← Torna al blog Sicurezza

Vulnerability Scanning del Sito Web Fai da Te: Strumenti Gratuiti e Guida Passo Passo

Envestis Team 14 min di lettura

Puoi Controllare la Sicurezza del Tuo Sito (Fino a un Certo Punto)

La maggior parte degli imprenditori non ha mai testato la sicurezza del proprio sito web. Danno per scontato che l'agenzia web che lo ha costruito si sia occupata della sicurezza, o che il provider di hosting se ne occupi. A volte è vero. Spesso non lo è.

La buona notizia: esistono strumenti gratuiti che ti permettono di eseguire controlli di sicurezza base adesso, senza installare nulla, senza competenze tecniche e senza spendere un centesimo. Questi strumenti non troveranno tutto, ma individueranno i problemi più comuni e ti daranno un quadro chiaro della postura di sicurezza del tuo sito.

Questa guida ti accompagna attraverso cinque strumenti gratuiti, spiega cosa testa ciascuno, come usarlo e cosa significano i risultati. Chiariremo anche il confine tra quello che puoi fare da solo e quando dovresti coinvolgere un professionista.

Vulnerability Assessment vs Penetration Testing: Conosci la Differenza

Prima di entrare negli strumenti, chiariamo una confusione comune. Questi due termini vengono confusi costantemente, e descrivono cose molto diverse.

Vulnerability Assessment

Un vulnerability assessment identifica le debolezze note nel tuo sito o nella tua infrastruttura. Usa strumenti automatizzati per cercare problemi comuni: header di sicurezza mancanti, software obsoleto, configurazioni SSL deboli, porte aperte, CVE note. Ti dice "ecco i problemi che esistono." Non tenta di sfruttare quei problemi.

Questo è ciò che fanno gli strumenti in questo articolo. Puoi eseguire un vulnerability assessment da solo.

Penetration Testing

Un penetration test (pen test) va oltre. Un professionista della sicurezza tenta attivamente di sfruttare le vulnerabilità per vedere fin dove riesce ad arrivare. Potrebbe concatenare multiple piccole debolezze, tentare SQL injection, testare bypass dell'autenticazione o provare a escalare i privilegi. Un pen test ti dice "ecco cosa un attaccante potrebbe effettivamente fare con queste debolezze."

Il penetration testing richiede competenza, autorizzazione e una metodologia strutturata. Non è qualcosa che fai da solo a meno che tu non sia un professionista della sicurezza. Se vuoi capire il quadro completo di come gli attaccanti prendono di mira i siti aziendali, leggi il nostro articolo su come hackerano un sito aziendale.

Strumento 1: Mozilla Observatory

Cosa Testa

Mozilla Observatory controlla gli header di risposta HTTP del tuo sito, i cookie e altre configurazioni relative alla sicurezza. Ti dà un voto in lettere (da A+ a F) e ti dice esattamente cosa manca o è mal configurato.

Come Usarlo

  1. Vai su observatory.mozilla.org
  2. Inserisci l'URL del tuo sito
  3. Clicca "Scan Me"
  4. Attendi circa 30 secondi per i risultati

Cosa Significano i Punteggi

L'Observatory controlla una lista di best practice di sicurezza e assegna un punteggio a ciascuna. Ecco i controlli più comuni:

  • Content-Security-Policy (CSP): Questo header dice ai browser quali risorse (script, stili, immagini) possono caricarsi sulla tua pagina. Senza di esso, gli attaccanti possono iniettare script malevoli. La maggior parte dei siti fallisce questo controllo perché CSP è complesso da configurare correttamente.
  • HTTP Strict-Transport-Security (HSTS): Questo header dice ai browser di usare sempre HTTPS, anche se qualcuno digita http://. HSTS mancante significa che un attacco downgrade è possibile.
  • X-Content-Type-Options: Impedisce ai browser di indovinare il tipo di un file (MIME sniffing), che può portare a problemi di sicurezza. Deve essere impostato su nosniff.
  • X-Frame-Options: Controlla se il tuo sito può essere incorporato in un iframe su un altro sito. Senza di esso, gli attacchi di clickjacking sono possibili.
  • Referrer-Policy: Controlla quante informazioni referrer vengono inviate quando gli utenti cliccano link dal tuo sito.

