Manuale del modulo Kowal_SecurityScan

Panoramica

Il modulo estende Magento 2 con un livello di monitoraggio della sicurezza per i file dell'applicazione, tabelle selezionate del database, URL sospetti e analisi opzionale degli incidenti tramite OpenAI.

I report vengono salvati nella tabella kowal_securityscan_report e possono essere inviati via e-mail.

Funzionalità principali

• scansione delle modifiche ai file Magento con confronto rispetto allo snapshot,
• scansione euristica dei file php, phtml, php5, inc, phar, js, html, htm, svg, htaccess,
• analisi dei token PHP tramite token_get_all(),
• scansione di tabelle selezionate del database alla ricerca di HTML malevolo, JavaScript, SVG, URI data: e URL sospetti,
• integrazione con Google Safe Browsing API,
• analisi OpenAI opzionale per i rilevamenti,
• allowlist configurabili di domini, file, pattern di contenuto e regole,
• report con suggerimenti pronti per l'allowlist ed export di configurazione JSON normalizzata.

Requisiti

• Magento 2,
• modulo kowal/base disponibile,
• cron Magento funzionante,
• invio e-mail configurato correttamente,
• opzionalmente: chiave OpenAI API e chiave Google Safe Browsing API.

Installazione

1. Aggiunta del repository del pacchetto

Se il pacchetto non è disponibile nel repository Composer predefinito, aggiungi la sorgente:

composer config repositories.securityscan vcs https://github.com/kowalco/module-securityscan

Se il repository richiede autorizzazione:

composer config --global --auth github-oauth.github.com 

2. Installazione del pacchetto

composer require kowal/module-securityscan

3. Attivazione del modulo

php bin/magento module:enable Kowal_SecurityScanphp bin/magento setup:upgradephp bin/magento cache:flush

Nell'ambiente di produzione esegui i passaggi standard di deployment Magento, in linea con il tuo processo di implementazione.

Cron e pianificazione delle scansioni

Il modulo registra il proprio gruppo cron securityscan.

• kowal_securityscan_filecheck - ogni giorno alle 00:00,
• kowal_securityscan_malwarecheck - ogni giorno alle 01:00,
• kowal_securityscan_dbcheck - ogni giorno alle 02:00,
• kowal_securityscan_cleanup_reports - ogni giorno alle 02:30.

Senza un cron Magento funzionante, le scansioni automatiche non verranno eseguite.

Avvio manuale delle scansioni

Per avviare manualmente le scansioni usa:

php bin/magento kowal_securityscan:filecheckphp bin/magento kowal_securityscan:malwarecheckphp bin/magento kowal_securityscan:dbcheck

Questo è il metodo consigliato per i test dopo l'installazione e dopo le modifiche di configurazione.

Configurazione

Percorso di configurazione:

Stores -> Configuration -> kowal -> kowal_security

Impostazioni generali

• Abilita modulo
• Indirizzo e-mail per i report
• Indirizzo e-mail del mittente
• Conservazione dei report in giorni
• Google Safe Browsing API Key
• Allowlist dei domini
• Allowlist dei file
• Allowlist dei pattern del database
• Allowlist delle regole dei file
• Allowlist delle regole del database

Configurazione minima

1. abilita il modulo,
2. imposta l'indirizzo del destinatario dei report,
3. imposta l'indirizzo del mittente dei report,
4. assicurati che l'invio e-mail di Magento funzioni,
5. assicurati che il cron Magento funzioni.

Analisi OpenAI

La sezione Analisi OpenAI consente di ampliare i report con valutazione del rischio e raccomandazioni operative.

Campi disponibili:

• Abilita analisi AI,
• OpenAI API Key,
• Modello OpenAI,
• Contesto massimo per AI.

Come abilitare

1. abilita Abilita analisi AI,
2. compila OpenAI API Key,
3. salva la configurazione,
4. aggiorna il modulo di configurazione,
5. seleziona il modello.

