Proteggere la tua installazione di Dolibarr: le migliori pratiche

Sicurezza informatica · ERP open source •

Siamo onesti: la sicurezza raramente è un argomento che ci entusiasma al mattino. Preferiamo inviare preventivi, tenere traccia delle fatture e ricontattare i clienti. Eppure, il giorno in cui qualcosa va storto – un account violato, dati che scompaiono, un ransomware che cripta tutto – ci pentiamo amaramente di non averle dedicato un po' di tempo.

Il problema con software come Dolibarr è che centralizza assolutamente tutto ciò che conta per la tua attività: i tuoi clienti, le tue fatture, la tua contabilità, a volte persino i dati delle risorse umane. È la cassaforte digitale della tua azienda. Solo che, di default, questa cassaforte non è protetta da una doppia serratura. Sta a te farlo.

La buona notizia? Non è necessario essere esperti di sicurezza informatica. La maggior parte delle misure davvero efficaci si basa su alcuni semplici accorgimenti di buon senso, che illustrerò uno per uno. Al termine di questo articolo, avrete una chiara guida per proteggere la vostra installazione di Dolibarr, sia che la ospitiate su un hosting condiviso, un VPS o un server dedicato.

Mettetevi comodi, cominciamo.

Perché non dovresti mai trascurare la sicurezza del tuo ERP

Prima di entrare nei dettagli, prendiamoci trenta secondi per comprendere appieno la posta in gioco. Perché finché non capiamo i rischi, tendiamo a rimandare le cose.

Un attacco hacker al sito web è fastidioso. Un attacco hacker al sistema ERP è tutta un'altra storia. Pensate a tutto ciò che Dolibarr contiene: le informazioni di contatto e la cronologia dei vostri clienti, gli importi delle fatture, i margini, le condizioni dei fornitori e forse anche i dati dei dipendenti. In breve, dati personali e strategici che, se finiscono nelle mani sbagliate, possono costarvi caro, non solo in termini finanziari, ma anche in termini di reputazione e conformità al GDPR.

Contrariamente a quanto si potrebbe pensare, questi attacchi non prendono quasi mai di mira "voi" personalmente. Si tratta di bot che scansionano il web tutto il giorno, alla ricerca della minima vulnerabilità: una pagina di accesso non protetta, un software obsoleto, un file di configurazione accessibile. Se il vostro sistema presenta una di queste debolezze, è solo questione di tempo prima che venga scoperta.

Tutto inizia con il server

Si tende ad affrettarsi nella configurazione di Dolibarr. Questo è un errore. Se il server che ospita il sistema ERP è pieno di falle di sicurezza, tutti gli sforzi profusi per la sua installazione saranno vanificati. È come installare una porta blindata su una casa con le finestre spalancate.

Scegliere l'alloggio giusto

Il margine di manovra dipende in gran parte dalla piattaforma su cui viene eseguito Dolibarr. Su un hosting condiviso, deleghi gran parte della manutenzione al tuo provider, ma hai poco controllo sulla configurazione. Su un VPS o un server dedicato, è l'opposto: controllo totale, ma anche totale responsabilità. Qualunque sia la tua scelta, dai la priorità a un provider di hosting affidabile che offra certificati SSL gratuiti, backup automatici e, idealmente, un firewall per applicazioni.

Mantieni tutto aggiornato, religiosamente

Non mi stancherò mai di ripeterlo: la maggior parte degli attacchi sfrutta vulnerabilità già corrette , su server che nessuno si è preso la briga di aggiornare. Il sistema operativo, il server web, PHP, il database: tutto deve essere sempre aggiornato. Su un server Linux Debian o Ubuntu, basta eseguire regolarmente un singolo comando:

Verifica inoltre di utilizzare una versione di PHP ancora supportata. Una versione obsoleta non riceve più aggiornamenti e potrebbe persino impedirti di aggiornare Dolibarr: ironico, vero?

Alcune impostazioni PHP che cambiano tutto

Un ultimo punto per quanto riguarda il lato server: ricordate di disabilitare la visualizzazione degli errori in produzione. Un errore PHP visualizzato sullo schermo è una miniera d'oro di informazioni per un malintenzionato. Nel vostro file php.ini , le impostazioni di base dovrebbero essere le seguenti:

Registri gli errori per poterli diagnosticare, ma senza mai renderli pubblici. E già che ci sei, nascondi anche la versione di PHP.

