Introduzione

Dolibarr ERP & CRM si è affermato come una delle piattaforme open source di gestione aziendale più popolari, apprezzata per la sua flessibilità, la sua struttura modulare e la sua accessibilità.
Che tu sia un piccolo imprenditore, una grande impresa o un fornitore di servizi IT, implementare Dolibarr offre un enorme potenziale per ottimizzare operazioni commerciali, contabili, HR e di relazione clienti.

Tuttavia, con grande potere arriva grande responsabilità.
Poiché Dolibarr gestisce dati aziendali sensibili — come informazioni sui clienti, documenti finanziari, inventari e processi interni — proteggere la tua istanza Dolibarr è assolutamente fondamentale.
Le violazioni della sicurezza possono portare a perdite finanziarie, danni alla reputazione e sanzioni legali.

In questa guida, esploreremo tutte le migliori pratiche e raccomandazioni per proteggere Dolibarr: dalla configurazione del server alla gestione degli utenti, dal rafforzamento dell'applicazione al backup e al monitoraggio continuo.
Proteggi la tua azienda e assicura l'affidabilità del tuo sistema Dolibarr!

Perché la sicurezza di Dolibarr è fondamentale

Prima di addentrarci nelle raccomandazioni tecniche, è importante comprendere i rischi di una istanza Dolibarr non protetta:

• Fughe di dati: accesso non autorizzato a dati clienti, fatture, documenti interni.

• Perdite finanziarie: falsificazione o furto di dati contabili.

• Danni alla reputazione: perdita di fiducia da parte di clienti e partner.

• Sanzioni normative: il mancato rispetto di normative come il GDPR può comportare pesanti multe.

• Blocco dell'attività: attacchi ransomware possono paralizzare completamente il sistema.

Poiché Dolibarr è spesso accessibile via Internet, la sicurezza proattiva non è facoltativa, è obbligatoria.

Sicurezza a livello di server per Dolibarr

1. Ambiente di hosting sicuro

Scegli un fornitore affidabile:

• VPS, server dedicati o cloud privato (evita l'hosting condiviso per ambienti produttivi).

• Datacenter certificati (ISO 27001, SOC 2, ecc.).

• Protezione anti-DDoS e firewall inclusi.

Mantieni il sistema operativo server (Linux Ubuntu, Debian, CentOS...) sempre aggiornato.

2. Utilizzare esclusivamente HTTPS

Non esporre mai Dolibarr tramite HTTP:

• Installa un certificato SSL/TLS valido (Let's Encrypt o provider a pagamento).

• Reindirizza automaticamente tutto il traffico HTTP a HTTPS.

• Usa suite di cifratura forti.

La cifratura HTTPS protegge i dati durante il transito.

3. Configurazione del firewall

Implementa un firewall efficace:

• Firewall a livello di sistema (UFW su Ubuntu, Firewalld su CentOS).

• Firewall cloud forniti dal provider.

• Apri solo le porte necessarie (80, 443, 22...).

• Limita l'accesso SSH a indirizzi IP fidati.

Ridurre la superficie di attacco è una difesa fondamentale.

4. Aggiornamento dei software di sistema

Aggiorna regolarmente:

• Sistema operativo.

• PHP, MySQL/MariaDB, Nginx/Apache.

• Tutti i pacchetti installati.

Un sistema non aggiornato è una facile preda per gli hacker.

Rafforzare la sicurezza specifica di Dolibarr

1. Mantenere Dolibarr aggiornato

Ogni nuova versione corregge vulnerabilità:

• Installa rapidamente gli aggiornamenti disponibili.

• Esegui backup prima di ogni aggiornamento.

Le nuove versioni migliorano anche la sicurezza nativa.

2. Proteggere la cartella /documents

Dolibarr salva i documenti caricati in /documents:

• Posizionala fuori dalla directory web accessibile, se possibile.

• Altrimenti, proteggila tramite .htaccess o configurazione Nginx:

  • Vietare l'accesso diretto.

  • Bloccare l'esecuzione di file caricati.

Questo previene l'esecuzione di file malevoli.

3. Politica rigorosa delle password

• Richiedi password complesse (almeno 12 caratteri, lettere maiuscole, minuscole, numeri, simboli).

• Cambia subito le credenziali amministrative predefinite.

• Imposta una scadenza periodica delle password.

