L'hardening fatto bene è specifico al contesto, non una checklist da blog. Lavoriamo sulla configurazione reale del tuo sito, individuando dove la superficie è più esposta e chiudendo i punti che davvero spostano il rischio.
Hardening base incluso in Bonifica (da 299€), spot da 199€
Il problema reale
Le configurazioni di hardening online sono lunghissime, copiate, e spesso applicate senza adattarle al sito reale. Risultato: plugin che si calpestano tra loro, regole inutili contro attacchi reali, e pochi punti veramente protetti.
Plugin all-in-one cumulati
Tre plugin di sicurezza diversi attivi insieme. Generano centinaia di alert al giorno, mascherano problemi reali sotto strati di toggle, e degradano le performance senza spostare il rischio reale.
Permessi sbagliati post-migrazione
File `wp-config.php` con permessi `777`, cartelle proprietà di `nobody:nobody`, upload directory eseguibile. Rilasciti dimenticati durante una migrazione fatta in fretta.
Headers HTTP inesistenti o sbagliati
Niente HSTS, niente `X-Content-Type-Options`, CSP `unsafe-inline` ovunque. Browser senza istruzioni su come gestire risposte sospette.
XML-RPC abilitato senza motivo
Endpoint `xmlrpc.php` aperto a tutti, anche su siti che non usano Jetpack né app mobile. Vettore preferito per brute-force amplificato e DoS.
Il nostro metodo
L'hardening non è 'attivare 50 toggle'. È capire il contesto reale del sito, individuare le vulnerabilità che davvero spostano il rischio, e applicare una configurazione coerente. La differenza tra un sito veramente più sicuro e uno con tante regole inutili è solo la metodologia.
Prima di applicare qualsiasi hardening, mappiamo lo stato attuale: stack hosting, plugin attivi, permessi file, headers HTTP, configurazioni custom in `.htaccess` e `wp-config.php`. Senza baseline, impossibile dire cosa è cambiato dopo.
I plugin di sicurezza WordPress sono utili come complemento, non come sostituzione del livello server. Lavoriamo prima su Apache/Nginx, PHP, file permission, fail2ban. Solo dopo aggiungiamo strumenti applicativi.
Ogni regola di sicurezza viene applicata e testata. Disabilitazione XML-RPC sì o no? Dipende: se il cliente usa Jetpack, restringiamo agli IP del servizio invece di disabilitare. CSP stretta sì o no? Solo se non rompe widget legittimi.
Ogni cosa che applichiamo viene documentata. Cosa è stato toccato, perché, come revertirlo se serve. Niente magia: il cliente può capire ogni scelta e portarla altrove se cambia fornitore.
Come si svolge
Mappa completa: stack, configurazioni esistenti, permessi, plugin di sicurezza già attivi (e che spesso vanno disinstallati), headers HTTP attuali.
Cosa sposta davvero il rischio per QUESTO sito? Brute force su `wp-login.php`? XML-RPC sfruttato? Upload directory eseguibili? Un sito e-commerce ha priorità diverse da un blog.
File permission corretti, SALT rigenerati, login protection (con o senza plugin a seconda dello stack), 2FA per tutti gli admin, headers HTTP completi a livello server.
Dopo ogni gruppo di modifiche, verifica che il sito funzioni: login admin, frontend, ricerca, eventuale checkout. Niente release in produzione di hardening che rompe funzionalità reali.
Documento finale: tutto quello che è stato toccato, come revertirlo, quali alert monitorare. Include il piano di manutenzione consigliato per non far decadere l'hardening nel tempo.
Cosa ricevi
Snapshot dello stato pre-intervento. Permessi, configurazioni, headers, plugin attivi. Riferimento per future verifiche.
Tutte le modifiche server-side e applicative tracciate. File permission, SALT, login protection, 2FA, headers HTTP, regole `.htaccess`/`nginx.conf`.
Documento con cosa è stato toccato, come revertire ciascuna modifica, quali check fare periodicamente. Adatto a essere passato al team interno o a un'agenzia partner.
Hardening che ha senso fare in un secondo tempo (CSP stretta, HSTS preload, network segmentation), pricing indicativo, tempistica.
FAQ
Risposte concrete sulle modalità di lavoro, garanzie reali e limiti tecnici di questo servizio.
Pronto a partire?
Apri la chat con Bob o richiedi un'analisi tecnica iniziale. Ti diciamo dove sei oggi e dove ha senso intervenire prima.
Servizi correlati
Analisi forense, rimozione completa di backdoor e file infetti, identificazione del vettore d'ingresso e patch della vulnerabilità.
Scopri il servizioAggiornamenti controllati di core, plugin e temi con verifica funzionale post-update, rollback automatico in caso di problemi.
Scopri il servizio