Lean Bunker Security Checker – WordPress Plugin

🔍 Lean Bunker Security Checker – Verifica senza peso, verità senza filtri

Un solo file. Poche decine di righe di codice trasparente. Zero dipendenze. Zero illusioni.

Non servono dashboard colorate, punteggi fasulli o analisi opache. Lean Bunker Security Checker è la risposta onesta a una domanda semplice:

“Il mio sito è davvero al sicuro?”

Niente allarmismi, niente consigli generici, niente connessioni esterne. Solo verifiche oggettive, eseguite in tempo reale, che ti mostrano esattamente cosa è attivo, cosa manca e dove potresti essere esposto — senza giudizi, senza marketing.

Se cerchi uno strumento di controllo leggero come il respiro ma preciso come un bisturi, sei nel posto giusto.
Tutta la chiarezza. Nessun rumore.

Download

🔍 Lean Bunker Security Checker – Verifica autonoma dello stato di sicurezza

Un controllo trasparente, senza errori, senza dipendenze

Lean Bunker Security Checker è un plugin di diagnosi passiva: non modifica nulla, non interviene, non carica script.
Si limita a scansionare in tempo reale lo stato di sicurezza del tuo sito WordPress e a mostrarti, in una pagina admin pulita e leggibile, cosa è attivo, cosa manca e dove potresti migliorare.

È progettato per funzionare in tandem con lean-bunker-security, ma può essere usato anche da solo per verificare qualsiasi configurazione di sicurezza WordPress.

Zero bloat. Zero telemetria. Solo fatti.

Elenco completo delle funzionalità verificate

1. Verifica degli Security Headers

Controlla che le policy moderne di sicurezza siano attive negli header HTTP:

  • Content-Security-Policy (CSP) presente
  • Strict-Transport-Security (HSTS) attivo
  • X-Frame-Options: SAMEORIGIN impostato
  • Permissions-Policy presente
  • COOP/COEP assenti (per compatibilità standard, a meno che non siano esplicitamente richiesti)

⚠️ Nota: il checker non impone gli header, ma verifica se sono già inviati dal server o da un altro plugin.

2. Disabilitazione di commenti e trackback

Conferma che i vettori di spam e attacco tramite commenti siano neutralizzati:

  • ✅ Commenti disattivati su post
  • ✅ Commenti disattivati su page
  • ✅ Widget “Commenti recenti” non attivo
  • Trackback disattivati globalmente
  • Pingback disattivati globalmente

3. Protezione di REST API e XML-RPC

Verifica la chiusura di interfacce potenzialmente esposte:

  • ✅ REST API disabilitata per utenti anonimi
  • ✅ Endpoint /wp-json/wp/v2/users non accessibile (protegge da enumerazione utenti)
  • ✅ XML-RPC disattivato (se supportato dalla configurazione)
  • ✅ Metodi per pingback via XML-RPC bloccati

4. Ottimizzazioni frontend e riduzione bloat

Controlla che non vengano caricate risorse inutili:

  • Gutenberg disattivato (nessun blocco né script caricati)
  • Heartbeat API disattivata
  • jQuery non caricato in frontend (se configurato)
  • ✅ Assenza di script di debug o recovery mode

5. Impostazioni core di sicurezza

Verifica la configurazione fondamentale di WordPress:

  • ✅ Registrazione utenti disattivata (se richiesto)
  • ✅ Opzione “Chiunque può registrarsi” disattivata
  • ✅ Editor temi/plugin non accessibile
  • ✅ File critici (wp-config.php, debug.log) non esposti (se protetti a livello server o tramite regole aggiuntive)

6. Interfaccia admin semplice e leggibile

  • Pagina dedicata in Strumenti → Lean Bunker Check
  • Colori chiari: verde per OK, rosso per mancanze
  • Layout pulito, senza grafici complessi o “punteggi” fuorvianti
  • Codice sorgente completamente leggibile e verificabile

7. Compatibilità e filosofia

  • Un solo file PHP, nessuna dipendenza
  • Nessuna richiesta esterna, nessun tracking
  • Funziona in Multisite
  • Non interferisce con altri plugin
  • Licenza GPL-3.0+, conforme a WordPress.org
  • Non usa short tag PHP, solo <?php echo ...
  • Non genera errori in Query Monitor (come richiesto)

🧪 A cosa serve, in pratica?

