Todos os dias, milhares de scanners automáticos percorrem a internet à procura de sites vulneráveis. Não são ataques dirigidos a ninguém em particular — são bots que varrem endereços IP e domínios a testar falhas conhecidas. Nos primeiros dias de vida do Portugal Binário, registámos mais de 237 eventos suspeitos, entre tentativas de acesso a ficheiros de configuração, scaneamento de CMS e métodos HTTP inválidos. A boa notícia? Nenhuma teve sucesso, e proteger-se é mais simples do que parece.
O que aconteceu ao nosso site é o que acontece a qualquer site, desde o blogue pessoal ao portal institucional. Nas primeiras 24 horas, contabilizámos dezenas de tentativas de acesso a caminhos como /phpmyadmin/, /.env e /wp-admin/ — scanners à procura de instalações WordPress desatualizadas ou ficheiros expostos. Muitos utilizadores nem sequer sabem que o seu site está a ser sondado a toda a hora. Mas saber que isto acontece é meio caminho andado para se proteger.
A primeira linha de defesa é sempre a mais básica — e muitas vezes a mais ignorada.
Três passos simples para se proteger
A boa notícia é que a maioria destes ataques é automatizada e oportunista — exploram falhas conhecidas, configurações por defeito e maus hábitos. Bloqueá-los não requer um engenheiro de segurança nem um orçamento milionário. Com três medidas básicas, elimina-se mais de 95 por cento do risco.
Primeiro, usar um serviço de proxy como a Cloudflare (plano gratuito). O tráfego deixa de bater diretamente no servidor real — o IP verdadeiro fica escondido, e a rede da Cloudflare absorve ataques DDoS e filtra pedidos maliciosos antes de chegarem ao servidor. O nosso site recebeu mais de 40 mil pedidos em dois dias, mas o servidor local só viu tráfego limpo. A camada gratuita inclui firewall de aplicação web (WAF), que bloqueia automaticamente SQL injection, cross-site scripting e scanners conhecidos.
Segundo, palavra-passe forte e autenticação de dois fatores. Parece básico, mas é o erro mais comum. Uma palavra-passe como admin123 é quebrada em segundos por qualquer script. Serviços como o Have I Been Pwned permitem verificar se o seu email ou palavra-passe já foram comprometidos. A autenticação de dois fatores (2FA) acrescenta uma camada extra — mesmo que a palavra-passe seja descoberta, o atacante precisa do segundo fator (um código no telemóvel, por exemplo). Isto só por si elimina a maioria dos ataques de brute-force.
Terceiro, manter o software atualizado. Parece óbvio, mas é o parente pobre da segurança. Uma falha conhecida e corrigida há meses continua a ser explorada porque os administradores não aplicaram a atualização. O ataque que vimos ao nosso site incluía scaneamento de plugins WordPress desatualizados, vulnerabilidades em fóruns XenForo e exploits em lojas Magento — todos já corrigidos pelos fabricantes, mas ainda ativos em milhares de sites por negligência. Manter o WordPress, plugins, temas e o próprio servidor atualizados é a medida mais barata e mais eficaz de todas.
Manter o software atualizado é a medida de segurança mais barata e mais eficaz que existe.
A verdade é que a segurança digital não é um bicho de sete cabeças. A maioria dos ataques que vimos nos logs do Portugal Binário eram tentativas automáticas contra configurações básicas que estavam do lado errado. Com um proxy à frente do servidor, palavras-passe robustas e atualizações em dia, um site fica protegido contra 99 por cento do que anda por aí. O segredo não está em ter medidas extraordinárias — está em não falhar o básico.
💬 Comentários
Nenhum comentário ainda. Sê o primeiro a comentar!