Abbiamo scritto una guida dettagliata sugli header di sicurezza e un'altra specificamente sugli header HTTP di sicurezza per il tuo sito se vuoi approfondire.

Cosa Fare con i Risultati

Un punteggio D o F significa che il tuo sito manca degli header di sicurezza base. Questo è comune, specialmente sui siti WordPress e sui build più vecchi. La correzione comporta l'aggiunta degli header alla configurazione del server o tramite un plugin/middleware. Se hai ottenuto B o superiore, i tuoi header di sicurezza sono in buona forma.

Strumento 2: Qualys SSL Labs Server Test

Cosa Testa

SSL Labs esegue un'analisi approfondita della configurazione SSL/TLS del tuo sito. Controlla la validità del certificato, i protocolli supportati, le cipher suite e le vulnerabilità note nella tua configurazione HTTPS.

Come Usarlo

  1. Vai su ssllabs.com/ssltest/
  2. Inserisci il nome del tuo dominio (senza https://)
  3. Attendi 2-3 minuti per la scansione completa

Cosa Significano i Voti

  • A+ o A: La tua configurazione SSL/TLS è solida. Certificato valido, protocolli moderni usati, cipher deboli disabilitati.
  • B: Generalmente accettabile ma alcuni protocolli o cipher suite più vecchi sono ancora abilitati. Da migliorare.
  • C o inferiore: Problemi significativi. Potresti supportare protocolli obsoleti (TLS 1.0, TLS 1.1) o usare cipher suite deboli.
  • F: Il tuo certificato è scaduto, auto-firmato o c'è una grave misconfigurrazione.
  • T: Il certificato non è attendibile (di solito significa auto-firmato o catena interrotta).

Spieghiamo i certificati SSL in modo semplice nel nostro articolo certificati SSL spiegati, e il nostro pezzo su perché un certificato SSL da solo non basta spiega cos'altro ti serve oltre ad avere HTTPS.

Strumento 3: SecurityHeaders.com

Cosa Testa

SecurityHeaders.com è simile a Mozilla Observatory ma si concentra specificamente sugli header di risposta HTTP. Ti dà un voto rapido e lista quali header sono presenti, quali mancano, e fornisce spiegazioni per ciascuno.

Come Usarlo

  1. Vai su securityheaders.com
  2. Inserisci l'URL del tuo sito
  3. Clicca "Scan"
  4. I risultati appaiono istantaneamente

Cosa Fare con i Risultati

Questo strumento è utile come secondo parere rapido accanto a Mozilla Observatory. Se entrambi segnalano gli stessi header mancanti, quelli sono le tue correzioni prioritarie.

Strumento 4: OWASP ZAP (Zed Attack Proxy)

Cos'è

OWASP ZAP è uno strumento di test di sicurezza gratuito e open-source mantenuto dall'Open Worldwide Application Security Project (OWASP). A differenza degli strumenti precedenti, ZAP gira sul tuo computer e scansiona attivamente il tuo sito alla ricerca di vulnerabilità. È più potente e più complesso degli strumenti browser-based di cui sopra.

Come Usarlo (Scansione Base)

  1. Scarica ZAP da zaproxy.org
  2. Installalo (disponibile per Windows, macOS e Linux)
  3. Apri ZAP
  4. Nella scheda "Quick Start", inserisci l'URL del tuo sito
  5. Clicca "Attack" (questo esegue una scansione automatizzata)
  6. Attendi che la scansione si completi (può richiedere 10-60 minuti a seconda della dimensione del sito)

Capire i Risultati

ZAP categorizza i risultati per livello di rischio:

  • Alto (Rosso): Vulnerabilità serie che vanno corrette immediatamente. Esempi: SQL injection, cross-site scripting (XSS), autenticazione compromessa.
  • Medio (Arancione): Problemi significativi che gli attaccanti potrebbero usare per ottenere informazioni o causare danni limitati. Esempi: header di sicurezza mancanti, directory browsing abilitato.
  • Basso (Giallo): Problemi minori che forniscono informazioni agli attaccanti o rappresentano violazioni delle best practice.
  • Informativo (Blu): Non vulnerabilità di per sé, ma osservazioni che potrebbero essere rilevanti.

