Security Audit di un Sito Web: Cosa Controlla e Quanto Costa
Lettura 8 min · AstraLoop Studio
Se hai un sito web che genera contatti, incassa pagamenti o custodisce i dati dei tuoi clienti, prima o poi ti fai una domanda semplice: quanto e sicuro davvero? La maggior parte dei titolari risponde installando un plugin da qualche decina di euro l'anno e considerando la pratica chiusa. Poi arriva la brutta sorpresa. Sito defacciato, redirect verso pagine di scommesse, form di contatto che spediscono spam, o peggio ancora, dati dei clienti finiti chissa dove.
Un security audit e un'altra cosa rispetto a un plugin. E l'analisi strutturata delle vulnerabilita del tuo sito, fatta da qualcuno che sa cosa cercare e come ci proverebbe un attaccante. In questo articolo ti spieghiamo cosa controlla concretamente, quanto costa in Italia nel 2026 e perche la differenza tra uno scan automatico e un audit umano si vede solo quando serve.

Perche il tema e diventato urgente (numeri alla mano)
Non e allarmismo da vendita. Il Rapporto Clusit 2026 fotografa un'Italia che raccoglie circa il 10% degli incidenti mondiali, con un +23% di attacchi gravi solo nel primo trimestre e lo sfruttamento di vulnerabilita cresciuto del 65% rispetto al 2024. Il dato che dovrebbe interessarti di piu e un altro: le PMI sono il 72% dei bersagli. Non le multinazionali con reparti IT dedicati, ma le aziende come la tua.
Sul fronte WordPress, che copre una fetta enorme dei siti aziendali italiani, la situazione e ancora piu concreta. Nel 2025 sono state scoperte 11.334 nuove vulnerabilita, il 42% in piu dell'anno precedente, e il 97% risiedeva in plugin e temi di terze parti. I siti vulnerabili vengono scansionati e attaccati da botnet automatizzate ogni pochi minuti, senza che dietro ci sia un umano che ti ha preso di mira. Sei semplicemente un indirizzo IP con una falla nota.
Un security audit del sito e uno dei tasselli di un discorso piu ampio. Se vuoi capire come si incastra in una strategia di protezione completa, ti conviene partire dalla nostra guida all'audit di sicurezza informatica per PMI, che tratta l'intero perimetro aziendale e non solo il sito.
Cosa controlla davvero un security audit del sito
Un audit serio non e un pulsante che premi. E una sequenza di verifiche, alcune automatizzabili, molte no. Ecco cosa dovrebbe includere.
1. Vulnerability assessment (la mappatura delle falle)
E la fase piu tecnica. Si scansionano CMS, plugin, temi, versioni di software e librerie per confrontarli con i database di vulnerabilita note (CVE). Serve a rispondere alla domanda: quali porte sono aperte e quali componenti hanno buchi documentati? E il primo strato, quello che anche un tool automatico sa fare in parte. Se vuoi approfondire il concetto, abbiamo scritto un pezzo dedicato su cos'e un vulnerability assessment.
2. Analisi delle vulnerabilita specifiche del CMS
Su WordPress, Prestashop, Magento o headless ci sono pattern di rischio ricorrenti: plugin abbandonati dagli sviluppatori, versioni non aggiornate, credenziali deboli, file di configurazione esposti, permessi errati sulle cartelle. Un buon auditor conosce le falle tipiche di ogni piattaforma. Per i siti WordPress in particolare, il grosso del rischio arriva dai componenti terzi, e ne parliamo in dettaglio nell'articolo sulle vulnerabilita dei plugin WordPress.
3. Configurazione del server e dell'hosting
Il sito puo essere blindato ma il server sotto no. Si controllano certificati SSL/TLS, header di sicurezza HTTP (Content-Security-Policy, HSTS, X-Frame-Options), versioni PHP, esposizione di informazioni tecniche, backup automatici e firewall applicativo (WAF).
4. Gestione accessi e autenticazione
Chi ha accesso all'area amministrativa? Con quali password? C'e l'autenticazione a due fattori? Ci sono account inattivi o di ex collaboratori ancora attivi? Questa e la porta preferita degli attaccanti, e quasi sempre e spalancata.
5. Test di penetrazione mirati (dove serve)
Nei casi piu delicati, come e-commerce o siti che gestiscono dati sensibili, si va oltre la scansione e si prova ad attaccare in modo controllato: SQL injection, cross-site scripting, tentativi di aggirare il login, manomissione di carrelli e pagamenti. Qui la differenza tra vulnerability assessment e penetration test diventa sostanziale. Il primo trova le porte, il secondo prova ad aprirle.
