O controlador de dados determina as finalidades e os meios pelos quais os dados pessoais s\u00e3o processados. Portanto, se sua empresa\/organiza\u00e7\u00e3o decide o \u2018porqu\u00ea\u2019 e o \u2018como\u2019 os dados pessoais devem ser processados, ela \u00e9 o controlador de dados. Os funcion\u00e1rios que processam dados pessoais dentro da sua organiza\u00e7\u00e3o o fazem para cumprir as tarefas do controlador de dados.<\/p><\/blockquote>\n
Uma falha de seguran\u00e7a em um site pode colocar a empresa em risco. Quem confiaria seus dados de cart\u00e3o de cr\u00e9dito a um site inseguro? E como isso afetaria a reputa\u00e7\u00e3o da sua marca se as informa\u00e7\u00f5es dos seus clientes fossem roubadas e usadas para fins ilegais?<\/p>\n
Em resumo, no mesmo n\u00edvel do desempenho<\/a>, a seguran\u00e7a \u00e9 um fator essencial para o sucesso de um site e de uma empresa de eCommerce. Com isso em mente, reunimos neste artigo uma lista de medidas de seguran\u00e7a e pr\u00e1ticas recomendadas que todos os propriet\u00e1rios de eCommerce devem adotar para permanecerem competitivos nos mercados locais e internacionais e evitarem s\u00e9rias responsabilidades legais e danos aos seus neg\u00f3cios on-line.<\/p>\n
<\/div><\/kinsta-auto-toc>\n 13 principais riscos de seguran\u00e7a para sites de eCommerce<\/h2>\n
De acordo com o Relat\u00f3rio de Seguran\u00e7a Global da Trustwave de 2020<\/a>, os varejistas tradicionais com lojas f\u00edsicas e e-commerce s\u00e3o as ind\u00fastrias mais expostas a riscos de seguran\u00e7a cibern\u00e9tica<\/strong>, representando cerca de 24% dos incidentes de seguran\u00e7a em 2019.<\/span><\/p>\n
Isso nos leva a considerar a import\u00e2ncia da seguran\u00e7a para sites de eCommerce, bem como a necessidade de identificar as amea\u00e7as que afetam neg\u00f3cios on-line e as medidas que os propriet\u00e1rios devem tomar para proteger as transa\u00e7\u00f5es e dados de seus clientes.<\/p>\n
Para entender melhor as a\u00e7\u00f5es e as pr\u00e1ticas recomendadas que um propriet\u00e1rio de empresa on-line deve adotar para proteger seus sites e lojas virtuais, primeiro precisamos entender as amea\u00e7as mais perigosas aos sites de eCommerce.<\/p>\n
Com base no OWASP Top 10 Web Application Security Risks<\/a>, compilamos a seguinte lista, que abrange as amea\u00e7as mais comuns enfrentadas pelos sites de eCommerce atualmente.<\/p>\n
Os dez principais riscos da OWASP para 2021 (Fonte da imagem: OWASP<\/a>)<\/figcaption><\/figure>\n <\/div><\/kinsta-auto-toc>\n 1. Malware e Ransomware<\/h3>\n
Existem muitos tipos de malware<\/a> e diferentes n\u00edveis de amea\u00e7as \u00e0 seguran\u00e7a. Os hackers os utilizam para invadir dispositivos e roubar dados. O malware pode causar danos financeiros severos e at\u00e9 mesmo destruir uma empresa inteira.<\/p>\n
Embora as consequ\u00eancias nem sempre sejam t\u00e3o graves, seus clientes podem receber a mensagem de erro “O Site a Seguir Cont\u00e9m Malware<\/a>” ou “Site Enganoso \u00e0 Frente” e isso pode afetar seriamente a visibilidade do seu site nos resultados de pesquisa (SERPs) e danificar a imagem da sua marca.<\/p>\n
O ransomware<\/a> \u00e9 uma subesp\u00e9cie de malware. Em resumo, o ransomware sequestra um dispositivo ou site, negando o acesso a seus arquivos at\u00e9 que a v\u00edtima pague um resgate pela chave de descriptografia.<\/p>\n
Devido ao alto risco que um ataque de malware pode ter em um site de eCommerce, \u00e9 essencial para a sua empresa fazer uma varredura regular do seu site de eCommerce<\/a> em busca de infec\u00e7\u00f5es por malware.<\/p>\n
Confira nosso guia em v\u00eddeo sobre malware<\/a><\/strong><\/p>\n
<\/kinsta-video>\n 2. Phishing<\/h3>\n
Phishing<\/a> \u00e9 um tipo de ataque de engenharia social<\/a> usado por criminosos cibern\u00e9ticos para espalhar malware, geralmente por meio de e-mails<\/a>.<\/p>\n
Um diagrama de um ataque de phishing (Fonte da imagem: Cloudflare<\/a>)<\/figcaption><\/figure>\n Refere-se a uma tentativa de roubar informa\u00e7\u00f5es confidenciais, como nomes de usu\u00e1rio, senhas, detalhes de cart\u00f5es de cr\u00e9dito ou contas banc\u00e1rias, ou outros dados importantes para usar ou vender com inten\u00e7\u00e3o maliciosa. Normalmente, esse tipo de ataque \u00e9 realizado por meio de spam e outras formas de e-mails fraudulentos ou mensagens instant\u00e2neas.<\/p>\n