ZAP segnalerà anche potenziali falsi positivi. Non ogni risultato è una vulnerabilità reale. Qui conta la competenza: distinguere una vera vulnerabilità SQL injection da un falso allarme richiede di capire il contesto. Se ZAP riporta risultati Alto, prendili sul serio e consulta un professionista della sicurezza se non sei sicuro.

Se ZAP trova vulnerabilità XSS, il nostro articolo che spiega gli attacchi XSS ti aiuterà a capire cosa significano e perché contano.

Una Nota di Cautela

La scansione automatizzata di ZAP invia molte richieste al tuo sito. Su un piano di hosting condiviso piccolo, questo può rallentare il sito o attivare il rate limiting del tuo host. Esegui le scansioni durante le ore di minor traffico. Inoltre, non eseguire mai ZAP contro un sito che non possiedi. La scansione non autorizzata è illegale nella maggior parte delle giurisdizioni, inclusa la Svizzera.

Strumento 5: Nikto

Cos'è

Nikto è uno scanner di web server da riga di comando. Controlla software server obsoleto, file e CGI pericolosi, e problemi di configurazione del server.

Come Usarlo

  1. Installa Nikto (viene pre-installato su Kali Linux, o installa via apt install nikto su Debian/Ubuntu, o brew install nikto su macOS)
  2. Apri un terminale
  3. Esegui: nikto -h https://tuodominio.com
  4. Attendi che la scansione si completi (tipicamente 5-15 minuti)

Capire i Risultati

Nikto mostra una lista di risultati direttamente nel terminale. Risultati comuni includono:

  • Versione del server visibile (es. "Apache/2.4.41" visibile negli header)
  • Header di sicurezza mancanti (sovrapposizione con gli strumenti precedenti)
  • File predefiniti presenti (es. /readme.html, /license.txt che rivelano le versioni del CMS)
  • Directory listing abilitato su certi percorsi
  • Software server obsoleto con vulnerabilità note

Come Dare Priorità alle Correzioni

Dopo aver eseguito tutti e cinque gli strumenti, avrai probabilmente una lunga lista di risultati. Non farti prendere dal panico. Ecco come dare priorità:

Correggi Prima (Alta Priorità)

  • Qualsiasi risultato ad alto rischio da OWASP ZAP (specialmente XSS, SQL injection, problemi di autenticazione)
  • Voto SSL/TLS inferiore a B su SSL Labs
  • Certificato SSL scaduto o non valido
  • Software server obsoleto con CVE note segnalate da Nikto
  • Pannelli admin o file sensibili esposti (come dettagliamo nella nostra guida alle pagine admin esposte)

Correggi Presto (Media Priorità)

  • Header HSTS mancante
  • Header Content-Security-Policy mancante
  • TLS 1.0 o 1.1 ancora abilitato
  • Risultati a medio rischio da ZAP
  • Versione del server visibile

Correggi Quando Puoi (Priorità Inferiore)

  • Header Referrer-Policy mancante
  • Header Permissions-Policy mancante
  • Risultati a basso rischio di ZAP
  • Risultati informativi di Nikto

Cosa Puoi Correggere da Solo

Molti dei risultati comuni di questi strumenti possono essere corretti senza conoscenze tecniche approfondite:

  • Header di sicurezza: Se usi WordPress, plugin come "Headers Security Advanced & HSTS WP" possono aggiungere gli header mancanti. Su Netlify, Vercel o Cloudflare, puoi aggiungere header tramite file di configurazione.
  • Configurazione SSL/TLS: La maggior parte dei provider di hosting ha pannelli di controllo dove puoi disabilitare TLS 1.0/1.1.
  • Software obsoleto: Aggiorna il tuo CMS, plugin e temi. Questo da solo chiude molte finestre di vulnerabilità. Il nostro articolo sui rischi di un sito web non aggiornato spiega perché questo conta.
  • File predefiniti: Elimina readme.html, license.txt, wp-config-sample.php e file simili che rivelano la versione del tuo CMS.

