Cosa analizziamo
Scanthra esegue un controllo amichevole e passivo sul tuo sito web. Non accediamo mai, non forziamo le password, non mettiamo sotto stress il tuo server. Ecco esattamente cosa guardiamo — in linguaggio semplice.
Le basi — il tuo sito web è ben protetto?
🔒 Intestazioni HTTP di sicurezza
Controlliamo se il tuo sito web indica al browser di comportarsi in modo sicuro: HSTS (forzatura HTTPS), CSP (Content Security Policy) (blocca script iniettati), X-Frame-Options (previene il clickjacking), X-Content-Type-Options, Referrer-Policy e Permissions-Policy. Le intestazioni mancanti sono una fonte comune di piccole fughe che si accumulano.
🔐 Certificato & cifratura TLS/SSL
Il tuo certificato è valido, chi lo ha rilasciato, quando scade e supporta TLS/SSL (crittografia) moderno? Un certificato scaduto blocca le vendite per un giorno. Un protocollo debole mette a rischio i tuoi visitatori.
🍪 Flag dei cookie
Controlliamo i tuoi cookie — sono contrassegnati come Secure, HttpOnly e hanno un SameSite sensato? Senza questi flag, le sessioni di accesso possono trapelare sulle reti Wi-Fi pubbliche o essere rubate da script malevoli.
Cose nascoste che non avresti voluto pubblicare
📁 File esposti
File di backup, .env, cartelle .git, dump del database,
pannelli di amministrazione dimenticati — controlliamo un elenco curato di percorsi ben noti che
non dovrebbero essere pubblici.
🚪 Pagine di accesso & pannelli admin
Notiamo dove si trova il tuo accesso amministratore (/wp-admin,
/administrator, ecc.) così puoi decidere se dovrebbe essere
limitato per IP o spostato dietro un secondo fattore di autenticazione.
🤖 robots.txt & .well-known
A volte robots.txt rivela i nomi di cartelle che non vuoi
vengano indicizzate. La tua directory .well-known potrebbe svelare più di
quanto pensi.
Con cosa è costruito il tuo sito web
🧱 CMS (sistema di gestione contenuti) & versioni
Se utilizzi WordPress, Joomla, Drupal, Shopify o PrestaShop, lo identifichiamo e leggiamo i suoi marcatori di versione pubblici. Le versioni obsolete del CMS (sistema di gestione contenuti) sono la singola causa più comune di piccole imprese con siti web violati.
🔍 Fingerprinting tecnologico
Rileviamo il software del server (nginx, Apache), il linguaggio (PHP, Node) e le librerie front-end comuni — solo dalle intestazioni HTTP e dall'HTML già pubblici.
📚 Ricerca passiva CVE (database pubblico delle vulnerabilità)
Quando rileviamo una versione specifica di un componente noto, la confrontiamo con una copia locale del database pubblico delle vulnerabilità (NVD). Nessun exploit, nessuna analisi attiva — solo "hey, quella versione ha un problema noto; ecco l'aggiornamento di cui hai bisogno."
Sicurezza e-mail — la reputazione del tuo dominio
📧 SPF, DKIM & DMARC (protezione e-mail)
Se il tuo dominio non ha SPF/DKIM/DMARC (protezione e-mail), chiunque può falsificare e-mail fingendo di essere te — la tua banca, il tuo cliente, il tuo fornitore. Controlliamo se questi record DNS esistono e sembrano sani. Un DMARC mancante è una delle principali cause di problemi di consegnabilità e impersonificazione nelle e-mail di phishing.
Cosa deliberatamente non facciamo
- Nessuna scansione delle porte, nessun
nmap— non analizziamo mai ciò che non è una pagina web. - Nessun tentativo di accesso, nessuna forzatura, nessun tentativo di indovinare la password.
- Nessuno sfruttamento attivo, nessuna iniezione di payload, nessun fuzzing.
- Nessun flooding di traffico — inviamo forse 30 richieste educate, in totale.
In altre parole: nulla di cui il tuo provider di hosting possa lamentarsi. Una scansione Scanthra sembra esattamente come un visitatore curioso che legge alcune pagine pubbliche.