Il tuo sito PrestaShop è stato violato? Ecco come riconoscere e rimuovere un malware card skimmer
Il tuo sito PrestaShop è stato violato? Ecco come riconoscere e rimuovere un malware card skimmer
Se gestisci un negozio online e sospetti che il tuo sito sia stato colpito da un card skimmer PrestaShop, sei nel posto giusto. Comportamenti anomali sul sito, ordini sospetti o segnalazioni da parte di clienti riguardo addebiti non autorizzati sulla carta di credito sono spesso i primi campanelli d’allarme di questo tipo di infezione.
Recentemente ho gestito un caso concreto di sito PrestaShop infettato da un malware card skimmer, una delle minacce più insidiose per gli e-commerce. In questo articolo spiego cos’è successo, come ho individuato il problema, quali rischi comporta per te e per i tuoi clienti, e come ho risolto la situazione.

Cos’è un malware card skimmer PrestaShop (attacco MageCart)
Un card skimmer è un tipo di malware che si installa silenziosamente nel codice del tuo sito e-commerce con un obiettivo preciso: rubare i dati delle carte di credito dei tuoi clienti nel momento esatto in cui vengono inseriti durante il checkout.
Questo tipo di attacco è noto anche come MageCart, dal nome del gruppo di hacker che lo ha reso famoso a partire dal 2015 colpendo migliaia di negozi online in tutto il mondo, inclusi brand internazionali. Puoi approfondire il fenomeno sulla pagina dedicata a Magecart.
Il meccanismo è semplice ma devastante:
- Gli hacker iniettano codice JavaScript malevolo nei file del tuo sito
- Quando un cliente arriva al checkout e inserisce i dati della carta, il codice intercetta le informazioni in tempo reale
- I dati vengono trasmessi a un server remoto controllato dagli hacker
- Il cliente completa l’acquisto normalmente, ignaro di tutto
- I dati della carta vengono poi rivenduti nel dark web o utilizzati per acquisti fraudolenti
Il fatto più preoccupante? Il sito continua a funzionare perfettamente. Non ci sono messaggi di errore, non ci sono rallentamenti evidenti. Tutto sembra normale, mentre i dati vengono sottratti in silenzio.
Come ho scoperto il problema
Nel caso specifico che ho gestito, il sito utilizzava PrestaShop 1.6 su hosting condiviso Aruba. Durante un’analisi di sicurezza ho individuato immediatamente segnali preoccupanti:
- Presenza di file JavaScript modificati nel tema attivo con codice offuscato aggiunto alla fine
- Un file immagine (
img/puWeo.png) contenente codice PHP eseguibile nascosto - Il file core
classes/controller/Controller.phpmodificato per gestire redirect anomali - Un modulo non riconosciuto nella cartella
/modules/
Il codice malevolo era identificabile dal pattern caratteristico 0x5aa5, tipico della famiglia MageCart, e risultava presente in oltre 40 file JavaScript del tema. Tutti segnali tipici di un card skimmer PrestaShop attivo sul sito. Casi simili li trovi tra i miei casi studio.
Quali rischi comporta per il tuo negozio
Un card skimmer PrestaShop ha conseguenze serie su più fronti:
Per i tuoi clienti
I dati della carta di credito (numero, scadenza, CVV) vengono intercettati e potenzialmente utilizzati per frodi. I tuoi clienti potrebbero subire addebiti non autorizzati senza capirne la causa.
Per te come titolare del negozio
- Responsabilità legale: ai sensi del GDPR (Regolamento UE 2016/679) sei obbligato a notificare la violazione dei dati personali al Garante entro 72 ore dalla scoperta (art. 33) e, in alcuni casi, anche agli interessati direttamente (art. 34). Su questo tema offro consulenza GDPR e privacy dedicata.
- Danno reputazionale: se i clienti scoprono che i loro dati sono stati rubati tramite il tuo sito, la fiducia nel tuo brand ne risente gravemente
- Blocco del sito: Google e i principali antivirus possono inserire il tuo sito in blacklist, rendendolo inaccessibile o mostrando avvisi di pericolo agli utenti
Per il tuo business
Un sito in blacklist significa crollo del traffico organico, perdita di vendite e costi aggiuntivi per la bonifica e il recupero della reputazione online.
Come ho rimosso il card skimmer PrestaShop: la bonifica passo per passo
La bonifica di un sito infetto da card skimmer richiede un approccio metodico. Ecco le fasi che ho seguito:
1. Analisi e identificazione dei file infetti
Ho utilizzato lo strumento di scansione PhenixSuite/EoliaShop, specifico per PrestaShop, che ha permesso di identificare con precisione tutti i file modificati e i pattern malevoli presenti.
2. Ripristino dei file core
Tutti i file JavaScript del tema infetti sono stati sostituiti con le versioni originali pulite, recuperate dall’archivio ufficiale di PrestaShop 1.6.1.20. Stesso trattamento per i file PHP core modificati.
3. Eliminazione di file e moduli sospetti
Rimossi tutti i file aggiunti dagli hacker, inclusa l’immagine con codice nascosto e un modulo malevolo installato nella cartella /modules/.
4. Cambio di tutte le credenziali
Modificate password del Back Office, FTP e database — operazione fondamentale per impedire un nuovo accesso non autorizzato.
5. Oscuramento del pannello di amministrazione
Rinominata la cartella admin per rendere l’URL del backoffice non indovinabile dai bot automatici.
6. Verifica finale
Eseguita una nuova scansione completa per confermare l’assenza di codice sospetto. Risultato: nessun codice malevolo rilevato.
Perché PrestaShop 1.6 è particolarmente vulnerabile
Questo è un punto cruciale che voglio sottolineare.
PrestaShop 1.6 ha terminato il supporto ufficiale il 30 giugno 2019. Da quella data, nessuna