ArticleCMS Segurança: Como manter seu site seguro
Publicados: 2022-08-12O número de sites na web está crescendo, assim como a porcentagem de sites que são invadidos a cada ano. Pode ser um bot tentando explorar uma vulnerabilidade conhecida ou um ataque direto e direcionado à sua organização. De qualquer forma, você deve adotar a mentalidade de que será hackeado . Pensar dessa maneira incentivará o comportamento proativo e as melhores práticas.
Se você está cético de que alguém iria querer hackear seu site, então dê uma olhada em seus logs da web em algum momento. Você provavelmente encontrará evidências de alguém ou algum bot tentando invadir seu servidor web. Se sua organização é de alto nível, você pode descobrir que isso acontece todos os dias. Saber com antecedência como os hacks podem acontecer, qual pode ser o impacto e como mitigar os danos é imperativo. Vamos dar uma olhada em como eles acontecem.
Vulnerabilidades de código
Um dos exploits mais infames a atingir a web foi uma vulnerabilidade no OpenSSL conhecida como Heartbleed. OpenSSL é a camada de software que lida com a criptografia no servidor para transações de dados seguras. Heartbleed não se importou com o sistema de gerenciamento de conteúdo (CMS) que você usou porque o OpenSSL funciona em um nível mais baixo em conjunto com o software do servidor web. Foi um bug simples introduzido por um programador muito qualificado, e era o tipo de erro que qualquer um poderia ter cometido.
O que tornou esse erro tão notável é que mais de dois terços de todos os sites seguros foram afetados. Apesar de mais de 100 contribuidores para o OpenSSL e mais de 21.000 contribuições de código distintas, essa vulnerabilidade simples não foi detectada e corrigida por quase três anos.
As duas últimas explorações de alto perfil, Spectre e Meltdown, aproveitaram vulnerabilidades inerentes à maioria dos processadores de computador modernos. Eles permitem que usuários de computadores compartilhados (como servidores da Web) espiem por cima da parede virtual que separa seu ambiente de outros sites executados no mesmo hardware.
Com a maioria dos sites dependendo de dezenas de aplicativos distintos, milhões de linhas de código e milhares de desenvolvedores individuais (sem contar o código do seu próprio site), podemos supor que existem vulnerabilidades em todos os sistemas operacionais, servidores web, CMS
Configuração imprópria
O motivo mais comum de um site ser invadido é uma configuração inicial ruim. Muitos administradores de sites não são muito experientes e há muito o que saber. Configurando usuários tanto no sistema operacional quanto no CMS, gerenciando as permissões desses usuários, gerenciando regras de firewall, configuração do servidor web – a lista continua. Mas todos esses fatores são críticos para a segurança.
Muitos artigos e guias de instruções cobrem apenas o mínimo necessário para manter as coisas simples para novos usuários. Isso pode ser bom para um indivíduo ou uma empresa familiar, mas é inaceitável para uma grande corporação de capital aberto. Nesse nível, os hacks não são apenas um inconveniente; eles podem ter um sério impacto em um negócio.
Falta de Manutenção
Quando vulnerabilidades de código são descobertas, patches são criados e os usuários têm tempo para atualizar seus sistemas antes que a vulnerabilidade seja anunciada ao público. Infelizmente, muitos sites não são corrigidos regularmente. Voltando ao nosso exemplo Heartbleed, mais de três anos após o lançamento do patch, ainda havia mais de 200.000 servidores web executando a versão antiga e vulnerável do OpenSSL.
Os sistemas modernos de gerenciamento de conteúdo têm camadas e mais camadas de aplicativos. Uma instalação típica do WordPress terá um sistema operacional Linux, software de servidor web, PHP, MySQL e qualquer número de plug-ins. Todas essas coisas devem ser constantemente monitoradas e mantidas. É um fato que muitos provedores de serviços simplesmente não conseguem acompanhar.
Humanos sendo humanos
Vulnerabilidades de código e falta de manutenção podem parecer assustadoras, mas podem ser insignificantes em comparação com os riscos trazidos por permitir que seres humanos usem seu CMS. Nós
Todo mundo quer ser útil e parecer inteligente, o que nos torna inerentemente suscetíveis à engenharia social. Certas solicitações devem fazer soar os alarmes, como:
- "Oi, aqui é Bob da TI. Estamos captando um tráfego anômalo vindo de sua máquina..."
- "Vou enviar algumas ferramentas de diagnóstico para você e..."
- "Você é um dos nossos usuários avançados, então você poderia me ajudar..."
Infelizmente, essas técnicas geralmente funcionam em pessoas vulneráveis.
Outra armadilha comum são as más práticas de senha. Dê uma olhada rápida nesta lista de senhas comuns. Alguma coisa parece familiar? Algum deles se parece com a raiz da sua senha ou usa uma técnica semelhante?
Se assim for, sua solução não é única ou inteligente e você deve mudar suas senhas agora! Um ataque de força bruta começará com uma lista como esta, introduzirá variações e possivelmente encontrará sua senha em minutos.
