Scansione malware continua a livello sistema, blocco automatico dei tentativi brute-force su login, hardening PHP per i CMS, database di reputazione costantemente aggiornato. Protezione operativa, non firewall di facciata.
Uno scanner malware lato server è un sistema che analizza in modo continuo i file del sito (PHP, JavaScript, file di tema, plugin, uploads) confrontandoli con un database di firme aggiornato in tempo reale, blocca i tentativi di login ripetuti da indirizzi IP malevoli, limita le funzioni PHP pericolose per i CMS più diffusi, e mantiene un database di reputazione degli indirizzi IP per filtrare il traffico in entrata. Il nostro stack standard usa Imunify360, integrato con isolamento server.
Differenza con un plugin di sicurezza: i plugin WordPress (Wordfence, iThemes, Sucuri) girano dentro PHP, dopo che la richiesta è arrivata al server. Sono utili come livello aggiuntivo, ma se il sito è già compromesso non possono fare molto. Uno scanner lato server gira fuori dal contesto WordPress, controlla i file anche quando il sito è offline, e blocca gli IP malevoli prima che arrivino al PHP.
Da Vicenza dal 2008 amministriamo direttamente oltre 300 siti sulla nostra infrastruttura, tutti su server con scanner malware sempre attivo. Imunify360 è una scelta architetturale, non un'opzione che il cliente attiva su richiesta: per noi un server senza scanner non è hosting professionale.
Sito esposto a un attacco con credential stuffing su account staff con password debole. Lo scanner ha rilevato gli accessi anomali e bannato gli IP a livello firewall. Imposto subito dopo: 2FA su tutti gli account staff e password manager condiviso.
Tentativi di brute-force ripetuti sul login WordPress da botnet asiatica. Blocco automatico a livello firewall ha contenuto l'attacco senza arrivare al PHP. Niente plugin di sicurezza che cicla, niente CPU sprecata sul server.
Verifica integrità dei file core WordPress automatica dopo ogni aggiornamento. Quando un plugin malevolo introdotto da una compromissione precedente è stato rilevato, è stato messo in quarantena e notificato al team. Pulizia eseguita prima che producesse danni.
Scansione continua, blocco brute-force, hardening PHP, reputazione IP.
File controllati al volo, non solo a richiesta.
Lo scanner controlla i file del sito in modo continuo (a ogni modifica, a ogni upload), confrontandoli con un database di firme aggiornato dal vendor in tempo reale. Quando trova un file sospetto, lo mette in quarantena e notifica al team. Per i falsi positivi (rari, tipici di plugin con codice offuscato lecito) c'è una whitelist gestita da noi.
IP bannati prima di arrivare al PHP.
Sui form di login WordPress, sui pannelli cPanel, su SSH, lo scanner monitora i tentativi falliti per indirizzo IP. Dopo un numero configurato di fallimenti (tipicamente 10 in 5 minuti), l'IP viene bannato a livello firewall del server. Niente plugin di sicurezza dentro WordPress che vede il traffico solo dopo che PHP è stato eseguito.
Funzioni pericolose limitate dove non servono.
Per i CMS più diffusi (WordPress, WooCommerce, Joomla, Drupal) lo scanner applica un set di limitazioni PHP: disattivazione di funzioni come exec(), shell_exec(), system() che WordPress non usa ma che vengono sfruttate dagli attaccanti per eseguire codice. La configurazione è specifica per CMS e per versione.
Filtro del traffico in ingresso.
Database di reputazione degli IP costantemente aggiornato con indirizzi noti per attività malevole (botnet, scanner, exploit kit). Il traffico da questi IP viene filtrato a livello firewall prima di arrivare al sito. Web Application Firewall integrato per i pattern di attacco noti (SQL injection, XSS, file inclusion). Aggiunge un livello davanti al sito senza dipendere da plugin.
Pattern ricorrenti che vediamo prendendo in carico siti compromessi:
Approccio pro: scanner lato server, blocco firewall, hardening PHP, reputazione IP. Protezione operativa, non plugin di facciata.
Risultati concreti per chi vuole proteggere un sito di valore:
Settimana 1.
Settimana 1-2.
Settimana 2.
Mensile.
Best-in-class per sicurezza lato server:
WordPress 
WooCommerce 
PHP 
Cloudflare WordPress WooCommerce PHP Cloudflare Quello che ti consegniamo come standard:
Il piano è dimensionato sul tuo sito: tipologia (vetrina, e-commerce, multisite), traffico atteso, livello di SLA e backup desiderati cambiano il quadro. Niente listini standard: prima cosa che facciamo è una breve call di scoping, poi mandiamo un preventivo scritto entro 48 ore.
Lo scanner lato server e i plugin di sicurezza WordPress operano a livelli diversi e sono complementari. Per la maggior parte dei siti, il nostro stack lato server (Imunify360 + isolamento server + Cloudflare) è sufficiente. Per progetti specifici aggiungiamo plugin di sicurezza come secondo livello.
Il file viene messo in quarantena automaticamente e arriva una notifica al team. Analizziamo se è un vero positivo (malware) o un falso positivo (codice offuscato lecito di un plugin), ripristiniamo il file pulito o aggiorniamo la whitelist a seconda del caso.
Sì, dopo un numero configurato di tentativi falliti l'IP viene bannato temporaneamente. Per i clienti gestiamo una whitelist degli IP degli uffici per evitare blocchi accidentali. Per situazioni urgenti possiamo togliere il ban manualmente in pochi minuti.
Ti notifichiamo ogni volta che lo scanner trova qualcosa di rilevante: malware sul sito, pattern di attacco anomalo, picco di tentativi falliti. Non ti notifichiamo i tentativi quotidiani di brute-force normali (sono migliaia al giorno per qualsiasi sito esposto), li trovi sintetizzati nel report mensile.
Sì. Lo scanner è attivo per default su tutti gli account della nostra infrastruttura, indipendentemente dalla dimensione del sito. Anche un sito vetrina con poche pagine viene scansionato con la stessa frequenza di un e-commerce.
Scansione continua di tutti i file, database di firme aggiornato in tempo reale dal vendor. Malware trovato in ore, non in settimane.
IP malevoli bannati prima che arrivi il PHP. Niente plugin di sicurezza che gira dentro WordPress dopo l'attacco.
Funzioni shell disattivate per default sui siti WordPress, WooCommerce, Joomla. Whitelist gestita da noi per i casi specifici.
Quando lo scanner trova qualcosa di rilevante, notifica immediata al team. Analisi e intervento prima che produca danni reali.
Analisi preliminare gratuita + report sintetico via email entro 48h.