• Abilita l'autenticazione a due fattori (2FA) se disponibile.

Password sicure sono una protezione fondamentale.

4. Limitare l’accesso amministrativo

• Concedi privilegi da amministratore solo se strettamente necessario.

• Disattiva gli account inutilizzati.

• Applica il principio del minimo privilegio.

Meno amministratori = meno rischio.

5. Gestione sicura delle sessioni

• Riduci il tempo massimo di inattività.

• Rigenera l'ID di sessione dopo il login.

• Proteggi i cookie di sessione (Secure, HttpOnly, SameSite).

Una gestione sicura delle sessioni previene il furto di sessione.

Sicurezza della base di dati Dolibarr

1. Proteggere l’accesso al database

• Usa password forti per l'utente del database.

• Non usare l'account root per collegare Dolibarr.

• Crea un utente MySQL dedicato con permessi minimi.

Limitare i privilegi riduce il rischio.

2. Limitare le connessioni esterne

• Se possibile, MySQL/MariaDB deve ascoltare solo su localhost.

• Altrimenti, filtra gli IP autorizzati tramite firewall.

Meno accessi esterni = più sicurezza.

3. Crittografare i dati sensibili

• Dolibarr cifra di default alcune informazioni (es. password).

• Cifra campi personalizzati particolarmente sensibili.

La crittografia rende i dati inutili agli attaccanti.

Strategie di backup e ripristino

1. Backup automatici

• Pianifica backup giornalieri del database.

• Salva anche i file essenziali (/documents, moduli personalizzati).

Backup regolari sono vitali per ogni sistema critico.

2. Backup off-site

• Conserva copie di backup in server remoti o cloud.

• Cifra i backup.

Backup esterni proteggono dai danni in caso di attacchi o disastri locali.

3. Testare i backup

• Verifica periodicamente l'integrità delle copie.

• Esegui simulazioni di ripristino.

Un backup non testato è un rischio latente.

Monitoraggio e rilevamento intrusioni

1. Monitoraggio del sistema

Usa strumenti per controllare:

• Carico CPU, memoria, spazio su disco.

• Stato dei server web.

Zabbix, Grafana e simili aiutano a individuare problemi prima che esplodano.

2. Sistemi di rilevamento delle intrusioni (IDS)

Implementa:

• OSSEC (IDS open source).

• Fail2Ban (blocca IP dopo tentativi di login falliti).

Difendersi da attacchi di forza bruta diventa più semplice.

3. Gestione dei log

• Centralizza i log di accesso, log Dolibarr, log di sistema.

• Analizza eventi anomali.

I log sono cruciali per la diagnostica post-attacco.

Miglioramenti applicativi

1. Limitare i tipi di file caricabili

• Consenti solo estensioni sicure (PDF, JPEG, DOCX, ecc.).

• Controlla tipo MIME e dimensione massima.

Evitare upload pericolosi è fondamentale.

2. Installare solo moduli sicuri

• Usa moduli ufficiali o sviluppatori affidabili.

• Mantieni aggiornati i moduli esterni.

Moduli non sicuri possono compromettere l'intero sistema.

3. Impostare correttamente i permessi su file e cartelle

• File: permessi 644.

• Cartelle: permessi 755.

• File sensibili (conf.php): permessi 600.

I permessi proteggono i file da modifiche non autorizzate.

Best Practices per la sicurezza degli utenti

1. Formare il personale

• Sensibilizza sui rischi di phishing e ingegneria sociale.

• Promuovi l’uso di gestori di password sicuri.

Il fattore umano è il punto debole principale.

2. Audit periodici della sicurezza

• Conduci regolari revisioni della sicurezza.

• Considera penetration test professionali.

Un occhio esterno può scoprire falle che sfuggono internamente.

3. Registrazione e audit delle attività

• Registra gli accessi.

• Traccia modifiche sensibili (creazione di account, modifiche a fatture).

La trasparenza aiuta a prevenire e reagire rapidamente.

Conclusione

Proteggere Dolibarr è un processo continuo che coinvolge la protezione a livello server, la configurazione applicativa, la gestione utenti, il monitoraggio e i piani di recupero.
Applicando queste best practices, garantirai la sicurezza dei tuoi dati, dei tuoi clienti e della reputazione della tua azienda.

Ricorda: investire nella sicurezza oggi ti salverà da problemi, perdite e danni domani.