Il tuo sito PrestaShop è stato violato? Ecco come riconoscere e rimuovere un malware card skimmer
Se hai un negozio online basato su PrestaShop e hai notato comportamenti anomali sul sito, ordini sospetti o segnalazioni da parte di clienti riguardo addebiti non autorizzati sulla carta di credito, questo articolo fa per te.
Recentemente ho gestito un caso concreto di sito PrestaShop infettato da un malware card skimmer, una delle minacce più insidiose per gli e-commerce. In questo articolo spiego cos’è successo, come ho individuato il problema, quali rischi comporta per te e per i tuoi clienti, e come ho risolto la situazione.
Cos’è un malware card skimmer (attacco MageCart)
Un card skimmer è un tipo di malware che si installa silenziosamente nel codice del tuo sito e-commerce con un obiettivo preciso: rubare i dati delle carte di credito dei tuoi clienti nel momento esatto in cui vengono inseriti durante il checkout.
Questo tipo di attacco è noto anche come MageCart, dal nome del gruppo di hacker che lo ha reso famoso a partire dal 2015 colpendo migliaia di negozi online in tutto il mondo, inclusi brand internazionali.
Il meccanismo è semplice ma devastante:
- Gli hacker iniettano codice JavaScript malevolo nei file del tuo sito
- Quando un cliente arriva al checkout e inserisce i dati della carta, il codice intercetta le informazioni in tempo reale
- I dati vengono trasmetti a un server remoto controllato dagli hacker
- Il cliente completa l’acquisto normalmente, ignaro di tutto
- I dati della carta vengono poi rivenduti nel dark web o utilizzati per acquisti fraudolenti
Il fatto più preoccupante? Il sito continua a funzionare perfettamente. Non ci sono messaggi di errore, non ci sono rallentamenti evidenti. Tutto sembra normale, mentre i dati vengono sottratti in silenzio.
Come ho scoperto il problema
Nel caso specifico che ho gestito, il sito utilizzava PrestaShop 1.6 su hosting condiviso Aruba. Durante un’analisi di sicurezza ho individuato immediatamente segnali preoccupanti:
- Presenza di file JavaScript modificati nel tema attivo con codice offuscato aggiunto alla fine
- Un file immagine (
img/puWeo.png) contenente codice PHP eseguibile nascosto - Il file core
classes/controller/Controller.phpmodificato per gestire redirect anomali - Un modulo non riconosciuto nella cartella
/modules/
Il codice malevolo era identificabile dal pattern caratteristico 0x5aa5, tipico della famiglia MageCart, e risultava presente in oltre 40 file JavaScript del tema.
Quali rischi comporta per il tuo negozio
Un attacco di questo tipo ha conseguenze serie su più fronti:
Per i tuoi clienti
I dati della carta di credito (numero, scadenza, CVV) vengono intercettati e potenzialmente utilizzati per frodi. I tuoi clienti potrebbero subire addebiti non autorizzati senza capirne la causa.
Per te come titolare del negozio
- Responsabilità legale: ai sensi del GDPR (Regolamento UE 2016/679) sei obbligato a notificare la violazione dei dati personali al Garante entro 72 ore dalla scoperta (art. 33) e, in alcuni casi, anche agli interessati direttamente (art. 34)
- Danno reputazionale: se i clienti scoprono che i loro dati sono stati rubati tramite il tuo sito, la fiducia nel tuo brand ne risente gravemente
- Blocco del sito: Google e i principali antivirus possono inserire il tuo sito in blacklist, rendendolo inaccessibile o mostrando avvisi di pericolo agli utenti
Per il tuo business
Un sito in blacklist significa crollo del traffico organico, perdita di vendite e costi aggiuntivi per la bonifica e il recupero della reputazione online.