Sinal de aviso de phishing do Google. (Fonte da imagem: FixMyWP<\/a>)<\/figcaption><\/figure>\n 3. Ataques DDoS<\/h3>\n
DDoS<\/a> \u00e9 o termo curto para nega\u00e7\u00e3o de servi\u00e7o distribu\u00eddo. Esse \u00e9 um tipo de ataque<\/a> que inunda um site com um grande n\u00famero de solicita\u00e7\u00f5es para sobrecarregar o servidor<\/a> com tr\u00e1fego excessivo de Internet e derrubar o site. A consequ\u00eancia \u00e9 que seu site fica off-line e os custos de largura de banda aumentam drasticamente. Isso tamb\u00e9m pode causar a suspens\u00e3o da sua conta de hospedagem.<\/p>\n
An\u00e1lise do painel MyKinsta mostrando o consumo de recursos.<\/figcaption><\/figure>\n 4. Inje\u00e7\u00e3o de SQL<\/h3>\n
Inje\u00e7\u00e3o de SQL<\/a> \u00e9 um tipo de ataque realizado por um agente mal-intencionado que tenta injetar instru\u00e7\u00f5es SQL em um aplicativo web. Se o ataque for bem-sucedido, ele poder\u00e1 acessar o banco de dados do seu site e ler, modificar ou remover dados.<\/p>\n
Um exemplo de inje\u00e7\u00e3o de SQL (Fonte da imagem: Cloudflare<\/a>)<\/figcaption><\/figure>\n 5. Script entre sites<\/h3>\n
O XSS (Cross-Site Scripting<\/a>) \u00e9 um tipo de ataque em que algu\u00e9m anexa um c\u00f3digo mal-intencionado a um site para ser executado no carregamento da p\u00e1gina. A inje\u00e7\u00e3o acontece no navegador do usu\u00e1rio e, normalmente, tem como objetivo roubar informa\u00e7\u00f5es confidenciais.<\/p>\n
Como funciona um ataque de script entre sites (Fonte da imagem: Cloudflare<\/a>)<\/figcaption><\/figure>\n 6. Ataques do tipo man-in-the-middle<\/h3>\n
Um ataque man-in-the-middle (MitM) ou on-path<\/a> \u00e9 um ataque cibern\u00e9tico em que algu\u00e9m se coloca no meio da comunica\u00e7\u00e3o entre dois dispositivos (como um navegador web e um servidor web) com o objetivo de obter informa\u00e7\u00f5es e\/ou se passar por um dos dois agentes com inten\u00e7\u00e3o maliciosa.<\/p>\n
7. Credential stuffing<\/h3>\n
O Credential Stuffing<\/a> \u00e9 um ataque cibern\u00e9tico em que o invasor usa credenciais obtidas de uma viola\u00e7\u00e3o de dados em um servi\u00e7o ou site para fazer login em um servi\u00e7o ou site diferente. Esse tipo de ataque \u00e9 um risco comum para profissionais que trabalham em casa<\/a> e em empresas remotas.<\/p>\n
Como funciona o preenchimento de credenciais. (Fonte da imagem: Cloudflare<\/a>)<\/figcaption><\/figure>\n 8. Explora\u00e7\u00e3o de dia zero<\/h3>\n
Uma explora\u00e7\u00e3o de dia zero<\/a> \u00e9 uma vulnerabilidade de seguran\u00e7a n\u00e3o resolvida ou previamente desconhecida que n\u00e3o tem nenhuma corre\u00e7\u00e3o em vigor. Dia zero significa que voc\u00ea tem zero dias para corrigir o problema antes que ele cause s\u00e9rios danos \u00e0 sua empresa.<\/p>\n
Como os hackers realizam um ataque de dia zero. (Fonte:<\/b> Norton<\/a>)<\/figcaption><\/figure>\n 9. E-skimming<\/h3>\n
E-skimming ou skimming digital<\/a> \u00e9 a inser\u00e7\u00e3o de software mal-intencionado no site de um varejista com o objetivo de roubar dados de pagamento durante o checkout. Isso tamb\u00e9m \u00e9 conhecido como ataque Magecart<\/a>.<\/p>\n
Um diagrama que descreve como funciona um ataque MageCart (Fonte da imagem: Sucuri<\/a>)<\/figcaption><\/figure>\n 10. Ataques de for\u00e7a bruta<\/h3>\n
Um ataque de for\u00e7a bruta<\/a> \u00e9 um m\u00e9todo de tentativa e erro usado para decodificar dados confidenciais, como credenciais de login, chaves API e credenciais SSH. Depois que uma senha \u00e9 comprometida, ela pode ser usada para acessar outros servi\u00e7os se voc\u00ea usar as mesmas credenciais em v\u00e1rios sites. (Consulte credential stuffing<\/a>.)<\/p>\n
O uso de senhas fortes<\/a>, a ativa\u00e7\u00e3o de sistemas de autentica\u00e7\u00e3o multifator<\/a> e o uso de um gerenciador de senhas<\/a> robusto s\u00e3o pr\u00e1ticas recomendadas para evitar esse tipo de ataque cibern\u00e9tico.<\/p>\n
11. Backdoors<\/h3>\n
O Backdoor<\/a> fornece uma maneira de contornar um sistema de autentica\u00e7\u00e3o ou criptografia para fazer login automaticamente em um site, dispositivo ou servi\u00e7o. Uma vez que um site ou servi\u00e7o tenha sido violado, um agente mal-intencionado pode criar seus pr\u00f3prios backdoors para acessar seu site, roubar dados e, possivelmente, destruir todo o seu site.<\/p>\n
12. Ataques de engenharia social<\/h3>\n
