Spaceship Blog

Segurança do alojamento partilhado: como te manteres protegido

Para qualquer tipo de projeto online, a segurança é essencial. Mas, além dos custos financeiros, os problemas de segurança podem levar a períodos de inatividade que perturbam o teu projeto e comprometem os dados dos clientes. Também podem afetar as vendas/o negócio, bem como a imagem da tua marca e a credibilidade do website.

Ao começares, há várias ameaças de segurança para negócios online de que te deves lembrar. Aqui analisamos os desafios de segurança que os utilizadores de alojamento partilhado podem enfrentar, bem como a forma de os prevenir e resolver.

Segurança do alojamento partilhado

Devido à natureza do alojamento partilhado e à forma como é construído, existem algumas áreas que podem ser visadas. E, embora a maioria das definições de segurança seja gerida pelo fornecedor de alojamento, os utilizadores podem gerir e mitigar proativamente alguns riscos de segurança. As áreas do alojamento partilhado que correm mais risco enquadram-se nas seguintes categorias:

  • Nível do fornecedor de alojamento

  • Ao nível do servidor (relativo ao produto e ao servidor partilhado)

  • Controlo do utilizador (relativo ao software instalado, definições e utilização diária)

Segurança ao nível do fornecedor de alojamento

É sempre melhor escolher um fornecedor de alojamento com as medidas de segurança certas implementadas para mitigar potenciais problemas com a tua conta, serviço de alojamento e dados.

Algumas coisas a que deves estar atento:

  • Elevada segurança da conta e privacidade dos dados (autenticação multifator & plataforma segura).

  • Mitigação de ataques DDoS ao nível do servidor.

  • Cópias de segurança regulares do software (com notificações).

Outra coisa a lembrar é que, com o alojamento partilhado, não estás isolado. Por isso, se um website utilizar práticas de segurança fracas, como não encriptar dados sensíveis, isso pode representar um risco para outros utilizadores. Um ataque que obtenha acesso à base de dados de um site pode encontrar ligações ou scripts que interajam com outras contas no servidor.

Existe também o risco de propagação de malware, quando um site é infetado e isso se espalha para outros sites no servidor através de ficheiros partilhados, scripts ou ligações à base de dados. Depois de o malware infetar vários sites, pode levar a violações de dados ou a exploração adicional.

Tem em conta que os fornecedores de alojamento podem não atualizar o software e as configurações do servidor assim que as atualizações ficam disponíveis por predefinição. Isto pode criar vulnerabilidades que depois podem ser exploradas. Por exemplo, os cibercriminosos visam frequentemente versões desatualizadas de PHP ou MySQL.

Isto significa que tens de garantir que todas as atualizações no servidor são feitas prontamente. Também é melhor verificar se os fornecedores de alojamento suportam ou oferecem o seguinte:

  • Certificados SSL

  • Firewalls

  • Apoio ao cliente

Sob controlo do utilizador

Infraestrutura de software do alojamento partilhado

Os fornecedores de alojamento são responsáveis pela segurança da infraestrutura de software, mas os utilizadores de alojamento precisam de gerir a segurança de qualquer software adicional e código personalizado.

Plugins e temas inseguros

Uma consideração de segurança é a escolha de plugins, ferramentas e serviços. Se estes não forem legítimos ou seguros, todos os utilizadores de alojamento partilhado no servidor podem ficar em risco devido a vários ataques ou infeções por malware.

Também é possível que seja utilizado software legítimo e oficial, mas não atualizado, pelo que pode tornar-se uma vulnerabilidade de segurança. Este pode ser o caso das atualizações do WordPress, às quais tens de estar atento em emails e notificações, porque nem sempre são aplicadas automaticamente.

Quando precisas de aplicar atualizações ativamente, é mais fácil não dares por elas. Isto é algo a ter em conta ao escolheres o teu fornecedor.

