Recomendações de Segurança
Visando a segurança da rede e seus dados, o RDC elaborou uma lista de pontos críticos a serem observados pelos administradores de sites institucionais:
FALHAS DE PROGRAMAÇÃO
Falhas em aplicações web, podem permitir a terceiros modificar os sites ou inserir dados indevidamente. Uma vez descobertas, as falhas são corrigidas por seus desenvolvedores em novas versões dos programas.
Para se proteger deste tipo de ataque é fortemente recomendável manter as aplicações web (ex: WordPress, Joomla, Drupal, Publique!, OJS e etc.) sempre atualizadas. As versões antigas dessas aplicações possuem vulnerabilidades amplamente conhecidas, estando mais sujeitas a invasão.
MENSAGENS DE ERRO PARA DEPURAÇÃO (DEBUG)
É comum durante a fase de testes de um site o uso de telas com informações internas úteis para o administrador, mas que podem ser usadas em ataques.
Quaisquer informações sensíveis do sistema devem ser omitidas das telas de erro, devendo ser armazenadas em registros (logs) inacessíveis pela web.
PORTAS ABERTAS
Dois serviços críticos e muito explorados são o RDP (Remote desktop do Windows) e SSH (Secure Shell), ambos para permitir o acesso remoto de administradores a servidores. O acesso a esses serviços deve ser restrito e, se possível, somente a partir da RedePUC.
Adicionalmente, recomendamos a troca da porta padrão desses serviços, o que já reduz as tentativas de invasão.
SENHAS FRACAS
O uso de senhas fortes, bem elaboradas, é extremamente importante. Fazer uso de senhas complexas dificulta a sua descoberta por força bruta
Recomenda-se o uso simultâneo de letras minúsculas e maiúsculas, números e caracteres especiais (Ex.: SegUranC@EA7enc@#). Para acessos de administração utilize senhas com 12 caracteres ou mais.
SEGURANÇA DO SISTEMA OPERACIONAL
É comum a descoberta de falhas graves em sistemas operacionais, portanto é fundamental mantê-lo constantemente atualizado.
Nunca use a conta administrativa do sistema para a execução do site ou acesso a banco de dados (root/administrator). Recomenda-se a criação de contas não privilegiadas para cada serviço ou aplicação web.
PERMISSÕES EM ARQUIVOS E DIRETÓRIOS
Sempre siga as instruções do desenvolvedor da aplicação ao definir os parâmetros de segurança de arquivos e diretórios. Nunca utilize permissões indiscriminadas, como o 777 no Linux.
UTILIZAÇÃO DE CERTIFICADOS NOS SITES (HTTPS)
Em qualquer site onde usuários digitam dados confidenciais ou realizem autenticação (login/senha) é extremamente aconselhável o uso de certificados digitais (https). Assim, todo o tráfego passa a ser criptografado, impedindo sua interceptação por terceiros. O uso do certificado será percebido pelo usuário como o “cadeado fechado” na tela do navegador.
Em caso de suspeita de comprometimento do site, entre em contato com o RDC.