Os ataques de engenharia social<\/a> s\u00e3o particularmente perigosos porque exploram caracter\u00edsticas da natureza humana, como a confian\u00e7a nos outros, a falta de conhecimento, o desconforto em desobedecer a uma ordem e o utilitarismo. A base da engenharia social \u00e9 a manipula\u00e7\u00e3o psicol\u00f3gica das pessoas com o objetivo de obter informa\u00e7\u00f5es confidenciais, como senhas, dados de contas banc\u00e1rias e informa\u00e7\u00f5es financeiras.<\/p>\n
Os canais mais comuns usados para realizar esse tipo de ataque s\u00e3o e-mails, chat, chamadas telef\u00f4nicas, redes sociais, sites e outros. O invasor pode ent\u00e3o usar essas informa\u00e7\u00f5es para realizar outros tipos de explora\u00e7\u00f5es, como Cross-Site Request Forgery<\/a>.<\/p>\n
Confira nosso guia em v\u00eddeo para voc\u00ea entender tudo sobre ataques CSRF<\/a><\/strong>
\n<\/kinsta-video><\/p>\n 13. Ataques de cadeia de suprimento<\/h3>\n
Normalmente, em um ataque de cadeia de suprimentos<\/a>, um invasor cibern\u00e9tico infiltra um c\u00f3digo mal-intencionado no software de um fornecedor para ser distribu\u00eddo com uma atualiza\u00e7\u00e3o.<\/p>\n
Embora n\u00e3o sejam t\u00e3o difundidos quanto outros ataques de backdoor, os ataques de cadeia de suprimentos foram detectados recentemente em v\u00e1rios plugins do WordPress<\/a>.<\/p>\n
9 pr\u00e1ticas recomendadas para proteger seu site de eCommerce<\/h2>\n
Proteger um site pode ser uma tarefa dif\u00edcil se voc\u00ea n\u00e3o tiver as ferramentas e as habilidades certas, mas n\u00e3o precisa ser um trabalho para engenheiros dedicados. O principal \u00e9 estar ciente das \u00e1reas de vulnerabilidade e instruir voc\u00ea e sua equipe sobre as pr\u00e1ticas recomendadas para proteger seu site de eCommerce contra as amea\u00e7as mais populares.<\/p>\n
Sua tarefa \u00e9 dupla: por um lado, voc\u00ea \u00e9 respons\u00e1vel por proteger o WordPress e o WooCommerce, determinar quem pode acessar a plataforma, os plugins a serem instalados, o gateway de pagamento, o sistema de autentica\u00e7\u00e3o e tudo o que estiver relacionado \u00e0 manuten\u00e7\u00e3o do WordPress, dos plugins e dos temas. Por outro lado, voc\u00ea precisa de uma infraestrutura segura e de ponta. \u00c9 a\u00ed que entra a qualidade do seu servi\u00e7o de hospedagem na web.<\/p>\n
\u00c9 claro que o provedor de hospedagem web n\u00e3o pode salvar voc\u00ea de nenhum tipo de amea\u00e7a. Existem a\u00e7\u00f5es de seguran\u00e7a que voc\u00ea e apenas voc\u00ea, como propriet\u00e1rio do site, podem tomar. Mas um servi\u00e7o de hospedagem seguro<\/a> que leve a s\u00e9rio a seguran\u00e7a do seu site pode ajudar muito. Aqui est\u00e3o os principais recursos relacionados \u00e0 seguran\u00e7a que voc\u00ea deve procurar em um servi\u00e7o moderno de hospedagem web.<\/p>\n
<\/div><\/kinsta-auto-toc>\n 1. Escolha uma infraestrutura de hospedagem de ponta<\/h3>\n
A escolha da infraestrutura de hospedagem \u00e9 vital para a seguran\u00e7a do seu site, a reputa\u00e7\u00e3o da sua marca e, eventualmente, o sucesso\u00a0do seu neg\u00f3cio. Voc\u00ea tem v\u00e1rias op\u00e7\u00f5es de servi\u00e7o, que diferem consideravelmente em termos de infraestrutura e servi\u00e7os oferecidos:<\/p>\n
\n
- Hospedagem compartilhada<\/li>\n
- Hospedagem dedicada<\/li>\n
- Hospedagem VPS<\/li>\n
- Hospedagem na nuvem<\/li>\n
- Hospedagem gerenciada de WordPress<\/li>\n<\/ul>\n
Para um site de eCommerce, \u00e9 fundamental contar com uma infraestrutura segura. Se voc\u00ea se preocupa com seus neg\u00f3cios, uma hospedagem compartilhada<\/a> n\u00e3o \u00e9 uma op\u00e7\u00e3o para voc\u00ea, pois pode n\u00e3o garantir os padr\u00f5es m\u00ednimos de seguran\u00e7a para um site de eCommerce bem-sucedido.<\/p>\n
A hospedagem dedicada<\/a> pode ser altamente personalizada e otimizada para seguran\u00e7a, mas pode exigir habilidades de administrador de sistema<\/a> que podem ser dif\u00edceis de encontrar para uma empresa de pequeno ou m\u00e9dio porte.<\/p>\n
Caso precise de controle sobre sua hospedagem, mas n\u00e3o tenha muito conhecimento t\u00e9cnico e\/ou recursos, voc\u00ea pode optar por uma hospedagem VPS (Virtual Private Server), que fica em algum ponto intermedi\u00e1rio entre a hospedagem compartilhada e a hospedagem dedicada. Mas um VPS pode ter alguns contras: Ele pode n\u00e3o ser capaz de lidar com altos n\u00edveis ou picos de tr\u00e1fego e o desempenho ainda \u00e9 afetado por outros sites no servidor.<\/p>\n
