Posted:


Ao pesquisar em dispositivos móveis, os usuários devem receber as respostas mais relevantes, não importa se elas estiverem em um aplicativo ou em uma página da web. Recentemente, tornamos mais fácil para os usuários encontrar e descobrir aplicativos e páginas da Web compatíveis com dispositivos móveis. No entanto, às vezes um usuário toca em um resultado de pesquisa em um dispositivo móvel e vê um intersticial para a instalação de um aplicativo que esconde uma parte significativa do conteúdo, e solicita que o usuário instale o aplicativo. Nossa análise mostra que essa não é uma boa experiência de pesquisa e pode ser frustrante para os usuários, pois eles esperam ver o conteúdo de uma página da web.

A partir de hoje, atualizaremos o Teste de compatibilidade com dispositivos móveis para indicar que os sites devem evitar a exibição dos intersticiais para a instalação de aplicativos que escondem uma parte significativa do conteúdo na transição a partir da página de resultados de pesquisa. O Relatório de Usabilidade em dispositivos móveis no Search Console mostrará o número de páginas no seu site com esse problema.

Após o dia 1 de Novembro, as páginas da web para dispositivos móveis que exibirem um intersticial para a instalação de aplicativos que esconda uma parte significativa do conteúdo na transição da página de resultados da pesquisa não serão mais consideradas compatíveis com dispositivos móveis. Isso não afeta outros tipos de intersticiais. Como alternativa aos intersticiais para a instalação de aplicativos, os navegadores oferecem meios para promover um aplicativo que são mais amigáveis ao usuário.

Os intersticiais para a instalação de aplicativos que escondem uma parte significativa do conteúdo resultam em uma experiência ruim para o usuário


Os banners para a instalação de aplicativos são os preferidos por serem menos intrusivos


Os banners para a instalação de aplicativos são compatíveis com o Safari (como Banners inteligentes) e com o Google Chrome (como Banners para a instalação de aplicativos nativos). Os banners fornecem uma interface de usuário consistente para promover um aplicativo e oferecem ao usuário o controle sobre sua própria experiência de navegação. Os webmasters também podem usar suas próprias implementações de banners para a instalação de aplicativos, contanto que não impeçam os usuários que fazem pesquisa de visualizar o conteúdo da página.

Em caso de dúvidas, ficaremos felizes em bater um papo com você no Fórum de Ajuda para Webmasters.

Posted:

Por causa dos ótimos comentários referentes ao recurso Search Analytics (Relatório de Anállise de Pesquisas) no Google Search Console, decidimos disponibilizar esses dados aos desenvolvedores por meio de uma API. Esperamos que a API do Search Analytics ajude você a incluir dados de desempenho nos seus aplicativos e nas suas ferramentas.

Se você já tiver usado alguma das outras APIs do Google ou uma das APIs existentes do Search Console, será fácil começar a usar esta. A página de instruções, uma documentação que no momento está disponível somente em inglês, tem exemplos em Python que podem ser usados como receitas para seus próprios programas. Por exemplo, é possível usar a API para:

Verificar a presença de dados (qual a data mais recente que pode ser solicitada?)
As 10 principais consultas por contagem de cliques
As 10 principais páginas
As 10 principais consultas na Índia
As 10 principais consultas de dispositivos móveis na Índia

No momento, a documentação acima só está disponível em inglês. Você acredita que uma versão traduzida dessa documentação para seu idioma seria útil? Informe-nos aqui.

O que você criará com a nova API? Estamos curiosos para ver como as novas ferramentas e os novos aplicativos que usam essa API responderão à demanda por ainda mais informações sobre o desempenho do seu site na Pesquisa Google. Se você tiver integrado essa API a uma ferramenta, adoraríamos ler mais sobre isso nos comentários. Caso você tenha perguntas sobre a API, fique à vontade para visitar nosso Fórum de Ajuda para webmasters.

Posted:

Hoje, em nossa campanha #NoHacked, falaremos sobre como corrigir as URLs injetadas com conteúdo sem sentido, sobre as quais escrevemos na semana passada. Mesmo que seu site não esteja infectado com esse tipo específico de invasão, muitas dessas etapas poderão ser úteis na correção de outros tipos de ataque. Acompanhe as discussões no Twitter e no Google+ usando a tag #NoHacked (Parte 1, Parte 2, Parte 3 e Parte 4).

