Volver al blog
2026-06-29Sécurité

Auditoría de seguridad Magento 2: 15 puntos a verificar en 2026


Por qué una auditoría de seguridad es imprescindible


En 2026, los ataques contra sitios de comercio electrónico son más sofisticados que nunca. Adobe Commerce/Magento 2 sigue siendo un objetivo privilegiado de los hackers debido a su popularidad y a los datos sensibles que maneja.


Una auditoría de seguridad periódica no es una opción — es una necesidad. Estos son los 15 puntos a verificar sin falta.


1. Versiones y parches de seguridad


Asegúrese de que su instancia de Magento 2 utilice la última versión disponible. Adobe publica parches de seguridad periódicamente:


  • Consulte el boletín de seguridad de Adobe
  • Aplique los parches en las 48 horas siguientes a su publicación
  • Automatice las actualizaciones con Composer

2. Configuración de acceso del administrador


  • Active la autenticación de dos factores (2FA)
  • Use contraseñas seguras y un gestor de contraseñas
  • Limite el número de intentos de inicio de sesión
  • Cambie la URL de administración predeterminada

3. Permisos de archivos y carpetas


Los permisos incorrectos son una puerta abierta para los atacantes:


  • Archivos: 644
  • Carpetas: 755
  • app/etc/env.php nunca debe ser accesible públicamente

4. Seguridad de la base de datos


  • Cambie el prefijo de tabla predeterminado
  • Use contraseñas seguras para el acceso SQL
  • Limite las IP autorizadas para conectarse a la base de datos

5. Configuración de Redis y Varnish


  • Autentique el acceso a Redis
  • Limite las IP autorizadas para Varnish
  • Use TLS para las conexiones de caché

6. Protección contra ataques XSS y CSRF


Magento 2 incluye protecciones nativas, pero verifique:


  • Que los validadores XSS están activos
  • Que se generan tokens CSRF para todos los formularios
  • Que sus módulos personalizados respetan estos mecanismos

7. Seguridad de pagos


  • Verifique que sus módulos de pago usen PCI DSS
  • Active 3D Secure (SCA) para pagos con tarjeta
  • Nunca almacene datos de tarjetas bancarias en su servidor

8. API Web y GraphQL


Las API son vectores de ataque comunes:


  • Limite el acceso a la API por clave de integración
  • Active el rate limiting
  • Valide todas las entradas de GraphQL

9. Registros y monitoreo


  • Active el registro de intentos de inicio de sesión fallidos
  • Use New Relic o una herramienta equivalente para detectar anomalías
  • Conserve los registros durante al menos 90 días

10. Certificado TLS/SSL


  • Verifique que su certificado sea válido y esté actualizado
  • Use TLS 1.3 como mínimo
  • Redirija todo el tráfico HTTP a HTTPS

11. Captcha y protección anti-bots


Magento 2 incluye Google reCAPTCHA v3. Asegúrese de que esté:


  • Activado en los formularios de inicio de sesión
  • Activado en los formularios de registro
  • Activado en el formulario de contraseña olvidada

12. Copias de seguridad y plan de recuperación


  • Realice copias de seguridad diarias de archivos y base de datos
  • Almacene las copias fuera del sitio (S3, etc.)
  • Pruebe la restauración al menos una vez por trimestre

13. Cuentas de usuario inactivas


  • Audite las cuentas de administrador cada mes
  • Elimine o desactive las cuentas inactivas
  • Verifique los permisos de las cuentas de integración API

14. CSP (Content Security Policy)


  • Implemente una CSP estricta para prevenir ataques XSS
  • Pruebe en modo informe antes de aplicar el modo bloqueo
  • Use el módulo CSP de Magento 2

15. Escaneo externo de vulnerabilidades


  • Use un escáner de vulnerabilidades (Sucuri, Qualys)
  • Realice pruebas de penetración (pentest) anuales
  • Siga las CVE (Common Vulnerabilities and Exposures)

La seguridad de su tienda es un proceso continuo. Realizo auditorías de seguridad completas para Magento 2 y Adobe Commerce. Contácteme para proteger su sitio.