Um servi\u00e7o de hospedagem na nuvem<\/a> pode ser uma boa op\u00e7\u00e3o para voc\u00ea, pois normalmente possui v\u00e1rias medidas de seguran\u00e7a para proteger seus sites. No entanto, pode ser dif\u00edcil de configurar e gerenciar se voc\u00ea n\u00e3o tiver as habilidades necess\u00e1rias.<\/p>\n
Uma hospedagem gerenciada de WordPress e WooCommerce<\/a> lhe d\u00e1 tranquilidade porque voc\u00ea n\u00e3o \u00e9 respons\u00e1vel pela configura\u00e7\u00e3o e otimiza\u00e7\u00e3o do servidor, al\u00e9m de contar com servi\u00e7o de suporte especializado, instala\u00e7\u00e3o e manuten\u00e7\u00e3o simplificadas do site.<\/p>\n
Um servi\u00e7o de hospedagem gerenciada de WordPress baseado em nuvem combina as vantagens de ambos os mundos, unindo a infraestrutura r\u00e1pida e segura dos servi\u00e7os de nuvem com a facilidade de uso dos servi\u00e7os de hospedagem gerenciada de WordPress.<\/strong><\/p>\n
Infraestrutura de hospedagem e stack t\u00e9cnica da Kinsta<\/h4>\n
Na Kinsta, acreditamos que criamos a solu\u00e7\u00e3o de hospedagem gerenciada de WordPress mais r\u00e1pida e segura dispon\u00edvel atualmente, utilizando o Google Cloud Platform<\/a>.<\/p>\n
Regi\u00f5es do Google Cloud (Fonte: Google<\/a>)<\/figcaption><\/figure>\n Oferecemos M\u00e1quinas Virtuais\u00a0otimizadas para computa\u00e7\u00e3o C3D e C2<\/a> em todos os planos, do Starter ao Enterprise e al\u00e9m, nas regi\u00f5es em que est\u00e3o dispon\u00edveis. Tamb\u00e9m aproveitamos a infraestrutura segura do Google<\/a>, que inclui um firewall de n\u00edvel empresarial para filtrar o tr\u00e1fego mal-intencionado antes que ele chegue ao seu site.<\/p>\n
Al\u00e9m disso, criamos uma stack t\u00e9cnica r\u00e1pida e segura com base em Nginx, MariaDB, PHP 8.4, cont\u00eaineres LXD e nossa integra\u00e7\u00e3o com o Cloudflare Enterprise, que oferece seguran\u00e7a adicional, incluindo um firewall, prote\u00e7\u00e3o contra DDoS e muito mais. Essa stack est\u00e1 dispon\u00edvel para todos os nossos clientes, independentemente de seus planos.<\/p>\n
Usamos cont\u00eaineres Linux (LXC) e LXD para orquestr\u00e1-los com base no Google Cloud Platform (GCP), garantindo isolamento completo para cada site individual do WordPress. Na Kinsta, seu site n\u00e3o compartilha recursos com nenhum outro site, incluindo outros sites em sua conta.<\/strong><\/p>\n
Um diagrama da infraestrutura de hospedagem de WordPress da Kinsta.<\/figcaption><\/figure>\n Confira este artigo para saber mais sobre nossa tecnologia de cont\u00eainer isolado<\/a> de ponta.<\/p>\n
2. Use um firewall de aplicativo web<\/h3>\n
Um firewall de aplicativo web<\/a> (WAF) \u00e9 um escudo que filtra conex\u00f5es maliciosas que chegam ao seu site e mant\u00e9m seu site WordPress seguro<\/a>.<\/p>\n
A conex\u00e3o direta entre dois computadores na Internet, como o seu computador e um servidor web, n\u00e3o \u00e9 segura se voc\u00ea n\u00e3o colocar um firewall no meio. Um agente mal-intencionado pode infectar seu site com algum tipo de malware<\/a> ou lan\u00e7ar um ataque DDoS<\/a>.<\/p>\n
\u00c9 a\u00ed que entra o firewall de aplicativo web<\/a>. Ele verifica cada solicita\u00e7\u00e3o de conex\u00e3o ao seu site e bloqueia tentativas de acesso potencialmente maliciosas.<\/p>\n
Um WAF \u00e9 essencial para o seu site, quer voc\u00ea seja um blogueiro iniciante ou um empres\u00e1rio bem-sucedido. No caso de sites de eCommerce, o uso de um firewall de aplicativo web \u00e9 fundamental, pois um site desprotegido \u00e9 um alvo f\u00e1cil para hackers e agentes mal-intencionados.<\/p>\n
Sem um firewall de aplicativo web, um hacker pode facilmente assumir o controle do seu site, alterar as credenciais de login, roubar ou destruir dados e realizar qualquer tipo de atividade il\u00edcita. Potencialmente, isso poderia eliminar completamente seu site. Al\u00e9m disso, seu site estaria mais vulner\u00e1vel a ataques DDoS e de for\u00e7a bruta.<\/p>\n
Para proteger seu site com um WAF, voc\u00ea n\u00e3o precisa instalar e configurar software adicional no seu servidor. V\u00e1rias op\u00e7\u00f5es baseadas na nuvem, como Cloudflare<\/a>, Sucuri<\/a> e WordFence<\/a>, podem ser configuradas em seu servidor em poucos minutos.<\/p>\n
