Magento 2 security

Pianificare per migliorare la sicurezza Magento

Il mondo del commercio elettronico è in costante crescita. La sicurezza e la protezione dei dati dei clienti sono essenziali per garantire il successo nel lungo termine. Magento 2, una delle piattaforme eCommerce più diffuse, non fa eccezione.
In questo articolo, vi guideremo attraverso le best practice per assicurare la vostra piattaforma Magento, evidenziando anche alcuni strumenti di sicurezza emergenti nel mercato.

L’e-commerce ha rivoluzionato il modo in cui facciamo acquisti. Tuttavia, con l’espansione di questa comoda modalità di shopping, la sicurezza diventa un’area cruciale di interesse per i proprietari di negozi online.
Magento, essendo una delle piattaforme leader, è spesso presa di mira da malintenzionati.

levelzero.it Magento quota di mercato

Statistiche da tenere d’occhio

Nel 2024 secondo builtwith l’8% degli e-commerce è realizzato con Magento. Inoltre risulta essere la seconda piattaforma più hackerata dopo WordPress

Secondo un rapporto di Astra Security, il 62% dei negozi Magento ha almeno una vulnerabilità.

Queste vulnerabilità possono portare a gravi minacce come il phishing, il furto di dati e altri attacchi malware, quindi la totale compromissione dell’intero eco-sistema.

Azioni per la sicurezza di Magento 2

Mentre Magento offre molte funzioni di sicurezza integrate, è cruciale integrare strumenti aggiuntivi per un’analisi approfondita e una protezione ottimale.

  1. Diagnosi: Esegui un’analisi per valutare lo stato di sicurezza del tuo negozio Commerce. Commerce Security Scan, un servizio gratuito fornito da Adobe, consente di monitorare i siti Commerce per individuare rischi di sicurezza noti e malware, oltre a fornire notifiche di sicurezza.
  2. Pulizia: la fase di rimozione del codice malevolo è abbastanza complessa, è consigliabile rivolgersi ad un consulente qualificato o un servizio online per pulire il tuo sito da qualsiasi codice dannoso. Nell’immediatezza è opportuno rimuovere tutti gli utenti Admin sconosciuti e reimposta tutte le password Admin.
    Controllare sicuramente la cartella /media e ricercare codice eseguibile.
  3. Aggiornamento è Protezione: mantieni aggiornata l’installazione di Magento con la versione più recente della tua linea di produzione. Se si utilizza una versione precedente, applicare tutte le patch di sicurezza non appena diventano disponibili.
    Rivedi e segui le best practice per la sicurezza di Magento. Iscriviti a Avvisi sulla sicurezza di Commerce.
  4. Backup: strutturare soluzioni di backup ibride e differenziate

Strumenti e soluzioni di monitoraggio per migliorare la sicurezza di Magento 2

Mentre Magento offre molte funzioni di sicurezza integrate, è cruciale integrare strumenti aggiuntivi per un’analisi approfondita e una protezione ottimale.

Magento Security Scan: L’analisi avanzata della sicurezza permette di monitorare tutti i siti Adobe Commerce e Magento Open Source, inclusi i PWA, per rilevare eventuali rischi di sicurezza e malware, oltre a fornire aggiornamenti sulle patch e notifiche di sicurezza. minacce.

Sansec: Questo strumento offre monitoraggio delle vulnerabilità, assicurando che siate sempre un passo avanti rispetto alle minacce.

Snyk: Una piattaforma di sicurezza del software che aiuta a trovare e correggere le vulnerabilità nelle librerie open-source. Con Snyk, potete scansionare e verificare la qualità del codice utilizzato nel vostro negozio Magento.

Aggiornamenti di sicurezza per Magento: bollettino delle patch alle vulnerabilità note

Best Practice di Sicurezza Magento

Anche se non è possibile eliminare tutti i rischi per la sicurezza, l’applicazione di queste best practice rafforzano la salute globale di sito e-commerce realizzato in Magento e la sua infrastruttura.

Un sito e un’infrastruttura sicuri riducono l’attrattiva per attacchi dannosi, assicurano la protezione della soluzione e delle informazioni riservate dei clienti, e aiutano a minimizzare gli incidenti di sicurezza che possono provocare interruzioni del sito e costose indagini.

