Siti e-commerce con Magento: come realizzare un’analisi preliminare sulla sicurezza

La parte consulenziale è sempre importante. Essere un bravo consulente spesso può fare la differenza tra acquisire o perdere un nuovo cliente.

Lo strumento che ti presento oggi è Mage Report, un tool che ti permetterà di semi-automatizzare la consulenza iniziale per i tuoi clienti, mostrando loro un report visto “dall’esterno” senza nemmeno avere gli accessi ne al pannello amministrativo, ne al server e fare da subito una buona impressione dal punto di vista delle competenze.

Mage Report è un valido strumento online per Magento che effettua una scansione del tuo sito e-commerce e ti mostra tutte le vulnerabilità. Il sistema si basa principalmente su:

  • configurazioni visibili del server
  • controllo di determinate cartelle
  • controllo di file di configurazione

il funzionamento è molto semplice, basta infatti visitare il sito: www.magereport.com. Una volta dentro, dovrai solo inserire l’indirizzo del sito che vuoi controllare.

Cominciamo!

Analisi di esempio del sito made.com fatta con Mage Report

Nel nostro esempio, analizzeremo il sito https://www.made.com/, sito e-commerce citato in numerosi articoli come uno dei TOP 10 al mondo, probabilmente per fatturato. Si presume quindi sia un sito molto visitato, famoso e quindi anche soggetto ad attacchi da parte di malintenzionati.

Come puoi vedere dal risultato pubblico dell’analisi di Mage Report di made.com, ci sono anche in questo caso dei segnali di allarme, che andranno verificati da uno sviluppatore esperto una volta che avrà l’accesso al server ed all’applicazione (esiste la possibilità di falsi positivi, ricordiamoci sempre che è un controllo esterno).

Esistono sei avvisi che Mage Report non è riuscito a capire se le patch di sicurezza sono state correttamente installate. Questo tipo di avvisi potrebbe significare che gli aggiornamenti, ovvero l’implementazione delle patch di sicurezza, sono state fatte senza aggiornare il file di sistema, ma che potrebbero essere presenti. Non è detto però che sia così, quindi potrebbero anche non essere presenti.

Nel nostro esempio, le patch in forse sono quelle colorate in grigio:

  1. Security patch 10570
  2. Security patch 5344 (Shoplift)
  3. Security patch 10266
  4. Security patch 6482 (XSS)
  5. Security patch 9652
  6. Unmaintained server? (il sistema indica di controllare se lo stack applicativo, composto dal web server, da PHP e da altre librerie, siano tutte aggiornate correttamente)

Mage Report indica anche altre patch di sicurezza che secondo lui NON sono state installate, ma che andranno comunque verificate per evitare i falsi positivi. Quelle colorate di rosso sono ad alto rischio, perché possono verificarsi gravi conseguenze, come data breach ed operazioni fraudolente e quelle in arancione, di gravità comunque media e da non sottovalutare:

  1. Security patch 10415
  2. Unprotected development files? (puoi trovare un approfondimento sui file e directory non protette cliccando qui)
  3. Brute force attacks? (puoi trovare un approfondimento sui brute force attack di Magento cliccando qui)

Conclusioni

Mage Report si rivela un tool fondamentale e molto utile per fornire una consulenza preliminare sia ai potenziali che ai già acquisiti clienti. Può essere messo sotto forma di documento e diventare il punto di partenza per imbastire un discorso più ampio sulla sicurezza del sito e-commerce Magento.