Cibersegurança Checklist Dev: Selecionando a Hospedagem

Versão Beta para testes e avaliações: Aguarde em breve a versão final. É um especialista em cibersegurança e quer contribuir com sua opinião sobre este checklist? Clique aqui para acessar os Contatos.

Público alvo

Qualquer desenvolvedor WordPress se beneficiará da quase totalidade dos checklists dev, ainda que os mesmos tenham sido desenvolvidos para web designers e webmasters de unidades de informação e cultura GLAM (galerias, bibliotecas, arquivos e museus).

Critérios para seleção da Empresa de Hospedagem do website

Profissionalismo e recursos de segurança cibernética

A escolha de uma empresa de hospedagem consiste em um dos passos mais importantes para garantir a segurança do website. (Vide tutorial Hosting Service Wordfence).

Painel de Controle cPanel

O cPanel consiste em um software de gestão de hospedagem Web utilizado pelas principais empresas do ramo. O WordPress é parceiro tecnológico do cPanel.

Com ele é possível verificar estatísticas detalhadas dos websites hospedados (ex: memória consumida), realizar backups, configurar protocolos de segurança, instalar softwares em poucos cliques, dentre outras facilidades.

Caso sua hospedagem não utilize o cPanel, confira se o painel de controle disponível é seguro e contém todos os recursos do cPanel.

Instaladores automáticos de softwares (Auto Installer)

Instalar manualmente softwares como o WordPress requer treinamento profissional. Entretanto, várias hospedagens oferecem instaladores automáticos que simplificam este processo. Com estes instaladores, o WordPress pode ser configurado em poucos cliques, quase que automaticamente.

Já instaladores como o Softaculous oferecem o WordPress e outras centenas de aplicações open source úteis às GLAMs, tais como Omeka e Collabtive. Se a instituição também utilizar estes softwares, verifique se a empresa de hospedagem possui Softaculous ou similares.

Certificado HTTPS (TSL/SSL)

Quando aparece um “cadeadinho” ao lado do endereço de um website no navegador (FireFox, Microsoft Edge, Chrome, etc.) ou quando um website possui protocolo HTTPS (a letra “S” após o Http), significa que a comunicação entre o site e o navegador é criptografada.

A tecnologia SSL (Secure Sockets Layer), posteriormente substituída por TLS (Transport Layer Security) dificulta a interceptação dos dados durante o transporte.

Diversas empresas de hospedagem utilizam o certificado Let’s Encrypt, que consiste em uma autoridade certificadora gratuita, automatizada e aberta. O Let’s Encrypt habilita, de maneira fácil e rápida, o HTTPS (SSL/TLS) em websites. Serviços como este costumam ser caros, portanto, confira se a empresa oferece alguma opção permanentemente gratuita para todos os websites.

Isolamento das contas em servidores compartilhados

Grandes empresas podem arcar com os custos de servidores exclusivos, ou seja, computadores que armazenam somente dados e websites daquela empresa.

Contudo, dificilmente um museu ou biblioteca poderá suportar estes custos, hospedando seus websites em empresas que utilizam servidores compartilhados, ou seja, um computador que armazena o conteúdo de vários clientes ao mesmo tempo.

Isto amplia o risco de contaminação, pois caso um website no servidor seja hackeado, os demais que compartilham aquele equipamento também se encontram sob risco.

Para minimizar este problema é possível isolar as contas no servidor compartilhado (“jailed“). Este recurso é oferecido por aplicações como o ModSecurity (software firewall open source).

Backups automáticos dos últimos 30 dias

Às vezes demora-se alguns dias (ou até semanas) para identificar que um website foi hackeado.

Portanto, além de manter backups antigos, é recomendável escolher empresas de hospedagem que realizem backups automaticamente, pelo menos dos últimos trinta dias.

Em caso de uma invasão cujo dano tenha sido irremediável, com o backup é possível deletar o website contaminado e substituí-lo por um backup limpo recente, minimizando as perdas e prejuízos.

Compatibilidade com plugins avançados

Nem toda empresa de hospedagem oferece compatibilidade com plugins avançados do WordPress, como o WordFence. Em websites profissionais o uso destes plugins é indispensável.

Portanto, antes de contratar um serviço verifique se o mesmo atende aos pré-requisitos necessários de um uso profissional do WordPress.

Recursos de otimização da velocidade e segurança do website

Hospedagens profissionais oferecem recursos adicionais de segurança, bem como de otimização da velocidade de navegação, como CDN e Cloudflare.

A localização dos servidores também pode impactar na segurança e na velocidade, então, verifique em qual localidade a empresa oferece seu data center e escolha uma próxima do seu público alvo. Opte por países que ofereçam ainda, segurança física e política, cuja democracia seja sólida.

