Documentazione Commerce Guida ai sistemi di amministrazione

Scansione di sicurezza

Ultimo aggiornamento: 11 giugno 2025

Argomenti:

Creato per:

Principiante
Intermedio
Amministratore

Lo strumento Adobe Commerce Security Scan fornisce gratuitamente il monitoraggio della sicurezza per i siti Adobe Commerce e Magento Open Source. Lo strumento funziona come un servizio basato su Web a cui puoi accedere tramite il tuo account Adobe Commerce online all'indirizzo account.magento.com.

Strumento Analisi protezione

NOTA

Adobe fornisce questo servizio gratuitamente, anche se gli esercenti devono accettare termini che limitano la responsabilità di Adobe in base ai risultati della scansione e alla configurazione del sito.

Copertura scansione

Lo strumento Security Scan funziona sia su protocolli HTTP che HTTPS per rilevare malware, identificare vulnerabilità di sicurezza e aiutare a mantenere la postura di sicurezza del tuo archivio. Lo strumento è disponibile per tutti i commercianti, sviluppatori e personale designato responsabile della sicurezza del sito.

Lo strumento Security Scan fornisce funzionalità complete di monitoraggio della sicurezza che consentono di mantenere un ambiente di archiviazione sicuro:

Ottieni da insight lo stato di sicurezza in tempo reale del tuo negozio.
Ricevi suggerimenti in base alle best practice per aiutare a risolvere i problemi.
Pianifica un'analisi della sicurezza da eseguire settimanalmente, quotidianamente o su richiesta.
Esegui oltre 21.000 test di sicurezza per identificare potenziali malware.
Accedi ai report cronologici di sicurezza che tengono traccia e monitorano l’avanzamento dei siti.
Accedere al rapporto di scansione che mostra i controlli riusciti e non riusciti, con le azioni consigliate.

NOTA

Non è possibile escludere test di sicurezza specifici dalle analisi dello strumento Security Scan per Adobe Commerce. Tuttavia, in puoi eseguire il self-service ignorando gli errori come falsi positivi, se applicabile.

Accesso

Lo strumento Security Scan mantiene rigorosi controlli di accesso per proteggere le informazioni del sito. Solo tu puoi scansionare il tuo sito perché lo strumento richiede la verifica della proprietà del dominio tramite il tuo account Adobe Commerce. Ogni sito si connette al tuo account tramite un token univoco, che impedisce la scansione non autorizzata da parte di terze parti.

Lo strumento si concentra specificamente sui domini Adobe Commerce e sulle relative vulnerabilità di sicurezza. Anche se il tuo negozio web può includere pagine provenienti da altre piattaforme, lo strumento Security Scan dovrebbe analizzare solo i contenuti generati da Adobe Commerce per garantire risultati affidabili. La scansione di pagine non Adobe Commerce può produrre valutazioni delle vulnerabilità inaffidabili.

Esegui una scansione

Il processo di scansione verifica il sito rispetto a problemi di sicurezza noti e identifica patch e aggiornamenti mancanti di Adobe Commerce che potrebbero rendere il tuo archivio vulnerabile ad attacchi.

SUGGERIMENTO

Per i progetti di infrastruttura cloud di Commerce, vedere Configurazione dello strumento di analisi della sicurezza.

Per eseguire una scansione:

Dalla home page di Commerce, accedi al tuo account Commerce/Magento.
Rivedi e accetta i termini per l’utilizzo dello strumento Security Scan.
1. Nel pannello a sinistra, scegli Security Scan.
2. Fare clic su Go to Security Scan.
3. Leggi Terms and Conditions.
4. Fare clic su Agree per continuare.
Nella pagina Monitored Websites, fare clic su +Add Site.

Se disponi di più siti con domini diversi, configura una scansione separata per ciascun dominio.
Per verificare la proprietà del dominio del sito aggiungendo un codice di conferma, eseguire una delle operazioni seguenti:

vetrina Commerce:
1. Immettere Site URL e Site Name.
2. Fare clic su Generate Confirmation Code.
3. Fai clic su Copia per copiare il codice di conferma negli Appunti.
4. Accedi all’amministratore del tuo archivio come utente con privilegi di amministratore completo ed effettua le seguenti operazioni:
  1. Nella barra laterale Admin, passa a Content > Design>Configuration.
  2. Trovare il sito nell'elenco e fare clic su Edit.
  3. Espandere nella sezione HTML Head.
  4. Scorri verso il basso fino a Scripts and Style Sheets e fai clic nella casella di testo alla fine di qualsiasi codice esistente. Incolla il codice di conferma nella casella di testo.
  5. Al termine, fare clic su Save Configuration.
vetrina PWA:
1. Immettere Site URL e Site Name.
2. Per Confirmation Code, scegliere l'opzione META Tag e quindi fare clic su Generate Code.
3. Fare clic su Copy per copiare negli Appunti il tag META del codice di conferma generato.
4. Vai alla directory del progetto PWA Studio storefront ed effettua le seguenti operazioni:
  1. Nella directory del progetto PWA Studio, vai a packages > venia-concept > template.html.
  2. Aggiungi il codice di conferma copiato (il tag META generato) all’intestazione del HTML e salva le modifiche.
  3. Torna a PWA Studio CLI e utilizza il filato per installare le dipendenze del progetto ed eseguire il comando project build.
    yarn install && yarn build
  4. Nel progetto Cloud, crea una cartella pwa e copia il contenuto nella cartella dist del progetto storefront.
    mkdir pwa && cp -r <path to your storefront project>/dist/* pwa
  5. Utilizza lo strumento Git CLI per posizionare nell’area intermedia, eseguire il commit e inviare queste modifiche al progetto Cloud.
    git add . && git commit -m "Added storefront file bundles" && git push origin
    Al termine del processo di generazione, le modifiche verranno distribuite nella parte anteriore dello store di PWA.
Torna alla pagina Security Scan nel tuo account Commerce e fai clic su Verify Confirmation Code per stabilire la proprietà del dominio.
Dopo una conferma, configurare le opzioni Set Automatic Security Scan per uno dei tipi seguenti:

Scansione settimanale (consigliata):

Scegliere Week Day, Time e Time Zone per eseguire l'analisi ogni settimana.

Per impostazione predefinita, la scansione inizia ogni settimana a mezzanotte del sabato (UTC) e continua fino alla prima domenica.

Scansione giornaliera:

Scegliere Time e Time Zone che l'analisi deve essere eseguita ogni giorno.

Per impostazione predefinita, la scansione inizia ogni giorno a mezzanotte (UTC).
Immettere Email Address dove si desidera ricevere le notifiche delle scansioni completate e degli aggiornamenti di sicurezza.
Al termine, fare clic su Submit.

Dopo aver verificato la proprietà del dominio, il sito viene visualizzato nell'elenco Siti Web monitorati dell'account Commerce.
Se disponi di più siti web con domini diversi, ripeti questo processo per impostare un’analisi di sicurezza per ciascuno di essi.

Gestisci errori di scansione

Lo strumento Security Scan consente di gestire gli errori di scansione direttamente dalla vista report. È possibile contrassegnare specifici errori di scansione come falsi positivi e escluderli dal punteggio di rischio.

Vantaggi della gestione degli errori di scansione

La gestione degli errori di scansione consente di ottenere una panoramica più accurata della sicurezza dello store grazie a:

Riduzione dei falsi positivi nei rapporti sulla sicurezza.
Concentrarsi su questioni di sicurezza rilevanti che richiedono attenzione.
Mantenere una visione più chiara dello stato di sicurezza reale del tuo negozio.
Eliminazione della necessità di contattare il supporto per falsi positivi noti.
Risparmio di tempo grazie alla gestione automatica degli errori di scansione già analizzati.

Di seguito sono riportati alcuni scenari comuni in cui è possibile contrassegnare un errore di scansione come falso positivo:

Quando è già stata applicata una patch di sicurezza che lo strumento di scansione non ha rilevato.
Quando un problema rilevato non è applicabile alla configurazione di archivio specifica.
Quando hai implementato una misura di sicurezza alternativa che risolve il problema.
Quando l'errore di scansione si basa su una configurazione impostata intenzionalmente per le esigenze aziendali.

Ignora errori di scansione

Per gestire gli errori di scansione identificati come falsi positivi, effettua le seguenti operazioni:

Dalla pagina Monitored Websites, fare clic su View Report per il sito che si desidera gestire.
Nella visualizzazione report, individuare la scansione non riuscita che si desidera contrassegnare come falso positivo.
Fare clic su Ignore per l'errore di scansione specifico.
Fai clic su Apply Changes per salvare la selezione.

L'errore di scansione ignorato viene spostato nella sezione Ignored Results ed è escluso dal punteggio di rischio.

Interrompi ignoramento errori di scansione

Se è necessario ripristinare un errore di scansione precedentemente ignorato nel monitoraggio attivo, eseguire la procedura seguente:

Nella visualizzazione report, scorrere fino alla sezione Ignored Results.
Fare clic su Stop Ignoring per l'errore di scansione che si desidera ripristinare.
Fai clic su Apply Changes per salvare la selezione.

L'errore di scansione torna alla sezione Failed Scans ed è incluso nel punteggio di rischio.

Visualizza errori di scansione ignorati

I risultati ignorati vengono visualizzati in una sezione separata del rapporto e il punteggio di rischio viene aggiornato automaticamente in modo da riflettere solo gli errori di scansione attivi. È possibile gestire più errori di scansione contemporaneamente selezionando più elementi prima di applicare le modifiche.

Errori di analisi ignorati

recommendation-more-help