Saltar al contenido
Especialista LV

Escáner de Vulnerabilidades Magento

Sondea rutas conocidas y cabeceras de seguridad de la tienda Magento en busca de archivos sensibles filtrados, backdoors y versiones con CVE crítico (CosmicSting, TrojanOrders). Pasivo, solo lectura — sin explotación.

100% gratuita, sin registro No almacenamos logs de lo que consultas Protegida por Cloudflare Turnstile

Sondeamos rutas conocidas (backups, .git, env.php, phpinfo, webshells), cabeceras de seguridad y versión — solo lectura, sin intrusión.

Úsalo solo en tiendas que administras. El escaneo es pasivo (solo GET, sin explotación).

Deja de probar a mano — monitorea 24/7

Esta herramienta es una foto del momento. Especialista Loja Virtual ejecuta navegación real en tu tienda cada pocos minutos y te avisa en Discord, Slack o email con captura del problema. Empieza gratis.

Crear cuenta gratis Ver planes

Cómo funciona el Escáner vulnerabilidades

Hacemos peticiones GET pasivas a rutas conocidas de tu tienda (backups .sql, /.git/config, /app/etc/env.php, /phpinfo.php, nombres de webshell comunes, /media/index.php), leemos las cabeceras de seguridad de la home e intentamos identificar la versión de Magento. Cada hallazgo solo se reporta cuando la respuesta tiene el marcador de contenido correspondiente — así una tienda que devuelve 200 para cualquier ruta (SPA/PWA) no genera falso positivo.

El escaneo es no intrusivo: solo lectura, sin explotar ninguna vulnerabilidad (nada de XXE, subida o prueba de concepto). CVEs críticos como CosmicSting (CVE-2024-34102) y TrojanOrders (CVE-2022-24086) entran solo como correlación de versión y como detección de artefactos ya presentes (webshells). Úsalo solo en tiendas que administras.

Preguntas frecuentes

¿Qué comprueba este escáner?

Archivos sensibles expuestos (dumps de base de datos, .git, env.php/local.xml, phpinfo), backdoors/webshells con nombres conocidos, /media/index.php ejecutable, listado de directorios, introspection de GraphQL, cabeceras de seguridad ausentes (CSP, HSTS, X-Frame-Options) y versión de Magento con vulnerabilidad crítica conocida.

¿Es intrusivo? ¿Puedo usarlo en cualquier sitio?

No es intrusivo — solo hacemos peticiones GET a rutas públicas, sin explotar nada. Aun así, úsalo solo en tiendas que administras: es una herramienta de autoevaluación de seguridad, no de pruebas en sitios de terceros.

¿Qué es CosmicSting?

CosmicSting (CVE-2024-34102) es un fallo crítico de XXE en Magento/Adobe Commerce que, encadenado con CVE-2024-2961, permite ejecución remota de código. Miles de tiendas fueron comprometidas en 2024 — el atacante roba el crypt key de env.php e inyecta un skimmer. Las versiones anteriores a 2.4.7 son vulnerables; actualiza/aplica el parche.

Encontró un problema. ¿Y ahora?

Prioriza los hallazgos críticos: elimina archivos sensibles del docroot, rota el crypt key y las contraseñas, y busca backdoors. Si hay webshell o versión muy desactualizada, trata la tienda como posiblemente comprometida y ejecuta también el escáner de Magecart para comprobar skimmer.

Referencias oficiales

Fuentes primarias usadas en la construcción de esta herramienta. Úsalas para profundizar o validar los criterios técnicos.

Herramientas relacionadas

Escáner Magecart

Comprueba si tu tienda Magento tiene un skimmer de tarjetas (Magecart), incluso inyectado vía Google Tag Manager.

Abrir

Headers HTTP

Consulta todas las cabeceras HTTP que envía tu servidor — caché, seguridad, compresión, cookies.

Abrir

¿Sitio en línea?

Descubre en segundos si tu tienda virtual está caída o presenta lentitud.

Abrir