Retire seu site do ar temporariamente

Retirar seu site do ar temporariamente impedirá que os visitantes acessem páginas invadidas e dará a você o tempo necessário para corrigi-lo. Caso deixe seu site on-line, ele poderá ser atacado novamente enquanto você faz a limpeza.

Cuide do seu site

As próximas etapas requerem que você se sinta confortável para fazer alterações técnicas no seu site. Caso não esteja confortável ou familiarizado o suficiente com seu site para fazer essas alterações, recomendamos consultar ou contratar alguém que esteja. No entanto, a leitura dessas etapas ainda será útil.

Antes de começar a corrigir seu site, recomendamos que você faça backup dele. Essa versão de backup ainda terá conteúdo invadido, e você só deve usá-la caso remova acidentalmente um arquivo crítico. Se você não tiver certeza de como fazer backup do seu site, peça ajuda ao seu provedor de hospedagem ou consulte a documentação do sistema de gerenciamento de conteúdo (CMS, na sigla em inglês). Durante essas etapas, cada vez que você remover um arquivo, mantenha uma cópia dele.

Verificar seu arquivo .htaccess

Para manipular seu site, esse tipo de invasão cria ou altera o conteúdo do seu arquivo .htaccess. Se você não souber onde encontrar seu arquivo .htaccess, consulte a documentação do seu servidor ou CMS.

Verifique seu arquivo .htaccess em busca de conteúdo suspeito. Se você não tiver certeza de como interpretar o conteúdo do arquivo .htaccess, leia sobre isso na documentação do Apache.org (somente em inglês), faça perguntas no fórum ou consulte um especialista. Veja um exemplo de um arquivo .htaccess modificado por uma invasão:

  • <IfModule mod_rewrite.c> 
  •   RewriteEngine On  
  •   #Visitantes que acessam seu site a partir do Google serão redirecionados  
  •   RewriteCond %{HTTP_REFERER} google\.com 
  •   #Visitantes são redirecionados para um arquivo PHP malicioso chamado happypuppy.php 
  •   RewriteRule (.*pf.*) /happypuppy.php?q=$1 [L] 
  • </IfModule>

Exclua todas as partes maliciosas encontradas. Em muitos casos, se houver somente conteúdo malicioso no arquivo .htaccess, é possível excluir todo o arquivo .htaccess. Você também pode notar que o arquivo .htaccess ainda exibe um arquivo PHP malicioso (nós o chamamos de happypuppy.php, mas ele geralmente é nomeado com uma combinação aleatória de duas palavras). Isso será importante na próxima etapa, em que discutiremos como rastrear arquivos maliciosos.

Identifique outros arquivos maliciosos

Os tipos mais comuns de arquivos que são modificados ou injetados por essa invasão são JavaScript e PHP. Os hackers geralmente têm duas abordagens: a primeira é inserir os novos arquivos PHP ou JavaScript no seu servidor. Os arquivos inseridos podem ter nomes parecidos com um arquivo legítimo no seu site, como wp-cache.php, similar ao arquivo legítimo wp_cache.php. A segunda abordagem é alterar arquivos legítimos no seu servidor e inserir conteúdo malicioso neles. Por exemplo, se você tiver um arquivo JavaScript padrão ou plug-in no seu site, os hackers poderão adicionar JavaScript malicioso a esse arquivo.

Por exemplo, em www.example.com um arquivo malicioso chamado happypuppy.php, identificado anteriormente no arquivo .htaccess, foi injetado em uma pasta no site. No entanto, os hackers também corromperam um arquivo JavaScript legítimo chamado json2.js adicionando a ele um código malicioso. Veja um exemplo de um arquivo json2.js corrompido (o código malicioso está destacado em vermelho e foi adicionado ao final do arquivo json2.js):
Para identificar de maneira mais eficiente arquivos maliciosos, você precisa compreender a função dos arquivos JavaScript e PHP no seu site. Talvez seja necessário consultar a documentação do CMS. Após entender o que os arquivos fazem, a identificação dos arquivos maliciosos que não pertencem ao seu site deverá ser mais fácil.

Além disso, verifique se há arquivos modificados recentemente no seu site. Os arquivos padrão alterados recentemente devem ser investigados de maneira minuciosa. As ferramentas que ajudam você a interpretar arquivos PHP ofuscados podem ser encontradas no apêndice.