Atualização automática de versões

Hospedagens profissionais de websites oferecem a possibilidade de configurar diversas atualizações automáticas de versões, como atualizações do WordPress e seus plugins.

Atualizações do core podem provocar impactos negativos no website, como rupturas. Além disto, plugins e temas utilizados podem ser incompatíveis com a nova versão do WP.

Ao acionar as atualizações automáticas, garanta um plano de backups consistente, para assegurar a recuperação do website em caso de danos extremos.

A melhor maneira de se atualizar um website WordPress de modo automático é utilizando o WordPress Autoupdate Tool, via cPanel. A ferramenta realiza um backup antes de efetuar a atualização, bem como avisa por e-mail que o procedimento ocorreu, permitindo ao webmaster verificar a consistência do website após o procedimento.

O ideal mesmo seria que o webmaster atualizasse ele próprio, diária e manualmente, o website, mas às vezes isto não é possível (ex: férias).

Disponibilização de versão “staging” do website

Hospedagens profissionais oferecem a possibilidade de criar uma versão “staging” do website, ou seja, uma cópia do website para atualizações e testes, em paralelo à versão vigente.

Quando a versão staging encontra-se apta para ir ao ar, é possível rapidamente substituir o website antigo pelo novo atualizado.

Este recurso pode ser dispensável no caso de websites menos complexos.

Suporte eficiente 24/7, em diversas modalidades

Trata-se de um dos principais itens a serem observados na contratação de uma empresa de hospedagem.

A empresa deve oferecer suporte 24 horas, sete dias por semana, em diversas modalidades (telefone, chat, ticket, etc.). No caso de empresas estrangeiras, conferir as línguas disponíveis no suporte, de acordo com o perfil da equipe da instituição (muitas disponibilizam suporte somente em inglês).

Opte por empresas cuja equipe de suporte esteja preparada e disposta a solucionar não somente os problemas de hospedagem, mas também dúvidas e dificuldades com a instalação do WordPress, pois os limites entre servidor e CMS às vezes são tênues.

Empresas de hospedagem: Nossas avaliações

É importante ressaltar que este website não aceita anunciantes ou possui links afiliados. Todas as opiniões abaixo são frutos de nossas pesquisas. Saiba mais sobre isto no Sobre do projeto, neste FAQ e na seção Transparência.

O WordPress.com é uma empresa de hospedagem e serviços baseados em WordPress. Pertence à Automattic, empresa fundada por um dos criadores do open source WordPress (Matt Mullenweg). Saiba mais sobre o WordPress e as diferenças entre WordPress.org e WordPress.com neste FAQ. Hospedar o website na WordPress.com, em geral, implica em anuidades mais caras do que os de uma empresa de hospedagem comum, mas pode ser uma vantagem para os dois extremos.

O primeiro extremo são as empresas e instituições grandes, com muitos recursos, que preferem pagar pelo conforto de um serviço de alta qualidade em WordPress, sem se preocupar com nada relativo à manutenção de servidores e do próprio CMS. Estas empresas contratam os pacotes VIPs de hospedagem, customizados de acordo com a demanda. Alguns clientes dos planos especiais são a Microsoft, revista Time, TED Talks, dentre outros.

Já para o outro extremo também pode ser uma vantagem: instituições GLAM muito pequenas ou websites/blogs pessoais, especialmente de usuários que não possuem (e nem querem possuir) muita familiaridade com TI. No WordPress.com é possível construir um website igual a este, da exposição Cidade Palimpséstica do curso de Museologia da UFMG, com a única diferença de que o rodapé não poderá ser customizado (onde se lê o copyright do site). O WordPress.com possui planos gratuitos, entretanto, os websites exibem anúncios (que é a forma como a empresa monetiza) e, neste caso, não é possível customizar a URL, que será necessariamente nomedomuseu.wordpress.com.

Nós mantivemos um website no Plano Pessoal por alguns anos, o plano mais acessível. Com este plano, é possível customizar o domínio (nomedomuseu.org ou outra extensão), remover os anúncios (estão presentes no plano gratuito), dentre outros benefícios. Contudo, nos planos mais modestos não é possível instalar temas profissionais ou plugins externos, como o Tainacan. Mantivemos este website no WordPress.com somente para fins didáticos e para investigar a plataforma, já que pesquisamos o WordPress. Foi uma experiência bem sucedida, o serviço da WordPress.com nos pareceu simples de usar, eficiente e consistente.

O WordPress.org possui empresas de hospedagem que são parceiras do projeto open source. Ou seja, contratando uma dessas empresas via links do website do WordPress, o projeto recebe um percentual (link de afiliados), sem que isto altere o custo do plano para o usuário.

Atualmente, as três empresas parceiras do WordPress.org são: Bluehost, DreamHost e SiteGround.

