Security Audit Pro – Proteggi il tuo negozio dagli attacchi basati sull'IA - Modulo PrestaShop

Il primo modulo completo di Audit di Sicurezza e Penetration Test per PrestaShop

Con l'ascesa dell'intelligenza artificiale, chiunque può ora trovare e sfruttare le vulnerabilità del tuo negozio in pochi minuti. Un singolo prompt in ChatGPT o Claude è sufficiente per rilevare file di configurazione esposti, header di sicurezza mancanti, moduli vulnerabili o punti di SQL injection. Quello che una volta richiedeva un audit di sicurezza professionale da oltre 3.000 € è ora alla portata di ogni malintenzionato — gratuitamente.

Security Audit Pro risponde colpo su colpo con lo stesso livello di intelligenza. Esegue un penetration test completo del tuo negozio PrestaShop — effettuando oltre 60 controlli di sicurezza automatizzati suddivisi in 8 categorie — direttamente dal tuo back office, in meno di 5 minuti. Nessuna riga di comando, nessun accesso al server, nessuna competenza tecnica richiesta.

Come funziona — 3 passaggi

Passaggio 1 — Scansione: Clicca su "Esegui Scansione Completa". Il modulo esegue in sequenza 8 scanner di sicurezza indipendenti. Una barra di avanzamento in tempo reale mostra quale scanner è in funzione e la percentuale di completamento.

Passaggio 2 — Revisione: Ottieni il tuo grado di sicurezza complessivo da A a F con un punteggio numerico su 100. Ogni risultato è classificato come Critico (rosso), Avviso (arancione), Info (blu) o Superato (verde). Clicca su qualsiasi risultato per vedere la spiegazione completa, i passaggi per la risoluzione e i dettagli tecnici.

Passaggio 3 — Risoluzione: Segui le istruzioni passo-passo fornite per ogni vulnerabilità, oppure clicca su "Scarica .txt per AI" per esportare tutto e lasciare che un assistente IA risolva il problema per te.

Esportazione per Agente IA — La svolta decisiva

Questa è la funzione che rende Security Audit Pro unico nell'intero marketplace di PrestaShop.

Dopo la scansione, clicca sul pulsante "Scarica .txt per AI". Il modulo genera un file di testo strutturato contenente ogni problema rilevato, ogni percorso di file da modificare e ogni istruzione di correzione — formattato specificamente per essere compreso ed elaborato dagli assistenti IA.

Consegna questo file a ChatGPT, Claude, Gemini o qualsiasi assistente IA e chiedi semplicemente: "Risolvi ogni problema di sicurezza in questo report." L'IA leggerà il report strutturato e applicherà le patch a ogni vulnerabilità, una per una.

Il ciclo completo:

• Rilevamento — Security Audit Pro scansiona il tuo negozio
• Diagnosi — Report dettagliato con spiegazioni in linguaggio semplice
• Esportazione — File .txt strutturato e ottimizzato per l'IA
• Risoluzione — L'IA corregge automaticamente ogni vulnerabilità
• Verifica — Nuova scansione per confermare che tutti i problemi siano risolti

Non hai più bisogno di essere uno sviluppatore o di assumere un consulente per la sicurezza. Il modulo trova i problemi, li spiega chiaramente e il tuo assistente IA li risolve.

Report dettagliati dei risultati — Nessuna competenza richiesta

Ogni problema rilevato si apre in un pannello espandibile con tre sezioni chiaramente separate:

COSA È STATO TROVATO — Una spiegazione in linguaggio semplice del problema. Niente gergo tecnico. Il modulo ti dice esattamente cosa è stato rilevato, perché è pericoloso e qual è il rischio concreto per il tuo negozio e i tuoi clienti. Anche chi ha zero conoscenze di sicurezza può capire ogni risultato.

COME RISOLVERE — Istruzioni numerate passo dopo passo. Ogni passaggio ti dice esattamente quale file aprire, cosa cercare e cosa cambiare. Niente congetture, niente ricerche su Google. Basta seguire i passaggi.

DETTAGLI TECNICI — Per sviluppatori e utenti avanzati: il percorso esatto del file, il pattern o il codice rilevato, il modulo o il contesto interessato e il potenziale impatto. Questa sezione è anche ciò che rende l'esportazione per l'IA così efficace — fornisce all'IA tutto ciò di cui ha bisogno per agire.