Remova o conteúdo malicioso

Como mencionado anteriormente, faça backup do seu site antes de remover ou alterar qualquer arquivo. Se você fizer backups regulares do seu site, a limpeza dele será tão fácil quanto restaurar uma versão de backup limpa.

No entanto, mesmo que você não faça isso, saiba que ainda há algumas alternativas. Primeiro, exclua todos os arquivos maliciosos que foram inseridos no seu site. Por exemplo, em www.example.com, você excluirá o arquivo happypuppy.php. Para arquivos PHP ou JavaScript corrompidos como json2.min.js, você precisará fazer o upload de uma versão limpa dos arquivos para seu site. Se você usar um CMS, considere recarregar uma nova cópia dos arquivos de plug-in e CMS principais do seu site.

Identifique e corrija a vulnerabilidade

Assim que o arquivo malicioso for removido, você precisará identificar e corrigir a vulnerabilidade que permitiu o comprometimento do seu site. Caso contrário, haverá o risco de seu site ser invadido novamente. A vulnerabilidade pode ser desde uma senha roubada até um software da web desatualizado. Consulte a Central de ajuda do Google para sites invadidos a fim de encontrar maneiras de identificar e corrigir a vulnerabilidade. Caso você não consiga descobrir como seu site foi comprometido, altere as senhas de todas as suas credenciais de login, atualize todos os seus softwares da web e considere seriamente receber mais ajuda para garantir que não há mais problemas.

Próximas etapas

Após limpar seu site, use a ferramenta Buscar como o Google para verificar se as páginas invadidas ainda são mostradas ao Google. Verifique também sua página inicial em busca de conteúdo invadido. Se não houver mais conteúdo invadido, parabéns, seu site deve estar limpo. Se a ferramenta Buscar como o Google ainda estiver vendo conteúdo invadido nessas páginas, você ainda terá trabalho a fazer. Verifique novamente o site buscando arquivos maliciosos JavaScript ou PHP que você talvez não tenha visto.

Coloque o site on-line novamente assim que você tiver certeza de que ele está limpo e que a vulnerabilidade foi corrigida. Se houver uma ação manual no seu site, envie um pedido de reconsideração no Search Console. Além disso, pense em maneiras de proteger seu site de ataques futuros. Leia mais sobre como proteger seu site de ataques futuros na Central de ajuda dos webmasters para sites invadidos do Google.

Esperamos que essa postagem tenha ajudado você a compreender melhor como corrigir seu site de invasões que injetam URL com conteúdo sem sentido. Siga nossas campanhas nas redes sociais e compartilhe dicas e truques sobre como se manter seguro na web com a hashtag #NoHacked.

Poste suas dúvidas no Fórum de Ajuda para webmasters, onde uma comunidade de webmasters poderá ajudar a responder às suas perguntas. Também será possível participar do nosso Hangout on Air sobre segurança no dia 26 de agosto (em inglês).

Apêndice

Estas ferramentas podem ser úteis. O Google não desenvolve nem oferece suporte para elas. PHP Decoder, UnPHP: muitas vezes, os hackers distorcem arquivos PHP para torná-los mais difíceis de serem lidos. Use essas ferramentas para limpar os arquivos PHP e entender melhor o que esse arquivo está fazendo.

Posted:

Hoje, em nossa campanha #NoHacked, falaremos sobre como identificar e diagnosticar um site que foi atacado com URLs injetadas. Mesmo que seu site não esteja infectado com esse tipo específico de invasão, muitas dessas etapas poderão ser úteis para outros tipos de ataque. Na próxima semana, daremos continuidade a esse assunto com um artigo sobre como corrigir essa invasão. Acompanhe as discussões no Twitter e no Google+ usando a hashtag #NoHacked (Parte 1, Parte 2, Parte 3)
Como identificar os sintomas

Páginas que têm conteúdo sem sentido

A principal característica desse tipo de invasão são as páginas com spam que parecem ser adicionadas ao site. Essas páginas apresentam texto, links e imagens que têm conteúdo sem sentido e rico em palavras-chave com intenção de manipular os mecanismos de pesquisa. Por exemplo, a invasão cria páginas como www.example.com/pf/download-2012-free-full-crack.html que têm conteúdo sem sentido como o abaixo:
Técnicas de cloaking

Essa invasão geralmente usa técnicas de cloaking para impedir a detecção pelos webmasters. A técnica de cloaking se refere à prática de apresentar diferentes conteúdos ou URLs a webmasters, visitantes ou mecanismos de pesquisa. Por exemplo, poderá ser exibida uma página vazia ou com o erro HTTP 404 ao webmaster do site, levando-o a acreditar que não há mais invasão. No entanto, os usuários que visitarem a página a partir dos resultados da pesquisa serão redirecionados a páginas com spam, e os mecanismos de pesquisa que fizerem o crawling da página serão presenteados com conteúdo sem sentido.