A Bluehost é uma empresa norte-americana que atende aos requisitos de segurança, possui planos para todos os orçamentos e gere seus próprios servidores. O suporte é em inglês. Entretanto, a empresa não possui data centers na Europa, localização dos nossos principais parceiros de pesquisa, portanto, nunca utilizamos os seus serviços. A localização influencia na velocidade do website em relação ao seu público alvo. Se você é uma instituição GLAM ou pesquisador de universidade pública e já teve experiência com os serviços da BlueHost, por favor, entre em contato com o projeto e nos repasse o seu feedback.

A DreamHost também é uma empresa norte-americana que atende aos requisitos de segurança, possui planos para todos os orçamentos e, aparentemente, também gere seus próprios servidores. O suporte é em inglês. Entretanto, assim como a Blue Host, a empresa não possui data centers na Europa, localização dos nossos principais parceiros de pesquisa, portanto, nunca recorremos aos seus serviços. No passado, a empresa foi utilizada com sucesso por um professor de universidade pública, que atualmente coordena um importante projeto de pesquisa na área de TI, mas não é uma experiência recente. Se você é uma instituição GLAM ou pesquisador de universidade pública e já utilizou os serviços da DreamHost, por favor, entre em contato com o nosso projeto e nos repasse o seu feedback.

A SiteGround é uma empresa que nasceu na Bulgária e se expandiu pela Europa e pelo mundo. Os serviços são um pouco mais caros do que as outras empresas parceiras da WordPress, mas ainda assim acessíveis. O portal Webmuseu e este projeto, bem como os demais websites da professora coordenadora, estiveram hospedados por anos na SiteGround até 2020. O grande diferencial da SiteGround é a qualidade do suporte (em inglês). No começo, o suporte auxiliava inclusive questões de WordPress, não relacionadas necessariamente à hospedagem, mas nos últimos anos esta flexibilidade tem se reduzido bastante, à medida que a empresa cresce e a demanda por atendimento aumenta. Pretendíamos permanecer na SiteGround pois o serviço possuía qualidade, contudo, em 2020 a empresa adotou os servidores da Google Cloud. Todos os nossos projetos, inclusive este, que estavam em um data center em Londres, foram transferidos para a Google londrina.

A Google é uma empresa cujo modelo de negócios e cuja abordagem acerca das questões de privacidade estão em desacordo com nossos valores e com esta pesquisa. A mudança gerou uma forte reação da comunidade e inúmeros comentários no post de anúncio da parceria. A SiteGround, na ocasião, fechou o post para novos comentários, o que não nos pareceu uma atitude democrática. Por todos estes motivos, em 2020 removemos nossos projetos da SiteGround.

A WP Engine é uma empresa norte-americana especializada em hospedagem WordPress, altamente recomendada por muitos membros da comunidade WordPress e desenvolvedores Web. Entretanto, os preços de seus planos são bem mais elevados do que as demais empresas supracitadas, bem como seus servidores utilizam as plataformas em nuvem da Amazon e da Google. A Amazon e a Google, como dito anteriormente acima, não coadunam com os princípios e valores dos nossos projetos.

Para instituições com acesso a profissionais de TI, uma opção viável de qualidade é a Digital Ocean, provedora de infraestrutura em nuvem norte-americana, que disponibiliza planos para todos os orçamentos, em geral com maior custo-benefício do que as empresas convencionais de hospedagem. Contudo, nestes casos, além dos websites, será necessário instalar e gerir os softwares do servidor. É altamente recomendada por inúmeros desenvolvedores Web que conhecemos ou que atuam na mídia especializada, tendo a Digital Ocean alguns clientes importantes, tais como: Slack, GitLab e Docker. Contudo, como o foco das nossas pesquisas é WordPress e Front-End, optamos por uma empresa que faça por nós o gerenciamento dos servidores. Para instituições GLAM com orçamento permanente de manutenção ou com profissionais de TI na casa, contratar empresas de infraestrutura em nuvem pode significar maior controle e menor custo.

Estamos em processo de transferência do website desta pesquisa, bem como de nossos demais projetos, para novas empresas de hospedagem, pelos motivos acima listados. Assim que tivermos uma opinião mais consolidada sobre as novas empresas contratadas, compartilharemos aqui.

Remoção das recomendações das empresas WP Engine e SiteGround, pois utilizam os serviços Google Cloud. O modelo de negócios e a abordagem das questões relativas a privacidade, tanto da Google quanto da Amazon, não coadunam com os princípios deste projeto. Inclusão da seção “Empresas de Hospedagem: Nossas recomendações”.

Atualizado por Ana Cecília Rocha Veiga.

Versão inicial de autoria de Ana Cecília Rocha Veiga.