I risultati sono organizzati in 8 schede (una per categoria di scansione) e ognuna mostra un badge di gravità colorato (Critico, Avviso, Info, Superato) e un badge di categoria che indica quale scanner l'ha rilevato.

Sezione 1 — Header HTTP e Configurazione Server

Gli header HTTP del tuo server sono la prima linea di difesa. Header mancanti o mal configurati espongono il tuo negozio a clickjacking, attacchi XSS, MIME sniffing e fughe di dati.

Security Audit Pro controlla:

• 7 header di sicurezza essenziali: Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection — ognuno verificato per presenza E valore corretto
• Stato del certificato SSL/TLS: versione del protocollo (richiesto TLS 1.2+), scadenza del certificato (avvisi 30 giorni prima), verifica della catena completa, redirect HTTP→HTTPS (deve essere 301, non 302)
• Rilevamento contenuti misti (Mixed content): scansiona l'HTML della tua homepage alla ricerca di risorse caricate via http:// su una pagina HTTPS (immagini, script, fogli di stile, iframe)
• Flag di sicurezza dei cookie: attributi Secure, HttpOnly e SameSite su ogni cookie, con focus prioritario sul cookie di sessione di PrestaShop
• Divulgazione informazioni server: rileva se il tuo server rivela la sua versione (Apache/2.4.x, PHP/8.x), token di debug di Symfony (fuga critica) o identificazione del CMS PrestaShop
• Mancata configurazione CORS: verifica se il tuo server accetta richieste cross-origin da qualsiasi dominio (wildcard), riflette origini malevole o espone credenziali tra domini diversi

Sezione 2 — File e Directory Sensibili

Uno dei vettori di attacco più comuni e devastanti: file che non dovrebbero mai essere accessibili pubblicamente. Un singolo file .env esposto può consegnare le credenziali del tuo intero database a un hacker.

Security Audit Pro scansiona oltre 40 percorsi di file pericolosi:

• File di configurazione: .env, .env.local, .env.backup, parameters.php, parameters.yml — contengono credenziali del database, chiavi segrete, password SMTP
• File di debug: phpinfo.php, info.php, test.php — rivelano la configurazione completa del tuo server a chiunque
• Strumenti database: adminer.php, phpmyadmin/, pma/ — forniscono accesso diretto al database
• Controllo versione: .git/HEAD, .git/config, .svn/entries — permettono la ricostruzione completa del codice sorgente e l'estrazione delle credenziali
• File Composer: composer.json, composer.lock — rivelano tutte le tue dipendenze e le loro versioni
• File di backup: backup.sql, dump.sql, db.sql, backup.zip, backup.tar.gz — contengono potenzialmente l'intero database in testo semplice
• File CI/CD e IDE: docker-compose.yml, .gitlab-ci.yml, .idea/, .vscode/ — possono contenere credenziali e configurazioni di distribuzione
• File di log: var/logs/dev.log, var/logs/prod.log — possono contenere query SQL, tracce di errori, dati sensibili

Il modulo rileva anche il directory listing su oltre 10 directory sensibili, verifica i permessi dei file (CHMOD) sui file di configurazione critici ed esegue un controllo completo dell'integrità dei file core utilizzando checksum SHA-256 rispetto alle versioni ufficiali di PrestaShop (1.7.8.x, 8.0.x, 8.1.x, 8.2.x, 9.0.x). I file core modificati, eliminati o aggiunti in modo sospetto vengono immediatamente segnalati.

Sezione 3 — Sicurezza del Back-Office

Il tuo back office è l'obiettivo finale. Se un hacker ottiene l'accesso come amministratore, possiede l'intero negozio — dati dei clienti, ordini, informazioni di pagamento, tutto.

