A segurança da hospedagem de sites amadureceu nos últimos anos. Os tipos de problemas de segurança foram alterados. Por exemplo, a contaminação cruzada entre várias contas de hospedagem compartilhada costumava ser um grande problema para grandes provedores de hospedagem de sites. Hoje não é realmente uma grande ameaça. No entanto, ataques de malware e outros problemas relacionados à segurança de sites no nível da conta ainda são problemas muito reais – basta perguntar a qualquer pessoa que teve seu site desfigurado, redirecionado ou abusado em ataques de phishing.
Adaptação à nova realidade.
No cenário atual de segurança do site, o problema realmente está em como o proprietário do site gerencia seu ambiente de servidor. Tradicionalmente, isso está além do escopo do provedor de hospedagem de sites. Os invasores sabem que o link mais fraco é o usuário final e, como tal, concentram-se em ataques automáticos oportunistas contra recursos gerenciados pelo usuário final, como plug-ins e extensões instalados pelo proprietário do site.
Hoje, mais de 90% dos ataques são automatizados e têm como alvo frutas baixas – eles não são ataques direcionados. Normalmente, os sites são atacados em grande escala de várias maneiras:
bots ou scripts que procuram vulnerabilidades conhecidas para explorar
ferramentas de inteligência artificial que procuram credenciais fracas
tipos de ataque de maior alcance, como ataques DDoS
Usuários finais responsabilizam os hosts
“Como você pôde me deixar ser hackeado?”
Soa familiar? Empresas de hospedagem de sites de todos os tamanhos sentem a dor quando se trata da segurança do site do usuário final, que agora faz parte da conversa com seus clientes. Preparadas ou não, as empresas de hospedagem precisam fornecer suporte quando seus clientes pedem ajuda depois que seus sites são invadidos, colocados na lista negra ou atacados.
Hoje, os clientes de hospedagem na web estão entusiasmados por ter um site. Eles querem ser a próxima grande novidade. Eles querem ter voz e viver de maneira honesta. A grande maioria dos proprietários de sites não deseja aprender sobre as implicações técnicas de segurança de ter um site.
Na maioria dos casos, eles esperam que o host cuide de tudo.
Assumindo propriedade e responsabilidade
Os proprietários de sites não são mais apenas nerds nerds e com excesso de cafeína. Criar um site se tornou uma oportunidade muito acessível e agora qualquer um pode ser um webmaster. Temos que entender que a maioria dos proprietários de sites possui perspicácia e recursos técnicos muito limitados. Eles querem um site totalmente seguro e que continue assim. De acordo com a nossa experiência, eles não se importam ou entendem serviços ambíguos e vendas diretas. Se for invadido, eles querem que alguém lide com isso agora, a um custo acessível. Depois de limpos, eles não querem mais ser invadidos.
Estávamos na conferência do cPanel na semana passada e a sessão final falou sobre esse assunto. Surgiu a questão de quem é realmente a responsabilidade quando se trata de segurança no nível do site e houve resultados mistos. O que essa discussão realmente validou para nós é que – em uma sala cheia de prestadores de serviços e empresas de hospedagem – o tema não é único. Os clientes estão fazendo a pergunta e é responsabilidade dos provedores de serviços ter uma resposta.
Estávamos na WHD na semana anterior ao cPanel, e Tony falou sobre nossa responsabilidade como prestadores de serviços e como deveríamos pensar sobre tudo isso.
O custo de suporte a problemas de segurança de sites
Tornou-se um problema tão difundido que muitos fornecedores estão aumentando a equipe (ou departamentos inteiros) dedicados a dar suporte aos clientes com sites comprometidos “apenas para ajudá-los”. Eles estão lidando com clientes realmente frustrados que podem optar por sair quando a borracha cair na estrada.
Esse esforço não faz muito sentido financeiro para provedores de hospedagem na maioria dos casos. O host é forçado a dedicar recursos valiosos para tentar corrigir sites invadidos e oferecer uma solução de segurança que eles, francamente, não controlam, com o risco de o cliente potencialmente deixá-los de qualquer maneira, quando tudo estiver dito e feito. A segurança não é sua principal competência e o esforço se torna um centro de custo para eles. A sobrecarga causada pelos recursos e pelo tempo gasto, que é repassada ao cliente, torna-se muito grande para ser gerenciada em escala. Isso prejudica o host e também não é algo fácil para o cliente, especialmente quando está passando por um hack e está em um estado mental vulnerável e altamente emocional.
O host deve estar envolvido, mas começa bem antes do ponto da infecção. Precisamos mudar a discussão. Precisamos nos tornar líderes em conscientização. Os prestadores de serviços têm uma responsabilidade inerente de serem educadores para um público muito amplo. Ao informar aos clientes que há uma diferença entre segurança da infraestrutura e segurança da conta, os provedores os ajudam a entender que, com a hospedagem tradicional, não é tão fácil. Devem ser tomadas medidas para corrigir falsas expectativas de que o provedor seja a parte responsável por um site de propriedade e controlado pelo usuário final. Os provedores de hospedagem têm a oportunidade de instruir o usuário final sobre as opções que eles precisam considerar com base em seus requisitos. Existem trocas entre coisas como hospedagem compartilhada tradicional e WordPress gerenciado, por exemplo. A segurança deve fazer parte da discussão do começo ao fim.
Tornando a segurança do site um centro de lucro
Há muitas oportunidades para os provedores de hospedagem ajudarem seus clientes de maneira sustentável, reduzir custos operacionais e de clientes e até se beneficiar economicamente, oferecendo opções de segurança do site a seus clientes. Pode fazer muito mais sentido fazer parceria com uma empresa de segurança profissional que possa fornecer recursos e serviços dedicados a custos reduzidos. Dependendo da configuração do host, existe a oportunidade de transformar a segurança em um novo fluxo de receita enquanto eles desenvolvem o jogo de segurança do site ao mesmo tempo!
Há uma oportunidade de ampliar o conhecimento e proteger os usuários, aproveitando uma estratégia mais intuitiva e de longo prazo. As soluções eficazes de segurança de sites exigem profissionais dedicados que entendem como o cenário de ameaças se parece agora e como ele evoluirá no futuro.
Um bom provedor de segurança de sites também exige uma abordagem do cliente em primeiro lugar, que priorize o tempo de resolução com respeito ao nível de habilidade técnica de cada cliente. Como exemplo, a Sucuri é recomendada por profissionais da web por nosso compromisso em fornecer aos usuários tecnologia de ponta e excelente atendimento ao cliente.
A idéia aqui é estender sua equipe de segurança e eliminar qualquer ambiguidade de preço ou controle arbitrário para o usuário final. A parceria com uma organização de segurança comprovada pode fornecer uma pilha completa de segurança do site a preços fixos. Isso permitirá que você ofereça preços firmes a seus clientes por um serviço garantido e que não vai custar mais com base no número de páginas protegidas ou em quais partes do site são corrigidas durante um ataque.
Descobrimos que fazer verificações ativas nos sites da sua base de usuários continuamente e fazer divulgação para ajudá-los a entender melhor seu status de segurança é útil para educar os clientes enquanto ajuda a entender melhor a integridade geral das contas no ambiente.
Conclusão
No final, todos temos um papel a desempenhar para tornar a web mais segura. É nosso trabalho, como prestadores de serviços, educar e oferecer opções claras e sustentáveis de segurança do site para nosso público cada vez maior de pessoas que simplesmente tentam construir seus negócios e presença online.
Vamos ser educadores. Vamos ser líderes. Nossos clientes nos apreciarão por isso a longo prazo!