Blocco di Dolibarr: passaggi essenziali da ricordare

Il server è stabile? Perfetto, passiamo all'applicazione vera e propria. Alcune operazioni specifiche di Dolibarr fanno davvero la differenza e richiedono solo pochi minuti.

Proteggere il file di configurazione

Il file conf.php , situato in htdocs/conf/ , contiene le credenziali di accesso al database. È probabilmente il file più sensibile dell'intera installazione. Deve essere leggibile solo dall'utente che esegue il server web e da nessun altro.

Non lasciare mai accessibile lo script di installazione

Si tratta di un errore comune. Dopo l'installazione (o un aggiornamento), la cartella install/ deve essere bloccata. Altrimenti, chiunque potrebbe riavviare la procedura guidata e riprendere il controllo del vostro Dolibarr. Fortunatamente, il software include una misura di sicurezza: un semplice file di blocco.

Finché questo file esiste, l'accesso al programma di installazione è bloccato. Prendi l'abitudine di verificarne la presenza dopo ogni aggiornamento. Gli utenti più prudenti elimineranno semplicemente la cartella di installazione una volta completata la procedura.

Tenere i documenti fuori dalla vista

Dolibarr memorizza gli allegati e i file generati in una directory di dati. Idealmente, questa cartella dovrebbe trovarsi al di fuori della directory principale del sito web, in modo che non sia possibile accedervi tentando di indovinare l'URL nel browser. Verifica il parametro `$dolibarr_main_data_root` nella tua configurazione: dovrebbe puntare a una posizione non pubblica.

HTTPS: il minimo indispensabile oggi

Siamo nel 2026 e non ci sono scuse per trasmettere le password in chiaro sulla rete. Senza HTTPS, chiunque si trovi sulla stessa rete Wi-Fi del tuo collega può intercettare le sue credenziali di accesso. È semplice, ma anche molto grave.

Let's Encrypt , installare un certificato è ora gratuito e quasi automatico . Sulla maggior parte dei server, lo strumento Certbot installa e rinnova automaticamente il certificato, senza che tu debba preoccupartene.

Attenzione però: installare un certificato non è sufficiente. È necessario anche forzare tutte le connessioni a utilizzare HTTPS; altrimenti, parte del traffico continuerà a viaggiare non crittografato. Per fare ciò, configurate un reindirizzamento automatico da HTTP a HTTPS. Dolibarr offre anche un'impostazione interna, MAIN_FORCE_HTTPS , che impone la crittografia a livello di applicazione. Abilitatela, insieme ai cookie sicuri.

Password sicure e autenticazione

La pagina di login è il principale punto di accesso. È lì che si concentra la maggior parte degli attacchi automatizzati. Rinforzarla è probabilmente l'investimento con il miglior ritorno di tutto questo articolo.

Dimenticatevi per sempre delle password deboli.

Dolibarr include una policy per le password che puoi configurare nel pannello di amministrazione: lunghezza minima, lettere maiuscole, numeri e caratteri speciali. Attivala senza esitazione. Una buona password è lunga almeno dodici caratteri e non contiene informazioni facilmente indovinabili come la data di nascita o il nome dell'azienda.

•      Evitate di utilizzare password predefinite o password già usate per altri servizi.

•      Incoraggiate i vostri utenti ad adottare un gestore di password: è un cambiamento di abitudine che risolve il 90% del problema.

•      Cambiate la password di amministratore immediatamente dopo l'installazione, senza eccezioni.

Rinominare l'account "admin"

I bot che tentano di forzare l'accesso danno la priorità ai nomi utente più comuni, e "admin" è in cima alla lista. Assegnando al tuo account amministratore un nome univoco, complichi notevolmente il loro compito. Una misura semplice ma straordinariamente efficace.

Abilita l'autenticazione a due fattori

Se doveste ricordare un solo elemento chiave, sarebbe questo. L'autenticazione a due fattori (2FA) significa che, anche se la password viene compromessa, l'attaccante non potrà comunque accedere al sistema: non avrà a disposizione il secondo codice, generato sul vostro telefono. Dolibarr supporta questa funzionalità tramite moduli compatibili con le applicazioni di autenticazione standard. Abilitatela almeno per tutti gli account amministratore.

Interrompere gli attacchi di forza bruta

Limita il numero di tentativi di accesso falliti prima di un blocco temporaneo. A livello di server, uno strumento come Fail2ban monitora i log e blocca automaticamente gli indirizzi IP persistenti. E se la tua interfaccia di amministrazione deve essere accessibile solo da pochi indirizzi noti, limitane l'accesso: è ancora più efficace.

