Quanto custa deixar um site seguro e adequado à LGPD?

Quase toda conversa sobre segurança começa do mesmo jeito: alguém me manda mensagem perguntando "quanto custa pra deixar meu site seguro?". É uma pergunta justa. Só que ela é parecida com "quanto custa um carro?" ou "quanto custa reformar uma casa?" — a resposta honesta depende de coisas que eu ainda não vi. Quem te joga um número redondo sem olhar o seu site ou está chutando, ou está empurrando um pacote genérico que talvez nem seja o que você precisa. Então, em vez de inventar um valor, prefiro te mostrar como esse custo se forma. Assim você consegue avaliar qualquer orçamento — o meu ou o de qualquer outro — com olho crítico.

Por que ninguém consegue te dar um preço fixo de cara?

Segurança não é produto de prateleira. É um conjunto de trabalhos diferentes, que vão desde apertar parafusos que já existem até refazer partes do site. Dois sites do mesmo tamanho podem custar valores completamente diferentes pra ficar seguros, dependendo de como foram construídos.

O que mais pesa no orçamento, na prática:

• O estado atual do site. Um site que já tem HTTPS, backup e plugins atualizados precisa de pouca coisa. Um site abandonado há três anos, com plugins vencidos e senha "123456" no painel, é outro nível — e às vezes a limpeza de uma invasão antiga vem no pacote, antes mesmo de proteger qualquer coisa.
• A plataforma. WordPress, Wix, uma loja Magento, um sistema feito sob medida — cada um tem seus pontos fracos e suas próprias formas de proteção. O WordPress, por ser o mais usado do mundo, é também o mais atacado, e isso muda a abordagem.
• O que já existe. Se você tem backup automático e certificado válido, metade do caminho está andada. Se não tem nada, parte do orçamento é só colocar o básico de pé.
• O escopo. Esse é o divisor de águas. Você quer um ajuste pontual ("tira esse aviso de 'não seguro' do navegador") ou quer ficar tranquilo de verdade, com adequação à LGPD e alguém de olho ao longo do tempo? São dois projetos de tamanhos muito diferentes.

É por isso que eu sempre faço um diagnóstico antes de falar em valor. Não pra te enrolar — pra que o número que eu passar seja real e fechado, sem aquela surpresa de "ah, mas isso aqui é à parte" no meio do trabalho.

O que é barato e o que é caro de verdade?

Vale separar duas categorias que costumam ir parar no mesmo balde. É justamente nessa confusão que muita gente paga caro por pouco — ou economiza no lugar errado.

O básico, que todo site deveria ter

Existe um conjunto de coisas que, na maior parte dos casos, é questão de configuração. Não é desenvolvimento pesado, é ajuste:

• HTTPS, o cadeado na barra do navegador. Hoje o certificado costuma ser gratuito; o trabalho é instalar e garantir que o site inteiro carregue por ele.
• Backup automático que você consiga restaurar de verdade. Backup que ninguém nunca testou não vale o nome.
• Cabeçalhos de segurança, os tais "headers": linhas de configuração que dizem ao navegador como se comportar pra barrar certos ataques.
• Senhas fortes e únicas no painel e no banco de dados, e remover usuários antigos que ninguém usa mais.
• Atualizações em dia do sistema, dos plugins e dos temas.

Num site em estado razoável, isso é trabalho de horas a alguns dias — não de semanas. E é, de longe, o que mais protege pelo menor custo. A maioria dos sites invadidos que eu vejo não caiu por causa de um ataque sofisticado. Caiu porque faltava algo dessa lista. Se você fizer só essa parte, já sai da faixa de alvo fácil. Detalhei cada um desses itens no guia prático de segurança de sites, que vale a leitura antes de gastar um real.

