Como impedir infecção por malware

O preço da liberdade de malware é a vigilância eterna. Este artigo contém dicas e indicadores para impedir a infecção por malware. No entanto, não é algo abrangente e o Google incentiva os webmasters a conduzir uma pesquisa mais completa.

Como monitorar a integridade do seu site

Diversos recursos das Ferramentas do Google para webmasters podem ajudar a identificar possíveis problemas. Por exemplo:

  • Experimente um site: search no Google para ver o que está indexado. É sempre bom fazer uma verificação de sanidade e ter certeza de que tudo está normal. Se você ainda não estiver familiarizado com o operador site: search, é uma forma de restringir a sua pesquisa a um site específico. Por exemplo, a pesquisa site:googleblog.blogspot.com retornará resultados apenas do Blog oficial do Google.

  • A página Consultas de pesquisa lista palavras-chave significativas que o Google encontrou em seu site. Se palavras-chave inesperadas (como "Viagra") aparecerem na lista, é um sinal de que suas páginas provavelmente foram comprometidas.

  • A página "Malware" (em Integridade) lista exemplos de URLs de seu site que foram identificados como contendo código malicioso. Quando possível, a página também incluirá exemplos do código com problema.

  • A ferramenta Buscar como o Google permite que você veja uma página como os rastreadores do Google veem. Se você suspeitar que uma página está infectada, poderá usar a ferramenta para detectar o que o Googlebot verá.

  • Se o Google detectar malware no seu site, enviaremos uma notificação na página inicial das Ferramentas do Google para webmasters e enviaremos uma mensagem para a sua Central de mensagens. Para garantir uma notificação rápida, você pode encaminhar as suas mensagens da Central de mensagens para o seu e-mail.

Lista de verificação de segurança

Além de monitorar o seu site regularmente, também recomendamos o seguinte:

Todos os webmasters

  • Escolha boas senhas. As diretrizes do Gmail são úteis.

  • Escolha com muito cuidado os provedores de conteúdo de terceiros. Se você estiver pensando em instalar um aplicativo fornecido por terceiros, como um widget, contador ou rede de publicidade, tenha cautela. O espaço para anúncio é normalmente distribuído para outras partes que não são conhecidas do proprietário do site. Embora exista muitos conteúdos de terceiros na web, também é possível que os provedores usem esses aplicativos para enviar explorações, como scripts perigosos, para os visitantes. Certifique-se de que o aplicativo seja proveniente de uma fonte conhecida. Ela tem um site legítimo com informações de suporte e de contato? Outros webmasters já usaram o serviço?

  • Entre em contato com a sua empresa de hospedagem ou plataforma de publicação para obter suporte. A maioria das empresas tem grupos de suporte úteis e ágeis e/ou páginas de segurança. Se uma página de segurança ou site tiver um feed RSS, inscreva-se para se manter atualizado.

  • Mantenha todos os seus computadores em segurança. Principalmente quando estiver trabalhando em um site, certifique-se de que a sua estação de trabalho local tenha softwares atualizados, esteja livre de vírus, cavalos de troia ou malware parecido e tenha um software antivírus atualizado instalado.

Webmasters com acesso ao servidor

  • Verifique a configuração de seu servidor. O Apache tem algumas dicas de configuração de segurança em seu site e a Microsoft tem alguns recursos da central técnica para IIS em seu site. Algumas dessas dicas incluem informações sobre permissões de diretório, inclusões no lado do servidor, autenticação e criptografia.

  • Faça uma cópia de backup de seu arquivo .htaccess (ou de outros mecanismos de controle de acesso, dependendo da plataforma de seu site). Use o seu arquivo de backup para recuperar se o seguinte falhar. Lembre-se de excluir o arquivo de backup após a conclusão.

  • Mantenha-se atualizado com as atualizações e correções mais recentes do software. Há diversas ferramentas que facilitam a criação de um site, mas cada uma apresenta um risco de ser explorada. Uma falha comum de diversos webmasters é instalar um fórum ou blog em seu site e depois esquecê-lo. Da mesma forma que é importante levar um carro para revisão, é importante ter as atualizações mais recentes para qualquer software instalado. Faça uma lista de todo software e plug-ins usados para o seu site e controle os números da versão e as atualizações. Mesma que você seja cuidadoso e mantenha todos os componentes do seu site atualizados, você ainda pode estar vulnerável se o seu web hoster não tiver instalado as correções mais recentes do sistema operacional. Isso não é um problema apenas para sites menores; houve avisos nos sites de bancos, equipes esportivas e sites corporativos e do governo.

  • Fique atento aos seus arquivos de registro. Tornar isso um hábito traz bastante benefícios, sendo um deles mais segurança. Por exemplo, parâmetros de URL não conhecidos (como "=http:" ou "=//") ou picos no tráfego para redirecionar URLs no seu site podem indicar que um invasor está explorando redirecionamentos abertos. Além disso, lembre-se de que os invasores normalmente tentam alterar os arquivos de registro. Execute ações para proteger esses arquivos contra ataques. Por exemplo, você pode mover esses arquivos de seus locais padrão, dificultando a localização para os invasores.

  • Verifique o seu site em busca de vulnerabilidades comuns. Evite ter diretórios com permissões abertas. Isso é como deixar a porta da frente da sua casa aberta.

    Além disso, procure quaisquer vulnerabilidades XSS (script entre sites) e injeção SQL.


  • Use protocolos seguros. O Google recomenda o uso de SSH e SFTP para transferência de dados, em vez de protocolos de texto sem formatação como telnet ou FTP. SSH e SFTP usam criptografia e são bem mais seguros. Para esta e outras dicas úteis, consulte as Dicas para limpeza e proteção do seu site da StopBadware.org.

  • Mantenha-se atualizado com as notícias de segurança mais recentes. O Blog de segurança on-line do Google fornece informações úteis sobre segurança on-line, além de indicações para outros recursos. O site governamental US-CERT (United States Computer Emergency Readiness Team) fornece alertas e dicas de segurança técnica.