Como Proteger o Site da Sua Pequena Empresa
Se você tem uma empresa de encanamento, um consultório odontológico ou um estúdio de ioga, "segurança de site" provavelmente soa como tarefa para outra pessoa. Não é. Aprender a proteger o site da sua pequena empresa é uma das horas de maior valor que você pode gastar, porque um site quebrado ou invadido custa leads em silêncio todo santo dia em que fica fora do ar. A boa notícia: você não precisa ser técnico, e não precisa fazer tudo de uma vez. Você precisa fazer as coisas certas na ordem certa.
Este guia pula os conselhos vagos e te dá um plano em linguagem simples. Cerca de metade dele vale independentemente de quem constrói ou hospeda o seu site, então é útil quer você toque o WordPress sozinho quer pague alguém para cuidar dele.
Por que alguém se daria ao trabalho de invadir o site de um negócio local
Um mito comum impede os donos de agir: "Somos pequenos demais para ser alvo". Essa crença é exatamente o motivo pelo qual sites pequenos são atingidos. A maioria dos ataques não é uma pessoa escolhendo você. São bots automatizados varrendo milhões de sites em busca de uma falha conhecida, e depois invadindo onde quer que a encontrem.
Aqui está o que os invasores realmente querem do site de uma pequena empresa:
- Injetar páginas de spam escondidas para que os buscadores posicionem a bagunça deles usando a reputação do seu domínio
- Redirecionar em silêncio os seus visitantes para páginas de golpe ou malware
- Usar o seu servidor para enviar e-mails de spam ou atacar outros sites
- Roubar qualquer dado de cliente que os seus formulários coletam, como nomes, e-mails e telefones
- Travar o seu site e pedir dinheiro para devolvê-lo
Dois desses resultados prejudicam mesmo que você nunca perceba a invasão. Quando o Google detecta malware ou spam no seu site, ele pode colocar uma tela de aviso vermelha na frente dos visitantes e te derrubar dos resultados. Sair dessa lista de bloqueio pode levar dias que você não pode perder na alta temporada.
Então o risco real para um negócio local não costuma ser drama. É dano silencioso: posições perdidas, um aviso assustador no navegador e ligações que param de chegar.
Como proteger o site da sua pequena empresa na ordem certa
Guias de segurança adoram te entregar uma lista de dez itens sem nenhuma noção do que mais importa. Isso deixa donos ocupados paralisados. Abaixo está a ordem que eu seguiria, começando pelas mudanças que bloqueiam os ataques mais comuns com o menor esforço.
1. Tranque cada login primeiro
A maioria das invasões de sites pequenos não é esperta. Alguém adivinha ou reutiliza uma senha fraca. Conserte isso antes de qualquer coisa.
- Use uma frase-senha longa, não uma senha curta. Três ou quatro palavras aleatórias e sem relação, emendadas, com pelo menos dezesseis caracteres, superam uma mistura curta de símbolos. "cobre-lanterna-texugo-terca" é ao mesmo tempo mais forte e mais fácil de digitar do que algo como "S3nh@1".
- Ative a autenticação de dois fatores para o administrador do seu site, a sua conta de hospedagem, o seu registrador de domínio e o e-mail ligado a todos eles. Dois fatores significa um código de um app no seu celular além da senha. Se um invasor roubar a sua senha, ele ainda não consegue entrar.
- Dê a cada membro da equipe o seu próprio login. Nunca compartilhe uma conta de administrador. Quando alguém sai, você pode remover só o acesso dessa pessoa sem trocar a senha de todo mundo.
- Conceda apenas o acesso de que cada pessoa precisa. O seu ajudante de conteúdo de meio período não precisa de direitos completos de administrador.
Se você fizer só uma coisa esta semana, coloque a autenticação de dois fatores na conta de e-mail que pode redefinir as suas outras senhas. Essa caixa de entrada é a chave-mestra para todo o resto.
2. Garanta que o site inteiro carregue por HTTPS
HTTPS é o cadeado na barra do navegador. Ele criptografa os dados que trafegam entre o seu visitante e o seu site, para que ninguém na mesma rede de café consiga lê-los. Ele é fornecido por um certificado SSL.
