WPsec.it
Analisi forense

Analisi forense WordPress: ricostruiamo come sei stato attaccato.

Dopo una compromissione la domanda non è solo come ripulire, ma cosa è successo, cosa hanno visto e se va notificato. L'analisi forense risponde con prove, non con supposizioni.

Richiedi analisi

Referto forense incluso nella Bonifica (da 249€) e nell'Audit forense (599€), IVA inclusa

Analisi forense WordPress

Risposta rapida

Analisi forense WordPress

L'analisi forense WPsec ricostruisce un attacco a un sito WordPress: identifica il vettore d'ingresso, raccoglie gli indicatori di compromissione (IoC), ricostruisce la timeline degli eventi e stabilisce quali dati sono stati esposti. Il risultato è un referto firmato, utilizzabile come base tecnica per gli adempimenti GDPR e NIS2 e per la chiusura definitiva della vulnerabilità.

Il problema reale

Perché una pulizia non basta

Quando un sito viene compromesso la reazione istintiva è ripulire in fretta e rimettere online. Ma senza capire cosa è successo restano quattro problemi aperti.

  • La vulnerabilità è ancora lì

    Se non sai da dove è entrato l'attaccante, non puoi chiudere la porta. Il sito ripulito viene ricompromesso con lo stesso metodo nel giro di settimane.

  • Non sai cosa è stato esposto

    Ordini, anagrafiche clienti, credenziali: senza analisi non puoi sapere se sono stati letti o esfiltrati. E senza saperlo non puoi gestire gli obblighi di legge.

  • Non hai prove

    In caso di contestazione, richiesta del Garante o disputa con un cliente, dire "abbiamo pulito" non è una prova. Serve un documento tecnico che ricostruisca i fatti.

  • Le evidenze si distruggono da sole

    Ogni giorno che passa i log ruotano, i file vengono sovrascritti, i timestamp si perdono. La finestra per un'analisi seria si chiude in fretta.

Il nostro metodo

Come lavoriamo: i fatti, non le impressioni

Un'analisi forense seria si regge su evidenze conservate e verificabili. Congeliamo lo stato del sito, lo analizziamo in ambiente isolato e documentiamo ogni conclusione con la prova che la sostiene.

01

Congelamento delle evidenze

Prima di toccare qualsiasi cosa: copia integrale di file, database e log in un archivio separato e datato. L'analisi lavora sulla copia, mai sul sito live.

02

Ricostruzione del vettore d'ingresso

Lettura dei log di accesso, confronto dei file con il core e i plugin ufficiali, ispezione di wp-config, .htaccess, mu-plugins e tabelle wp_options/wp_users. Cerchiamo il primo punto di contatto dell'attaccante.

03

Raccolta degli indicatori di compromissione

Hash dei file malevoli, IP e user-agent ricorrenti, URL di comando e controllo, pattern di payload. Gli IoC servono a riconoscere lo stesso attaccante se ritenta.

04

Timeline dell'attacco

Incrociando timestamp dei file, righe di log e revisioni del database ricostruiamo la sequenza: primo accesso, escalation, persistenza, azioni finali.

05

Valutazione dell'esposizione dei dati

Stabiliamo quali dati erano raggiungibili e se ci sono evidenze di lettura o esfiltrazione. È la base tecnica per decidere, con il consulente legale, se scatta un obbligo di notifica.

Come si svolge

Come si svolge un'analisi forense

  1. Step 01

    Presa in carico urgente

    Raccolta dei primi elementi e degli accessi. Ti diciamo subito cosa non toccare per non distruggere le evidenze.

  2. Step 02

    Acquisizione delle evidenze

    Copia forense di file, database e log in un archivio datato. Da qui in poi si lavora sulla copia, mai sul sito live.

  3. Step 03

    Analisi in ambiente isolato

    Esame dei file, dei log e del database su un ambiente separato, senza rischio per il sito e senza alterare le prove.

  4. Step 04

    Identificazione di vettore e IoC

    Ricostruzione del punto d'ingresso e raccolta degli indicatori di compromissione associati all'attacco.

  5. Step 05

    Ricostruzione della timeline

    Sequenza ordinata e datata di cosa è successo, dal primo accesso all'ultima azione dell'attaccante.

  6. Step 06

    Referto e raccomandazioni

    Consegna del referto firmato con findings, valutazione dell'esposizione dei dati e piano di remediation prioritario.

Cosa ricevi

Cosa contiene il referto

Sintesi per chi decide

Una pagina in linguaggio chiaro: cosa è successo, cosa è stato esposto, cosa va fatto. Scritta per il titolare, non per il tecnico.

Vettore d'ingresso ricostruito

Il punto e il metodo con cui l'attaccante è entrato, con l'evidenza che lo dimostra.

Indicatori di compromissione (IoC)

Elenco di hash, IP, URL e pattern utili a riconoscere e bloccare lo stesso attaccante.

Timeline dell'attacco

Sequenza datata degli eventi, verificabile sulle evidenze raccolte.

Esposizione dati e remediation plan

Quali dati erano a rischio e il piano di intervento, per priorità, per chiudere definitivamente la vulnerabilità.

FAQ

Domande frequenti

Risposte concrete sulle modalità di lavoro, garanzie reali e limiti tecnici di questo servizio.

  • No. La bonifica rimette il sito pulito e operativo. L'analisi forense ricostruisce cosa è successo e produce il referto. Nella Bonifica WPsec il referto forense è già incluso; l'Audit forense è invece un documento più esteso, pensato per la compliance.

Pronto a partire?

Sospetti che il sito sia stato compromesso?

Non ripulire nulla e non ripristinare backup: rischi di cancellare le prove. Apri la chat con Bob o scrivici, ti diciamo subito come mettere in sicurezza le evidenze.

Richiedi analisi

Servizi correlati

Approfondisci le aree complementari.

Bonifica malware WordPress

Analisi forense, rimozione completa di backdoor e file infetti, identificazione del vettore d'ingresso e patch della vulnerabilità.

Scopri il servizio

Hardening WordPress

Configurazioni difensive misurate sul contesto reale: permessi, login, headers HTTP, policy specifiche per stack e traffico.

Scopri il servizio