Monitorar seu site

O monitoramento adequado do seu site contra ataques de hackers permite que você corrija a invasão mais rapidamente e minimize os danos que seriam causados. Há várias maneiras possíveis de monitorar seu site para esse tipo específico de invasão.

Buscar um aumento no tráfego do website

Essa invasão cria vários URLs com muitas palavras-chave rastreadas por mecanismos de pesquisa, por isso verifique se houve aumento inesperado no tráfego recentemente. Caso você veja um aumento, use a ferramenta Search Analytics no Search Console para investigar se o tráfego inesperado do website é consequência das páginas invadidas.

Rastrear o aspecto do seu site nos resultados da pesquisa

Verificar periodicamente como seu site aparece nos resultados da pesquisa é uma prática recomendada a todos os webmasters. Ela também permite que você veja sintomas de invasão. Verifique seu site no Google com o site: operator no seu site (ou seja, pesquise por site:example.com). Caso você veja links apresentando conteúdo sem sentido associados ao seu site ou um marcador com a informação “Este site pode ter sido invadido.”, isso indicará que seu site pode estar comprometido.

Inscrever-se para receber alertas do Google

Recomendamos que você se inscreva no Search Console. No Search Console, é possível verificar se o Google detectou páginas invadidas no seu site procurando no Visualizador de ações manuais ou no relatório de Problemas de segurança. O Search Console enviará uma mensagem para você caso o Google detecte páginas invadidas no seu site.

Além disso, recomendamos que você configure os Alertas do Google para seu site. Os Alertas do Google enviarão um e-mail para você se o Google encontrar novos resultados para uma consulta de pesquisa específica. Por exemplo, é possível configurar um Alerta do Google para seu site em conjunto com termos de spam comuns como [site:example.com cheap software]. Se você receber um e-mail informando que o Google retornou uma nova consulta para aquele termo, verifique imediatamente quais páginas estão acionando o alerta.

Diagnosticar seu site

Ferramentas úteis

Você tem acesso à ferramenta Buscar como o Google no Search Console. Ela permite que você visualize a página da mesma maneira como o Google a enxerga. Isso ajudará a identificar páginas invadidas com a técnica de cloaking. Outras ferramentas, tanto pagas quanto gratuitas, estão listadas no apêndice desta postagem.

Verificar a presença de páginas invadidas

Caso você não tenha certeza se há conteúdo invadido no seu site, o Solucionador de problemas para sites invadidos do Google poderá orientar você por meio de algumas verificações básicas. Para esse tipo de invasão, recomendamos realizar a pesquisa site: no seu site. Procure por páginas suspeitas e URLs carregados com palavras-chave estranhas nos resultados da pesquisa. Se houver um número grande de páginas no seu site, talvez você precise tentar uma consulta mais específica. Encontre termos de spam comuns e adicione-os à sua consulta de pesquisa site: como [site:exemplo.com cheap software]. Teste isso com vários termos de spam para ver se algum resultado é exibido.

Verificar a presença de técnicas de cloaking em páginas invadidas

É muito importante que você use a ferramenta Buscar como o Google no Search Console para verificar as páginas com spam encontradas na etapa anterior, pois esse tipo de invasão utiliza técnicas de cloaking a fim de evitar a detecção. Lembre-se de que as páginas com técnicas de cloaking poderão exibir uma página com erro HTTP 404 que levará você a pensar que o conteúdo invadido foi corrigido mesmo que a página ainda esteja ativada. Use o Buscar como o Google também na sua página inicial. Em geral, esse tipo de invasão adiciona texto ou links à página inicial.

