Un sito sicuro è la base di tutto il resto
Quando lavoriamo con una PMI sulla sua postura di sicurezza, la valutazione parte sempre dall'esterno: cosa vede un attaccante prima ancora di entrare nella rete? Quasi invariabilmente, la prima cosa che vede è il sito web. È raggiungibile da chiunque, gira su infrastruttura esposta a internet, ed è costruito — nella maggior parte dei casi — da chi ha ottimizzato per velocità di sviluppo, estetica e funzionalità, non per resistenza agli attacchi.
Questo non è una critica alle agenzie web. È la conseguenza logica di un mercato in cui la sicurezza del sito viene percepita come un problema di domani, o come responsabilità di qualcun altro. Il risultato è che molte PMI italiane hanno un sito che funge da porta d'ingresso non presidiata a tutto il loro ecosistema digitale.
Un sito costruito con attenzione alla sicurezza non è soltanto un sito più difficile da violare. È la base che rende efficace il resto del lavoro difensivo: un firewall applicativo funziona meglio su un'applicazione hardened, il monitoraggio dei log ha più valore se l'applicazione produce eventi significativi, un test di penetrazione trova meno rumore e più segnale. Costruire bene il sito non è una misura di sicurezza isolata — è il prerequisito di tutte le altre.
Il 68% degli attacchi alle PMI italiane sfrutta vulnerabilità note e non corrette. Una quota significativa di questi vettori riguarda applicazioni web esposte: CMS non aggiornati, plugin abbandonati, endpoint API non autenticati.
SEO, web marketing e il problema della superficie d'attacco
Un sito aziendale moderno non è un documento HTML statico. È un'applicazione che integra decine di componenti di terze parti: plugin per la SEO, script di analytics, pixel di tracciamento per le campagne paid, chatbot, form gestiti da provider esterni, CDN, librerie JavaScript caricate da repository pubblici. Ogni integrazione è codice che viene eseguito nel browser dell'utente o sul server, e che può contenere vulnerabilità proprie o diventare un vettore di attacco se il provider upstream viene compromesso.
Questo fenomeno ha un nome preciso: supply chain attack lato client. Non si tratta di scenari teorici. Negli ultimi anni numerosi siti aziendali italiani sono stati compromessi non attraverso vulnerabilità proprie, ma attraverso script di terze parti — tag manager, widget di social proof, librerie di font — che sono stati modificati per iniettare codice malevolo.
L'ironia è che le attività pensate per far crescere il business — ottimizzazione SEO, campagne di web marketing, miglioramento dell'usabilità — sono spesso quelle che aumentano maggiormente la superficie esposta. Kreativeroo affronta bene questo punto nel suo approfondimento su come essere premiati da Google e dagli utenti: ogni funzionalità aggiunta per migliorare il posizionamento o l'esperienza utente porta con sé nuovi componenti da mantenere nel tempo — e da tenere sotto controllo anche sul piano della sicurezza.
Questo non significa rinunciare alla SEO o al marketing digitale. Significa che chi lavora su questi aspetti del sito deve farlo con consapevolezza dei rischi, e che il sito va periodicamente rivalutato ogni volta che viene aggiunto un componente significativo.
Il fai-da-te e i rischi che non si vedono
Negli ultimi anni i costruttori di siti "drag and drop" — Wix, Squarespace, Shopify, Webflow — hanno abbassato drasticamente la barriera tecnica per mettere online un sito. Per molte piccole realtà, la tentazione di fare da sé è comprensibile: costi ridotti, autonomia, velocità. Ma il risparmio immediato spesso nasconde rischi che emergono più tardi, quando sono già costosi da gestire.
I problemi non riguardano solo la qualità tecnica del sito. Riguardano la mancanza di un interlocutore consapevole dei rischi durante tutto il ciclo di vita dell'applicazione: chi aggiorna i plugin quando escono le patch di sicurezza? Chi si accorge che un'integrazione di terze parti ha cambiato comportamento? Chi gestisce le credenziali di accesso all'area amministrativa quando cambia personale?
La distinzione tra costruire un sito in autonomia e affidarsi a un'agenzia strutturata non è solo una questione estetica o funzionale — è anche una questione di responsabilità nella gestione nel tempo. Kreativeroo ha analizzato questo confronto in modo diretto: la differenza tra fai-da-te e agenzia si manifesta soprattutto nella manutenzione e nel presidio nel tempo, non solo nella costruzione iniziale — ed è esattamente lì che si concentrano i rischi di sicurezza.
