7 práticas recomendadas de segurança HTML para vulnerabilidades de sites estáticos

Por
Twittar
Compartilhar
Compartilhar
Pin

Sites estáticos armazenam conteúdo já renderizado, e é por isso que eles não precisam acessar nenhum banco de dados, executar scripts complexos ou depender de um mecanismo de tempo de execução sempre que um usuário solicitar uma página.

Isso se traduz em vantagens claras em tempos de carregamento e segurança: páginas estáticas economizam muito tempo do servidor e têm menos vulnerabilidades. Isso, por sua vez, significa que os mecanismos de pesquisa classificarão as páginas estáticas melhor do que seus equivalentes dinâmicos.

Os especialistas em SEO estão recorrendo ao conteúdo estático sempre que podem, para competir melhor em um mundo em que uma fração de segundo pode fazer a diferença entre o sucesso total e o fracasso total. A implantação de conteúdo estático tornou-se uma palavra de ordem entre os estrategistas de marketing, e o pessoal de TI adora ter um ponto menos vulnerável para ficar de olho.

Mas cuidado – eles não são 100% à prova de hackers, portanto, se você planeja implantar conteúdo estático em seu site, existem algumas práticas recomendadas que você deve seguir para mantê-lo seguro.

Os cabeçalhos de segurança são um subconjunto de cabeçalhos de resposta HTTP — um pacote de metadados, códigos de erro, regras de cache etc. que o servidor da Web adiciona ao conteúdo que serve — projetado para informar ao navegador o que fazer e como lidar com o conteúdo que recebe. Nem todos os navegadores suportam todos os cabeçalhos de segurança, mas há um pequeno conjunto que é bastante comum e fornece medidas básicas de segurança para impedir que hackers explorem vulnerabilidades.

X-Frame-Options: SAMEORIGIN

O cabeçalho X-Frame-Options destina-se a desabilitar ou mitigar os riscos impostos por iframes em seu site. Iframes podem ser usados ​​por hackers para capturar cliques legítimos e direcionar os visitantes para qualquer URL que desejarem. Existem diferentes maneiras de evitar o uso indevido de iframes.

A melhor prática recomendada pelo OWASP (Open Web Application Security Project) sugere o uso deste cabeçalho com o parâmetro SAMEORIGIN, que permite o uso de iframes apenas por alguém da mesma origem. Outras opções são DENY, para desabilitar os iframes completamente, e ALLOW-FROM, para permitir que apenas URLs específicos coloquem páginas em iframes.

Confira o guia de implementação para Apache e Nginx.

Proteção X-XSS: 1; modo=bloco

O cabeçalho X-XSS-Protection foi projetado para proteger sites de scripts entre sites. Esse recurso de cabeçalho pode ser implementado de duas maneiras:

  • X-XSS-Proteção: 1
  • Proteção X-XSS: 1; modo=bloco

A primeira é mais permissiva, filtrando scripts da solicitação para o servidor web, mas renderizando a página mesmo assim. A segunda maneira é mais segura, pois bloqueia a página inteira quando um script X-XSS é detectado na solicitação. Esta segunda opção é a melhor prática recomendada pelo OWASP.

X-Content-Type-Options: nosniff

Esse cabeçalho impede o uso de MIME “sniffing” — um recurso que permite que o navegador verifique o conteúdo e responda de maneira diferente do que o cabeçalho instrui. Quando este cabeçalho está presente, o navegador deve definir o tipo de conteúdo conforme instruído, em vez de inferi-lo “farejando” o conteúdo antecipadamente.

Se você aplicar esse cabeçalho, verifique novamente se seus tipos de conteúdo são aplicados corretamente em cada página do seu site estático.

  10 melhores softwares de divisão de vídeo para cortar imagens grandes em clipes menores

Tipo de conteúdo: texto/html; charset=utf-8

Esta linha é adicionada aos cabeçalhos de solicitação e resposta para páginas HTML desde a versão 1.0 do protocolo HTTP. Ele estabelece que todas as tags são renderizadas no navegador, exibindo o resultado na página da web.

Usar certificados TLS

Um certificado SSL/TLS é obrigatório para qualquer site, pois permite que o servidor da Web criptografe os dados enviados ao navegador da Web por meio do protocolo HTTPS seguro. Dessa forma, se os dados forem interceptados em sua viagem, ficarão ilegíveis, o que é essencial para proteger a privacidade do usuário e proteger o site. Um site estático não armazena as informações pessoais de seus visitantes, mas é essencial que as informações solicitadas não possam ser vistas por observadores indesejados.