Esperamos que esta postagem tenha ajudado você a identificar e diagnosticar melhor as invasões que injetam URLs apresentando conteúdo sem sentido em seu site. Na próxima semana, explicaremos como remover essa invasão do seu site. Siga nossas campanhas nas redes sociais e compartilhe dicas e truques sobre como se manter seguro na web com a hashtag #NoHacked.

Poste suas dúvidas nos Fóruns de Ajuda para webmasters, onde uma comunidade de webmasters poderá ajudar a responder às suas perguntas. Participe também do nosso Hangout sobre segurança no dia 26 de agosto (em inglês).

Apêndice

As ferramentas abaixo podem analisar seu site e encontrar conteúdo problemático. O Google não desenvolve nem oferece suporte para essas ferramentas, a não ser a VirusTotal.

VirusTotal, Aw-snap.info, Sucuri Site Check e Wepawet são ferramentas que podem analisar seu site em busca de conteúdo problemático. Tenha em mente que esses scanners não podem garantir a identificação de todos os tipos de conteúdo problemático.

Posted:

Hoje, em nossa campanha #NoHacked, falaremos sobre a autenticação de dois fatores. Acompanhe as discussões no Twitter e no Google+ usando a tag #NoHacked (parte 1 e parte 2).

Houve um tempo em que ter uma senha relativamente forte ou responder a uma pergunta de segurança eram formas razoáveis de proteger suas contas on-line. No entanto, de acordo com um estudo da Stop Badware, os hackers costumam comprometer websites usando credenciais roubadas. Além disso, até mesmo os sites de boa reputação acabam sendo vítimas de hackers, o que pode causar a exposição de seus dados pessoais, como senhas, aos invasores.

A autenticação de dois fatores pode ajudar a manter suas contas seguras. Esse tipo de autenticação tem como base uma fonte adicional de verificação, em conjunto com sua senha, para acessar sua conta. Talvez você tenha usado a autenticação de dois fatores anteriormente, caso lhe tenha sido solicitado um código ao fazer login em um site de mídia social (no seu smartphone) ou em uma conta bancária (em um leitor de cartão de chip). A autenticação de dois fatores dificulta que outras pessoas façam login na sua conta, mesmo que tenham roubado sua senha.

Como proprietário de um website, você deveria ativar a autenticação de dois fatores nas suas contas quando possível. Uma conta comprometida pode fazer com que você perca dados pessoais importantes, além de afetar a reputação do seu site. A autenticação de dois fatores pode oferecer a você a tranquilidade de saber que suas contas e seus dados estão mais seguros.

Atualmente, o Google oferece a verificação em duas etapas para todas as suas contas, incluindo as dos domínios do Google Apps. É possível usar seu smartphone, um token de hardware como uma chave de segurança ou o app Google Authenticator para verificar sua conta. Essas opções oferecem flexibilidade para quando você viajar ou não tiver acesso à rede móvel.

Caso seu provedor de hospedagem, CMS (sistema de gerenciamento de conteúdo) ou outro tipo de plataforma que você use para gerenciar seu website não ofereça a autenticação de dois fatores, solicite que o Suporte ao Cliente disponibilize uma opção para você usar a autenticação de dois fatores no futuro. Eles podem criar a autenticação de dois fatores nas próprias plataformas usando o código aberto do Google. Se sua plataforma ou seu hoster não fornecer uma proteção forte contra acesso não autorizado, considere hospedar seu conteúdo em outro lugar. Veja uma lista de websites compatíveis com a autenticação de dois fatores, incluindo quais tipos de opções de autenticação eles oferecem: https://twofactorauth.org/.

Poste suas dúvidas no Fórum de Ajuda para webmasters, onde uma comunidade de webmasters poderá ajudar a respondê-las. Participe também do nosso Hangout sobre segurança no dia 26 de agosto.

Posted:

Hoje, em nossa campanha #NoHacked, falaremos sobre engenharia social. Acompanhe as discussões no Twitter e no Google+ usando a hashtag #NoHacked. (Parte 1)

Se você passa algum tempo na web, provavelmente já encontrou algum tipo de engenharia social. A engenharia social tenta extrair informações confidenciais manipulando ou enganando você de alguma forma.