Podes informar-te sobre atualizações de alojamento destas formas:

  • Emails

  • Alertas no painel de controlo

  • Notas de lançamento dos fornecedores de sistemas de gestão de conteúdos (CMS)

  • Fóruns

Gestão de palavras-passe

Quando a gestão de palavras-passe não é tratada de forma segura, pode permitir acesso não autorizado no ambiente de alojamento. As violações de segurança podem ser causadas por palavras-passe fracas ou fáceis de adivinhar, ou quando as credenciais de segurança são partilhadas entre diferentes utilizadores.

Ataques de força bruta

Estes envolvem malware que tenta um elevado número de combinações de palavras-passe até conseguir acesso. Quando as palavras-passe não são suficientemente fortes, o acesso pode ser obtido com mais facilidade.

Permissões de ficheiros

Erros nas permissões de ficheiros podem causar a fuga de informações sensíveis, como credenciais de bases de dados. Este tipo de violação também pode representar um risco para outros utilizadores no servidor, e não apenas para o website visado no ataque.

Segurança ao nível do servidor

Como já foi referido, os utilizadores partilham recursos do servidor com outros utilizadores de Shared Hosting. Quando não são geridos corretamente, os ambientes partilhados podem apresentar vários riscos de segurança que devem ser tidos em conta.

Ataques DDoS

As contas de alojamento partilhado são vulneráveis a ataques distribuídos de negação de serviço (DDoS), nos quais sistemas online, servidores ou redes são inundados com pedidos de ligação (tráfego da Internet). Estes ataques são frequentemente realizados por uma rede de bots (botnet) e impedem os utilizadores normais da Internet de aceder ao website durante um determinado período de tempo.

Limitação de recursos e o seu impacto

Quando uma conta de alojamento vizinha sofre um ataque, essa conta vai ocupar mais recursos, pelo que estes não estarão disponíveis para outros utilizadores. O resultado final é que os websites ficarão lentos ou indisponíveis.

Os fornecedores de alojamento podem aplicar medidas de monitorização, como firewalls e monitorização automatizada do tráfego, e atuar em casos de DDoS para impedir que outros utilizadores sejam afetados quando um vizinho é atacado.

As medidas para prevenir ou reduzir os efeitos de ataques no mesmo servidor incluem:

  • Routers de alta capacidade

  • Sistemas anti-DDoS

  • Isolamento de contas

  • Firewalls

  • Sistemas de deteção e prevenção de intrusões (IDPS)

  • Limitação de tráfego

Mesmo com medidas de segurança implementadas, o alojamento web em ambientes partilhados é ligeiramente mais vulnerável devido à estrutura das contas de alojamento partilhado.

Segurança de endereço IP partilhado

Em alguns casos, as contas de alojamento partilhado, que podem incluir vários planos e websites, partilham todas o mesmo endereço IP. Isto significa que, se este único endereço IP no servidor for atingido por um ciberataque, toda uma gama de planos de alojamento e websites pode ser afetada — mesmo aqueles que não eram o alvo pretendido.

Violações de dados em alojamento partilhado

Em ambientes de alojamento partilhado, se um website for comprometido, os atacantes podem potencialmente encontrar formas de aceder aos ficheiros ou bases de dados de outros sites no mesmo servidor. Isto significa que um servidor que não esteja bem configurado é mais vulnerável a violações de dados, permitindo acesso não autorizado a outras contas de utilizador.

Um website específico no servidor pode estar sob ataque, como um ataque DDoS, injeção SQL ou cross-site scripting. A consequente perturbação dos recursos pode facilitar aos atacantes a exploração de outras vulnerabilidades no servidor, o que pode significar dados comprometidos para vários sites.

Personalização da segurança do alojamento partilhado

Com produtos de alojamento partilhado, não precisas de gerir a segurança do teu servidor, mas não consegues configurar com a mesma flexibilidade que com opções de alojamento que fornecem acesso root.