Todos os sites hospedados pela Kinsta s\u00e3o protegidos pelo Cloudflare<\/h4>\n
Al\u00e9m da prote\u00e7\u00e3o baseada em IP que fornecemos com o firewall do Google Cloud Platform, todos os sites hospedados pela Kinsta se beneficiam de nossa integra\u00e7\u00e3o com o Cloudflare<\/a>, que inclui um firewall de aplicativo web de n\u00edvel empresarial com conjuntos de regras personalizados e prote\u00e7\u00e3o DDoS gratuita.<\/p>\n
Gra\u00e7as \u00e0 nossa integra\u00e7\u00e3o com o Cloudflare<\/a>, voc\u00ea n\u00e3o precisa configurar um WAF manualmente, pois seu site \u00e9 automaticamente protegido pelo firewall do Cloudflare, independentemente do plano que voc\u00ea assina.<\/p>\n
Como funciona um firewall de aplicativo web (Fonte da imagem: Cloudflare<\/a>)<\/figcaption><\/figure>\n 3. Instalar um certificado SSL<\/h3>\n
O SSL \u00e9 um protocolo<\/a> usado para criptografar e autenticar os dados enviados entre um aplicativo cliente e um servidor web. Se voc\u00ea administra um site de eCommerce, um certificado SSL \u00e9 vital para o seu site e sua empresa, pois garante a criptografia de dados, a autentica\u00e7\u00e3o do site, a integridade dos dados e a confian\u00e7a do usu\u00e1rio.<\/p>\n
Al\u00e9m disso, um certificado SSL melhora a classifica\u00e7\u00e3o do mecanismo de pesquisa porque os mecanismos de pesquisa preferem sites criptografados por SSL. Se voc\u00ea quiser ter a chance de ser listado na primeira p\u00e1gina do Google, precisar\u00e1 de um certificado SSL v\u00e1lido<\/a> com criptografia HTTPS<\/a>.<\/p>\n
Certificados SSL na Kinsta<\/h4>\n
Se o seu site for hospedado pela Kinsta, voc\u00ea n\u00e3o precisar\u00e1 lidar com todas as complexidades t\u00e9cnicas que um SSL normalmente exige. Nossos clientes podem aproveitar nossa integra\u00e7\u00e3o com o Cloudflare, que inclui certificados SLL autom\u00e1ticos para todos os sites WordPress. Isso inclui certificados SSL wildcard<\/a>, o que significa que seu SSL tamb\u00e9m abrange todos os subdom\u00ednios relacionados ao seu dom\u00ednio principal. E se voc\u00ea j\u00e1 tiver um, tamb\u00e9m poder\u00e1 instalar seu certificado SSL personalizado.<\/p>\n
Os certificados SSL do Cloudflare s\u00e3o gratuitos para todos os nossos clientes, independentemente do seu plano.<\/strong><\/p>\n
Para que voc\u00ea tenha uma vis\u00e3o mais detalhada dos certificados SSL da Kinsta WordPress, consulte nossos documentos on-line<\/a>.<\/p>\n
Confira nosso guia em v\u00eddeo<\/a> para escolher o certificado SSL certo para o seu site<\/strong>
\n<\/kinsta-video><\/p>\n 4. Use conex\u00f5es SFTP e SSH seguras<\/h3>\n
Para fazer um backup manual do seu site WordPress ou carregar manualmente um plugin, ou tema, voc\u00ea precisa acessar o sistema de arquivos do site por meio de um cliente FTP<\/a>. Normalmente, um cliente FTP \u00e9 compat\u00edvel com conex\u00f5es FTP e SFTP, mas voc\u00ea deve confiar apenas no SFTP<\/a>, que usa um canal seguro para transferir arquivos por SSH<\/a>. Isso faz uma grande diferen\u00e7a em rela\u00e7\u00e3o \u00e0s conex\u00f5es FTP padr\u00e3o.<\/p>\n
Configura\u00e7\u00e3o do protocolo SFTP no Filezilla<\/figcaption><\/figure>\n A Kinsta suporta apenas conex\u00f5es SFTP\/SSH<\/h4>\n
Como o SFTP \u00e9 um m\u00e9todo mais seguro, a Kinsta suporta apenas conex\u00f5es SFTP.<\/strong><\/p>\n
Os detalhes do SFTP\/SSH est\u00e3o dispon\u00edveis em seu painel MyKinsta em Sites WordPress <\/strong>> Nome do site <\/strong>> Ambiente <\/strong>> Informa\u00e7\u00f5es<\/strong>.<\/p>\n
Credenciais do ambiente SFTP no MyKinsta<\/figcaption><\/figure>\n Voc\u00ea nunca deve usar credenciais de login id\u00eanticas em v\u00e1rios servi\u00e7os e ambientes de site. Por esse motivo, na Kinsta, cada ambiente de site – de teste ou de produ\u00e7\u00e3o – tem um banco de dados exclusivo e credenciais de acesso SFTP\/SSH<\/a>.<\/p>\n
5. Use vers\u00f5es suportadas do PHP<\/h3>\n
Em geral, cada vers\u00e3o do PHP tem suporte por dois anos. Somente as vers\u00f5es suportadas recebem atualiza\u00e7\u00f5es de desempenho e seguran\u00e7a, portanto, o uso de vers\u00f5es n\u00e3o suportadas do PHP reduz o desempenho e aumenta o risco de vulnerabilidades de seguran\u00e7a.<\/p>\n
A partir de agosto de 2024, as vers\u00f5es oficialmente suportadas do PHP s\u00e3o PHP 8.1, 8.2 e 8.3.<\/p>\n
