Guida sulla sicurezza di Magento – parte 1

Guida sulla sicurezza di Magento

La sicurezza rappresenta sempre una nota dolente per tutti i siti web, indipendentemente dal codice di sviluppo o dal CMS utilizzato. Se non vengono prese le giuste precauzioni, ogni sito può rivelarsi attaccabile e di conseguenza poco sicuro. Questo aspetto molto delicato si complica ancor più quanto si tratta di portali di e-commerce.

La gestione di dati personali, bancari e finanziari fa spesso gola agli hacker. È per questo motivo che gli e-commerce sono i siti maggiormente violati dai malintenzionati. Qualsiasi tentativo di minare la sicurezza di un portale e-commerce può causare però un ingente danno al negozio.

Magento viene considerato il CMS per e-commerce più sicuro in assoluto. Eppure, anche in questo caso, qualora non si prendano le dovute precauzioni, non è possibile pensare di essere assolutamente inattaccabili. Ecco quindi alcuni consigli che ti saranno molto utili per blindare il tuo portale di e-commerce realizzato con Magento.

Utilizza un nome utente e una password sicuri

La primissima precauzione che devi prendere per garantire la sicurezza del portale, valida per tutti i CMS e non soltanto per Magento, è quella di scegliere un nome utente e una password che siano sicuri. La regola generale vuole che venga scelta una password difficile da indovinare, composta da almeno otto caratteri e che sia una combinazione di numeri, lettere e caratteri speciali. Evita quindi assolutamente password del tipo “admin”,“123”, “abc”, “la tua data di nascita”, “il tuo nome” e così via.

Poter contare su una password sicura però non basta. È necessario infatti pensare anche ad un nome utente che non sia facilmente prevedibile. La maggior parte dei tentativi di hacking termina con successo proprio perché gli username di amministratori sono nella maggior parte dei casi molto semplici da indovinare, basti pensare a quanti di voi utilizzano ancora il nome “admin” o “administrator”. Il consiglio che ti do per mettere in sicurezza il tuo e-commerce è quello di non utilizzare il tuo nome, il tuo cognome o il nome della tua azienda. Meglio puntare anche in questo caso su un nome di fantasia.

Modifica adesso il tuo username. Vai nel pannello di controllo e fai clic su Account sotto la voce Sistema. Modifica quindi le impostazioni del tuo account Magento.

Crea un percorso personalizzato per il pannello di amministrazione

Per impostazione predefinita, il pannello di controllo di Magento è raggiungibile all’indirizzo http://www.miosito.it/admin. È un percorso noto a tutti, figuriamoci agli hacker. Questo URL comporta un rischio per la sicurezza davvero non di poco conto: qualsiasi malintenzionato ha vita facile conoscendo già l’indirizzo della cartella dove risiedono tutti i file di configurazione più importanti. Poiché ogni tentativo di hacking deve essere stroncato sul nascere è bene modificare fin da subito il percorso per accedere alla cartella amministrativa di Magento.

Per modificare il percorso, tramite un client FTP raggiungi il file app/etc/local.xml. Aprilo e individua la linea con il codice <![CDATA[admin]]>, modifica quindi la stringa admin con il nome desiderato. Ad esempio se vuoi che il pannello di controllo sia raggiungibile dal percorso http://www.miosito.it/percorsosicuro modifica la stringa in questo modo <![CDATA[percorsosicuro]]>.

Nel prossimo post della guida dedicata alla sicurezza su Magento ti svelerò altri piccoli trucchi per rendere il tuo portale sicuro. Continua a seguirci!