Punti chiave
La sicurezza di un sito web è prioritaria e lo è a maggior ragione se il portale in questione è un e-commerce, vale a dire un sito dedicato alla vendita online di beni o di servizi. I siti e-commerce sono sempre più popolari e non è quindi un caso che si siano moltiplicati anche i CMS ad essi specificamente dedicati. Risulta, dunque, spontaneo interrogarsi sulla sicurezza di queste piattaforme e su tutte le “difese” che si possono adottare per renderle sempre più impenetrabili ad attacchi e violazioni. Nello specifico, ci si focalizzerà su Magento, piattaforma oggi ampiamente utilizzata, e sui migliori plugin di sicurezza per Magento.
Rilasciato nel 2008 dalla Varien Inc. (oggi Magento Inc.), Magento è un CMS per e-commerce open-source che dal suo lancio ha conosciuto una crescita esponenziale e costante. Scritto in PHP e basato su Zend Framework, nel tempo sono state sviluppate diverse versioni; Magento Community Edition, vale a dire la versione base open-source, Magento Enterprise Edition, sotto licenza e disponibile a pagamento, e Magento Go, versione Saas (Software ad a Service), anch’essa utilizzabile con un abbonamento annuale.
Dotato di molte funzionalità e di un gran numero di moduli aggiuntivi, Magento si è affermato come uno dei CMS più adatti per i siti dedicati al commercio, riscuotendo un successo crescente come dimostrato, anche, da un recente studio, effettuato da Aheadworks, che conferma Magento come la piattaforma e-commerce più utilizzata. (2016 Ecommerce Platforms Analysis and Comparative Report).
I quattro migliori plugin di sicurezza per Magento
Molto popolare, dotata di buoni livelli di sicurezza e sottoposta ad aggiornamenti costanti, questa piattaforma non è tuttavia immune da cyber attacchi e per questo è indispensabile incrementarne i livelli di sicurezza facendo ricorso a una serie di plugin specifici, validi alleati nella lotta agli hacker e allo spam. Una necessità che si fa ancora più impellente per i proprietari di siti e-commerce i quali basano la propria attività imprenditoriale sul sito stesso( e quindi sulla sua sicurezza), senza contare che su questi portali transitano dati sensibili degli utenti che è necessario tutelare.
Quali sono, quindi, i quattro migliori plugin di sicurezza per Magento?
I migliori plugin di sicurezza per Magento: SecureTrading
Una delle caratteristiche principali che un e-commerce deve possedere è certamente quella di garantire pagamenti sicuri, tutelando contemporaneamente gli utenti e il proprietario del sito.
Un plugin di sicurezza per Magento molto efficace in questo senso è rappresentato da SecureTrading che ha proprio il compito di assicurare la sicurezza e la protezione di tutti i pagamenti effettuati sullo store Magento.
SecureTrading mette a disposizione due metodi di pagamento: Secure Trading Payment Pages( STPP) e Secure Trading WebServices.
Il primo non richiede al sito e-commerce di memorizzare i dati di pagamento sino a quando l’utente non viene re-indirizzato ai server di Secure Trading. In questo modo i pagamenti online sono resi molto più sicuri sia per il proprietario del sito, che è certo di accettare solo pagamenti verificati, che per gli utenti ai quali viene garantito un pagamento protetto grazie all’uso di iframes, CSS, Javascript e HTML personalizzati.
La seconda opzione permette all’e-commerce di memorizzare i dettagli di pagamento direttamente sul proprio store( senza re-indirizzamento degli utenti quindi), ma in questo caso è indispensabile che il sito sia conforme agli standard PCI.
Grazie a SecureTrading è inoltre possibile per il proprietario dell’e-commerce tenere traccia di tutte le transizioni, cancellare ordini e fornire rimborsi rapidi e immediati, senza contare che questo plugin migliora sensibilmente la percezione di affidabilità e di sicurezza del sito da parte dei clienti.
I migliori plugin di sicurezza per Magento: Two-Factor Authentication
Se la protezione delle transizioni economiche sul sito e-commerce è importante altrettanto lo è la tutela delle credenziali di accesso, molto spesso soggette ad attacchi o a tentativi di furto. Per proteggere in maniera adeguata username e password utilizzate sul sito, uno dei plugin di sicurezza consigliato è certamente Two-Factor Authentication.
Implementato da miniOrange, questo plugin consente di aumentare i livelli di sicurezza relativi all’accesso al sito, proteggendo in maniera efficace il backend del portale da intrusioni e accessi non autorizzati.
L’installazione e l’utilizzo di Two-Factor Authentication è semplice e immediata e quindi facile da utilizzare anche per gli amministratori alle prime armi.