Duas coisas que a maioria dos guias deixa de fora:
- Quase toda hospedagem de boa reputação hoje inclui um certificado gratuito, então raramente você precisa comprar um. Procure no painel da sua hospedagem por "SSL" ou "TLS" e ative.
- Ativar não basta. Você quer o site inteiro forçado para HTTPS, para que qualquer um que digite o endereço simples seja redirecionado para a versão segura. Visite o seu próprio site e confirme que o cadeado aparece em toda página, incluindo as suas páginas de contato e de agendamento. Um site sem ele agora é marcado como "Não seguro" no Chrome, o que espanta os clientes antes de eles lerem uma palavra.
3. Mantenha o software por trás do seu site atualizado
Se o seu site roda em uma plataforma como o WordPress com plugins e temas, o software desatualizado é a maior porta pela qual os invasores entram. Falhas conhecidas são publicadas, e os bots começam a caçar sites que não as corrigiram.
- Ative as atualizações automáticas para a plataforma principal e para os plugins onde a sua hospedagem permitir.
- Apague plugins e temas que você não está usando. Cada um que você mantém é mais uma fechadura que pode falhar, mesmo desligado.
- Seja seletivo com o que você instala. Prefira plugins populares e atualizados recentemente a abandonados com um punhado de usuários.
Esse é o passo que mais recompensa um arranjo em que você não precisa se envolver. Se manter as atualizações em dia soa como uma tarefa que você vai esquecer, esse é um forte sinal de que você quer uma plataforma ou um fornecedor que aplique as correções para você.
4. Faça backup do seu site em um lugar separado
Backups não previnem um ataque. Eles são o que transforma um desastre em um transtorno. Se o seu site for desfigurado ou travado, um backup limpo recente permite voltar para ontem em vez de reconstruir do zero.
- Mire em pelo menos backups automáticos semanais, e diários se você publica ou recebe agendamentos com frequência.
- Guarde uma cópia em algum lugar diferente do servidor que roda o seu site. Um backup na mesma máquina que foi invadida não ajuda muito.
- Teste uma restauração uma vez. Um backup que você nunca restaurou é um chute, não uma rede de segurança.
5. Proteja o seu domínio, não só o seu site
Essa é a camada que quase todo guia de pequena empresa pula, e ela causa alguns dos piores resultados. O seu domínio é o endereço que os clientes digitam e a âncora das suas posições de busca. Perca o controle dele e um site limpo e seguro não te serve de nada.
- Ative a autenticação de dois fatores no seu registrador de domínio, a empresa de quem você comprou o nome.
- Ative o "bloqueio de domínio" ou "bloqueio de transferência" do registrador para que ninguém possa mover o seu domínio para outra conta sem a sua aprovação.
- Configure o domínio para renovação automática, e mantenha um cartão válido cadastrado. Deixar um domínio vencer por acidente é um jeito chocantemente comum de as empresas perderem o site e o e-mail da noite para o dia, e os oportunistas abocanham nomes vencidos rápido.
- Mantenha o e-mail de contato do domínio atualizado, e garanta que não seja um endereço que viva no mesmo site ou sistema que poderia cair.
6. Reduza o spam e o abuso nos formulários
Se você tem um formulário de contato ou de orçamento, os bots vão encontrá-lo e inundá-lo. Além do incômodo, parte desse tráfego procura por brechas.
- Adicione um filtro de spam ou um desafio discreto aos seus formulários. As opções modernas rodam em segundo plano e raramente fazem clientes de verdade resolverem quebra-cabeças.
- Limite quantas vezes alguém pode tentar fazer login antes de ser desacelerado ou bloqueado. Isso trava a adivinhação automatizada de senhas descrita no passo um.
- Modere quaisquer comentários ou avaliações para que links de spam injetados nunca fiquem no ar nas suas páginas.
7. Deixe a sua hospedagem e plataforma carregarem o peso
Você não precisa construir cada defesa à mão. Uma hospedagem capaz ou um serviço de firewall pode ficar na frente do seu site e bloquear uma grande parte dos ataques antes que cheguem a você.