Dare a tutti i loro diritti, niente di più, niente di meno.

Una volta chiusa la porta d'ingresso, il passo successivo è organizzare ciò che accade all'interno. Il principio è semplice e ha un nome: il minimo privilegio . Ogni utente dovrebbe avere accesso solo a ciò di cui ha realmente bisogno per il proprio lavoro.

In termini pratici, il tuo venditore non ha motivo di accedere al sistema contabile e il tuo contabile non dovrebbe modificare la configurazione dei moduli. Maggiore è il livello di autorizzazione di un account, più pericoloso è comprometterlo, quindi evitiamo di concedere diritti di amministratore con troppa facilità.

Per semplificare le cose, utilizzate i gruppi di utenti . Invece di impostare le autorizzazioni per ogni singola persona, definite i ruoli (vendite, contabilità, assistenza, ecc.) e assegnate ciascun utente al gruppo corretto. Questo approccio è più coerente e significativamente meno soggetto a errori.

Protezione del nocciolo del reattore: il database

In Dolibarr tutto risiede nel suo database. Se il database si guasta, tutto si blocca. Tuttavia, alcune precauzioni sono sufficienti per mantenerlo sostanzialmente al sicuro:

•      Utilizza un account di database dedicato a Dolibarr, con diritti limitati esclusivamente al suo database. Non utilizzare mai l'account "root", in nessuna circostanza.

•      Scegli una password lunga e casuale per questo account, diversa da tutte le altre.

•      Se il database e l'applicazione si trovano sulla stessa macchina, consentire solo connessioni locali.

•      Se il database è remoto, crittografa la connessione e limita gli indirizzi IP autorizzati a connettersi.

Isolando l'accesso in questo modo, si garantisce che una potenziale compromissione dell'applicazione non si trasformi in un disastro su vasta scala. L'attaccante rimane confinato in una singola stanza.

Mantieni Dolibarr aggiornato, senza procrastinare

Questa è senza dubbio la misura più importante di tutte... e quella più spesso trascurata. Ogni nuova versione di Dolibarr corregge le vulnerabilità scoperte nelle versioni precedenti. Continuare a utilizzare una vecchia versione significa lasciare quelle vulnerabilità completamente aperte.

Iscriviti agli annunci di sicurezza ufficiali del progetto. Quando una vulnerabilità viene resa pubblica, viene sfruttata su larga scala nel giro di pochi giorni: la tempestività fa la differenza.

Un consiglio, però: prima di applicare un aggiornamento importante in produzione, testatelo su una copia della vostra installazione. Questo vi aiuterà a evitare spiacevoli sorprese legate a un modulo incompatibile. E, naturalmente, effettuate un backup completo subito prima, il che ci porta al punto successivo.

Infine, considerate i moduli aggiuntivi. Essi estendono le funzionalità di Dolibarr, ma ogni modulo aggiunto rappresenta una vulnerabilità aggiuntiva. Installateli solo da fonti attendibili, manteneteli aggiornati e disinstallate quelli che non utilizzate più. Un modulo abbandonato dal suo sviluppatore diventa un rischio silenzioso.

Backup: la tua assicurazione sulla vita digitale

Sia chiaro: nessun sistema di sicurezza è perfetto. Prima o poi, qualcosa può andare storto: una violazione dei dati, un attacco ransomware, un guasto al disco rigido o semplicemente un errore. In quel giorno, la tua unica ancora di salvezza sarà un backup affidabile.

Attenzione alla trappola: un vero backup di Dolibarr è composto da due elementi inseparabili : il contenuto del database E la directory dei documenti. Eseguire il backup di uno senza l'altro comporterà un ripristino errato. Esportare il database tramite riga di comando è semplicissimo:

Ricorda la famosa regola del 3-2-1 : tre copie dei tuoi dati, su due supporti diversi, uno dei quali dovrebbe essere archiviato in un luogo esterno alla sede del server. In questo modo, nemmeno un incendio o un attacco ransomware che crittografi il tuo server ti farà perdere tutto.

Tieni d'occhio ciò che accade

L'ultimo livello, spesso trascurato: il monitoraggio. Perché un'intrusione può facilmente passare inosservata per settimane se nessuno presta attenzione ai segnali giusti. Senza registrazione, si è alla cieca.

•      Abilita la registrazione delle connessioni e delle azioni sensibili in Dolibarr.

•      Monitorare i log del server web e del database per individuare tentativi di accesso sospetti.