O uso de criptografia por um site é necessário para ser marcado como um site seguro pela maioria dos navegadores e é obrigatório para sites que buscam cumprir o Regulamento Geral de Proteção de Dados (GDPR) da UE. A lei não especifica especificamente que um certificado SSL deve ser usado, mas é a maneira mais simples de atender aos requisitos de privacidade do regulamento.

Em termos de segurança, o certificado SSL permite que as autoridades verifiquem a propriedade de um site e impeçam que hackers criem versões falsas dele. O uso de um certificado SSL permite que o visitante do site verifique a autenticidade do editor e tenha certeza de que ninguém pode espionar suas atividades no site.

A boa notícia é que o certificado não custa muito. Na verdade, você pode obtê-lo GRATUITAMENTE de Zero SSL ou compre um premium de Loja SSL.

Implantar proteção contra DDoS

Os ataques de negação de serviço distribuído (DDoS) estão se tornando cada vez mais comuns hoje em dia. Nesse tipo de ataque, um conjunto de dispositivos distribuídos é usado para sobrecarregar um servidor com uma enxurrada de solicitações, até que ele fique saturado e simplesmente se recuse a funcionar. Não importa se o seu site tem conteúdo estático — seu servidor web pode facilmente se tornar vítima de um ataque DDoS se você não tomar as medidas necessárias.

A maneira mais fácil de implementar a proteção contra DDoS em seu site é ter um provedor de serviços de segurança para cuidar de todas as ameaças cibernéticas. Este serviço fornecerá detecção de intrusão, serviços antivirais, verificação de vulnerabilidades e muito mais, para que você praticamente não precise se preocupar com ameaças.

Uma solução tão abrangente pode ser cara, mas também existem soluções mais focadas com custos mais baixos, como DDoS Protection as a Service (DPaaS). Você deve perguntar ao seu provedor de hospedagem se ele oferece esse serviço.

Soluções mais acessíveis são os serviços de proteção DDoS baseados em nuvem, como os oferecidos pela Akamai, Sucuri, ou Cloudflare. Esses serviços fornecem detecção e análise antecipadas de ataques DDoS e filtram e desviam esses ataques, ou seja, redirecionam o tráfego malicioso para longe do seu site.

Ao considerar uma solução anti-DDoS, deve-se atentar para sua capacidade de rede: este parâmetro indica quanta intensidade de ataque a proteção pode suportar.

  10 melhores blogs de Java para programadores de todos os níveis

Evite bibliotecas JavaScript vulneráveis

Mesmo que seu site tenha conteúdo estático, ele pode usar bibliotecas JavaScript que impõem riscos à segurança. Geralmente, considera-se que 20% dessas bibliotecas tornam um site mais vulnerável. Felizmente, você pode usar o serviço fornecido por Banco de dados de vulnerabilidade para verificar se uma determinada biblioteca é segura ou não. Em seu banco de dados, você pode encontrar informações detalhadas e orientações para muitas vulnerabilidades conhecidas.

Além de verificar vulnerabilidades em uma biblioteca específica, você pode seguir esta lista de práticas recomendadas para bibliotecas JavaScript que fornecerão correção para seus riscos potenciais:

  • Não use servidores de biblioteca externos. Em vez disso, armazene as bibliotecas no mesmo servidor que hospeda seu site. Se você precisar usar bibliotecas externas, evite usar bibliotecas de servidores na lista negra e verifique a segurança de servidores externos periodicamente.
  • Use o gerenciamento de versão para bibliotecas JavaScript e certifique-se de usar a versão mais recente de cada biblioteca. Se o gerenciamento de versões não for uma opção, pelo menos você deve usar versões livres de vulnerabilidades conhecidas. Você pode usar aposentar.js para detectar o uso de versões vulneráveis.
  • Verifique regularmente se o seu site está usando bibliotecas externas que você não conhece. Dessa forma, você saberá se um hacker injetou links para provedores de biblioteca indesejados. Ataques de injeção são improváveis ​​em sites estáticos, mas não fará mal fazer essa verificação de vez em quando.

Implementar estratégia de backup

Um site estático deve sempre ter seu conteúdo com backup seguro sempre que for alterado. As cópias de backup devem ser armazenadas com segurança e facilmente acessíveis caso você precise restaurar seu site em caso de falha. Existem muitas maneiras de fazer backup de seu site estático, mas, em geral, elas podem ser categorizadas em manual e automática.

