Sicurezza Magento

Sicurezza Magento 2

Introduzione

Visto il continuo proliferare di tecnologie e siti per le vendite on line, l’interesse di persone e/o gruppi ad accedere in maniera fraudolenta ai suddetti è sempre maggiore. Uno degli e-commerce più diffusi, anche data la sua natura open source, è Magento: possiamo indicarvi qui alcuni consigli volti a migliorare la sicurezza nell’utilizzo di questo prodotto.

Best practices

Di seguito vi presentiamo delle semplici linee guida per avere un primo livello di sicurezza sul proprio e-commerce Magento:

Eseguire backup regolari del sistema
Mantenere il software di Magento aggiornato all'ultima versione
Utilizzare una password di amministrazione forte ¹

Utilizzare certificato SSL
Utilizzare SFTP
Utilizzare solo estensioni di Magento affidabili
Eseguire un check approfondito di sicurezza (con i nostri tecnici :D )

Magento Security Center

Uno strumento fondamentale per restare sempre aggiornati sugli ultimi rilasci e sulle ultime novità di sicurezza è il Magento Security Center. Accedendo a Security Center ci si potrà registrare per ricevere direttamente via mail tutti gli aggiornamenti effettuati da Magento.

In aggiunta, recentemente il team di Magento ha messo a disposizione un proprio tool per verificare in tempo reale lo stato di salute del proprio sito e-commerce: Magento Security Scan Tool.

Patch Download

Possono essere scaricate direttamente da Magento le patch di sicurezza. Noi consigliamo vivamente l’utilizzo di composer per mantenere sempre aggiornate tutte le dipendenze dei moduli presenti.

Nel caso si decidesse di installare manualmente le patch di sicurezza si potranno reperire a questo indirizzo: Open Source Ecommerce Software & Solutions. Successivamente, qui potete trovare la guida per l’installazione delle patch sul vostro sistema: Applying patches | Magento 2 Developer Documentation.

Test sicurezza e-commerce

Esistono vari strumenti, anche gratuiti, che permettono di verificare in autonomia la presenza di falle di sicurezza in un e-commerce Magento: uno di questi é MageReport.com tramite il quale potete analizzare lo stato dell’applicativo e di alcuni dei moduli installati.

Verifica eventuali falle nel sistema

In un progetto Magento la sicurezza deve essere sempre tenuta sotto controllo. Periodicamente, quindi, consigliamo di effettuare le seguenti verifiche per capire se l’e-commerce ha delle evidenti anomalie:

verificare i log di sistema, nello specifico controllare eventuali:
- presenze di molti errori su URL sconosciute
- richieste di accesso a cartelle o file protetti da scrittura
presenza di account admin sconosciuti o con nomi “inconsueti”

esistenza di nuovi file sconosciuti creati di recente
controllare la presenza di file nascosti
verifica utilizzo delle porte
verifica reindirizzamenti porte a livello di sistema
aggiungere/abilitare un modulo recaptcha per evitare il tentativo di accesso di utenti fasulli

Conclusioni

Con questo articolo abbiamo voluto offrire delle pillole di sicurezza per capire fin da subito lo stato di salute del proprio shop Magento. Come evidente, alcuni dei punti sopracitati sono tecnici: il nostro team di esperti è disponibile a una consulenza² puntuale al fine di garantire la sicurezza del vostro e-commerce Magento. Dormirete sonni più tranquilli; il vostro e-commerce è importante e Walit lo sa!

Note:

[1] Qualcuno ironizza in maniera molto intelligente sulla complessitá delle password.

[2] Con l'ultizzo di strumenti come openvas, sqlmap, beEF, hashcat, burp, John the Ripper