6. Protezione dei dati e conformita GDPR
Un audit ben fatto verifica anche dove finiscono i dati raccolti dai form, se sono cifrati, chi vi accede e se in caso di violazione saresti in grado di rispettare gli obblighi di notifica al Garante Privacy entro 72 ore. Perche una falla del sito che espone i dati dei clienti non e solo un problema tecnico. E un data breach ai sensi del GDPR, con conseguenze legali ed economiche.

Audit umano contro plugin automatico: la differenza vera
Qui sta il punto che quasi nessuno ti spiega chiaramente. Uno scan automatico, cioe il plugin di sicurezza o i tool online gratuiti, fa bene una cosa sola: confronta le versioni installate con un elenco di vulnerabilita note. Utilissimo, ma limitato a cio che e gia catalogato.
Quello che un tool non fa:
- Non capisce il contesto. Un form di preventivo che accetta allegati e un rischio diverso su un sito vetrina rispetto a uno che processa dati sanitari. Il tool segnala tutto allo stesso modo, oppure non lo segnala affatto.
- Non concatena le vulnerabilita. Le violazioni reali quasi mai sfruttano una singola falla. Usano una catena di piccoli difetti che, presi singolarmente, sembrano innocui. Solo un umano vede la catena.
- Non testa la logica di business. Un carrello che permette di applicare piu volte lo stesso coupon, o di modificare il prezzo lato client, e una falla logica invisibile a qualsiasi scanner.
- Genera falsi positivi e falsi negativi. Ti riempie di alert irrilevanti e tace su quello che conta, lasciandoti la sensazione (falsa) di essere protetto.
La metafora piu onesta e questa: il plugin automatico e l'antifurto che suona. L'audit umano e il consulente che gira per casa, prova le finestre, controlla se la chiave e sotto lo zerbino e ti dice quale porta lasceresti aperta senza accorgertene.
Quanto costa un security audit del sito in Italia
I prezzi variano molto in base alla profondita e alla complessita del sito. Ecco dei range realistici per il mercato italiano nel 2026.
| Tipo di intervento | Cosa include | Range di prezzo |
|---|---|---|
| Scan automatico + report | Scansione vulnerabilita note, report base, nessuna interpretazione | 0 - 300 EUR |
| Audit base sito vetrina | Vulnerability assessment, config server, accessi, report con priorita | 500 - 1.500 EUR |
| Audit completo WordPress/CMS | Analisi plugin/temi, hardening, GDPR, remediation guidata | 1.200 - 3.500 EUR |
| Audit e-commerce con pen test | Test manuali su pagamenti, carrello, login, dati clienti | 3.000 - 8.000+ EUR |
| Messa in sicurezza WordPress (audit + fix) | Audit + intervento correttivo + hardening completo | 1.500 - 5.000 EUR |
Attenzione a due estremi. Sotto i 300 euro raramente compri un audit vero: compri un report generato da un tool, spesso indistinguibile da quello che otterresti gratis. All'estremo opposto, un pacchetto "tutto incluso a vita" a cifre enormi va sempre verificato. Cosa comprende la remediation? C'e un monitoraggio continuo oppure e un intervento una tantum?
Il costo di un audit va valutato sempre contro il costo di non farlo. Per una PMI, il costo medio di un incidente ransomware o di una violazione dati oscilla tra 35.000 e 250.000 euro, tra fermo attivita, ripristino, notifiche e danno reputazionale. In quest'ottica un audit da 2.000 euro e un'assicurazione, non una spesa. Abbiamo quantificato la cosa nell'articolo sul costo reale di un data breach e il ROI della prevenzione.
Vuoi sapere quanto e realmente esposto il tuo sito, prima di scoprirlo nel modo sbagliato? Richiedici un'analisi di sicurezza mirata: ti diciamo cosa sistemare e con quale priorita.
Da cosa dipende il prezzo (e come farti fare un preventivo sensato)
Se chiedi tre preventivi e ricevi tre cifre diverse, e normale: dipende da variabili concrete. Ecco quelle che spostano davvero l'ago.
- Complessita del sito. Un sito vetrina di 5 pagine e un e-commerce con 2.000 prodotti, area riservata e pagamenti sono pianeti diversi.
- Profondita del test. Solo vulnerability assessment oppure anche penetration test manuale? Il secondo richiede ore-uomo qualificate ed e la voce che pesa di piu.
- Dati trattati. Se gestisci dati sensibili (salute, dati bancari) l'audit deve toccare anche la conformita, e questo alza il perimetro.
- Remediation inclusa o no. Trovare le falle e una cosa, sistemarle un'altra. Chiarisci se il prezzo comprende solo il report oppure anche l'intervento correttivo.
- Follow-up e retest. Un audit serio prevede un retest dopo le correzioni, per verificare che siano davvero chiuse. Chiedi se e incluso.