O trabalho maior, que custa mais porque é mais

Do outro lado estão os serviços que exigem tempo, ferramentas e acompanhamento — e que, sinceramente, nem todo site precisa:

• Pentest (teste de invasão). É contratar alguém pra tentar invadir o seu site de propósito e te entregar um relatório do que conseguiu. Faz muito sentido pra um sistema que guarda dados sensíveis ou processa pagamento. Pra um site institucional de cinco páginas, costuma ser exagero.
• Adequação completa à LGPD. Aqui não é só técnica. É mapear quais dados você coleta, por que coleta, onde guarda, quem tem acesso; ter uma política de privacidade de verdade, um mecanismo de consentimento e um plano pra quando alguém pedir os próprios dados de volta. Quanto mais dados você coleta, maior o trabalho.
• Gestão contínua. Segurança não é uma foto, é um filme. Um plugin que estava seguro mês passado vira porta de entrada no dia em que descobrem uma falha nele. Monitorar, atualizar e responder a isso ao longo do tempo é um serviço recorrente — é o que separa "ficou seguro em junho" de "continua seguro em dezembro".

A parte recorrente costuma ser a que assusta no orçamento, porque é mensal. Mas ela existe por um motivo concreto: o site não para de mudar, e o mundo lá fora também não. Se a ideia de planilha de controle e atualização manual te dá preguiça só de pensar, eu escrevi sobre como gerenciar vulnerabilidades sem planilha — dá pra organizar isso sem virar um trabalho de gente.

Como eu fecho um orçamento sem te dar susto depois?

Minha regra é simples: o número que eu passo é o número que você paga. Eu olho o site, entendo o que ele é e o que ele guarda, e separo o trabalho em duas pilhas — "isso aqui é o mínimo que eu recomendo" e "isso aqui é desejável, mas dá pra fazer depois". Você decide o escopo com a informação na mão, e o orçamento é fechado antes de eu mexer em qualquer coisa.

Em prazo, o básico de hardening costuma ser questão de dias. Uma adequação de LGPD mais cuidadosa, com mapeamento de dados e ajustes no site, anda em semanas. E a gestão contínua, por natureza, é uma relação de meses: você me chama quando aparece algo, eu acompanho, e a gente revisa de tempos em tempos. O que eu não faço é começar barato e ir empurrando "extras" no caminho. Se algo grande aparecer no meio — tipo descobrir que o site já tinha sido invadido —, eu paro, te conto, e a gente combina antes. Você não recebe uma fatura inflada no final.

Quando NÃO vale a pena me contratar (faça você mesmo primeiro)

Essa parte joga contra o meu próprio bolso, mas é importante: tem bastante coisa que você resolve sozinho, de graça, antes de chamar qualquer profissional. E se for só isso que o seu site precisa, seria desonesto eu te cobrar por algo que você faz numa tarde.

O que dá pra fazer hoje, sem mim e sem custo:

• Trocar as senhas do painel, do e-mail e do banco por senhas longas e diferentes, guardadas num gerenciador de senhas (existem vários gratuitos e bons).
• Ligar a autenticação em duas etapas em tudo que permitir. É o cadeado extra que, sozinho, já barra a maioria dos acessos indevidos.
• Atualizar o WordPress, os plugins e os temas, e apagar o que você não usa mais. Plugin desativado, mas ainda instalado, continua sendo porta de entrada.
• Conferir se o HTTPS está ativo: se aparece o cadeado e o endereço começa com "https". Muita hospedagem ativa isso com um clique no painel.
• Verificar se a sua hospedagem já faz backup automático e como se restaura. Muita gente paga por isso sem saber que tem.

Se você passar por essa lista e o seu site for institucional, sem coletar muito dado, é bem possível que você já esteja num nível tranquilo e não precise gastar nada além do tempo. Vale me chamar quando: você coleta e guarda dados de clientes (formulário, cadastro, loja); quando já tomou um susto (invasão, site fora do ar, alerta do Google); quando precisa de adequação à LGPD com tranquilidade jurídica; ou simplesmente quando não quer ser a pessoa responsável por monitorar isso e prefere passar adiante. Aí sim faz sentido.

Se você chegou até aqui e ainda não sabe em qual cenário o seu site se encaixa, é exatamente pra isso que serve uma conversa antes de qualquer proposta. Eu ofereço um diagnóstico gratuito de segurança de sites e LGPD: olho o seu site e te falo com franqueza o que é urgente, o que você mesmo resolve e o que faria sentido eu fazer — sem compromisso e sem pressão pra fechar nada. Na pior das hipóteses, você sai sabendo exatamente onde está. E saber onde você está, em segurança, já é meio caminho andado.