Ver categorias

Guia Segurança

8 min read

A guia de segurança inclui ferramentas que podem proteger seu site e aprimorar a segurança na Web sem a necessidade de nenhuma configuração adicional em seu servidor original.

security_tab_c.png

Autenticação #

Página protegida por senha #

O Password Protected Page (anteriormente chamado de Admin Key) é um recurso de segurança eficaz que ajuda a proteger seu site contra bots, scanners e acesso não autorizado. Ele coloca uma página de senha na frente do caminho especificado, bloqueando o acesso público a ele.

Ele oferece recursos úteis, como a desativação do cache para o administrador e um Super Pass, que permite a isenção de bloqueios e desafios. Portanto, o Deflect recomenda enfaticamente a utilização desse recurso.

Para ativar esse recurso, crie uma senha exclusiva que não seja usada em nenhum outro lugar do seu site, bem como insira o caminho para acessar a seção editorial do seu site. Você precisará compartilhar essa senha de forma segura com outros editores do site. Você pode alterar essa senha a qualquer momento no Deflect.

O caminho comum a ser protegido inclui:

  • WordPress: /wp-admin
  • Drupal: /admin
  • Joomla: /administrador

A página protegida por senha oferece suporte à correspondência de curingas por padrão, sem a necessidade de asteriscos (*).

Os caminhos serão correspondidos pelo prefixo. Por exemplo, definir /protected nesta seção protegerá automaticamente todos os caminhos que começam com esse prefixo. Consulte Exceções de páginas protegidas por senha caso pretenda excluir determinados caminhos.

Não inclua string de consulta (?) e fragmento (#) no caminho. Se o caminho contiver caracteres não ASCII, codifique-os no URL.

Página adicional protegida por senha #

Depois de ativar a página protegida por senha, você pode especificar caminhos adicionais para proteção. Esse recurso é valioso se você tiver vários painéis de administração ou uma página de desenvolvimento que deseja manter em sigilo.

A página adicional protegida por senha oferece suporte à correspondência de curingas por padrão, sem a necessidade de asteriscos (*).

Os caminhos serão correspondidos pelo prefixo. Por exemplo, definir /protected nesta seção protegerá automaticamente todos os caminhos que começam com esse prefixo. Consulte Exceções de páginas protegidas por senha caso pretenda excluir determinados caminhos.

Não inclua string de consulta (?) e fragmento (#) no caminho. Se o caminho contiver caracteres não ASCII, codifique-os no URL.

Exceções de páginas protegidas por senha #

Defina os caminhos a serem excluídos da proteção por senha. Útil quando determinados caminhos em uma página protegida devem ser acessados pela API. Por exemplo, o seguinte caminho no WordPress:

/wp-admin/admin-ajax.php

As exceções de páginas protegidas por senha não são compatíveis com a correspondência de curingas, portanto, evite incluir asteriscos (*) em seu caminho. Todos os caminhos devem corresponder exatamente ao que você pretende excluir de uma página protegida por senha.

Expiração da sessão da página protegida por senha #

Define o tempo que uma sessão de página protegida por senha permanece ativa antes de exigir a senha novamente. Por padrão, é definido como 345600 minutos (4 dias).

Página protegida por senha Tipo de sessão #

Vincula a sessão de páginas protegidas por senha ao navegador (User-Agent) em vez do endereço IP do usuário. Isso ajuda a evitar problemas para usuários com IPs variáveis, como aqueles em redes móveis ou VPNs.

Challenger #

Proteção adicional #

Quando um ataque DDoS não é atenuado automaticamente pelas regras do Deflect e começa a ter um impacto negativo no seu servidor, você pode ativar a Proteção adicional (também conhecida como Challenger). Isso ajudará o Deflect a distinguir entre leitores reais do site (que estão usando um navegador da Web) e bots automatizados.

O Challenger faz isso apresentando a todos que solicitam acesso ao site um desafio matemático em JavaScript. O navegador resolve o desafio e envia sua resposta. A maioria dos bots não consegue fazer isso. Quando um desafio é resolvido, o Deflect retorna um cookie para o navegador do leitor. Nenhum outro desafio será solicitado a esse leitor nas próximas 24 horas.

A proteção Challenger pode ser ativada imediatamente para impedir que os bots acessem seu site. No entanto, isso pode afetar os leitores que não têm o JavaScript ativado. Ela também pode bloquear alguns spiders ou crawlers de mecanismos de pesquisa. Ela só deve ser ativada se o seu site estiver realmente sendo atacado.

Proteção adicional Lista de permissões de IP #

Você pode definir uma lista de endereços IP que não serão submetidos ao JavaScript Challenger. No entanto, isso não significa que esses IPs nunca serão banidos. Em vez disso, significa que esses IPs selecionados não serão desafiados quando todos os visitantes do site forem submetidos à configuração mencionada acima. Isso pode ser necessário para determinados sistemas de monitoramento, clientes de API, etc. No entanto, esses IPs ainda poderão ser bloqueados se apresentarem comportamento suspeito, como a emissão de um número excessivo de solicitações.

Inclua apenas endereços IPv4 ou IPv4 no formato CIDR.