Phishing

Talvez você saiba o que é o phishing, uma das formas mais comuns de engenharia social. Sites e e-mails de phishing imitam sites legítimos e induzem você a inserir neles informações confidenciais como seu nome de usuário e sua senha. Um estudo recente do Google (em inglês) descobriu que alguns sites de phishing conseguem enganar as vítimas 45% das vezes. Uma vez que um site de phishing obtém suas informações, elas serão vendidas ou usadas para manipular suas contas.

Outras formas de engenharia social

Como proprietário de um site, o phishing não é a única forma de engenharia social com a qual você precisa tomar cuidado. Outra forma de engenharia social vem do software e das ferramentas usadas no seu site. Caso você faça o download ou use algum Sistema de gerenciamento de conteúdo (CMS, na sigla em inglês), plug-ins ou add-ons, verifique se eles vêm de fontes confiáveis, como diretamente do site do desenvolvedor. Softwares de sites não confiáveis podem ter códigos maliciosos que permitem aos hackers acessar seu site.

Por exemplo, a webmaster Wanda foi contratada recentemente pelo ‘Brandon’s Pet Palace’ para ajudar a criar um site. Após esboçar alguns projetos, Wanda começou a compilar o software de que ela precisava para criar o site. No entanto, ela viu que o ‘Photo Frame Beautifier’, um de seus plug-ins favoritos, foi retirado do site oficial de plug-ins do CMS e que o desenvolvedor decidiu parar de oferecer suporte ao plug-in. Ela fez uma busca rápida e descobriu um site que oferecia um arquivo de plug-ins antigos. Ela fez o download do plug-in e o usou para terminar o site. Dois meses depois, uma notificação no Search Console informou Wanda que o site do cliente dela foi invadido. Ela rapidamente buscou corrigir o conteúdo invadido e encontrou a fonte do problema. O plug-in ‘Photo Frame Beautifier’ foi modificado por terceiros para permitir que partes maliciosas acessassem o site. Ela então removeu o plug-in, corrigiu o conteúdo invadido, protegeu o site de ataques futuros e enviou um pedido de reconsideração no Search Console. Como pode ser visto, um descuido da Wanda fez com que o site do cliente dela fosse comprometido.

Proteja-se de ataques da engenharia social

A engenharia social é efetiva porque não é claro que exista algo errado com o que você está fazendo. No entanto, há algumas coisas básicas que podem ser feitas para se proteger da engenharia social.
  • Fique atento: sempre que você inserir informações confidenciais online ou instalar software de websites, tenha uma boa dose de ceticismo. Confira os URLs para ter certeza de que você não está digitando informações confidenciais em sites maliciosos. Ao instalar um software a partir de um website, verifique se o software vem de fontes conhecidas e respeitáveis, como o site do desenvolvedor.
  • Use a autenticação de dois fatores: a autenticação de dois fatores, como a Verificação em duas etapas do Google, adiciona outra camada de segurança que ajuda a proteger sua conta mesmo que sua senha seja roubada. Use a autenticação de dois fatores em todas as contas quando possível. Falaremos mais detalhadamente sobre os benefícios da autenticação de dois fatores na próxima semana.
Recursos adicionais sobre engenharia social:

Poste suas dúvidas no Fórum de Ajuda para webmasters, onde uma comunidade de webmasters poderá ajudar a respondê-las. Participe também do nosso Hangout sobre segurança no dia 26 de Agosto.

Posted:
Se você publicar algo online, uma de suas principais prioridades deverá ser a segurança. Ser invadido por um hacker poderá ter um efeito negativo na sua reputação online e resultar em perda de dados importantes e privados. Durante o ano passado, o Google observou um aumento de 180% no número de sites invadidos por hackers. Enquanto trabalhamos duro para combater essa onda de hackers, há etapas que você pode seguir para proteger seu conteúdo na web.
A partir de hoje, daremos continuidade à campanha #NoHacked. Durante as próximas semanas, nos focaremos na proteção do seu site contra hackers e mostraremos como algumas dessas campanhas contra hackers funcionam. Acompanhe a campanha #NoHacked no Twitter e no Google+. Além disso, finalizaremos a campanha com um Hangout sobre segurança, em que será possível fazer perguntas aos nossos especialistas.

Começaremos a campanha com algumas dicas básicas sobre como manter seu site seguro na web.