Se o conteúdo do seu site não muda com muita frequência, uma estratégia de backup manual pode ser adequada – você só precisa se lembrar de fazer um novo backup sempre que fizer uma alteração no conteúdo. Se você possui um painel de controle para gerenciar sua conta de hospedagem, é muito provável que dentro desse painel de controle você encontre uma opção para fazer backups. Caso contrário, você sempre pode usar um cliente FTP para baixar todo o conteúdo do site para um dispositivo local, onde poderá mantê-lo seguro e restaurá-lo, se necessário.

Obviamente, a opção de backup automático é preferível se você deseja manter as tarefas de gerenciamento de seu site no mínimo. Mas os backups automáticos geralmente são oferecidos como recursos premium pelos provedores de hospedagem, aumentando o custo total de manter seu site seguro.

Você pode considerar o uso de armazenamento de objetos em nuvem para o backup.

Use um provedor de hospedagem confiável

Um serviço confiável de hospedagem na web é necessário para garantir que seu site funcione sem problemas e com rapidez, mas também para ter certeza de que não será invadido. A maioria das avaliações de hospedagem na web mostrará números e comparações sobre velocidade, tempo de atividade e suporte ao cliente, mas ao considerar a segurança do site, existem alguns aspectos que devem ser observados com cuidado e que você deve consultar seu provedor antes de contratar seu serviço:

  • Segurança de software: você deve descobrir como as atualizações de software são tratadas; por exemplo, se todo o software for atualizado automaticamente ou se cada atualização for submetida a um processo de teste antes de ser implantada.
  • Proteção DDoS: caso este tipo de proteção esteja incluso no serviço de hospedagem, solicite detalhes sobre como ela é implementada, para verificar se atende aos requisitos do seu site.
  • Disponibilidade e suporte SSL: como na maioria dos casos os certificados são gerenciados pelo provedor de hospedagem, você deve verificar que tipo de certificado ele oferece e qual é a política de renovação de certificados.
  • Backup e restauração: muitos provedores de hospedagem oferecem um serviço de backup automatizado, o que é bom porque praticamente permite que você esqueça de fazer backups, armazená-los e mantê-los atualizados. Mas leve em consideração o custo de tal serviço e pondere-o em relação ao esforço necessário para manter seu conteúdo em backup por você mesmo.
  • Proteção contra malware: um provedor de hospedagem confiável deve ter seus servidores protegidos contra malware, realizando verificações periódicas de malware e monitorando a integridade dos arquivos. No caso de hospedagem compartilhada, é desejável que o provedor de hospedagem faça uso do isolamento de conta, para evitar que infecções por malware se propaguem entre sites vizinhos.
  • Proteção de firewall: um provedor de hospedagem pode aumentar o nível de segurança dos sites que hospeda implantando um firewall que mantém o tráfego hostil afastado.
  Toque em uma pokébola caída para configurar o próximo lance mais rápido

Confira a plataforma confiável de hospedagem de sites estáticos.

Aplique uma política de senha forte

Como um site estático não tem um banco de dados ou um sistema de conteúdo gerenciado, ele tem menos nomes de usuário e senhas para gerenciar. Mas você ainda precisa aplicar uma política de senha para as contas de hospedagem ou FTP que você usará para atualizar o conteúdo estático.

As boas práticas para senhas incluem, entre outras:

  • Mudando-os periodicamente
  • Definir um comprimento mínimo de senha.
  • Usando combinações de letras maiúsculas/minúsculas junto com caracteres especiais e números
  • Evite comunicá-los por e-mail ou mensagens de texto.

Além disso, a senha padrão para contas administrativas deve ser alterada desde o início – esse é um erro comum que os hackers podem explorar facilmente. Não tenha medo de perder a senha; use um gerenciador de senhas para gerenciá-los com segurança.

Vamos ficar estático

Há alguns anos, o conteúdo dinâmico era o caminho a seguir: tudo podia ser facilmente alterado e atualizado, permitindo um redesenho inteiro do site em segundos. Mas então, a velocidade se tornou a principal prioridade, e o conteúdo estático de repente ficou legal novamente.

Nesse sentido, todas as práticas de segurança do site devem ser reavaliadas – com certeza há menos aspectos a serem considerados, mas você não deve ficar relaxado sobre isso. Esta lista de práticas recomendadas certamente o ajudará a criar sua própria lista de verificação para manter seu site estático seguro.