Cibersegurança Checklist Dev: Selecionando a Hospedagem

Versão Beta para testes e avaliações: Aguarde em breve a versão final. É um especialista em cibersegurança e quer contribuir com sua opinião sobre este checklist? Clique aqui para acessar os Contatos.

Público alvo

Qualquer desenvolvedor WordPress se beneficiará da quase totalidade dos checklists dev, ainda que os mesmos tenham sido desenvolvidos para web designers e webmasters de unidades de informação e cultura GLAM (galerias, bibliotecas, arquivos e museus).

Critérios para seleção da Empresa de Hospedagem do website

Profissionalismo e recursos de segurança cibernética

A escolha de uma empresa de hospedagem consiste em um dos passos mais importantes para garantir a segurança do website. (Vide tutorial Hosting Service Wordfence).

O WordPress.org recomenda: Bluehost, DreamHost e SiteGround, sendo a SiteGround a hospedagem utilizada por este projeto, que atende à todos os critérios de cibersegurança destes checklists.

Recomendamos, ainda, WP Engine para projetos e instituições com maior orçamento.

Painel de Controle cPanel

O cPanel consiste em um software de gestão de hospedagem Web utilizado pelas principais empresas do ramo. O WordPress é parceiro tecnológico do cPanel.

Com ele é possível verificar estatísticas detalhadas dos websites hospedados (ex: memória consumida), realizar backups, configurar protocolos de segurança, instalar softwares em poucos cliques, dentre outras facilidades.

Caso sua hospedagem não utilize o cPanel, confira se o painel de controle disponível é seguro e contém todos os recursos do cPanel.

Instaladores automáticos de softwares (Auto Installer)

Instalar manualmente softwares como o WordPress requer treinamento profissional. Entretanto, várias hospedagens oferecem instaladores automáticos que simplificam este processo. Com estes instaladores, o WordPress pode ser configurado em poucos cliques, quase que automaticamente.

Já instaladores como o Softaculous oferecem o WordPress e outras centenas de aplicações open source úteis às GLAMs, tais como Omeka e Collabtive. Se a instituição também utilizar estes softwares, verifique se a empresa de hospedagem possui Softaculous ou similares.

Certificado HTTPS (TSL/SSL)

Quando aparece um “cadeadinho” ao lado do endereço de um website no navegador (FireFox, Microsoft Edge, Chrome, etc.) ou quando um website possui protocolo HTTPS (a letra “S” após o Http), significa que a comunicação entre o site e o navegador é criptografada.

A tecnologia SSL (Secure Sockets Layer), posteriormente substituída por TLS (Transport Layer Security) dificulta a interceptação dos dados durante o transporte.

Diversas empresas de hospedagem utilizam o certificado Let’s Encrypt, que consiste em uma autoridade certificadora gratuita, automatizada e aberta. O Let’s Encrypt habilita, de maneira fácil e rápida, o HTTPS (SSL/TLS) em websites.

Isolamento das contas em servidores compartilhados

Grandes empresas podem arcar com os custos de servidores exclusivos, ou seja, computadores que armazenam somente dados e websites daquela empresa.

Contudo, dificilmente um museu ou biblioteca poderá suportar estes custos, hospedando seus websites em empresas que utilizam servidores compartilhados, ou seja, um computador que armazena o conteúdo de vários clientes ao mesmo tempo.

Isto amplia o risco de contaminação, pois caso um website no servidor seja hackeado, os demais que compartilham aquele equipamento também se encontram sob risco.

Para minimizar este problema é possível isolar as contas no servidor compartilhado (“jailed“). Este recurso é oferecido por aplicações como o ModSecurity (software firewall open source).

Backups automáticos dos últimos 30 dias

Às vezes demora-se alguns dias (ou até semanas) para identificar que um website foi hackeado.

Portanto, além de manter backups antigos, é recomendável escolher empresas de hospedagem que realizem backups automaticamente, pelo menos dos últimos trinta dias.

Em caso de uma invasão cujo dano tenha sido irremediável, com o backup é possível deletar o website contaminado e substituí-lo por um backup limpo recente, minimizando as perdas e prejuízos.

Compatibilidade com plugins avançados

Nem toda empresa de hospedagem oferece compatibilidade com plugins avançados do WordPress, como o WordFence. Em websites profissionais o uso destes plugins é indispensável.

Portanto, antes de contratar um serviço verifique se o mesmo atende aos pré-requisitos necessários de um uso profissional do WordPress.

Recursos de otimização da velocidade e segurança do website

Hospedagens profissionais oferecem recursos adicionais de segurança, bem como de otimização da velocidade de navegação.

A SiteGround possui um plugin próprio (SG Optmizer) e serviços de segurança, como o Cloudflare.

A localização dos servidores também pode impactar na segurança e na velocidade, então, verifique em qual localidade a empresa oferece seu Datacenter e escolha uma próxima do seu público alvo. Opte por países que ofereçam ainda, segurança física e política, cuja democracia seja sólida.

A SiteGround oferece Datacenter em três continentes, inclusive nas Américas (EUA), mas optamos por servidores em Londres, pois nossos projetos atuais contam, em sua maioria, com parceiros europeus. Além disto, Londres é uma cidade com bons serviços públicos de segurança e democracia consolidada.

Verifique quais vantagens a empresa de hospedagem oferece antes de contratar, em especial no que tange à velocidade e à segurança.

Atualização automática de versões

Hospedagens profissionais de websites oferecem a possibilidade de configurar diversas atualizações automáticas de versões, como atualizações do WordPress e seus plugins.

Atualizações do core podem provocar impactos negativos no website, como rupturas. Além disto, plugins e temas utilizados podem ser incompatíveis com a nova versão do WP.

Ao acionar as atualizações automáticas, garanta um plano de backups consistente, para assegurar a recuperação do website em caso de danos extremos.

A melhor maneira de se atualizar um website WordPress de modo automático é utilizando o WordPress Autoupdate Tool, via cPanel. A ferramenta realiza um backup antes de efetuar a atualização, bem como avisa por e-mail que o procedimento ocorreu, permitindo ao webmaster verificar a consistência do website após o procedimento. (Vide tutorial SiteGround).

O ideal mesmo seria que o webmaster atualizasse ele próprio, diária e manualmente, o website, mas às vezes isto não é possível (ex: férias).

Disponibilização de versão “staging” do website

Hospedagens profissionais oferecem a possibilidade de criar uma versão “staging” do website, ou seja, uma cópia do website para atualizações e testes, em paralelo à versão vigente.

Quando a versão staging encontra-se apta para ir ao ar, é possível rapidamente substituir o website antigo pelo novo atualizado.

Suporte eficiente 24/7, em diversas modalidades

Trata-se de um dos principais itens a serem observados na contratação de uma empresa de hospedagem.

A empresa deve oferecer suporte 24 horas, sete dias por semana, em diversas modalidades (telefone, chat, ticket, etc.).

Opte por empresas cuja equipe de suporte esteja preparada e disposta a solucionar não somente os problemas de hospedagem, mas também dúvidas e dificuldades com o WordPress, pois os limites entre servidor e CMS são tênues.

Este é o caso da SiteGround e esta é a principal razão pela qual optamos por este serviço de hospedagem: a rapidez, qualidade, eficiência e abrangência do suporte (em inglês).

Menu