Os fornecedores de alojamento costumam oferecer uma configuração de segurança padrão que controla as funcionalidades de segurança mais importantes, o que pode não satisfazer as necessidades específicas de alguns utilizadores. Se precisares que as tuas definições de segurança sejam mais configuráveis, provavelmente será melhor optares por um servidor dedicado ou por um serviço de alojamento de Máquina Virtual (VPS).

Segurança do alojamento partilhado vs. outros tipos de alojamento

Alojamento partilhado vs. VPS e alojamento dedicado

Com o alojamento partilhado, podes seguir as melhores práticas e garantir que corres um risco mínimo. Mas, se tiveres requisitos de segurança mais elevados, talvez devas escolher VPS ou alojamento em servidor dedicado. Com estas opções, é provável que tenhas acesso root e a capacidade de gerir e configurar as tuas definições de segurança de acordo com as tuas preferências.

Vantagens de segurança do alojamento dedicado

Um benefício adicional de segurança oferecido pelo alojamento dedicado é o isolamento total. Embora os utilizadores de alojamento partilhado possam estar vulneráveis a riscos causados por outros utilizadores no mesmo servidor, os utilizadores de alojamento têm um servidor inteiro só para si e controlo total sobre a sua própria segurança. O mesmo se aplica aos proprietários de um servidor virtual privado, mas, como o isolamento é virtual, os utilizadores de VPS não são tão independentes como os utilizadores de alojamento dedicado.

Deve lembrar-se que a personalização e o controlo adicionais de segurança do alojamento dedicado e VPS trazem consigo responsabilidades extra. Se os utilizadores não tiverem competências técnicas para personalizar e gerir as definições de segurança por si próprios, poderão precisar de contratar um profissional de TI.

10 estratégias para proteger o alojamento partilhado

Para os utilizadores de alojamento partilhado, há riscos de segurança a ter em conta, mas também há melhores práticas a lembrar que podem minimizar esses riscos.

1. Faz cópias de segurança regulares

Fazer regularmente cópias de segurança dos ficheiros do website e das bases de dados evita a perda de dados em caso de violação de dados ou problema com software instalado. Também permite aos utilizadores regressar mais rapidamente ao funcionamento normal, restaurando um estado anterior e não infetado do website.

Normalmente, é boa ideia usar um serviço de autobackup, uma vez que a aplicação manual de cópias de segurança pode ser facilmente esquecida ou não ser feita com regularidade suficiente.

2. Evita fontes não fidedignas

Mantém-te sempre especialmente vigilante ao utilizar quaisquer plugins ou software, para evitares fontes não fidedignas e minimizares os riscos de segurança.

3. Usa palavras-passe seguras e 2FA/MFA

É importante utilizares apenas palavras-passe fortes e únicas para a tua conta de alojamento, painéis de administração do CMS e contas FTP/SFTP. Para uma camada extra de segurança, ativa a autenticação de dois fatores (2FA) ou a autenticação multifator (MFA) sempre que possível.

4. Regula permissões, funções de utilizador e acessos

Para evitar que alguém obtenha acesso não autorizado, define funções e permissões de utilizador adequadas e garante que armazenas e partilhas as credenciais com parceiros de forma segura.

É boa prática limitar o número de pessoas com acesso à tua conta de alojamento e ao teu website. Monitoriza regularmente os teus registos de acesso e a atividade da conta para detetar comportamentos invulgares ou não autorizados.

Lembra-te de definir as permissões corretas para ficheiros e pastas para evitar acessos não autorizados. Isto inclui 644 para ficheiros e 755 para diretórios. Evita 777, que permite permissões totais de leitura/escrita/execução para todos os utilizadores — a menos que tenhas a certeza de que é necessário.

5. Usa uma firewall de aplicações web (WAF)

Uma WAF analisa o tráfego recebido pelo website, identificando e filtrando pedidos maliciosos antes de estes chegarem às aplicações web. Isto ajuda a prevenir vários tipos de ataques, como injeção SQL, cross-site scripting (XSS) e inclusão remota de ficheiros.