Cabeçalhos de segurança #

Segurança de transporte estrito de HTTP (HSTS) #

O HTTP Strict Transport Security é um cabeçalho de segurança que informa aos agentes de usuários e navegadores da Web que só devem acessar o servidor com segurança por HTTPS. Isso significa que, mesmo que um usuário tente acessar a página do servidor via HTTP, o navegador usará automaticamente uma conexão HTTPS segura. Isso ajuda a reduzir o risco de ataques man-in-the-middle.

Ao ativar esse recurso, o Deflect enviará o cabeçalho HSTS a todas as respostas, forçando os navegadores a sempre usarem HTTPS ao se conectarem ao seu site, mesmo que os usuários digitem ou cliquem em um link HTTP. Isso ajuda a evitar ataques de downgrade e man-in-the-middle.

Quando um servidor da Web ativa o cabeçalho HSTS, torna-se difícil desativá-lo porque o servidor implementa um valor de “idade máxima” de um ano. Mesmo que o Deflect pare de enviar o cabeçalho HSTS, os navegadores que acessaram o site anteriormente enquanto o cabeçalho HSTS estava ativado continuarão a impor a conexão HTTPS segura até que o valor “max-age” se esgote. Isso torna a desativação do HSTS um processo complexo que exige a expiração da “idade máxima” especificada ou a redefinição manual das configurações do HSTS em navegadores individuais.

Segurança do quadro (X-Frame-Options) #

O cabeçalho de resposta HTTP X-Frame-Options é usado para indicar se um navegador deve ou não ter permissão para renderizar uma página da Web nos seguintes elementos HTML. Isso é usado para evitar ataques de clickjacking, pois não permite que a página seja exibida em um quadro, a menos que isso seja explicitamente permitido.

<frame>
<iframe>
<embed>
<object>

A ativação dessa opção fará com que o Deflect envie X-Frame-Options para SAMEORIGIN em todas as respostas. Isso significa que a página da Web só poderá ser mostrada se todos os quadros principais tiverem a mesma origem da página da Web.

Detecção de tipos de MIME (X-Content-Type-Optoins) #

O cabeçalho de segurança X-Content-Type-Options é usado para proteger contra ataques como o Mimetypes Sniffing. O único valor definido, “nosniff”, impede que os navegadores da Web cheirem o conteúdo ou o tipo MIME, garantindo que os arquivos não sejam executados como scripts ou HTML se tiverem um tipo MIME que não seja de script.

A ativação dessa opção fará com que o Deflect envie cabeçalhos X-Content-Type-Optoins em todas as respostas.

Política de referência #

O cabeçalho Referrer-Policy é um cabeçalho HTTP que controla a quantidade de informações do referenciador (como o URL da página anterior) que deve ser incluída nas solicitações. Isso é útil em situações em que a privacidade é uma preocupação, pois permite que um site controle a quantidade de informações sobre o histórico de navegação do usuário que é passada para o servidor.

A ativação dessa opção fará com que o Deflect envie o cabeçalho Referrer-Policy para no-referrer-when-downgrade em todas as respostas, o que significa que os navegadores enviarão o URL completo do referenciador somente ao navegar de HTTPS para outra página HTTPS. Se o link for para uma página HTTP insegura, nenhuma informação do referenciador será compartilhada.

Proteção XSS (X-XSS-Protection) #

A ativação dessa opção fará com que o Deflect envie o cabeçalho X-XSS-Protection com o valor “1; mode=block”. Ele habilita a proteção básica do navegador contra alguns tipos de ataques de XSS (cross-site scripting). Embora os navegadores modernos talvez não dependam mais desse cabeçalho, ele acrescenta uma camada extra de defesa.

Política de segurança de conteúdo (CSP) #

O cabeçalho Content-Security-Policy permite que os administradores da Web controlem quais recursos um navegador pode carregar, ajudando a evitar XSS e outros ataques.

Ao ativar esse recurso, o Deflect enviará o cabeçalho Content-Security-Policy em todas as respostas.

Você deve ter cuidado ao configurar o CSP. Qualquer erro pode impedir recursos vitais necessários para o funcionamento de seu site. Para evitar possíveis danos devido a regras incompletas, sugerimos que você ative o modo Somente relatório de teste para depuração. Isso usa o Content-Security-Policy-Report-Only, que registra quaisquer violações nas ferramentas de desenvolvimento do navegador, mas não aplica a política.

Segurança do WordPress #

Esse recurso foi projetado para proteger os sites do WordPress que podem estar vulneráveis a bots e scanners. Ele restringe a acessibilidade pública a pontos de extremidade confidenciais do WordPress, que incluem:

  • Negar acesso público a /wp-json
  • Negar acesso público a /xmlrpc.php

Lista de bloqueio de IP #

Insira a lista de IPs a serem bloqueados pelo Deflect. Um IP bloqueado só encontrará uma página de erro 403, pois não terá acesso ao seu site.

Inclua apenas endereços IPv4 ou IPv4 no formato CIDR.

Atualizado em abril 23, 2026
revisado

Is it helpful?

  • Feliz
  • Normal
  • Triste