Un sito costruito con un page builder e mai più toccato è statisticamente uno dei target più facili per i sistemi di scanning automatico. Non perché qualcuno ce l'abbia con quella specifica azienda, ma perché il web è pieno di questi siti e gli attaccanti lo sanno.
La responsabilità di chi costruisce il sito
C'è un aspetto del problema che raramente viene discusso apertamente: la responsabilità di chi costruisce e mantiene il sito verso il cliente finale. Un'agenzia web che consegna un CMS con plugin di dubbia provenienza, senza aggiornamenti pianificati, con credenziali di default e senza aver mai eseguito neanche un controllo di base sulla sicurezza sta, di fatto, esponendo il proprio cliente a rischi di cui questi non è consapevole.
Il cliente compra un sito che funziona, che è bello, che converte. Non compra un sito vulnerabile — ma spesso è quello che riceve, non per malafede, ma per mancanza di cultura della sicurezza nel processo di sviluppo web.
Un'agenzia seria sa dove finisce il proprio perimetro di competenza. Sa costruire un sito solido, aggiornato, con configurazioni di base corrette. Sa scegliere plugin affidabili, gestire le credenziali in modo sicuro, pianificare gli aggiornamenti. Ed è consapevole — altrettanto importante — che quando il livello di rischio del cliente lo richiede, il passo successivo spetta a specialisti in sicurezza applicativa: un test sul sito per trovare le vulnerabilità prima degli attaccanti, un lavoro di hardening per ridurre la superficie esposta, un monitoraggio continuativo per siti che evolvono costantemente.
È l'approccio che agenzie come Kreativeroo hanno scelto: costruire con cura la parte di loro competenza, e indirizzare i clienti verso specialisti di sicurezza quando il progetto lo richiede. Non è una limitazione — è la differenza tra un fornitore responsabile e uno che vende false certezze.
La catena che funziona: l'agenzia web costruisce bene le fondamenta, lo specialista in sicurezza testa e valida, entrambi collaborano nei rilasci successivi. Non sono competenze sovrapponibili — sono complementari.
Come testare la sicurezza di un sito aziendale
Il punto di partenza per qualunque valutazione della sicurezza di un sito è sapere cosa c'è effettivamente in produzione: quali componenti, quali integrazioni, quali endpoint sono esposti. Spesso le aziende non hanno questa visibilità — il sito è stato costruito anni fa da qualcuno che non lavora più lì, e nessuno sa con certezza cosa gira sotto il cofano.
Web Application Penetration Test (WAPT)
Un WAPT è l'analisi manuale condotta da un operatore esperto che simula il comportamento di un attaccante contro l'applicazione web. Non è uno scan automatico — è un processo che cerca vulnerabilità di logica, errori di autenticazione, esposizioni di API, problemi di gestione delle sessioni. Il risultato è un report con vulnerabilità dimostrate tramite Proof of Concept e piano di remediation prioritizzato.
Hardening applicativo
Parallelamente al test offensivo, il lavoro di hardening riduce la superficie esposta a priori: disabilitare funzionalità non necessarie, configurare correttamente gli header di sicurezza HTTP, rimuovere informazioni di versione dall'output pubblico, limitare i permessi degli account di servizio. È lavoro preventivo che riduce il numero di vulnerabilità da correggere prima ancora che vengano trovate.
Vulnerability Management continuativo
Per siti che evolvono nel tempo — e-commerce, portali clienti, applicazioni SaaS — un singolo test non è sufficiente. Il vulnerability management continuativo prevede scan periodici, monitoraggio delle CVE sulle dipendenze utilizzate e alerting quando emergono nuove vulnerabilità nei componenti installati.
Domande frequenti
Un sito WordPress è sicuro di default?
No. WordPress è sicuro nella misura in cui viene mantenuto: core aggiornato, plugin ridotti al minimo e da fonti verificate, accesso amministrativo protetto con MFA. Un'installazione non aggiornata è una delle superfici più sfruttate dai sistemi di scanning automatico sul web.
Cosa testa un Web Application Penetration Test?
Un WAPT analizza le vulnerabilità logiche e tecniche dell'applicazione: autenticazione, gestione sessioni, controllo accessi, input non sanificati, API esposte, configurazioni errate. Va ben oltre uno scanner automatico: un operatore esperto cerca le falle che i tool non trovano.
Ogni quanto va testata la sicurezza di un sito?
Almeno dopo ogni rilascio significativo di nuove funzionalità o integrazioni. Per siti che gestiscono dati sensibili o pagamenti, un WAPT annuale è il minimo. Per applicazioni in evoluzione continua, è consigliabile un vulnerability management con scan periodici.