•      Imposta degli avvisi in caso di picchi di connessioni fallite o accessi da indirizzi insoliti.

•      Conservate questi registri per un periodo di tempo sufficiente a poter effettuare indagini in caso di incidente, nel rispetto del GDPR.

Gli strumenti di monitoraggio possono automatizzare tutto questo e avvisarti in tempo reale. Non dovrai più passare le giornate ad analizzare i log: configuri il sistema una volta sola e ti avviserà quando qualcosa non va.

La tua checklist di sicurezza Dolibarr in sintesi

Abbiamo trattato molti argomenti. Ecco un consiglio per non perdere la rotta: stampate questa lista, tenetela a portata di mano e spuntate le caselle man mano che procedete.

✓    Sistema, PHP, server web e database mantenuti aggiornati.

✓    Visualizzazione degli errori disabilitata e versioni del software nascoste.

✓    Cartella di installazione bloccata ( file install.lock ).

✓    file conf.php è protetto e la directory documents si trova al di fuori della directory principale del sito web.

✓    Certificato SSL installato e HTTPS obbligatorio ovunque.

✓    Password complesse, account amministratore rinominato e autenticazione a due fattori abilitata.

✓    Protezione contro gli attacchi di forza bruta (limitazione dei tentativi, Fail2ban).

✓    Sono stati applicati privilegi ridotti e gli account non necessari sono stati disattivati.

✓    Account di database dedicato con diritti limitati.

✓    Backup regolari (database + documenti), testati e conformi alla regola 3-2-1.

✓    Sono attivi sistemi di registrazione e di allerta.

Domande che mi vengono poste spesso

Dolibarr è sicuro per impostazione predefinita?

Sì e no. Dolibarr è sviluppato seguendo le migliori pratiche e riceve aggiornamenti regolari, quindi le basi sono solide. Tuttavia, un'installazione predefinita non è protetta in modo ottimale: spetta a te proteggere lo script di installazione, imporre l'utilizzo di HTTPS, configurare i permessi e gestire gli accessi. La sicurezza dipende principalmente da come configuri il tuo ambiente.

Con quale frequenza è necessario aggiornare Dolibarr?

Applica le patch di sicurezza non appena vengono rilasciate e pianifica regolarmente gli aggiornamenti delle versioni minori. Per le versioni principali, esegui prima un test su una copia di backup. La chiave è seguire gli annunci ufficiali per reagire tempestivamente alle vulnerabilità critiche.

Server condiviso o dedicato per ospitare Dolibarr?

L'hosting condiviso è adatto alle piccole imprese e delega parte della manutenzione, ma limita il controllo. Un VPS o un server dedicato offrono il controllo completo a costo di una maggiore responsabilità. Tutto dipende dalle tue competenze tecniche e dalle tue esigenze. Se sei agli inizi, un buon provider di hosting condiviso specializzato rimane una scelta sensata.

Cosa devo fare se il mio account Dolibarr viene hackerato?

Disconnetti immediatamente l'accesso di rete al server, cambia tutte le password, analizza i log per comprendere il percorso dell'attacco e ripristina un backup pulito precedente all'intrusione. Successivamente, applica tutte le patch e rafforza le vulnerabilità identificate. E non dimenticare i tuoi obblighi legali di notificare alle autorità in caso di violazione dei dati personali.

In conclusione: la sicurezza è un'abitudine.

Se doveste ricordare una sola cosa, che sia questa: proteggere Dolibarr non è un'operazione da svolgere una tantum, ma un'abitudine da mantenere . Server rinforzati, HTTPS obbligatorio, autenticazione a due fattori abilitata, diritti di accesso ben distribuiti, backup testati e aggiornamenti applicati: ogni livello di protezione aggiunto rende la vita più difficile agli aggressori e vi dà la possibilità di reagire.

Il metodo migliore? Non cercare di fare tutto in un giorno. Rivedi la checklist qui sopra, inizia con le due o tre misure più importanti (aggiornamenti, HTTPS e autenticazione a due fattori) e poi procedi con calma. Iniziando oggi, proteggerai la tua attività, i tuoi dati e la fiducia che i tuoi clienti ripongono in te.

E tu, a che punto sei? Fai un giro di controllo della tua postazione questo fine settimana, con la lista di controllo alla mano. Potresti rimanere sorpreso dai progressi che hai fatto in una sola sessione e sollevato di aver colmato le lacune prima che qualcun altro le scopra.