Auditoría de seguridad Magento 2: 15 puntos a verificar en 2026
Por qué una auditoría de seguridad es imprescindible
En 2026, los ataques contra sitios de comercio electrónico son más sofisticados que nunca. Adobe Commerce/Magento 2 sigue siendo un objetivo privilegiado de los hackers debido a su popularidad y a los datos sensibles que maneja.
Una auditoría de seguridad periódica no es una opción — es una necesidad. Estos son los 15 puntos a verificar sin falta.
1. Versiones y parches de seguridad
Asegúrese de que su instancia de Magento 2 utilice la última versión disponible. Adobe publica parches de seguridad periódicamente:
- Consulte el boletín de seguridad de Adobe
- Aplique los parches en las 48 horas siguientes a su publicación
- Automatice las actualizaciones con Composer
2. Configuración de acceso del administrador
- Active la autenticación de dos factores (2FA)
- Use contraseñas seguras y un gestor de contraseñas
- Limite el número de intentos de inicio de sesión
- Cambie la URL de administración predeterminada
3. Permisos de archivos y carpetas
Los permisos incorrectos son una puerta abierta para los atacantes:
- Archivos: 644
- Carpetas: 755
- app/etc/env.php nunca debe ser accesible públicamente
4. Seguridad de la base de datos
- Cambie el prefijo de tabla predeterminado
- Use contraseñas seguras para el acceso SQL
- Limite las IP autorizadas para conectarse a la base de datos
5. Configuración de Redis y Varnish
- Autentique el acceso a Redis
- Limite las IP autorizadas para Varnish
- Use TLS para las conexiones de caché
6. Protección contra ataques XSS y CSRF
Magento 2 incluye protecciones nativas, pero verifique:
- Que los validadores XSS están activos
- Que se generan tokens CSRF para todos los formularios
- Que sus módulos personalizados respetan estos mecanismos
7. Seguridad de pagos
- Verifique que sus módulos de pago usen PCI DSS
- Active 3D Secure (SCA) para pagos con tarjeta
- Nunca almacene datos de tarjetas bancarias en su servidor
8. API Web y GraphQL
Las API son vectores de ataque comunes:
- Limite el acceso a la API por clave de integración
- Active el rate limiting
- Valide todas las entradas de GraphQL
9. Registros y monitoreo
- Active el registro de intentos de inicio de sesión fallidos
- Use New Relic o una herramienta equivalente para detectar anomalías
- Conserve los registros durante al menos 90 días
10. Certificado TLS/SSL
- Verifique que su certificado sea válido y esté actualizado
- Use TLS 1.3 como mínimo
- Redirija todo el tráfico HTTP a HTTPS
11. Captcha y protección anti-bots
Magento 2 incluye Google reCAPTCHA v3. Asegúrese de que esté:
- Activado en los formularios de inicio de sesión
- Activado en los formularios de registro
- Activado en el formulario de contraseña olvidada
12. Copias de seguridad y plan de recuperación
- Realice copias de seguridad diarias de archivos y base de datos
- Almacene las copias fuera del sitio (S3, etc.)
- Pruebe la restauración al menos una vez por trimestre
13. Cuentas de usuario inactivas
- Audite las cuentas de administrador cada mes
- Elimine o desactive las cuentas inactivas
- Verifique los permisos de las cuentas de integración API
14. CSP (Content Security Policy)
- Implemente una CSP estricta para prevenir ataques XSS
- Pruebe en modo informe antes de aplicar el modo bloqueo
- Use el módulo CSP de Magento 2
15. Escaneo externo de vulnerabilidades
- Use un escáner de vulnerabilidades (Sucuri, Qualys)
- Realice pruebas de penetración (pentest) anuales
- Siga las CVE (Common Vulnerabilities and Exposures)
La seguridad de su tienda es un proceso continuo. Realizo auditorías de seguridad completas para Magento 2 y Adobe Commerce. Contácteme para proteger su sitio.
Puedo ayudarle.
Hablemos de su proyecto.