Torna al blog
29 giugno 2026Sécurité

Audit di sicurezza Magento 2: i 15 punti da verificare nel 2026

Perché un audit di sicurezza è indispensabile


Nel 2026 gli attacchi contro i siti e-commerce sono più sofisticati che mai. Adobe Commerce/Magento 2 resta un bersaglio privilegiato dei pirati informatici per la sua popolarità e per i dati sensibili che gestisce.


Un audit di sicurezza regolare non è un'opzione — è una necessità. Ecco i 15 punti da verificare senza eccezioni.


1. Versioni e patch di sicurezza


Assicurati che la tua istanza Magento 2 utilizzi l'ultima versione disponibile. Adobe pubblica patch di sicurezza regolari:


  • Consulta il bollettino di sicurezza Adobe
  • Applica le patch entro 48 ore dalla loro uscita
  • Automatizza gli aggiornamenti con Composer

2. Configurazione degli accessi amministratore


  • Attiva l'autenticazione a due fattori (2FA)
  • Usa password robuste e un gestore di password
  • Limita il numero di tentativi di accesso
  • Cambia l'URL di amministrazione predefinito

3. Permessi di file e cartelle


I permessi errati sono una porta aperta per gli attaccanti:


  • File: 644
  • Cartelle: 755
  • app/etc/env.php non deve mai essere accessibile pubblicamente

4. Sicurezza del database


  • Cambia il prefisso di tabella predefinito
  • Usa password robuste per gli accessi SQL
  • Limita gli IP autorizzati a collegarsi al database

5. Configurazione Redis e Varnish


  • Autentica l'accesso a Redis
  • Limita gli IP autorizzati per Varnish
  • Usa TLS per le connessioni alla cache

6. Protezione contro gli attacchi XSS e CSRF


Magento 2 integra protezioni native, ma verifica:


  • Che i validatori XSS siano attivi
  • Che i token CSRF siano generati per tutti i moduli
  • Che i tuoi moduli personalizzati rispettino questi meccanismi

7. Messa in sicurezza dei pagamenti


  • Verifica che i tuoi moduli di pagamento usino PCI DSS
  • Attiva il 3D Secure (SCA) per i pagamenti con carta
  • Non memorizzare mai dati di carte bancarie sul tuo server

8. API Web e GraphQL


Le API sono vettori di attacco frequenti:


  • Limita gli accessi API tramite chiave di integrazione
  • Attiva i limiti di richieste (rate limiting)
  • Valida tutti gli input GraphQL

9. Log e monitoring


  • Attiva la registrazione dei tentativi di accesso falliti
  • Usa New Relic o uno strumento equivalente per rilevare le anomalie
  • Conserva i log per almeno 90 giorni

10. Certificato TLS/SSL


  • Verifica che il tuo certificato sia valido e aggiornato
  • Usa TLS 1.3 come minimo
  • Reindirizza tutto il traffico HTTP verso HTTPS

11. Captcha e protezione anti-bot


Magento 2 include Google reCAPTCHA v3. Assicurati che sia:


  • Attivato sui moduli di accesso
  • Attivato sui moduli di registrazione
  • Attivato sul modulo di password dimenticata

12. Backup e piano di ripristino


  • Esegui il backup quotidiano di file e database
  • Conserva i backup fuori sede (S3, ecc.)
  • Testa il ripristino almeno una volta a trimestre

13. Account utente inattivi


  • Verifica gli account amministratore ogni mese
  • Elimina o disattiva gli account inattivi
  • Controlla i permessi degli account di integrazione API

14. CSP (Content Security Policy)


  • Implementa una CSP rigorosa per prevenire gli attacchi XSS
  • Testa in modalità report prima di applicare in modalità bloccante
  • Usa il modulo CSP di Magento 2

15. Scansione di vulnerabilità esterna


  • Usa uno scanner di vulnerabilità (Sucuri, Qualys)
  • Realizza test di intrusione (pentest) annuali
  • Segui le CVE (Common Vulnerabilities and Exposures)

La sicurezza del tuo negozio è un processo continuo. Realizzo audit di sicurezza completi per Magento 2 e Adobe Commerce. Contattami per proteggere il tuo sito.