Vers\u00f5es do PHP suportadas (Fonte: PHP.net<\/a>)<\/figcaption><\/figure>\n No momento em que este artigo foi escrito, todas as vers\u00f5es do PHP 8.1 anteriores n\u00e3o recebiam atualiza\u00e7\u00f5es de seguran\u00e7a. Isso significa que, se voc\u00ea estiver usando o PHP 8.0 ou anterior, seu site estar\u00e1 exposto a falhas de seguran\u00e7a que n\u00e3o ser\u00e3o corrigidas.<\/strong><\/p>\n
O n\u00facleo do WordPress \u00e9 constru\u00eddo com PHP. Os plugins tamb\u00e9m s\u00e3o baseados em PHP, e o WooCommerce n\u00e3o \u00e9 uma exce\u00e7\u00e3o. Se o seu eCommerce for baseado no WordPress, usar uma vers\u00e3o PHP atualizada<\/a> \u00e9 vital para o sucesso da sua loja on-line.<\/p>\n
Al\u00e9m da seguran\u00e7a aprimorada, as vers\u00f5es mais recentes do PHP oferecem melhor desempenho. Voc\u00ea pode obter um aumento na velocidade do site<\/a> simplesmente atualizando para a vers\u00e3o mais recente do PHP.<\/p>\n
A Kinsta s\u00f3 permite vers\u00f5es suportadas do PHP<\/h4>\n
Isso pode exigir um esfor\u00e7o adicional de desenvolvimento se voc\u00ea usar plugins personalizados que n\u00e3o sejam compat\u00edveis com as vers\u00f5es suportadas do PHP. No entanto, nossa principal responsabilidade \u00e9 garantir a m\u00e1xima seguran\u00e7a para seus sites e toda a nossa infraestrutura. Por esse motivo, a Kinsta n\u00e3o permite que voc\u00ea use vers\u00f5es PHP n\u00e3o suportadas ou desatualizadas<\/strong>.<\/p>\n
Os clientes Kinsta podem alterar a vers\u00e3o PHP do seu site WordPress no MyKinsta. Navegue at\u00e9 a se\u00e7\u00e3o de configura\u00e7\u00e3o do seu site e selecione Ferramentas<\/strong> no menu \u00e0 esquerda. Role a p\u00e1gina para baixo e encontre o mecanismo PHP<\/strong>. Clique no bot\u00e3o Modificar <\/b>e selecione a vers\u00e3o do PHP para o seu site.<\/p>\n
Modificar o mecanismo PHP no MyKinsta<\/figcaption><\/figure>\n 6. Ative a autentica\u00e7\u00e3o de dois fatores<\/h3>\n
Usar senhas fortes para proteger seu site e sua conta de hospedagem pode n\u00e3o ser suficiente para proteger seu site de eCommerce. \u00c9 altamente recomend\u00e1vel que voc\u00ea use um sistema de autentica\u00e7\u00e3o multifator<\/a>.<\/p>\n
A autentica\u00e7\u00e3o multifator \u00e9 um sistema de autentica\u00e7\u00e3o em que o usu\u00e1rio que acessa o servi\u00e7o precisa fornecer duas ou mais provas de sua identidade. Isso pode ser feito de diferentes maneiras: Biometria, como impress\u00f5es digitais, um aplicativo autenticador, um e-mail, um SMS, um token de hardware e muito mais.<\/p>\n
Quando se trata do seu site de eCommerce, voc\u00ea deve refor\u00e7ar a seguran\u00e7a da autentica\u00e7\u00e3o ativando a autentica\u00e7\u00e3o de dois fatores<\/a> (2FA) no seu servi\u00e7o de hospedagem e no seu site WordPress.<\/p>\n
Ativar o 2FA com a Kinsta<\/h4>\n
Al\u00e9m de usar uma senha forte para o MyKinsta, recomendamos que voc\u00ea habilite a autentica\u00e7\u00e3o de dois fatores e pe\u00e7a a todos os usu\u00e1rios da sua empresa que fa\u00e7am o mesmo. Com o 2FA ativado, todas as tentativas de login no MyKinsta exigir\u00e3o um c\u00f3digo de verifica\u00e7\u00e3o adicional de um aplicativo autenticador (por exemplo, Google Authenticator) em seu telefone ou aplicativo de gerenciamento de senhas.<\/p>\n
Para ativar o 2FA no MyKinsta, clique no seu nome no canto superior direito e selecione Configura\u00e7\u00f5es do usu\u00e1rio<\/strong>. Em Minha conta<\/strong>, role a p\u00e1gina para baixo at\u00e9 a se\u00e7\u00e3o Autentica\u00e7\u00e3o de dois fatores<\/strong>. Clique no bot\u00e3o de altern\u00e2ncia e escaneie o c\u00f3digo QR em seu aplicativo autenticador, digite o c\u00f3digo de 6 d\u00edgitos que voc\u00ea v\u00ea no aplicativo e pronto.<\/p>\n
Autentica\u00e7\u00e3o de dois fatores no MyKinsta<\/figcaption><\/figure>\n Observe que a Kinsta n\u00e3o suporta mais a autentica\u00e7\u00e3o de dois fatores (2FA) baseada em SMS, porque ela \u00e9 vulner\u00e1vel a ataques por telefone<\/a> e \u00e9 menos segura do que um token baseado em tempo. Uma recente viola\u00e7\u00e3o de dados da Authy<\/a> exp\u00f4s 33 milh\u00f5es de n\u00fameros de telefone de clientes, aumentando a amea\u00e7a de ataques de phishing por SMS e troca de SIM.<\/p>\n
A Kinsta n\u00e3o oferece mais suporte \u00e0 autentica\u00e7\u00e3o por SMS<\/figcaption><\/figure>\n Voc\u00ea pode ler mais sobre a 2FA na Kinsta em nossa documenta\u00e7\u00e3o<\/a>.<\/p>\n
