
Introduzione
Dolibarr ERP & CRM si è affermato come una delle piattaforme open source di gestione aziendale più popolari, apprezzata per la sua flessibilità, la sua struttura modulare e la sua accessibilità.
Che tu sia un piccolo imprenditore, una grande impresa o un fornitore di servizi IT, implementare Dolibarr offre un enorme potenziale per ottimizzare operazioni commerciali, contabili, HR e di relazione clienti.
Tuttavia, con grande potere arriva grande responsabilità.
Poiché Dolibarr gestisce dati aziendali sensibili — come informazioni sui clienti, documenti finanziari, inventari e processi interni — proteggere la tua istanza Dolibarr è assolutamente fondamentale.
Le violazioni della sicurezza possono portare a perdite finanziarie, danni alla reputazione e sanzioni legali.
In questa guida, esploreremo tutte le migliori pratiche e raccomandazioni per proteggere Dolibarr: dalla configurazione del server alla gestione degli utenti, dal rafforzamento dell'applicazione al backup e al monitoraggio continuo.
Proteggi la tua azienda e assicura l'affidabilità del tuo sistema Dolibarr!
Perché la sicurezza di Dolibarr è fondamentale
Prima di addentrarci nelle raccomandazioni tecniche, è importante comprendere i rischi di una istanza Dolibarr non protetta:
-
Fughe di dati: accesso non autorizzato a dati clienti, fatture, documenti interni.
-
Perdite finanziarie: falsificazione o furto di dati contabili.
-
Danni alla reputazione: perdita di fiducia da parte di clienti e partner.
-
Sanzioni normative: il mancato rispetto di normative come il GDPR può comportare pesanti multe.
-
Blocco dell'attività: attacchi ransomware possono paralizzare completamente il sistema.
Poiché Dolibarr è spesso accessibile via Internet, la sicurezza proattiva non è facoltativa, è obbligatoria.
Sicurezza a livello di server per Dolibarr
1. Ambiente di hosting sicuro
Scegli un fornitore affidabile:
-
VPS, server dedicati o cloud privato (evita l'hosting condiviso per ambienti produttivi).
-
Datacenter certificati (ISO 27001, SOC 2, ecc.).
-
Protezione anti-DDoS e firewall inclusi.
Mantieni il sistema operativo server (Linux Ubuntu, Debian, CentOS...) sempre aggiornato.
2. Utilizzare esclusivamente HTTPS
Non esporre mai Dolibarr tramite HTTP:
-
Installa un certificato SSL/TLS valido (Let's Encrypt o provider a pagamento).
-
Reindirizza automaticamente tutto il traffico HTTP a HTTPS.
-
Usa suite di cifratura forti.
La cifratura HTTPS protegge i dati durante il transito.
3. Configurazione del firewall
Implementa un firewall efficace:
-
Firewall a livello di sistema (UFW su Ubuntu, Firewalld su CentOS).
-
Firewall cloud forniti dal provider.
-
Apri solo le porte necessarie (80, 443, 22...).
-
Limita l'accesso SSH a indirizzi IP fidati.
Ridurre la superficie di attacco è una difesa fondamentale.
4. Aggiornamento dei software di sistema
Aggiorna regolarmente:
-
Sistema operativo.
-
PHP, MySQL/MariaDB, Nginx/Apache.
-
Tutti i pacchetti installati.
Un sistema non aggiornato è una facile preda per gli hacker.
Rafforzare la sicurezza specifica di Dolibarr
1. Mantenere Dolibarr aggiornato
Ogni nuova versione corregge vulnerabilità:
-
Installa rapidamente gli aggiornamenti disponibili.
-
Esegui backup prima di ogni aggiornamento.
Le nuove versioni migliorano anche la sicurezza nativa.
2. Proteggere la cartella /documents
Dolibarr salva i documenti caricati in /documents
:
-
Posizionala fuori dalla directory web accessibile, se possibile.
-
Altrimenti, proteggila tramite
.htaccess
o configurazione Nginx:-
Vietare l'accesso diretto.
-
Bloccare l'esecuzione di file caricati.
-
Questo previene l'esecuzione di file malevoli.
3. Politica rigorosa delle password
-
Richiedi password complesse (almeno 12 caratteri, lettere maiuscole, minuscole, numeri, simboli).
-
Cambia subito le credenziali amministrative predefinite.
-
Imposta una scadenza periodica delle password.
-
Abilita l'autenticazione a due fattori (2FA) se disponibile.