Security Audit Pro testa:

• Robustezza del percorso Admin: confronta il nome della tua directory admin con oltre 50 pattern comuni usati dagli scanner automatizzati (admin, admin123, backoffice, bo, gestion, manage, backend, panel, ecc.). Se il tuo percorso è prevedibile → Critico
• Protezione contro il brute force: simula 5 tentativi di accesso rapidi con credenziali false per testare se il tuo negozio ha limitazione di frequenza (rate limiting), CAPTCHA o blocco IP. Nessuna protezione → Critico
• Autenticazione a due fattori: controlla se un modulo 2FA/TOTP è installato e attivo. La 2FA è la protezione singola più efficace contro il furto di credenziali. Mancante → Critico
• Audit degli account Admin: scansiona indirizzi email generici (admin@, test@, info@, root@), account inattivi (nessun accesso da oltre 6 mesi), numero eccessivo di SuperAdmin (più di 2 = Avviso, più di 5 = Critico) e domini email usa e getta (mailinator, yopmail, guerrillamail)
• Politica delle password: verifica l'obbligo della lunghezza minima e controlla il formato hash effettivo nel database — bcrypt ($2y$) è sicuro, gli hash MD5 a 32 caratteri indicano password legacy pericolose che necessitano di migrazione immediata

Sezione 4 — Sicurezza dei Moduli

I moduli di terze parti sono la fonte n. 1 di vulnerabilità nei negozi PrestaShop. Rappresentano oltre l'80% di tutte le falle di sicurezza sfruttate. Questa sezione è spesso quella che riserva più sorprese per i commercianti.

Security Audit Pro include:

• Database integrato di vulnerabilità CVE: ogni modulo installato viene confrontato con un database completo di vulnerabilità note provenienti da Friends of Presta Security Advisories, TouchWeb advisories e il National Vulnerability Database (NVD). Se la versione del tuo modulo è interessata → Critico con ID CVE, tipo di vulnerabilità, descrizione del rischio, versione patchata e link all'informativa
• Rilevamento moduli "fantasma": trova i moduli disabilitati o disinstallati i cui file sono ancora fisicamente presenti sul tuo server. Questi file rimangono accessibili via URL diretto — un hacker può sfruttarli anche se pensi che il modulo sia stato "rimosso"
• Rilevamento moduli obsoleti: identifica i moduli con compatibilità dichiarata inferiore alla tua versione di PS, o con file PHP non modificati da oltre 2 anni (potenzialmente abbandonati dallo sviluppatore)
• Scansione endpoint non protetti: controlla file come ajax.php, api.php, cron.php, callback.php, webhook.php, upload.php, export.php, download.php, proxy.php, connector.php, gateway.php accessibili senza alcun meccanismo di autenticazione
• Analisi dei gestori di caricamento (Upload): esegue un'analisi statica del codice sui file PHP di ogni modulo per rilevare gestori di caricamento file (che usano $_FILES, move_uploaded_file) privi di validazione MIME, whitelist delle estensioni o controlli sulla dimensione. Un caricamento incontrollato → Critico (potenziale esecuzione di codice remoto)

Sezione 5 — Audit delle API WebService

Le API WebService di PrestaShop possono esporre tutti i dati del tuo negozio — clienti, ordini, prodotti, account dipendenti, configurazioni — tramite semplici richieste HTTP. Un'API mal configurata è una miniera d'oro per gli hacker.

Security Audit Pro controlla:

• Esposizione API: verifica se /api/ risponde senza autenticazione (dovrebbe restituire 401, non 200)
• Audit dei permessi per chiave: per ogni chiave API attiva, elenca tutte le risorse e i metodi autorizzati. Segnala: accesso a TUTTE le risorse (Critico), DELETE su clienti/ordini/indirizzi (Avviso), PUT/POST su configurazioni (Critico), accesso ai dati dei dipendenti (Critico)
• Analisi della robustezza della chiave: valuta la lunghezza di ogni chiave (deve essere 32+), l'entropia di Shannon (deve essere 3.5+ bit/carattere) e il rilevamento di pattern sequenziali (123456, abcdef = debole)
• CORS sugli endpoint API: testa specificamente i percorsi /api/ per configurazioni errate cross-origin — un'API attiva con CORS permissivo significa che qualsiasi sito web malevolo può leggere i dati del tuo negozio dal browser di qualsiasi visitatore

Sezione 6 — Rilevamento SQL Injection e Analisi del Codice

La SQL injection rimane uno dei tipi di attacco più devastanti. Un singolo parametro vulnerabile può dare a un hacker l'accesso all'intero database — account dei clienti, password, token delle carte di credito, cronologia degli ordini.