Fortaleça a segurança da sua conta

Criar uma senha que seja difícil de adivinhar ou decifrar é essencial para proteger seu site. Por exemplo, sua senha pode conter uma mistura de letras, números, símbolos ou ser uma senha longa. O tamanho da senha é importante. Quanto mais longa for sua senha, mais difícil será adivinhá-la. Há muitos recursos na web que podem testar a força da sua senha. Testar uma senha parecida com a que você tem (nunca insira sua senha real em outros sites) pode dar uma ideia do quão forte ela é.

Além disso, é importante evitar a reutilização de senhas em diferentes serviços. Os invasores costumam tentar combinações de nome de usuário e senha conhecidos, originados de listas vazadas de senhas ou serviços invadidos, para comprometer o maior número de contas possível.

Também é importante ativar a autenticação de dois fatores para contas que ofereçam esse serviço. Isso pode aumentar consideravelmente a segurança da sua conta e proteger você de uma variedade de ataques. Falaremos mais sobre os benefícios da autenticação de dois fatores em duas semanas.

Mantenha o software do seu site atualizado

Uma das formas mais comuns de um hacker comprometer seu site é por meio de software não seguro no seu site. Verifique seu site periodicamente em busca de softwares desatualizados, em especial as atualizações que corrigem falhas de segurança. Se você usar um servidor web como o Apache, o nginx ou um software comercial para servidor web, certifique-se de que o software do seu servidor web está atualizado. Se você usar um CMS (sistema de gerenciamento de conteúdo) ou quaisquer plug-ins ou add-ons em seu site, mantenha essas ferramentas atualizadas com as novas versões. Além disso, inscreva-se em listas de anúncios de segurança para o software de seu servidor web e seu CMS, se você usar um. Considere remover totalmente de seu website os add-ons ou os softwares de que você não precisa. Além de criar possíveis riscos, eles também podem desacelerar o desempenho do seu site.

Pesquise como seu provedor de hospedagem lida com as questões de segurança

A política do seu provedor de hospedagem para segurança e limpeza de sites invadidos é um fator importante a considerar quando você escolher um provedor de hospedagem. Caso você esteja usando um provedor de hospedagem, contate-o para saber se ele oferece suporte sob demanda para limpar problemas específicos do site. Também é possível verificar comentários online para saber se ele tem histórico de ajudar os usuários com sites comprometidos a limpar o conteúdo invadido.

Se você controlar seu próprio servidor ou usar serviços de servidor privado virtual (VPS, na sigla em inglês), prepare-se para lidar com as questões de segurança que poderão surgir. A administração de servidores é muito complexa, e uma das tarefas principais de um administrador de servidor é manter seu servidor web e software de gerenciamento de conteúdo corrigidos e atualizados. Caso você não tenha uma boa razão para fazer a administração de seu próprio servidor, considere que poderá ser mais proveitoso verificar se o provedor de hospedagem oferece uma opção de serviços gerenciados.

Use as ferramentas do Google para se manter informado sobre conteúdos possivelmente invadidos no seu site

É importante ter ferramentas que possam ajudar você a monitorar seu site de maneira proativa. Quanto antes você encontrar um problema, mais rápido poderá corrigi-lo.

Recomendamos que você se inscreva no Search Console caso ainda não o tenha feito. O Search Console é a forma que o Google tem para se comunicar consigo sobre problemas no seu site, incluindo se detectamos conteúdo invadido. Além disso, é possível configurar os Alertas do Google para que o notifiquem no caso de resultados suspeitos para seu site. Por exemplo, caso você possua um site de venda de acessórios para animais de estimação chamado www.exemplo.com, será possível configurar um alerta para [site:exemplo.com software barato] que irá notificá-lo caso algum conteúdo sobre software malicioso comece a aparecer de repente no seu site. É possível configurar múltiplos alarmes para seu site para diferentes termos com spam. Se você não tiver certeza sobre quais termos com spam usar, use o Google para pesquisar por termos comuns com spam.

Esperamos que essas dicas mantenham você seguro na web. Siga nossas campanhas sociais e compartilhe dicas e truques sobre como se manter seguro na web com a hashtag #NoHacked.

Poste suas dúvidas no Fórum de Ajuda para webmasters, onde uma comunidade de webmasters poderá ajudar a respondê-las. Participe também do nosso Hangout sobre segurança no dia 26 de Agosto.

Postado por Eric Kuan, especialista em relações de webmasters, e Yuan Niu, analista de spam da web
Diogo Botelho