de usu\u00e1rios por exemplo.<\/p>\n\n\n\n

Como fazer para resolver SQL injection? Nunca executar um comando SQL diretamente dos dados que usu\u00e1rios enviam para o seu site<\/strong>. Sempre utilize filtros para validar se os dados inseridos s\u00e3o os dados realmente solicitados em seus formul\u00e1rios. E n\u00e3o apenas substitua tudo que vem do site para o seu banco de dados.<\/p>\n\n\n\n

5) Conhe\u00e7a o OWASP<\/strong><\/h2>\n\n\n\n

Fora essas dicas, um site que indico muito quando o assunto \u00e9 seguran\u00e7a de aplica\u00e7\u00f5es<\/strong>, principalmente para a web \u00e9 o OWASP TOP TEN<\/a>. A OWASP \u00e9 uma organiza\u00e7\u00e3o internacional que trabalha com foco em seguran\u00e7a de aplica\u00e7\u00f5es e as muitas brechas que deixamos quando desenvolvemos. O legal \u00e9 que existem alguns grupos dentro da OWASP que realizam eventos e outras atividades tamb\u00e9m, incluindo no Brasil.<\/p>\n\n\n\n

O OWASP TOP TEN trata das 10 vulnerabilidades mais comuns nos sistemas web<\/strong>, e a cada ano fazem um novo estudo e atualizam. O mais interessante \u00e9 que durante os v\u00e1rios anos que essa lista est\u00e1 sendo desenvolvida as vulnerabilidades mais comuns dificilmente mudam.<\/p>\n\n\n\n

Desejo que tenham curtido o artigo de hoje, valeu mesmo por acompanhar aqui o blog.<\/p>\n\n\n\n

At\u00e9 a pr\u00f3xima!<\/p>\n","protected":false},"excerpt":{"rendered":"

Ol\u00e1 pessoas, tudo bem com voc\u00eas? Pokemaobr aqui novamente para esse blog maraviwonderful que \u00e9 o blog da Locaweb e trazendo mais um conte\u00fado muito importante para voc\u00ea que desenvolve websites. Um tema temido por muitas pessoas e estudado por tantas outras. Vamos falar sobre a seguran\u00e7a do seu site. \u00c9 muito importante para n\u00f3s […]<\/p>\n","protected":false},"author":24,"featured_media":38545,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1876],"tags":[],"class_list":["post-24216","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguranca-digital"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.locaweb.com.br\/blog\/wp-json\/wp\/v2\/posts\/24216","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.locaweb.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.locaweb.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.locaweb.com.br\/blog\/wp-json\/wp\/v2\/users\/24"}],"replies":[{"embeddable":true,"href":"https:\/\/www.locaweb.com.br\/blog\/wp-json\/wp\/v2\/comments?post=24216"}],"version-history":[{"count":4,"href":"https:\/\/www.locaweb.com.br\/blog\/wp-json\/wp\/v2\/posts\/24216\/revisions"}],"predecessor-version":[{"id":50038,"href":"https:\/\/www.locaweb.com.br\/blog\/wp-json\/wp\/v2\/posts\/24216\/revisions\/50038"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.locaweb.com.br\/blog\/wp-json\/wp\/v2\/media\/38545"}],"wp:attachment":[{"href":"https:\/\/www.locaweb.com.br\/blog\/wp-json\/wp\/v2\/media?parent=24216"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.locaweb.com.br\/blog\/wp-json\/wp\/v2\/categories?post=24216"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.locaweb.com.br\/blog\/wp-json\/wp\/v2\/tags?post=24216"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}