Security Audit Pro combina test dinamici con analisi statica:

Test dinamici (richieste HTTP):

• Testa i parametri GET comuni di PrestaShop (id_product, id_category, id_cms, id_manufacturer, id_supplier, parametro di ricerca) con payload di rilevamento errori SQL
• Rileva la divulgazione di errori SQL nelle risposte HTTP (errori di sintassi MySQL, PDOException, pattern SQLSTATE)
• I test non vanno MAI oltre il rilevamento dell'errore — nessuna esploitazione, nessuna estrazione di dati, nessuna modifica

Analisi statica del codice (lettura sorgente PHP):

• Scansiona tutti i file PHP in /override/ e /modules/ alla ricerca di pattern pericolosi:
• Query SQL non sicure: Db::getInstance()->execute() con concatenazione diretta invece di binding pSQL()/(int)
• Esecuzione di codice: eval(), exec(), system(), passthru(), shell_exec(), proc_open()
• Malware offuscato: base64_decode() seguito da eval() — la classica firma di una backdoor
• Inclusione di file: include()/require() con parametri $_GET/$_POST (LFI/RFI)
• SSRF: file_get_contents() con URL controllati dall'utente
• Iniezione di oggetti PHP: unserialize() con dati utente
• Funzioni pericolose deprecate: preg_replace() con flag /e

I risultati sono raggruppati per modulo con un punteggio di rischio individuale, rendendo facile identificare quali moduli sono i più pericolosi.

Sezione 7 — Protezione XSS e CSRF

Il Cross-Site Scripting (XSS) permette agli hacker di iniettare script malevoli nelle tue pagine, rubando i cookie dei clienti, i token di sessione e i dati personali. Il Cross-Site Request Forgery (CSRF) inganna gli utenti autenticati facendogli compiere azioni indesiderate.

Security Audit Pro testa:

• XSS riflesso: invia payload non distruttivi alla barra di ricerca, al modulo di contatto e ai parametri URL, quindi analizza la risposta HTML per verificare se i payload vengono riflessi senza codifica. Riflessione non codificata → Critico (XSS sfruttabile)
• Verifica dei token CSRF: controlla ogni modulo del front-office (contatto, login, registrazione, indirizzo, checkout) e del back-office per la presenza di token anti-CSRF (_token per Symfony, token per PS legacy)
• Valutazione della Content-Security-Policy: analizza il tuo header CSP specificamente per l'efficacia della protezione XSS — segnala unsafe-inline, unsafe-eval, wildcard in script-src e fornisce una configurazione CSP consigliata per PrestaShop

Sezione 8 — Permessi e Controllo Accessi

Security Audit Pro controlla:

• Esecuzione PHP nelle directory di upload: verifica che le regole .htaccess blocchino l'esecuzione di PHP in /upload/, /img/, /download/, /mails/. Se un hacker può caricare ed eseguire un file .php → acquisizione completa del server
• Test Open Redirect: testa i parametri di reindirizzamento (back, redirect, returnUrl, url, next, checkout) con URL esterni e tecniche di bypass classiche (//evil.com, /\evil.com). Open redirect → Critico (permette attacchi di phishing usando il tuo dominio)
• Protezione IDOR: verifica se ordini, fatture e indirizzi sono accessibili semplicemente incrementando l'ID nell'URL senza autenticazione. Accessibile → Critico
• Protezione anti-bot: analizza i moduli di registrazione e login per CAPTCHA (reCAPTCHA, hCaptcha, Turnstile), campi honeypot o limitazione di frequenza. Nessuna protezione → Avviso (espone il negozio a registrazioni di massa e credential stuffing)

Sistema di punteggio intelligente A→F

Il punteggio di sicurezza è calcolato utilizzando una formula ponderata in cui ogni scanner contribuisce in base al suo livello di rischio:

• Sicurezza Back-Office: 20%
• Sicurezza Moduli: 20%
• File e Directory: 15%
• Header HTTP e Server: 10%
• API WebService: 10%
• SQL Injection e Codice: 10%
• XSS e CSRF: 10%
• Permessi e Accesso: 5%

Ogni risultato sottrae punti in base alla gravità: Critico = -30pt, Avviso = -10pt, Info = -1pt. Il punteggio va da 0 a 100 e corrisponde a un grado alfabetico:

• A (90-100): Eccellente — il tuo negozio segue le migliori pratiche di sicurezza
• B (75-89): Buono — raccomandati piccoli miglioramenti
• C (60-74): Mediocre — necessarie correzioni importanti
• D (40-59): Insufficiente — rilevate vulnerabilità significative
• E (20-39): Scarso — rischi seri, azione urgente necessaria
• F (0-19): Critico — il tuo negozio è vulnerabile, agisci immediatamente

Dashboard, Cronologia e Confronto

La dashboard del back-office ti offre una panoramica completa a colpo d'occhio:

• Grado A-F a grandi caratteri con punteggio numerico ben visibile
• 4 contatori di gravità: Critico / Avviso / Info / Superato con icone colorate
• 8 barre di avanzamento: una per sezione dello scanner con punteggi individuali
• Tabella cronologia scansioni: data, punteggio, durata, versione PS, versione PHP, link ai risultati dettagliati
• Confronto scansioni: quando esistono 2 o più scansioni, vedi la tendenza — ↑ miglioramento (verde) o ↓ regressione (rosso) con differenziale di punti esatto
• Scansione in tempo reale: barra di avanzamento alimentata da AJAX che mostra lo scanner in esecuzione e la percentuale di completamento

Monitora la tua postura di sicurezza nel tempo. Misura l'impatto delle tue correzioni. Rileva regressioni dopo aggiornamenti o installazioni di nuovi moduli.

100% Sicuro e Non Invasivo

Security Audit Pro è progettato per essere completamente sicuro da eseguire su negozi in produzione:

• Sola lettura: il modulo non crea, modifica o elimina mai alcun file sul tuo server
• Test SQL injection: rilevano solo la divulgazione di errori — zero esploitazione, zero estrazione di dati
• Test brute force: limitati a 5 tentativi con credenziali intenzionalmente false (test@test.com / wrongpassword123) e un User-Agent identificabile (WePresta-SecurityAudit/1.0)
• Payload XSS: solo alert(1) non distruttivi — nessuna modifica del DOM, nessuna esfiltrazione di dati
• Zero impatto sul front-office: nessun hook, nessun JavaScript, nessun CSS sulla vetrina del negozio. Il modulo funziona esclusivamente nel back office
• Timeout rigorosi: timeout di 10 secondi su ogni richiesta HTTP per prevenire rallentamenti

Supporto Multistore Completo

Ogni negozio nella tua configurazione multistore ottiene la propria configurazione indipendente, cronologia delle scansioni, punteggio di sicurezza, report dei risultati e file di esportazione per l'IA. Scansiona ogni negozio separatamente e confronta i livelli di sicurezza in tutta la tua rete.

Architettura Tecnica Moderna

• Sistema a doppio controller: controller Symfony con template Twig per PrestaShop 8.x e 9.x (Symfony 6.4), ModuleAdminController legacy con template Smarty per PrestaShop 1.7.x
• Dashboard Alpine.js: interfaccia di back-office reattiva, veloce e moderna
• Autoloading PSR-4: architettura PHP pulita e modulare con 8 classi scanner indipendenti che implementano una ScannerInterface comune
• Wrapper cURL personalizzato: tutte le richieste HTTP utilizzano una classe HttpClient dedicata con User-Agent identificabile, timeout rigorosi e verifica SSL
• Traduzioni complete: inglese (predefinito) e francese tramite file .xlf con il dominio Modules.Weprestasecurityaudit.Admin
• Nessun override del core: zero modifiche ai file core di PrestaShop
• Requisiti minimi: estensioni PHP cURL, JSON e OpenSSL (standard su ogni provider di hosting)

A chi è rivolto questo modulo?

• Proprietari di negozi che vogliono sapere se il loro sito è sicuro — senza bisogno di conoscenze tecniche
• Agenzie che gestiscono più negozi PrestaShop e necessitano di uno strumento di valutazione della sicurezza rapido e ripetibile
• Sviluppatori che vogliono controllare il proprio codice e i propri moduli prima della messa in produzione
• Chiunque sia preoccupato dagli attacchi basati su IA — perché se non scansioni tu il tuo negozio, lo farà qualcun altro