Audit di sicurezza Magento 2: i 15 punti da verificare nel 2026
Perché un audit di sicurezza è indispensabile
Nel 2026 gli attacchi contro i siti e-commerce sono più sofisticati che mai. Adobe Commerce/Magento 2 resta un bersaglio privilegiato dei pirati informatici per la sua popolarità e per i dati sensibili che gestisce.
Un audit di sicurezza regolare non è un'opzione — è una necessità. Ecco i 15 punti da verificare senza eccezioni.
1. Versioni e patch di sicurezza
Assicurati che la tua istanza Magento 2 utilizzi l'ultima versione disponibile. Adobe pubblica patch di sicurezza regolari:
- Consulta il bollettino di sicurezza Adobe
- Applica le patch entro 48 ore dalla loro uscita
- Automatizza gli aggiornamenti con Composer
2. Configurazione degli accessi amministratore
- Attiva l'autenticazione a due fattori (2FA)
- Usa password robuste e un gestore di password
- Limita il numero di tentativi di accesso
- Cambia l'URL di amministrazione predefinito
3. Permessi di file e cartelle
I permessi errati sono una porta aperta per gli attaccanti:
- File: 644
- Cartelle: 755
- app/etc/env.php non deve mai essere accessibile pubblicamente
4. Sicurezza del database
- Cambia il prefisso di tabella predefinito
- Usa password robuste per gli accessi SQL
- Limita gli IP autorizzati a collegarsi al database
5. Configurazione Redis e Varnish
- Autentica l'accesso a Redis
- Limita gli IP autorizzati per Varnish
- Usa TLS per le connessioni alla cache
6. Protezione contro gli attacchi XSS e CSRF
Magento 2 integra protezioni native, ma verifica:
- Che i validatori XSS siano attivi
- Che i token CSRF siano generati per tutti i moduli
- Che i tuoi moduli personalizzati rispettino questi meccanismi
7. Messa in sicurezza dei pagamenti
- Verifica che i tuoi moduli di pagamento usino PCI DSS
- Attiva il 3D Secure (SCA) per i pagamenti con carta
- Non memorizzare mai dati di carte bancarie sul tuo server
8. API Web e GraphQL
Le API sono vettori di attacco frequenti:
- Limita gli accessi API tramite chiave di integrazione
- Attiva i limiti di richieste (rate limiting)
- Valida tutti gli input GraphQL
9. Log e monitoring
- Attiva la registrazione dei tentativi di accesso falliti
- Usa New Relic o uno strumento equivalente per rilevare le anomalie
- Conserva i log per almeno 90 giorni
10. Certificato TLS/SSL
- Verifica che il tuo certificato sia valido e aggiornato
- Usa TLS 1.3 come minimo
- Reindirizza tutto il traffico HTTP verso HTTPS
11. Captcha e protezione anti-bot
Magento 2 include Google reCAPTCHA v3. Assicurati che sia:
- Attivato sui moduli di accesso
- Attivato sui moduli di registrazione
- Attivato sul modulo di password dimenticata
12. Backup e piano di ripristino
- Esegui il backup quotidiano di file e database
- Conserva i backup fuori sede (S3, ecc.)
- Testa il ripristino almeno una volta a trimestre
13. Account utente inattivi
- Verifica gli account amministratore ogni mese
- Elimina o disattiva gli account inattivi
- Controlla i permessi degli account di integrazione API
14. CSP (Content Security Policy)
- Implementa una CSP rigorosa per prevenire gli attacchi XSS
- Testa in modalità report prima di applicare in modalità bloccante
- Usa il modulo CSP di Magento 2
15. Scansione di vulnerabilità esterna
- Usa uno scanner di vulnerabilità (Sucuri, Qualys)
- Realizza test di intrusione (pentest) annuali
- Segui le CVE (Common Vulnerabilities and Exposures)
La sicurezza del tuo negozio è un processo continuo. Realizzo audit di sicurezza completi per Magento 2 e Adobe Commerce. Contattami per proteggere il tuo sito.
Posso aiutarti.
Parliamo del tuo progetto.