In sostanza, questo plugin di sicurezza introduce un secondo livello di sicurezza per tutti gli accounts presenti sul sito, tutelandoli nel caso in cui le credenziali di accesso vengano sottratte. L’accesso al portale, infatti, viene effettuato inserendo l’username, la password e un secondo “fattore di accesso” che l’amministratore può selezionare da una lista di 15 opzioni differenti, le quali coprono qualunque esigenza.
I “metodi di autenticazione” disponibili sono numerosi e spaziano dalla password momentanea(One Time Passcodes OTP) inviata tramite sms, alla OTP via email, dalla notifica push alle domande di sicurezza o, ancora, dall’autenticazione tramite QR Code all’autenticazione vocale e così via.
Le funzioni di Two-Factor Authetication possono essere abilitate sia per gli amministratori del sito che per tutti gli altri utenti, senza contare che questo plugin contribuisce anche a migliorare i livelli di sicurezza dei codici PHP e HTML.
Two-Factor Authentication può essere scaricato in versione gratuita per 30 giorni.
Download Two-Factor Authentication
I migliori plugin di sicurezza per Magento: Spam Killer
Lo spam è un altra grave “piaga” per i siti e-commerce che, necessitando di feedback da parte degli utenti, possono essere facile preda di pratiche di spam. Per ovviare a questo rischio e riuscire allo stesso tempo a gestire in maniera più semplice e veloce le recensioni degli utenti è possibile fare ricorso ad un valido plugin di sicurezza per Magento; Spam Killer.
Estensione di sicurezza estremamente user-friendly, Spam Killer è di semplice installazione e configurazione, non richiedendo particolari abilità tecniche da parte dell’admin o l’installazione di Captcha.
Una volta installato questo plugin di sicurezza funge da “filtro” per tutte le recensioni di prodotti, i feedback e le richieste di contatto inviate al sito, “indirizzandoli” a uno “spam web service” il quale li sottopone ad una serie di test prima di autorizzarne la pubblicazione.
In questo modo è possibile capire se i feedback, i commenti, le recensioni o altro sono autentici e veritieri o se ci si trova solo difronte a dello spam che, se accertato, il plugin provvede immediatamente ad eliminare.
Spam Killer, che è disponibile gratuitamente, apporta un duplice vantaggio; da un lato protegge il sito e-commerce dallo spam, con notevoli benefici dal punto di vista della sicurezza e dell’affidabilità del portale, e dall’altro riduce notevolmente i tempi di moderazione di commenti e feedback, sollevando l’amministratore da un compito spesso molto oneroso, senza contare che grazie a questo plugin è possibile migliorare notevolmente le prestazioni del sito con impatti positivi sulle conversioni e sul ranking nei motori di ricerca.
I migliori plugin di sicurezza per Magento: IP Security
IP Security è uno dei migliori plugin di sicurezza per Magento che ha come scopo primario quello di consentire all’admin di proteggere il sito e-commerce da IP dannosi. Questo plugin di sicurezza è gratuito e facile da installare, oltre a mettere a disposizione degli utenti un servizio di supporto abbastanza immediato che richiede una registrazione solo nel caso di apertura di ticket.
Ma come funziona IP Security?
Dopo aver scaricato e installato il plugin, è possibile definire delle “regole” di accesso al sito che una volta attivate re-indirizzano gli utenti con indirizzo IP “non riconosciuto” a una specifica pagina del CMS o a una pagina vuota.
Si tratta di una funzione molto importante, specialmente in relazione al pannello di amministrazione per il quale l’admin può definire una serie di restrizioni importanti anche relativamente ad utenti autorizzati.
Tracciando gli indirizzi IP e negando l’accesso a quelli non autorizzati, l’amministratore può, ad esempio, impedire l’accesso al pannello di amministrazione a collaboratori e dipendenti che cercano di loggarsi da un IP diverso rispetto a quello “certificato”.
In questo modo è possibile evitare che il proprio staff abbia accesso a informazioni riservate senza supervisione o che utenti non autorizzati possano introdursi nel sito utilizzando delle password rubate.
IP Secutiy permette all’admin di creare delle liste di indirizzi IP “legittimati” ad accedere al pannello di amministrazione e restituisce, come visto, ad IP non autorizzati una pagina vuota.
Le funzioni di IP Security riguardano anche il frontend del sito e-commerce, per il quale possono essere fissate ulteriori restrizioni. Grazie a questo plugin di sicurezza per Magento è possibile bloccare gli utenti che tentano di effettuare pagamenti con carte di credito false o rubate, bloccare commenti o post dannosi e inappropriati, definire delle liste di IP da bloccare se provenienti da determinati paesi (in questo caso è necessario inserire manualmente gli IP) o degli elenchi IP per i quali, indipendentemente dal paese, viene negato l’accesso al frontend del sito.
In ultimo IP Security permette anche di “spegnere” il portale nel caso di interventi di manutenzione o installazione di nuove estensioni; il plugin interviene chiudendo temporaneamente il sito e mostrando agli utenti una pagina con un messaggio “manutenzione in corso” o altro.