Le minacce alla sicurezza delle piattaforme e-commerce diventano sempre più sofisticate.
Il recente CosmicSting, falla di sicurezza che ottiene un solido 9.8 su 10 nella scala CVSS di gravità delle vulnerabilità Common Vulnerability Scoring System on the CVSS, è solo l’ultimo esempio di quanto sia importante implementare strategie di sicurezza per proteggere i dati dei clienti e le operazioni commerciali.
Alcune delle altre vulnerabilità che toccano od hanno toccato Magento sono:
Magecart
Magecart indica un gruppo di attacchi basati su JavaScript che iniettano codice dannoso nei siti e-commerce, tra cui Magento, per rubare informazioni di pagamento dai clienti al checkout.
SQL Injection e Vulnerabilità Cross-Site Scripting (XSS)
Anche se Magento è costruito per resistere a molti tipi di attacchi, vulnerabilità come SQL Injection e Cross-Site Scripting (XSS) rimangono possibili a causa di estensioni non sicure o configurazioni errate.
Attacchi di Brute Force e Credential Stuffing
In questo caso, un aggressore cerca di ottenere accesso a un account admin o utente attraverso tentativi ripetuti di login con password comuni o precedentemente compromesse. Il nostro recente articolo su reCAPTCHA e WordPress spiega come minimizzare questo rischio, e la procedura per Magento è molto simile.
Come rendere Magento sicuro?
Ecco alcune delle principali misure di sicurezza che ogni amministratore di un negozio Magento dovrebbe seguire per evitare rischi di violazioni e attacchi.
Aggiornamenti e Patch di Sicurezza
Assicurati che la tua piattaforma Magento sia sempre aggiornata.
- Installa patch e aggiornamenti. In questo articolo diamo alcuni suggerimenti di quando sia il momento giusto per aggiornare il tuo sito.
- Testa sempre gli aggiornamenti su un sito di staging per assicurarti che non ci siano conflitti con altri sistemi o estensioni (forse dovrai aggiornare anche quelli), ma non ritardare troppo il processo.
Content Security Policy (CSP)
La Content Security Policy (CSP) è una misura di sicurezza efficace contro attacchi come Cross-Site Scripting (XSS) e iniezione di codice JavaScript non autorizzato, che sono comuni nelle piattaforme e-commerce. Con CSP, è possibile specificare quali sorgenti di contenuto (come script, immagini, font e altro) sono autorizzate ad eseguire o caricare elementi sul sito. Tutto quello che non è autorizzato, viene bloccato.
- Installa un tool CSP in modalità “report-only” sul tuo sito di staging e raccogli informazioni sugli eventuali contenuti bloccati. Testa pagine e funzioni. Questo ti aiuterà a perfezionare la politica senza rischiare interruzioni sul sito live.
- Replica il tutto sul sito produzione.
Controllo degli Accessi e Gestione delle Credenziali
Alcuni attacchi facilmente evitabili derivano da password deboli o da accessi non protetti:
- Disabilita l’accesso SSH con password e utilizza chiavi SSH per l’autenticazione.
Limita l’accesso SSH solo a determinati indirizzi IP di fiducia. - Usa un’autenticazione a due fattori (2FA) per tutti gli utenti con accesso alla dashboard di Magento. Fra l’altro, fallo anche per le tue email. Puoi scoprire se le tue credenziali sono state compromesse con servizi come Have I been pwned?
- Cambia le password regolarmente.
- Fai una revisione periodica di chi ha accesso a cosa, e sii restrittivo – io tendo a rimuovere gli accessi di cui sono in dubbio, al massimo li posso ripristinare.
Protezione del Server e Blocco delle Porte Aperte
Una delle pratiche più importanti è il controllo delle porte del server di Magento. Alcuni strumenti permettono di identificare le porte aperte e sfruttarle per attacchi.
- Chiudi tutte le porte non necessarie e limita il traffico solo a quelle indispensabili per il sito, o chiedi al tuo servizio hosting di farlo per te.
- Disattiva l’accesso diretto a indirizzi come /admin /setup, /magento_version, e /swagger che possono dare informazioni agli hacker.
- Considera di nascondere l’indirizzo IP pubblico del server usando reti VPN o CDN per mitigare l’esposizione e rendere difficile agli attaccanti individuare il server.
Controllo delle API e degli Endpoint
Magento offre molte API per l’integrazione, ma questi endpoint possono anche essere vulnerabili.
- Limita l’accesso alle API solo a IP o servizi approvati. Disabilita qualsiasi endpoint che non è necessario per il funzionamento quotidiano.
- Se puoi, abilita i log delle API per identificare eventuali accessi non autorizzati.
La sicurezza per un negozio Magento non deve essere presa alla leggera. Con dati sensibili dei clienti in gioco, e considerando l’alto costo di una potenziale violazione, è essenziale che le misure di sicurezza vengano implementate e mantenute attivamente.
Non aspettare che sia troppo tardi!
Parla con la tua agenzia ed i tuoi sviluppatori, e rendi la sicurezza una priorità oggi e proteggi il tuo business e i tuoi clienti. Oppure scrivici un messaggio, e saremo contenti di discutere con te la miglior strategia per incrementare la sicurezza del tuo sito Magento.