Password sicure sono una protezione fondamentale.
4. Limitare l’accesso amministrativo
-
Concedi privilegi da amministratore solo se strettamente necessario.
-
Disattiva gli account inutilizzati.
-
Applica il principio del minimo privilegio.
Meno amministratori = meno rischio.
5. Gestione sicura delle sessioni
-
Riduci il tempo massimo di inattività.
-
Rigenera l'ID di sessione dopo il login.
-
Proteggi i cookie di sessione (
Secure
,HttpOnly
,SameSite
).
Una gestione sicura delle sessioni previene il furto di sessione.
Sicurezza della base di dati Dolibarr
1. Proteggere l’accesso al database
-
Usa password forti per l'utente del database.
-
Non usare l'account root per collegare Dolibarr.
-
Crea un utente MySQL dedicato con permessi minimi.
Limitare i privilegi riduce il rischio.
2. Limitare le connessioni esterne
-
Se possibile, MySQL/MariaDB deve ascoltare solo su
localhost
. -
Altrimenti, filtra gli IP autorizzati tramite firewall.
Meno accessi esterni = più sicurezza.
3. Crittografare i dati sensibili
-
Dolibarr cifra di default alcune informazioni (es. password).
-
Cifra campi personalizzati particolarmente sensibili.
La crittografia rende i dati inutili agli attaccanti.
Strategie di backup e ripristino
1. Backup automatici
-
Pianifica backup giornalieri del database.
-
Salva anche i file essenziali (
/documents
, moduli personalizzati).
Backup regolari sono vitali per ogni sistema critico.
2. Backup off-site
-
Conserva copie di backup in server remoti o cloud.
-
Cifra i backup.
Backup esterni proteggono dai danni in caso di attacchi o disastri locali.
3. Testare i backup
-
Verifica periodicamente l'integrità delle copie.
-
Esegui simulazioni di ripristino.
Un backup non testato è un rischio latente.
Monitoraggio e rilevamento intrusioni
1. Monitoraggio del sistema
Usa strumenti per controllare:
-
Carico CPU, memoria, spazio su disco.
-
Stato dei server web.
Zabbix, Grafana e simili aiutano a individuare problemi prima che esplodano.
2. Sistemi di rilevamento delle intrusioni (IDS)
Implementa:
-
OSSEC (IDS open source).
-
Fail2Ban (blocca IP dopo tentativi di login falliti).
Difendersi da attacchi di forza bruta diventa più semplice.
3. Gestione dei log
-
Centralizza i log di accesso, log Dolibarr, log di sistema.
-
Analizza eventi anomali.
I log sono cruciali per la diagnostica post-attacco.
Miglioramenti applicativi
1. Limitare i tipi di file caricabili
-
Consenti solo estensioni sicure (PDF, JPEG, DOCX, ecc.).
-
Controlla tipo MIME e dimensione massima.
Evitare upload pericolosi è fondamentale.
2. Installare solo moduli sicuri
-
Usa moduli ufficiali o sviluppatori affidabili.
-
Mantieni aggiornati i moduli esterni.
Moduli non sicuri possono compromettere l'intero sistema.
3. Impostare correttamente i permessi su file e cartelle
-
File: permessi
644
. -
Cartelle: permessi
755
. -
File sensibili (
conf.php
): permessi600
.
I permessi proteggono i file da modifiche non autorizzate.
Best Practices per la sicurezza degli utenti
1. Formare il personale
-
Sensibilizza sui rischi di phishing e ingegneria sociale.
-
Promuovi l’uso di gestori di password sicuri.
Il fattore umano è il punto debole principale.
2. Audit periodici della sicurezza
-
Conduci regolari revisioni della sicurezza.
-
Considera penetration test professionali.
Un occhio esterno può scoprire falle che sfuggono internamente.
3. Registrazione e audit delle attività
-
Registra gli accessi.
-
Traccia modifiche sensibili (creazione di account, modifiche a fatture).
La trasparenza aiuta a prevenire e reagire rapidamente.
Conclusione
Proteggere Dolibarr è un processo continuo che coinvolge la protezione a livello server, la configurazione applicativa, la gestione utenti, il monitoraggio e i piani di recupero.
Applicando queste best practices, garantirai la sicurezza dei tuoi dati, dei tuoi clienti e della reputazione della tua azienda.
Ricorda: investire nella sicurezza oggi ti salverà da problemi, perdite e danni domani.