As WAF podem bloquear endereços IP maliciosos conhecidos e fontes de spam ou ataques DDoS, impedindo que esses pedidos afetem o desempenho do website.

Usa uma WAF para filtrar e bloquear tráfego malicioso para o teu site. Alguns fornecedores de alojamento oferecem WAF como parte do seu serviço, ou podes usar soluções de terceiros como Cloudflare ou Sucuri.

6. Usa certificados SSL para a segurança do website

Para a segurança do website e a proteção dos dados dos utilizadores, os certificados SSL são uma medida essencial. O protocolo HTTPS protege a comunicação entre o teu website e os visitantes. Muitos fornecedores de alojamento, como Let’s Encrypt, oferecem certificados SSL gratuitos para todos os websites.

7. Atualiza regularmente patches, CMS e plugins

Mantém sempre as tuas plataformas de sistema de gestão de conteúdos (CMS), plugins e temas regularmente atualizados para minimizar vulnerabilidades de segurança.

Garante que o teu fornecedor de alojamento mantém todo o software do servidor, como Apache, PHP e MySQL, completamente atualizado.

8. Analisa e monitoriza atividade suspeita

Monitoriza regularmente sinais de atividade suspeita para verificar ameaças de segurança. O cPanel Virus Scanner está incluído nos planos de Shared Hosting da Spaceship. Existem também serviços de monitorização gratuitos como ImunifyAV e scanners online gratuitos, como o Sucuri.

As ferramentas de análise de malware detetam e removem malware de websites, e muitos fornecedores de alojamento oferecem análise de malware integrada. Também podes instalar facilmente plugins de segurança para plataformas CMS populares como WordPress.

9. Usa protocolo seguro de transferência de ficheiros (SFTP)

Implementa SFTP para o teu protocolo de transferência de ficheiros (FTP), para tornar mais segura a transferência de ficheiros do website. Enquanto o FTP transmite dados (incluindo palavras-passe) em texto simples, o SFTP encripta a transmissão de dados. Outra alternativa segura ao FTP é o file transfer protocol secure (FTPS).

10. Forte isolamento de contas

É melhor escolher um fornecedor de alojamento com forte isolamento de contas de utilizador, como CageFS da CloudLinux, para isolar o ambiente de cada utilizador e impedir que as contas de utilizador afetem outras.

Considerações adicionais de segurança

Verifica sempre se o teu fornecedor de alojamento segue políticas e normas de segurança sensatas e se dispõe de tecnologias como CloudLinux e cageFS. Lembra-te de que os princípios básicos de segurança começam no utilizador, por isso certifica-te de que implementas medidas de segurança fortes, como cópias de segurança automáticas, encriptação SSL e aplicação automática de patches e atualizações do software do servidor.

Os produtos de segurança que podes considerar comprar incluem:

  • Ferramentas de análise automática e limpeza para deteção de malware

  • Acesso a terminal encriptado por secure shell (SSH)

  • Proteção contra ataques de grande volume

  • WAF

  • Proteção DDoS

  • CDN (para reduzir o impacto de ataques DDoS)

Mantém-te seguro e protegido

Tanto para particulares como para empresas de todas as dimensões, a cibersegurança deve ser sempre uma prioridade elevada. Como cliente de alojamento partilhado, há algumas questões de segurança a que deves estar atento, mas, ao tomares as decisões certas e seguires as melhores práticas, podes manter os riscos sob controlo.


Artigos sugeridos

Partilha a tua opinião

São necessários mais de 10 caracteres.
A tua identidade para exibição pública.
Fornecer o teu endereço de email é opcional. Não será partilhado com terceiros.

Ajuda-nos a melhorar o nosso blog

Partilha a tua opinião num rápido questionário de dois minutos.

É necessário um email válido