Un consiglio pratico quando confronti i preventivi: chiedi un esempio di report anonimizzato. Se il fornitore ti mostra un PDF ricco di contesto, priorita di rischio e indicazioni operative, stai parlando con qualcuno che fa audit umani. Se ti gira l'output grezzo di un tool, sai cosa stai comprando. Sul metodo con cui si costruisce un preventivo di questo tipo, puoi vedere anche come funziona il costo di un penetration test.
E il collegamento con l'assicurazione cyber
C'e un aspetto che quasi nessun fornitore ti dice: sempre piu polizze cyber richiedono, per essere valide o per non alzare il premio, la prova di misure di sicurezza minime e spesso un audit periodico. Se sottoscrivi una polizza e poi subisci una violazione dovuta a una vulnerabilita nota e non gestita, l'assicuratore puo contestare il risarcimento. In pratica, l'audit non serve solo a evitare l'attacco. Serve anche a rendere il tuo sito (e la tua azienda) assicurabile a condizioni ragionevoli. E un ragionamento che vale la pena fare a monte, non dopo il sinistro.
Quando ha senso fare un audit del sito
Non serve farlo ogni mese, ma ci sono momenti in cui e chiaramente il caso.
- Hai un e-commerce o un sito che raccoglie pagamenti e dati clienti.
- Non aggiorni il sito da mesi, o non sai chi lo aggiorna.
- Hai gia avuto un incidente, anche piccolo: spam dai form, redirect strani, rallentamenti sospetti.
- Stai per sottoscrivere una polizza cyber, oppure lavori con clienti che te la richiedono.
- Hai cambiato agenzia o sviluppatore e non sai in che stato ti hanno lasciato le cose.
Se invece il sito e gia stato compromesso, l'audit viene dopo: prima si bonifica. In quel caso parti dalla nostra guida su cosa fare quando un sito WordPress viene hackerato.
In sintesi
Un plugin di sicurezza e un buon primo strato, ma non e un audit. Un security audit vero costa in Italia tra i 500 euro e diverse migliaia, a seconda di complessita e profondita, e la differenza la fa l'occhio umano che interpreta il contesto, concatena le falle e ti dice cosa sistemare prima. Confrontato con le cifre di un incidente reale, e uno degli investimenti a piu alto rendimento che puoi fare per proteggere il lavoro che c'e dietro il tuo sito.
Domande frequenti
Quanto costa un security audit di un sito web in Italia?
Dipende dalla profondita. Un audit base per un sito vetrina parte da 500-1.500 euro, un audit completo su WordPress o CMS sta tra 1.200 e 3.500 euro, mentre un e-commerce con penetration test manuale puo superare gli 8.000 euro. Sotto i 300 euro di solito compri solo uno scan automatico, non un audit vero.
Un plugin di sicurezza WordPress non basta al posto di un audit?
No. Un plugin blocca minacce note e fa da barriera di base, utile ma limitata. Non capisce il contesto del tuo sito, non concatena le vulnerabilita e non testa la logica di business (carrelli, coupon, pagamenti). Un audit umano trova esattamente cio che il plugin non vede, che spesso e quello che conta di piu.
Quanto costa mettere in sicurezza un sito WordPress?
La messa in sicurezza, che include audit piu intervento correttivo e hardening, va tipicamente dai 1.500 ai 5.000 euro. Il prezzo dipende da quante vulnerabilita si trovano, dalla quantita di plugin e temi da sistemare e dal fatto che il sito sia gia stato compromesso o meno.
Ogni quanto va rifatto un audit del sito?
Per un sito vetrina stabile puo bastare una volta l'anno o dopo modifiche importanti. Per un e-commerce o un sito che tratta dati sensibili conviene un audit almeno annuale piu controlli periodici, anche perche molte polizze cyber lo richiedono per restare valide.
Qual e la differenza tra vulnerability assessment e penetration test?
Il vulnerability assessment scansiona e mappa le falle note, cioe trova le porte. Il penetration test prova concretamente a sfruttarle simulando un attacco reale, cioe apre le porte. Il primo e piu economico e ampio, il secondo piu costoso e mirato. Un e-commerce serio ha bisogno di entrambi.
Un audit del sito serve anche per il GDPR?
Si. Se il tuo sito raccoglie dati tramite form, area riservata o pagamenti, una falla che li espone e un data breach a tutti gli effetti, con obbligo di notifica al Garante entro 72 ore. Un audit ben fatto verifica dove finiscono i dati, se sono cifrati e chi vi accede, coprendo anche il lato conformita.
Se vuoi un preventivo chiaro per un audit del tuo sito, senza pacchetti fumosi, parlane con noi. Valutiamo insieme il livello di controllo che ti serve davvero.