Proteggere Magento

  1. Aggiornamento Costante: Mantenete sempre aggiornato il vostro Magento all’ultima versione.
  2. Gestione Password: Impostate password complesse e modificatele periodicamente.
  3. Rotazione delle chiavi di crittografia: cambiare periodicamente le chiavi di crittografia
  4. reCAPTCHA: Questo strumento aiuta a bloccare gli spambots, garantendo l’accesso solo agli utenti reali.
  5. Privilegi minimi: assegnare solo le autorizzazioni strettamente necessarie agli account utenti definedo i ruoli essenziali.
  6. Autenticazione a due fattori: Una misura di sicurezza extra che tutti dovrebbero implementare.
  7. Backups Regolari: Conservate i backup in posizioni diverse per garantire la sicurezza dei dati.
  8. Connessione Sicura: Utilizzate sempre una connessione HTTPS/SSL.
  9. URL personalizzato per l’amministrazione: Modificate l’URL di accesso predefinito di Magento.
  10. Back-end path: Non esporre, quindi rimuovere il percorso di amministrazione dal file robots.txt.
  11. Monitoraggio: Tenete d’occhio l’attività del vostro sito e reagite rapidamente a qualsiasi sospetto.
  12. Partner affidabili: Collaborate solo con integratori di soluzioni e fornitori di estensioni di fiducia.
  13. Estensioni sicure: ridurre l’esposizione a rischi limitando il numero di estensioni e quindi di fornitori.
  14. Sviluppo estensioni PHP: monitoraggio delle best pratice per lo sviluppo definite da Adobe
  15. PCI-DSS compliance: adeguare l’ecosistema Magento

Proteggere l’infrastruttura

  1. Hardening server: aggiornamento, monitoraggio, attivazione pratiche di sicurezza
  2. SSH con autenticazione a 2 fattori: è possibile attivare librerie google sul server in uso per attivare questa funzionalità
  3. Utilizzare una porta SSH non standar: cambiare la porta 22 standard in un altra porta
  4. Whitelisting di IP per SSH: bloccare tutti gli accessi alle porte SSH, configurando solo gli accessi consentiti
  5. Whitelisting di IP per sftp: bloccare tutti gli accessi alle porte sftp, configurando solo gli accessi consentiti
  6. Permessi file e cartelle: monitorare la corretta assegnazione
  7. Firewall: Proteggete il vostro sito da attacchi esterni e violazioni con un WAF.
  8. Verifiche server e sicurezza: verificare che l’infrastruttira sia aggiornata con gli standard minimi di sicurezza
  9. Redirect HTTP: attivare i redirect http verso https
  10. Accessibilità: monitorare che tutti i file di registro e configurazione dei sistemi e tecnologie non siano visibili all’esterno
  11. Mysql tunnel: Bloccare l’accesso dall’esterno a MySql
  12. Backup vaganti: Non lasciare immagini o backup accessibili all’esterno o nella root dell’applicazione Magento
  13. Ridurre Informazioni sui sistemi in uso: rimuovere dove possibile, tutte le informazioni che possono essere utilizzate in un attacco.
  14. Cloudflare: l’implementazione di CloudFlare può portare enormi benefici, ottimizzazione cache, SSL, mitigazione attacchi DDOS, ecc
  15. Lynis scanner: scansionare il sistema, l’infrastruttura alla ricerca di vulnerabilità
  16. SO security updates: scaricare ed applicare gli aggiornamenti per la sicurezza del vostro sistema
  17. crowdsec: soluzione di sicurezza collaborativa e condivisa, con automazione della protezione
  18. fail2ban: progettato per migliorare la sicurezza, attacchi di Brute force, supporto bad bot, richieste ricorrenti, e simili
  19. mod_security: implementazion per la prevenzione di Iniezioni SQL, Cross-Site Scripting (XSS), Protezione contro Attacchi DDoS, ecc
  20. rkhunter: implementazione per scansioni
  21. chkrootkit: implementazione per scansioni

Conclusione

La sicurezza è una responsabilità continua per i proprietari di negozi online. Oggi giorno vediamo emergere di nuove minacce, quindi è vitale essere sempre aggiornati e adottare le migliori soluzioni disponibili nel mercato.

Magento 2, essendo una piattaforma robusta, offre molte funzioni di sicurezza integrate. Tuttavia, integrando strumenti come Sansec e Snyk, potete garantire una protezione ancora maggiore.

Per ulteriori dettagli e consulenza specifica sulla sicurezza Magento, contatta il nostro team di esperti.