Quando Hai Bisogno di un Professionista

Chiama un professionista quando:

  • OWASP ZAP riporta risultati di severità Alta e non sei sicuro se siano falsi positivi
  • Gestisci dati sensibili dei clienti (e-commerce, dati sanitari, informazioni finanziarie) e devi validare la tua postura di sicurezza per la conformità
  • Vuoi un penetration test, non solo un vulnerability assessment
  • I risultati richiedono modifiche a livello di server e non gestisci il tuo server
  • Il tuo sito gestisce pagamenti e hai bisogno di verifica della conformità PCI DSS
  • Hai subito un incidente di sicurezza e devi capire cosa è successo

Una valutazione di sicurezza professionale va oltre ciò che questi strumenti possono fare. Include test manuali, test della logica di business, analisi dei flussi di autenticazione e un report strutturato con indicazioni per la remediation. Se la tua azienda è a Lugano o in Ticino, offriamo valutazioni di sicurezza che coprono tutto questo e forniscono un piano di remediation chiaro.

Per un'autovalutazione più completa, consulta anche la nostra checklist di sicurezza per siti PMI che fornisce 15 controlli da eseguire immediatamente.

Costruire una Routine di Scansione

Eseguire questi strumenti una volta è utile. Eseguirli regolarmente è molto più prezioso. La sicurezza non è un controllo una tantum; è un processo continuo. Ecco un calendario semplice che qualsiasi azienda può seguire:

FrequenzaCosa EseguireTempo Richiesto
MensileMozilla Observatory + SecurityHeaders.com5 minuti
TrimestraleSSL Labs + scansione rapida OWASP ZAP30 minuti
Dopo ogni deploymentMozilla Observatory + SSL Labs10 minuti
AnnualeScansione completa ZAP + Nikto + considera una valutazione professionale2-4 ore

Tieni un registro dei tuoi punteggi nel tempo. Se un punteggio scende, qualcosa è cambiato e ha introdotto una debolezza. Questa semplice abitudine ti mette avanti rispetto alla stragrande maggioranza delle PMI che non testano mai la propria sicurezza.

Vuoi sapere se il tuo sito è sicuro?

Richiedi un audit di sicurezza gratuito. In 48 ore ricevi un report completo.

Richiedi Audit Gratuito

Articoli Correlati

Sicurezza

Vulnerabilita di WordPress nel 2025: Perche il Tuo Sito e Ancora a Rischio

WordPress alimenta oltre il 40% del web, ma la sua popolarita lo rende il bersaglio principale per gli attaccanti. Analizziamo le classi di vulnerabilita piu comuni, CVE reali dell'ultimo anno e passaggi concreti per rafforzare la tua installazione.

· 18 min di lettura
Sicurezza

SPF, DKIM e DMARC: Proteggi la Tua Azienda dallo Spoofing Email

Lo spoofing email costa alle aziende miliardi ogni anno tramite frodi BEC e phishing. SPF, DKIM e DMARC sono tre protocolli che, configurati correttamente, rendono quasi impossibile impersonare il tuo dominio.

· 15 min di lettura
Sicurezza

Pagine Admin Esposte: Un Regalo per gli Hacker

Le vostre pagine /wp-admin, /admin o /login sono visibili a tutto internet. I bot le stanno scansionando proprio ora. Il CAPTCHA da solo non vi salvera. Ecco come gli attaccanti sfruttano i pannelli admin esposti e cosa dovreste fare.

· 13 min di lettura

Contatto Rapido