# Segurança da instalação

> Proteja cada instalação na W8 Hub com autenticação, CORS, headers, rate limit e IP allow list — controles de segurança na entrada, sem alterar o código.

_Fonte: https://w8hub.com.br/docs/seguranca-da-instalacao_

Cada instalação tem controles de segurança **na entrada**, que você ativa na aba **Segurança** da instalação — sem mexer no código. Eles ficam organizados em seções:

## Geral — SSL e proteção contra DDoS

Proteções sempre ativas: **navegação segura** com certificado SSL (renovação automática) e o **Modo de Defesa**, que protege contra ataques de negação de serviço (DDoS).

**São obrigatórias:** já vêm ligadas e não podem ser desativadas — toda instalação nasce com HTTPS e proteção contra DDoS.

![Aba Segurança de uma instalação na W8 Hub, seção Geral: Navegação segura (certificado SSL) e Modo de Defesa contra DDoS, ambos ativos.](https://w8hub.com.br/assets/docs-40-seg-geral.webp)

_Geral — SSL sempre ativo e Modo de Defesa contra DDoS._

## Autenticação

Proteja a instalação com **Autenticação HTTP básica**: quem quiser acessar precisa informar usuário e senha.

**Com a opção ativada:** ao ligar, você define o **usuário e a senha**; a partir daí o navegador mostra uma janela de login e, sem as credenciais corretas, a resposta é `401 Unauthorized`.

![Aba Segurança de uma instalação na W8 Hub, seção Autenticação: opção de Autenticação HTTP básica para proteger o acesso.](https://w8hub.com.br/assets/docs-41-seg-auth.webp)

_Autenticação — exija usuário e senha (HTTP básica) para acessar a instalação._

## Cabeçalhos

Adicione **cabeçalhos (headers) personalizados** nas requisições que chegam à aplicação e nas respostas enviadas ao cliente — útil para segurança e cache.

**Com a opção ativada:** você cadastra pares *nome/valor* e eles passam a ser injetados automaticamente em cada requisição e/ou resposta (ex.: `X-Frame-Options: DENY` na resposta ajuda a proteger contra clickjacking).

![Aba Segurança de uma instalação na W8 Hub, seção Cabeçalhos: cabeçalhos personalizados de requisição e de resposta.](https://w8hub.com.br/assets/docs-42-seg-headers.webp)

_Cabeçalhos — headers personalizados na requisição e na resposta._

## Regras de acesso

Controle quem acessa e como: **Lista de IPs permitidos** (só os IPs listados entram), **CORS** (quais origens podem chamar sua aplicação pelo navegador) e **Limite de requisições** (rate limit) contra abuso.

**Com cada opção ativada:** a **lista de IPs** bloqueia qualquer endereço fora dela (aceita IPs e faixas CIDR); o **CORS** libera as origens que você permitir — ou todas, com `*`; e o **rate limit** responde `429 Too Many Requests` para quem passar do limite no período.

![Aba Segurança de uma instalação na W8 Hub, seção Regras de acesso: lista de IPs permitidos, CORS e limite de requisições.](https://w8hub.com.br/assets/docs-43-seg-acesso.webp)

_Regras de acesso — lista de IPs permitidos, CORS e rate limit._

## Página de erros

Personalize as páginas exibidas quando ocorre um erro na aplicação (404, 500 etc.) — ou deixe desligado para usar a página padrão da W8 Hub.

**Com a opção ativada:** aparece a lista de códigos (`404`, `403`, `500`, `502`, `503`…) e você edita cada um; a partir daí o visitante vê a **sua página** no lugar da padrão da W8 Hub.

![Aba Segurança de uma instalação na W8 Hub, seção Página de erros: opção de páginas de erro personalizadas.](https://w8hub.com.br/assets/docs-44-seg-erros.webp)

_Página de erros — use páginas personalizadas ou a padrão da plataforma._