Come ho risolto il problema: la bonifica passo per passo
La bonifica di un sito infetto da card skimmer richiede un approccio metodico. Ecco le fasi che ho seguito:
1. Analisi e identificazione dei file infetti
Ho utilizzato lo strumento di scansione PhenixSuite/EoliaShop, specifico per PrestaShop, che ha permesso di identificare con precisione tutti i file modificati e i pattern malevoli presenti.
2. Ripristino dei file core
Tutti i file JavaScript del tema infetti sono stati sostituiti con le versioni originali pulite, recuperate dall’archivio ufficiale di PrestaShop 1.6.1.20. Stesso trattamento per i file PHP core modificati.
3. Eliminazione di file e moduli sospetti
Rimossi tutti i file aggiunti dagli hacker, inclusa l’immagine con codice nascosto e un modulo malevolo installato nella cartella /modules/.
4. Cambio di tutte le credenziali
Modificate password del Back Office, FTP e database — operazione fondamentale per impedire un nuovo accesso non autorizzato.
5. Oscuramento del pannello di amministrazione
Rinominata la cartella admin per rendere l’URL del backoffice non indovinabile dai bot automatici.
6. Verifica finale
Eseguita una nuova scansione completa per confermare l’assenza di codice sospetto. Risultato: nessun codice malevolo rilevato.
Perché PrestaShop 1.6 è particolarmente vulnerabile
Questo è un punto cruciale che voglio sottolineare.
PrestaShop 1.6 ha terminato il supporto ufficiale il 30 giugno 2019. Da quella data, nessuna patch di sicurezza viene più rilasciata per questa versione.
Fonte ufficiale: End of maintenance for PrestaShop 1.6
Questo significa che qualsiasi vulnerabilità scoperta dopo quella data rimane permanentemente senza correzione. Gli hacker lo sanno, e prendono di mira proprio i siti che utilizzano versioni obsolete perché sanno che non verranno mai aggiornate.
La situazione è aggravata dall’utilizzo di versioni PHP obsolete. PHP 7.x è completamente End of Life dal 2022, e PHP 8.1 ha raggiunto la fine del supporto il 31 dicembre 2025. Su versioni non più supportate, le vulnerabilità scoperte non vengono mai corrette.
Fonte: endoflife.date/php
Se il tuo negozio gira ancora su PrestaShop 1.6, non è una questione di “se” verrà attaccato, ma di quando.
Cosa dovresti fare adesso
Se gestisci un negozio online su PrestaShop, ecco le azioni prioritarie:
1. Verifica la versione di PrestaShop che stai usando Accedi al Back Office → Parametri avanzati → Informazioni. Se vedi una versione 1.6 o 1.7, sei a rischio.
2. Fai scansionare il tuo sito Anche se non noti nulla di anomalo, potrebbe essere già infetto. Il malware card skimmer è progettato per essere invisibile.
3. Pianifica la migrazione a PrestaShop 8.x La versione attualmente supportata è PrestaShop 8.x, compatibile con PHP 8.3/8.4. La migrazione richiede pianificazione ma è l’unica strada per mettere in sicurezza il tuo negozio.
4. Valuta il passaggio a un hosting più sicuro I server condivisi (come quelli Aruba standard) hanno limitazioni importanti in termini di isolamento, backup e performance. Un VPS dedicato offre backup automatici affidabili, maggiore velocità e migliore sicurezza — con costi a partire da 15-20 euro al mese.
Hai bisogno di aiuto?
Se hai dubbi sulla sicurezza del tuo sito PrestaShop, se hai ricevuto segnalazioni sospette dai tuoi clienti, o se vuoi semplicemente una verifica preventiva, sono a disposizione.
Gestisco interventi di bonifica malware, migrazione PrestaShop, ottimizzazione server e consulenza sulla sicurezza e-commerce per piccole e medie imprese.
📧 Contattami tramite il modulo di contatto oppure direttamente su WhatsApp al +39 392 523 6105.
Pietro Menconi – Menconi.IT | Consulente IT e Web, Bologna
