A sua aplicação web encontra-se alojada numa infraestrutura com uma camada de proteção permanentemente ativa, que atua como um filtro à entrada: permite o acesso aos visitantes legítimos e intercepta o tráfego automatizado malicioso antes que este alcance a sua instância. Na generalidade do tempo, esta camada opera de forma transparente - nem o cliente nem os seus visitantes notam a sua presença, sendo esse precisamente o objetivo.


O presente artigo descreve, em linguagem acessível, o funcionamento desta proteção e o significado das comunicações que poderá receber sempre que for necessário reforçar o nível de segurança em resposta a um ataque.


Por que motivo a minha aplicação necessita de proteção ?


Qualquer serviço exposto na internet recebe, diariamente, um volume considerável de acessos que não têm origem humana. Trata-se de programas automatizados - habitualmente designados por bots. Alguns são legítimos e desejáveis (como o Google, que indexa o conteúdo para que este surja nos resultados de pesquisa). Outros têm intenções maliciosas:


  • Tentativas sistemáticas de adivinhar credenciais de administração.
  • Exploração de vulnerabilidades em componentes desatualizados para comprometer a aplicação.
  • Recolha massiva e não autorizada de conteúdo (preços, textos, imagens).
  • Sobrecarga do servidor com pedidos excessivos, degradando o desempenho ou a disponibilidade do serviço.


Esta camada de proteção foi concebida para distinguir os visitantes legítimos dos agentes automatizados maliciosos e atuar em conformidade, de forma autónoma e contínua.


Como funciona ?


O sistema opera em três níveis, do mais ligeiro ao mais robusto, aplicando em cada momento apenas o nível estritamente necessário.


Nível 1 — Proteção de base (permanentemente ativa)

Filtra automaticamente os pedidos manifestamente maliciosos e aplica limitação de taxa (rate-limit), restringindo a frequência de pedidos por origem para impedir abusos e sobrecargas. Opera de forma silenciosa e transparente. Os visitantes legítimos não são afetados.


Nível 2 — Verificação de navegador (ativada quando necessário)

Perante atividade suspeita, a aplicação pode apresentar momentaneamente uma página de verificação automática. O processo é instantâneo, conclui-se sozinho em cerca de um segundo e não exige qualquer ação do visitante. Os agentes automatizados que não conseguem completar esta verificação são bloqueados.


Nível 3 — Verificação reforçada (reservada a ataques intensos)

Em cenários de ataque de elevada intensidade, é ativada uma verificação mais exigente. O navegador do visitante executa, em segundo plano, um cálculo de validação que demora alguns segundos, acompanhado por uma barra de progresso. O processo é inofensivo e automático para utilizadores reais, mas torna economicamente inviável um ataque coordenado a partir de múltiplas origens em simultâneo.


Como é comunicada a ativação de um nível reforçado ?


Sempre que reforçamos a proteção de um domínio, a nossa equipa de suporte abre um ticket a informá-lo da situação. Esse ticket identifica o domínio afetado, a natureza do evento detetado e o nível de proteção ativado.


A título de exemplo, poderá receber uma comunicação semelhante a:


"Na sequência da deteção de um ataque de recolha automatizada de conteúdo (scraping) dirigido ao domínio exemplo.com, foi ativado o Nível 2 de segurança para o referido domínio. A aplicação mantém-se totalmente disponível e os seus visitantes legítimos não são afetados."


Esta comunicação tem caráter informativo: não requer qualquer ação da sua parte. A ativação é uma medida de proteção que garante a continuidade e a segurança do serviço durante o período do ataque.


Os meus visitantes serão afetados ?


Para a esmagadora maioria, não. Um visitante com um navegador atual (Chrome, Safari, Edge ou Firefox) ultrapassa as verificações automaticamente, num intervalo de um a poucos segundos, sem necessidade de qualquer interação. A partir desse momento, navega normalmente, sem voltar a ser confrontado com verificações durante a sessão.


Os únicos acessos efetivamente bloqueados são os dos agentes automatizados maliciosos - o que corresponde exatamente ao comportamento pretendido.


A indexação no Google é afetada ?


Não. Os motores de busca legítimos, como o Google, são reconhecidos pelo sistema e nunca são sujeitos às verificações. A indexação e o posicionamento da sua aplicação nos resultados de pesquisa mantêm-se inalterados.


O que se espera da minha parte ?


Nada de específico - a gestão desta camada de proteção é da nossa responsabilidade. Ainda assim, recomendamos a manutenção das boas práticas de segurança da sua aplicação:

  • Manter a aplicação e os respetivos componentes (temas, extensões, bibliotecas) atualizados.
  • Utilizar credenciais robustas no acesso à área de administração.
  • Remover componentes e funcionalidades que já não estejam em utilização.


Perguntas frequentes


Surgiu uma página de verificação em inglês (por exemplo, "Checking your browser..."). É normal ?


Sim. Trata-se da verificação automática de segurança em funcionamento. A mensagem é apresentada em inglês por uma questão de compatibilidade universal e o processo conclui-se sozinho em poucos segundos. A sua presença indica que a proteção está a operar corretamente.


A aplicação ficou mais lenta ?


O sistema foi concebido para um impacto mínimo no desempenho. O primeiro acesso de um visitante poderá implicar um a poucos segundos adicionais; a navegação subsequente decorre à velocidade habitual.


Esta proteção dispensa as medidas de segurança da própria aplicação ?


Não. Opera numa camada anterior à aplicação, intercetando o tráfego malicioso antes que este a alcance e aliviando, assim, a carga sobre o servidor. Complementa - não substitui - as boas práticas de segurança implementadas na própria aplicação.


Durante quanto tempo permanece ativo o nível reforçado ?


Pelo período necessário até o ataque cessar. Logo que a situação estabiliza, o sistema regressa automaticamente ao nível de base. Na maioria dos casos, trata-se de algumas horas.



Necessita de esclarecimentos ?


Caso tenha detetado algo invulgar na sua aplicação ou pretenda esclarecer qualquer aspeto relativo à proteção, a nossa equipa de suporte encontra-se ao seu dispor. O nosso compromisso é assegurar que o seu serviço se mantém seguro e permanentemente disponível.