Cos e il penetration testing?

Il penetration testing (pentest) e un attacco simulato autorizzato a un sistema, un applicazione o una rete eseguito da hacker etici per trovare debolezze prima degli attaccanti reali. Combina scansione automatizzata con sfruttamento manuale e produce un rapporto scritto con i risultati, la severita e i passi di rimediazione.

Quanto dura un pentest?

Un pentest tipico di applicazione web dura 5 a 15 giorni lavorativi a seconda dello scope, piu 2 a 5 giorni per il rapporto. Un piccolo sito WordPress puo essere testato in 3 a 5 giorni, un applicazione enterprise puo richiedere 4 a 8 settimane.

Quanto costa un pentest?

Nel 2025 un pentest focalizzato di applicazione web costa tra 5.000 e 25.000 EUR per PMI e 30.000 a 150.000 EUR per scope enterprise. Continuous Pentest as a Service parte da 800 a 2.000 EUR al mese.

Cos'è il Penetration Testing?

Il penetration testing (pentesting, ethical hacking) e un attacco cibernetico simulato e autorizzato contro un sistema, applicazione, API o rete. L obiettivo e identificare debolezze (vulnerabilita, configurazioni errate, difetti di design) prima che attaccanti malevoli le sfruttino. Il pentester segue una metodologia strutturata: scansione automatizzata, sfruttamento manuale, post sfruttamento e reportistica. L output e un rapporto scritto che valuta ogni risultato per severita (Critical, High, Medium, Low, Informational) con passi di riproduzione, screenshot, impatto di business e correzione consigliata. Obbligatorio in PCI DSS 11.4 (annuale), ISO 27001:2022 A.8.29, NIS2 articolo 21, HIPAA, SOC 2 e DORA articolo 26 dal 17 gennaio 2025. Prezzi 2025: 5.000 a 25.000 EUR PMI, 30.000 a 150.000 EUR enterprise, PTaaS da 800 a 2.000 EUR al mese.

Pentest vs vulnerability scan

Aspetto	Scan	Pentest
Automazione	Totale	Soprattutto manuale
Profondita	Superficiale	Concatenata
Falsi positivi	Alti	Bassi
Sfruttamento	Nessuno	Reale
Durata	Minuti a ore	Giorni a settimane
Costo	Basso	Da 5.000 EUR
Frequenza	Settimanale	Annuale

Tipi di pentest

Applicazione web.
API (OWASP API Top 10 2023).
Mobile.
Rete e infrastruttura.
Cloud (AWS, Azure, GCP).
Wireless.
Ingegneria sociale e phishing.
Red Team.
Purple Team.
IoT.

Modelli di conoscenza

Black box.
Grey box.
White box.

Metodologia

Scope e regole di ingaggio.
Ricognizione.
Threat modeling.
Identificazione (Burp Suite Pro, Acunetix, Nuclei, Nessus).
Sfruttamento (Metasploit, sqlmap, hashcat, BloodHound).
Post sfruttamento.
Rapporto CVSS 3.1 o 4.0.
Rimedio e retest.

Standard

OWASP WSTG 4.2.
OWASP API Top 10 2023.
PTES.
NIST SP 800 115.
OSSTMM.
MITRE ATT&CK.
PCI DSS 11.4.
TIBER-EU.

Strumenti

Burp Suite.
OWASP ZAP.
Metasploit.
Nmap.
sqlmap.
Nuclei.
hashcat.
BloodHound.
Kali Linux, Parrot OS.
Cobalt Strike.
WPScan.

Certificazioni

OSCP, OSCE3.
CRTO / CRTL.
CREST CRT e CCT.
PNPT.
GPEN, GWAPT, GXPN.
CEH.

Pentest WordPress

CVE plugin e tema (WPScan).
REST API senza auth.
XML-RPC.
Enumerazione autori.
File di backup nel webroot.
Upload vulnerabili.
SQLi in plugin/tema custom.
XSS stored.
Senza 2FA e senza nonces CSRF.
Password deboli.

Preparazione

Definire lo scope.
Account di test per ruolo.
Staging isolato.
Avvisare SOC, IT, hosting e WAF.
Documentare issue note.
Canale di comunicazione.
Budget per retest.

Bug Bounty

HackerOne, Bugcrowd, Intigriti, YesWeHack, Open Bug Bounty. Complemento, non sostituto.

Come si inserisce InspectWP?

InspectWP automatizza ricognizione e analisi della superficie.

Cos'è il Penetration Testing?

Pentest vs vulnerability scan

Tipi di pentest

Modelli di conoscenza

Metodologia

Standard

Strumenti

Certificazioni

Pentest WordPress

Preparazione

Bug Bounty

Come si inserisce InspectWP?

Cos'è Interaction to Next Paint (INP)?

Cosa sono AVIF e WebP a confronto?

Articoli correlati

Cosa sono HTTP/2 e HTTP/3? Una guida pratica per i siti WordPress

Cosa sono i custom post types di WordPress?

Cos’è un block theme WordPress (Full Site Editing)?

Controlla subito il tuo sito WordPress