- Escolha uma hospedagem que fale abertamente sobre segurança: backups automáticos, um firewall de aplicação web, varredura de malware e correções rápidas.
- Um firewall de aplicação web inspeciona as requisições que chegam e descarta as obviamente maliciosas. Muitas hospedagens e redes de distribuição de conteúdo incluem um.
- Faça uma pergunta simples antes de contratar: se o meu site for invadido, o que vocês fazem para me ajudar a recuperar? Uma hospedagem que assume essa resposta vale mais do que uma mais barata que dá de ombros.
O que fazer se o seu site já foi invadido
A maioria dos guias finge que isso nunca acontece. Acontece, e o pânico piora tudo. Aja nesta ordem.
- Troque as senhas de administrador, de hospedagem e de e-mail na hora, e ative os dois fatores se estivessem desligados.
- Tire o site do ar ou coloque-o em modo de manutenção para que os visitantes não fiquem expostos a malware enquanto você limpa.
- Restaure a partir de um backup limpo feito antes da invasão, se você tiver um.
- Faça uma varredura de malware e remova quaisquer arquivos ou contas que você não reconhece.
- Se o Google sinalizou o site, peça uma revisão pelo Google Search Console assim que ele estiver limpo, para que o aviso caia e as suas posições se recuperem.
- Depois descubra como eles entraram, normalmente um plugin desatualizado ou uma senha roubada, e feche essa porta para que não aconteça de novo na semana seguinte.
Se qualquer parte disso estiver além de você, esse é o momento de chamar a sua hospedagem ou um profissional. Pagar por uma recuperação limpa é muito mais barato do que o sangramento lento de um site que fica comprometido.
Uma rotina de segurança simples que você realmente vai manter
Segurança não é um projeto de uma vez só. É um hábito leve. Aqui vai um ritmo realista para um dono sem tempo sobrando.
Todo mês:
- Confirme que o cadeado ainda aparece nas suas páginas principais
- Verifique se os backups rodaram e se as atualizações foram aplicadas
- Passe o olho na sua lista de usuários e remova quem saiu
Uma vez por ano:
- Redefina as suas senhas importantes e confirme que os dois fatores ainda estão ativados em todo lugar
- Confirme que o seu domínio está bloqueado e configurado para renovação automática
- Pergunte à sua hospedagem o que mudou na segurança deles no último ano
Imprima isso, cole na parede, e você já está à frente da maioria das pequenas empresas na internet.
Onde entra uma plataforma gerenciada
Cada passo acima pode ser feito à mão, e para muitos donos o problema honesto não é não saber o que fazer, mas nunca encontrar tempo para continuar fazendo. É aí que deixar uma plataforma cuidar do encanamento ajuda. A Saynovo constrói para um negócio local um site de verdade a partir do seu Perfil da Empresa no Google e o roda em uma infraestrutura onde o certificado, as atualizações, os backups e o firewall são cuidados para você, então não há plugin para corrigir nem data de renovação para perder. Você descreve as mudanças em linguagem simples e o site se atualiza, enquanto a arrumação de segurança fica fora das suas mãos e fora da sua lista de tarefas. Ela não vai servir a um negócio que quer ser dono do código e hospedá-lo por conta própria, mas para um dono que prefere atender clientes a ficar de babá de um servidor, ela remove exatamente as tarefas que as pessoas esquecem.
O essencial
Você agora sabe como proteger o site da sua pequena empresa sem formação técnica: tranque os logins com frases-senha fortes e dois fatores, force HTTPS em todo lugar, mantenha o software corrigido, faça backup fora do servidor, proteja o próprio domínio, dome o spam de formulário e se apoie em uma hospedagem que faça trabalho de segurança de verdade. Faça os dois primeiros esta semana e você já fechou as portas que a maioria dos invasores usa. Quer você cuide disso sozinho quer entregue a um serviço gerenciado, o objetivo é o mesmo, um site que fica no ar, mantém as suas posições e nunca recebe um cliente com uma tela de aviso.
Fontes que valem a próxima leitura:
- Business.org: How to Secure a Website
- Wix: How to secure a website
- GoDaddy: Small business website security best practices
- LegalZoom: The Complete Guide to Creating a Secure Business Website