Comportamento predefinito

• modello predefinito: gpt-4.1-mini,
• limite di contesto predefinito: 12000,
• i valori inferiori a 2000 vengono elevati a 12000,
• il limite massimo di contesto è 50000.

Se OpenAI è disattivato oppure manca la chiave, il modulo continua comunque a funzionare e utilizza euristiche locali.

Google Safe Browsing

Se completi il campo Google Safe Browsing API Key, il modulo:

• controllerà gli URL rilevati nei file e nel database,
• controllerà l'indirizzo base del negozio.

L'assenza della chiave non blocca le scansioni di base, ma disattiva soltanto questa fase.

Scansione delle modifiche ai file

filecheck funziona sulla base di uno snapshot salvato in:

var/security_scan_hashes.json

Al primo avvio:

• viene creato uno snapshot,
• non è ancora disponibile un confronto delle modifiche,
• il report informa della creazione della baseline di riferimento.

Le esecuzioni successive riportano modifiche di tipo ADDED, MODIFIED e REMOVED.

Tra gli elementi ignorati ci sono, tra gli altri:

• var/,
• generated/,
• vendor/,
• pub/static/,
• node_modules/.

Scansione malware nei file

malwarecheck analizza i file dell'applicazione sulla base di:

• regole regex con rule_id,
• euristiche token PHP,
• controlli URL tramite Safe Browsing.

Esempi di tipi di rilevamento:

• file.obfuscated_eval_chain,
• file.command_execution_from_request,
• file.encoded_payload_blob,
• file.token.decode_execute_chain,
• file.token.include_from_request,
• file.inline_svg_or_event_handler.

Nei report i motivi sono presentati nel formato:

[file.encoded_payload_blob] Encoded payload blob detected

Scansione del database

dbcheck analizza tabelle Magento selezionate:

• cms_block,
• cms_page,
• core_config_data,
• email_template,
• newsletter_template,
• review_detail,
• catalog_product_entity_text.

Esempi di regole:

• db.inline_script_tag,
• db.html_event_handler,
• db.external_iframe,
• db.javascript_uri,
• db.data_uri_executable,
• db.embedded_svg_payload,
• db.javascript_dom_redirect.

Il contenuto viene prima normalizzato tramite:

• html_entity_decode,
• rawurldecode,
• normalizzazione degli spazi bianchi,
• analisi di più varianti dello stesso contenuto.

Configurazione avanzata: allowlist

Le allowlist servono a limitare i false positive senza disattivare l'intero modulo.

1. Allowlist dei domini

Campo: kowal_security/general/allowlisted_domains

Formato:

• un dominio per riga, oppure
• lista separata da virgole.

cdn.example.comstatic.example.org

Effetto:

• gli URL di questi domini non verranno considerati sospetti,
• Safe Browsing non li controllerà.

2. Allowlist dei file

Campo: kowal_security/general/allowlisted_file_patterns

Formato:

• percorsi relativi,
• supporto per i glob.

app/code/Vendor/Module/Test/*pub/media/custom.js

Effetto: i file che corrispondono al pattern vengono completamente ignorati dalla scansione malware. Questa impostazione ha un raggio d'azione ampio.

3. Allowlist dei pattern del database

Campo: kowal_security/general/allowlisted_db_patterns

Formato:

• frasi,
• frammenti HTML o JS,
• voci separate da una nuova riga o da virgole.

trusted-inline-widgetdata:image/svg+xml,

percorso_o_glob | rule_id

app/code/Vendor/Module/* | file.encoded_payload_blobpub/media/custom.js | file.javascript_redirect_or_rewrite

tabella_o_* | rule_id

cms_block | db.inline_script_tag* | db.fetch_or_xhr_loader

- cms_block | db.inline_script_tag | certezza=MEDIUM | portata=LOW- app/code/Vendor/Module/* | file.encoded_payload_blob | certezza=MEDIUM | portata=LOW- data:image/svg+xml,