Ativar a 2FA com o WordPress<\/h4>\n
Voc\u00ea tamb\u00e9m pode querer habilitar a autentica\u00e7\u00e3o de dois fatores em seu site de eCommerce. O WordPress n\u00e3o oferece suporte \u00e0 2FA, mas voc\u00ea pode adicionar esse recurso ao seu site de forma r\u00e1pida e f\u00e1cil com um dos seguintes plugins:<\/p>\n
\n
- Two Factor Authentication<\/a><\/li>\n
- Google Authenticator<\/a><\/li>\n<\/ul>\n
7. Atualiza\u00e7\u00f5es de n\u00facleo, plugins e temas<\/h3>\n
Al\u00e9m das vers\u00f5es principais do WordPress, novas atualiza\u00e7\u00f5es de seguran\u00e7a s\u00e3o emitidas regularmente sempre que uma nova vulnerabilidade \u00e9 detectada. O mesmo acontece com temas e plugins.<\/p>\n
Para manter seu site do WordPress protegido, voc\u00ea precisa manter todo o site do WordPress atualizado para evitar vulnerabilidades de seguran\u00e7a.<\/p>\n
No painel do WordPress, em Painel de Controle<\/b> > Atualiza\u00e7\u00f5es<\/strong>, voc\u00ea pode ativar as atualiza\u00e7\u00f5es autom\u00e1ticas do n\u00facleo<\/a> para todas as vers\u00f5es do WordPress ou somente para as vers\u00f5es de manuten\u00e7\u00e3o e seguran\u00e7a.<\/p>\n
Voc\u00ea tamb\u00e9m pode gerenciar as atualiza\u00e7\u00f5es autom\u00e1ticas de temas e plugins.<\/p>\n
Ativar\/desativar atualiza\u00e7\u00f5es autom\u00e1ticas de plugins.<\/figcaption><\/figure>\n Ativar\/desativar atualiza\u00e7\u00f5es autom\u00e1ticas de plugins.<\/figcaption><\/figure>\n Observe que, a partir do WordPress 6.6<\/a>, voc\u00ea pode reverter as atualiza\u00e7\u00f5es autom\u00e1ticas<\/a> dos seus plugins em caso de falha.<\/p>\n
Se preferir, voc\u00ea pode desativar esse recurso e realizar as atualiza\u00e7\u00f5es por conta pr\u00f3pria, mas atualizar um grande n\u00famero de sites pode ser uma tarefa demorada e entediante. \u00c9 por isso que muitas ag\u00eancias recorrem a ferramentas de terceiros que permitem que voc\u00ea gerencie as atualiza\u00e7\u00f5es de todos os seus sites do WordPress em um \u00fanico ambiente externo.<\/p>\n
Os clientes da Kinsta n\u00e3o precisam pagar por servi\u00e7os de terceiros para gerenciar suas atualiza\u00e7\u00f5es em massa, pois podem aproveitar o recurso de atualiza\u00e7\u00f5es em massa dispon\u00edvel no painel MyKinsta.<\/p>\n
Atualiza\u00e7\u00f5es do WordPress com a Kinsta<\/h4>\n
Voc\u00ea pode gerenciar os temas e plugins do seu site WordPress diretamente no MyKinsta. Em seu painel, navegue at\u00e9 sites WordPress<\/strong> > Nome do site<\/strong> > Temas e plugins<\/strong>. Aqui, voc\u00ea pode selecionar um ou mais plugins ou temas e atualiz\u00e1-los individualmente ou em massa<\/a>.<\/p>\n
Atualizar plugins em massa no MyKinsta.<\/figcaption><\/figure>\n Observe que quando voc\u00ea executa uma atualiza\u00e7\u00e3o no MyKinsta, um backup gerado pelo sistema \u00e9 criado para que voc\u00ea possa reverter o processo por 2 horas se a atualiza\u00e7\u00e3o falhar. Isso adiciona uma camada de seguran\u00e7a e lhe d\u00e1 tranquilidade quando voc\u00ea precisa atualizar seus plugins ou temas.<\/p>\n
Um backup gerado pelo sistema \u00e9 criado quando voc\u00ea atualiza seus plugins em massa.<\/figcaption><\/figure>\n Voc\u00ea tamb\u00e9m pode executar atualiza\u00e7\u00f5es em massa para v\u00e1rios sites WordPress de uma s\u00f3 vez. No painel MyKinsta, selecione sites WordPress<\/strong>. Uma vez l\u00e1, selecione um ou mais sites e clique no bot\u00e3o A\u00e7\u00f5es<\/strong> \u00e0 direita e, em seguida, selecione a a\u00e7\u00e3o em massa que voc\u00ea deseja executar. Se voc\u00ea estiver atualizando plugins, clique no item de menu correspondente. Uma janela pop-up exibir\u00e1 uma lista de plugins para os quais h\u00e1 uma atualiza\u00e7\u00e3o dispon\u00edvel.<\/p>\n
Escolha os plugins a serem atualizados e aguarde alguns segundos. Uma janela pop-up informar\u00e1 a voc\u00ea se o processo foi conclu\u00eddo com \u00eaxito.<\/p>\n
Se a atualiza\u00e7\u00e3o falhar, navegue at\u00e9 Sitename<\/strong> > Backups<\/strong> > Gerado pelo sistema<\/strong> no MyKinsta e restaure o backup mais recente.<\/p>\n
Backups gerados pelo sistema no painel MyKinsta.<\/figcaption><\/figure>\n E, o que \u00e9 ainda mais poderoso, voc\u00ea pode executar todas essas opera\u00e7\u00f5es em um ambiente de teste<\/a> primeiro e, em seguida, enviar o teste para o ambiente de produ\u00e7\u00e3o<\/a> sem nenhum risco.<\/p>\n
