Cuidado: seu site pode ter sido invadido
O Google tem já há algum tempo um serviço onde ele avalia a periculosidade de um website. Da mesma forma como eles já vasculham toda a Internet para indexar suas páginas, agora ele também as avalia em termos de segurança. A maioria dos bons web browsers já implementa integração com isso e, toda vez que você tentar entrar por acidente em um web site com possíveis problemas de segurança, o browser o avisará da seguinte forma:
Tela de aviso sobre problema de segurança em um site
Assim você pode escolher se quer seguir ou não. Isso não significa com 100% de certeza que o site está realmente invadido, apenas que, pelo critérios do próprio Google, ele acha que sim.
Agora, o que leva um site a ser invadido? Existem várias maneiras e você como dono de um website, deve ficar muito atento a isso:
- sua senha na sua hospedagem é fraca. E senha fraca é mais comum do que se pensa. Você usa uma daquelas senhas do tipo “123456″, ou “teste123″ ou mesmo combinações de palavras e datas “joao1970″? Tudo isso é muito fraco e lhes digo que trivialmente quebrável. A senha precisa ser o mais aleatório possível. Quer um exemplo de senha forte? Use este gerador e gere combinações como estas:
D2F16079AD2267C09BBD3ECD7C546892C4FB3F4AF52BD556ED857
(Claro, tome todo cuidado para não esquecer depois qual era a senha, é como trancar a porta de casa e esquecer onde deixou a chave
- a programação do seu site é falha. E isso é extremamente comum. Na verdade é mais fácil achar um site com defeito do que bem protegido.
Especialmente se o programador não tem interesse em se aprofundar realmente na área (não, faculdade, cursos, certificações, nada disso é garantia). Lembrem-se, exemplos de revista, livros, foram feitos para serem didáticos. Por exemplo, se um livro mostra um exemplo de como se faz um formulário que recebe um upload de imagens, ou um formulário para cadastrar e-mails, eles estão preocupados em explicar apenas um assunto. Coisas como performance, escalabilidade, usabilidade, segurança, não estão sendo discutidos. Especificamente sobre segurança, esses exemplos quase sempre tem buracos, por exemplo, coisas como “Injeção de SQL”. Ou imagine que em vez de fazer upload de uma imagem como JPG, o malfeitor faça download de um arquivo do tipo “virus.exe.jpg” e seu site aceita e os usuários baixam?
Esses são apenas 2 pequenos exemplos. O mundo da internet tem dezenas de maneiras de se invadir e contaminar um website. Às vezes nem precisa de muito, basta alguém que baixou uma versão de um software como Drupal ou Joomla (e não importa se é open source ou comercial, o risco é o mesmo) e nunca fez atualizações, mesmo depois de já terem sido descobertas falhas de segurança que já foram corrigidas. Sistemas obsoletos vão se tornando mais e mais vulneráveis à medida que novas formas de invasão ou bugs são descobertos.
Além de “Injeção de SQL” (SQL Injection), ainda existem Cross-Site Request Forgery, Cross Site Scripting, Replay Attack, Session Fixation e muito mais. Hoje em dia não basta apenas que o site esteja “rodando”, isso quase sempre não garante muita coisa. Por isso sempre procure pessoas/empresas experientes e de boa reputação para fazer seu site, porque caso contrário é o nome da sua empresa que pode ficar prejudicada quando seus usuários começarem a ser infectados e quando o Google Safe Browsing passar a categorizá-lo como site perigoso.