Ao lado dos pobres
Como manter seu site seguro
Qualquer um que diga "Não podemos ser hackeados" está tentando o destino, mas você pode minimizar significativamente os riscos. Aqui estão algumas proteções e processos básicos que você pode implementar para proteger os sites de agentes mal-intencionados.
Bons hábitos de segurança
Há algumas coisas simples que seus usuários podem fazer para reduzir significativamente o risco de ter suas credenciais comprometidas:
- Use senhas de "frase". De acordo com o Instituto Nacional de Padrões e Tecnologias,
senhas são mais memoráveis e seguros. Os requisitos de senha com caracteres e números especiais não são tão eficazes. - Use um gerenciador de senhas. Um gerenciador de senhas ajudará a garantir que você use senhas exclusivas em cada site. Você também pode estabelecer e aplicar suas próprias diretrizes de senha.
- Ensinar a arte da engenharia social. Dê aos usuários o conhecimento para reconhecê-lo enquanto está acontecendo e a confiança para desligá-lo antes que tenha sucesso.
Manutenção regular
Sempre mantenha o software atualizado com patches de segurança e novos lançamentos. Se você não for responsável pela manutenção de seu servidor web, pressione todos os seus provedores de serviços para obter detalhes sobre seus processos que garantam que sua pilha de tecnologia execute os patches críticos mais recentes.
Isso inclui sistemas operacionais, serviços da Web,
Boas práticas de manutenção se estendem ao hardware além da sua web
Lembre-se, sempre que uma nova exploração for descoberta, você se encontrará involuntariamente em uma corrida com os bandidos. Você tem que colocar os patches no lugar antes que eles encontrem você. Há muitas ações a serem executadas e itens a serem monitorados, portanto, a manutenção de servidores da Web é um trabalho em tempo integral.
Mantenha sua lista de usuários autorizados atualizada e sempre corte aqueles que deixaram sua organização. Coordene um plano para lidar com rescisões, porque trabalhadores insatisfeitos podem causar muitos danos em pouco tempo.
Elimine vetores de ataque
Cada camada que adiciona código e complexidade ao seu site também apresenta vulnerabilidades em potencial, portanto, mantenha sua pilha de tecnologia o mais enxuta e simples possível. Remova todos os aplicativos e serviços que não são necessários. Execute apenas os serviços necessários para que seu site e CMS funcionem.
Permita apenas tráfego de entrada para seu servidor web nas portas que são necessárias para seu site, CMS ou outros serviços necessários. Não adianta expor serviços que você não usa.
Limite o acesso ao seu CMS a usuários em sua rede ou VPN. Isso pode afetar seus administradores de conteúdo, portanto, considere essa troca com cuidado.
Continue girando os backups
Referindo-se a um ponto anterior, a mentalidade mais segura é assumir que você será hackeado. Ele ressalta o valor de manter bons backups. Um plano de backup completo pode incluir a manutenção de seis backups diários rotativos, backups quinzenais, semestrais e anuais.
Como os hacks nem sempre são descobertos imediatamente, você nunca sabe até onde pode precisar ir. Um único backup diário é arriscado.
Observe também que simplesmente definir o plano de backup não é suficiente. Você precisa verificar regularmente se todos os backups estão em execução e se você pode recuperar de qualquer um desses backups em tempo hábil. Imagine descobrir que seus backups não estavam funcionando apenas depois que você foi hackeado… Não é um cenário em que as pessoas querem se encontrar.
Então e o SAM?
Existem algumas propriedades exclusivas do SAM que tornam mais difícil invadir sites criados com essa ferramenta do que sites criados com outros sistemas de gerenciamento de conteúdo.
O SAM é um aplicativo único para se manter atualizado porque não possui plug-ins e requer apenas os serviços básicos que são componentes principais do sistema operacional Windows Server. Se você confiar nas Atualizações Automáticas da Microsoft, seu servidor sempre será corrigido.
Ainda mais notável, o SAM é um gerador de site estático. A maioria dos sistemas de gerenciamento de conteúdo gera páginas sob demanda quando um usuário as solicita, mas um gerador de site estático funciona gerando páginas e publicando-as no sistema de arquivos sempre que houver uma alteração no conteúdo.
O CMS não é necessário para que os usuários visualizem o site ao vivo, e o SAM pode ficar oculto em sua rede. Em outras palavras, não há CMS publicamente visível para hackear! A maioria dos nossos clientes nunca está ciente da distinção, mas é uma qualidade que realmente diferencia o SAM da multidão.
Referências e recursos
- Relatório de tendências de sites invadidos
- NoHacked: Um ano em análise
- Segurança do site: como os sites são invadidos?
- Como eles hackeiam seu site: visão geral das técnicas comuns
- Pesquisa do servidor Web de novembro de 2017
- O Inseto Sangramento do Coração
- Derretimento e Espectro
- Diretrizes de identidade digital do NIST
- Piores senhas de 2016