Na Kinsta, voc\u00ea pode atualizar em massa temas e plugins para todos os seus sites WordPress de forma conveniente a partir de uma \u00fanica p\u00e1gina, sem nenhum risco. Perfeito para ag\u00eancias que lidam com muitos sites em um s\u00f3 lugar.<\/strong><\/p>\n
8. Backups<\/h3>\n
Se uma atualiza\u00e7\u00e3o der errado, ou se um site for comprometido ou completamente apagado devido a uma vulnerabilidade de seguran\u00e7a, um backup pode salvar sua vida<\/a>. Se o seu provedor de hospedagem de sites n\u00e3o fornecer um sistema de backup autom\u00e1tico, voc\u00ea sempre poder\u00e1 recorrer a um plugin de WordPress. Recomendamos que voc\u00ea use um plugin de WordPress que ofere\u00e7a backups incrementais<\/a>: Isso permite que voc\u00ea tenha um backup do seu site sem perder espa\u00e7o em disco ou reduzir o desempenho do site.<\/p>\n
No entanto, um servi\u00e7o de hospedagem web que realmente se preocupa com seu site de eCommerce deve fornecer backups regulares do WordPress. A Kinsta oferece seis tipos diferentes de backup.<\/strong><\/p>\n
Os seis tipos de backups fornecidos pela Kinsta<\/h4>\n
Fornecemos backups autom\u00e1ticos di\u00e1rios do WordPress<\/strong>, bem como backups gerados pelo sistema<\/strong> para todos os sites WordPress. Esses backups, juntamente com os backups manuais<\/strong>, est\u00e3o dispon\u00edveis como pontos de restaura\u00e7\u00e3o no MyKinsta. Voc\u00ea tamb\u00e9m pode criar manualmente um backup para download<\/strong> uma vez por semana.<\/p>\n
Voc\u00ea pode navegar pelos seus backups no painel MyKinsta em Sites WordPress<\/strong> > Nome do site<\/strong> > Backups<\/strong>. Aqui voc\u00ea pode restaurar seu backup<\/a> para um ambiente de sua escolha com um \u00fanico clique.<\/p>\n
Restaurando um backup em um ambiente de teste no MyKinsta.<\/figcaption><\/figure>\n Se voc\u00ea atualizar seu site de eCommerce v\u00e1rias vezes ao dia e precisar de mais backups, poder\u00e1 adquirir um complemento para backups por hora<\/a>.<\/p>\n
![\"OWASP](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/09\/owasp-top-ten.png\")
![\"Diagrama](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/phishing-attack-1.png\")
![\"Sinal](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/09\/phising-attack-ahead.png\")
![\"An\u00e1lise](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/05\/mykinsta-analytics.png\")
![\"Exemplo](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/sql-injection-1.png\")
![\"Ataque](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/xss-attack-1.png\")
![\"Credential](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/09\/credential-stuffing.png\")
![\"Como](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/11\/Untitled-8.jpg\")
![\"MageCart](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/magecart-diagram-1.jpg\")
![\"Regi\u00f5es](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/google-cloud-regions.jpg\")
![\"Um](\"https:\/\/kinsta.com\/wp-content\/uploads\/2023\/11\/Kinsta-WordPress-hosting-architecture.jpg\")
![\"Cloudflare](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/cloudflare-waf.png\")
![\"Configura\u00e7\u00e3o](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/sftp.jpg\")
![\"Credenciais](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/sftp-credentials-mykinsta.jpg\")
![\"Vers\u00f5es](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/supported-php-versions.png\")
![\"Modificar](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/modify-php-engine-mykinsta.jpg\")
![\"Autentica\u00e7\u00e3o](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/2fa-mykinsta.jpg\")
![\"A](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/sms-authentication-not-supported.jpg\")
![\"Ativar\/desativar](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/plugins-screen.jpg\")
![\"Ativar\/desativar](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/theme-details.jpg\")
![\"Atualizar](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/update-plugins.jpg\")
![\"Um](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/plugin-bulk-update-backup.jpg\")
![\"Backups](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/system-generated-backups.jpg\")
![\"Vers\u00f5es](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/09\/daily-backups.jpg\")