Analisi sistematica del sito su 100 punti per identificare vulnerabilità reali su WordPress, WooCommerce, hosting, plugin, password e backup. Ti diamo un report scritto e un piano di intervento ordinato per priorità, con costi e tempi.
L'audit di sicurezza è l'analisi sistematica del sito su 100 punti tecnici, organizzati in 4 aree (applicazione, infrastruttura, identità, recovery), per identificare le vulnerabilità reali e produrre un report scritto con priorità di intervento, costi e tempi.
Pensare di non essere un target è l'errore più comune. Gli attacchi sono automatici, scansionano milioni di siti al giorno cercando plugin obsoleti, password deboli e configurazioni di default. Non importa quanto sei piccolo: se sei vulnerabile, vieni colpito.
Da Vicenza dal 2008 con oltre 180 progetti seguiti, il risultato standard di un audit è tra 12 e 25 vulnerabilità identificate, classificate per priorità (critiche, alte, medie, basse). Tu decidi cosa correggere, in che ordine, con quale budget.
Audit post-incident dopo un attacco di credential stuffing su un account staff con password debole. Il report ha indicato come priorità immediata l'imposizione della doppia verifica e la verifica di tutte le password con il database HIBP, con cambio password forzato per gli account compromessi.
Audit di sicurezza preventivo su un sito WordPress + WooCommerce con 11 punti di intervento identificati. Hardening completo successivo con doppia verifica admin, scanner real-time attivo e monitoraggio continuo, senza incidenti rilevati nei 12 mesi successivi.
Audit con 18 vulnerabilità identificate (di cui 3 critiche): plugin abbandonati dal 2018, password admin presente in database di leak, nessuna doppia verifica. Fix completo in 2 settimane, nessun incidente nei 12 mesi successivi.
100 punti distribuiti in 4 aree critiche, ognuna con verde/giallo/rosso e raccomandazione concreta.
WordPress, WooCommerce, plugin, theme.
Verifica versioni di WordPress, plugin e theme, plugin abbandonati o piratati, codice custom (rischio iniezioni e file upload), configurazione di wp-config.php, esposizione della REST API, prefisso del database, salt di sicurezza.
Hosting, SSL, DNS, header HTTP.
Tipo di hosting (condiviso, VPS, dedicato), configurazione SSL/TLS (minimo 1.2, HSTS attivo), DNS (DNSSEC, record CAA), header di sicurezza HTTP (Content Security Policy, X-Frame-Options) e regole firewall Cloudflare se presenti.
Password, doppia verifica, ruoli.
Verifica password contro database di credenziali compromesse, doppia verifica obbligatoria per amministratori, ruoli con minimo privilegio, URL di login personalizzato, blocco brute force, scadenza sessioni, registro accessi.
GDPR, backup, monitoraggio, log.
Conformità GDPR (cookie banner, privacy policy, log consensi), backup automatici testati su staging, monitoraggio uptime e intrusioni, revisione registro accessi, piano di gestione incidenti.
Su oltre 200 audit completati, le vulnerabilità più ricorrenti sono sempre le stesse:
Quasi otto siti su dieci che analizziamo hanno almeno cinque vulnerabilità critiche. L'audit identifica esattamente quali, le ordina per priorità, riduce drasticamente il rischio.
Risultati concreti e verificabili, non teoria astratta:
Giorno 1.
Giorni 2-7.
Giorni 7-10.
A scelta.
Strumenti professionali combinati con la nostra checklist proprietaria di 100 punti:
WordPress 
WooCommerce 
Cloudflare 
GitHub WordPress WooCommerce Cloudflare GitHub Quello che ti consegniamo a fine audit:
L'audit è dimensionato sul tuo caso: dimensione del sito o account, numero di template o campagne, profondità del report e formato della restituzione cambiano il quadro. Niente listini standard: prima cosa che facciamo è una breve call di scoping per capire perimetro reale, poi mandiamo un preventivo scritto entro 48 ore.
5-7 giorni lavorativi dalla condivisione degli accessi. Briefing iniziale, 5 giorni di analisi, report scritto e call commentata. In totale 7-10 giorni di calendario.
Accesso di sola lettura a WordPress admin e all'hosting (FTP o SSH in lettura). Niente accesso in scrittura, niente modifiche al sito, zero rischio per la produzione.
Sì, lo scan automatico più la revisione manuale identificano malware presente. Per la rimozione completa di un sito già compromesso vedi la pagina dedicata al malware removal: l'audit è preventivo, il removal è curativo.
Sì, audiamo siti su PrestaShop e sviluppi custom in PHP o Node. Su Shopify la sicurezza nativa è solida (è SaaS): l'audit si concentra principalmente sulle app installate, sui webhook e sul tema custom.
È opzionale. Puoi farli con il tuo team interno usando il piano di azione, oppure li implementiamo noi una tantum, o ancora entri in pacchetto manutenzione mensile. Nessun vincolo.
Sì, la sezione conformità copre cookie banner, privacy policy, log consensi e DPIA. Per un audit GDPR completo e dedicato vedi la pagina del servizio GDPR compliance.
Oltre 200 audit completati dal 2018, principalmente su PMI italiane. I riferimenti settoriali sono coperti da NDA, possiamo metterti in contatto con clienti attuali per referral diretto previa loro autorizzazione.
Codice, server, sicurezza, conformità sotto la stessa squadra dal 2008. Niente passaggio di mano tra audit, sviluppo e legale.
Sviluppata in 17 anni di lavoro su PMI italiane, aggiornata trimestralmente. Verde, giallo, rosso per ogni punto: tutto verificato e documentato.
Pattern di vulnerabilità ricorrenti consolidati su WordPress, WooCommerce, PrestaShop e sviluppi custom. Strumenti automatici più revisione manuale per i casi complessi.
Niente "hai 25 problemi, sistemali tutti". Le vulnerabilità sono ordinate per priorità (critiche, alte, medie, basse) con quick win evidenziati e una roadmap realistica.
Analisi preliminare gratuita + report sintetico via email entro 48h.