  • Validare che lean-bunker-security sia configurato correttamente
  • Identificare falle in configurazioni personalizzate o mu-plugins
  • Documentare lo stato di sicurezza per audit interni o clienti
  • Migliorare iterativamente la tua strategia di hardening
  • Testare l’efficacia delle regole server-side (es. header, protezione file)

🔎 Non è un plugin attivo di protezione. È uno specchio.
Ti mostra esattamente ciò che c’è — né più, né meno.

❓ Domande Frequenti – Lean Bunker Security Checker

Prima dell’installazione

1. A cosa serve questo plugin? Non è ridondante se uso già Lean Bunker Security?

No. Mentre Lean Bunker Security applica protezioni, Security Checker verifica che quelle protezioni (e altre) siano effettivamente attive. È uno strumento di audit passivo, non un sostituto né un duplicato.

2. Modifica qualcosa nel mio sito?

Assolutamente no. Il plugin non modifica, non disattiva, non installa nulla. Si limita a leggere la configurazione corrente e a mostrarla in una pagina admin.

3. Posso usarlo senza installare Lean Bunker Security?

Sì! Funziona su qualsiasi installazione WordPress, anche con altri plugin di sicurezza o configurazioni personalizzate (es. mu-plugins, regole server). Ti dice semplicemente “cosa c’è”.

4. È adatto a principianti?

È pensato per utenti con conoscenza tecnica di base (sviluppatori, amministratori, webmaster). Le risposte sono tecniche e non spiegate in termini semplicistici — perché la sicurezza non è un gioco.

5. Rallenta il sito?

No. Le verifiche avvengono solo quando visiti la pagina admin “Lean Bunker Check”. Non ci sono hook attivi, cron job, script frontend o richieste AJAX. Zero impatto sulle performance.

6. Raccoglie dati o li invia da qualche parte?

No. Il codice è completamente offline. Non esegue chiamate HTTP, non salva dati esterni, non usa Google Fonts o CDN. È 100% autonomo.

7. Funziona su hosting molto limitati (es. condivisi, low-cost)?

Sì. Anzi, è perfetto per quegli ambienti, perché non richiede accesso a .htaccess, php.ini, CLI o estensioni PHP avanzate.

8. È compatibile con WordPress Multisite?

Sì. Se attivato a livello di rete, verifica la configurazione globale. Se attivato su un singolo sito, verifica solo quel sito.

9. Posso usarlo per fare audit a clienti?

Certo. La pagina di report è chiara, stampabile (via Ctrl+P) e non contiene branding invasivo. Mostra solo fatti, senza punteggi fuorvianti o “livelli di sicurezza” inventati.

10. Richiede aggiornamenti frequenti?

No. Le verifiche sono basate su comportamenti standard di WordPress. Il plugin cambia solo se emergono nuove best practice universalmente riconosciute.

Dopo l’installazione

11. Dove trovo i risultati del controllo?

Vai in Strumenti → Lean Bunker Check nel menu di amministrazione. La pagina si carica in meno di un secondo.

12. Cosa significa se una voce è in rosso?

Significa che la protezione non è attiva. Esempio: se “REST API disattivata per utenti anonimi” è rosso, significa che chiunque può accedere a /wp-json/.

13. Il checker non rileva i miei header CSP/HSTS. Perché?

Il plugin legge gli header effettivamente inviati dal server. Se li gestisci via .htaccess, Nginx o Cloudflare, assicurati che siano davvero presenti nella risposta HTTP (usa DevTools → Network → Headers).

14. Segnala che i commenti sono attivi, ma io li ho disattivati manualmente. Perché?

Il checker verifica lo stato runtime di WordPress. Se hai disattivato i commenti solo tramite tema (comments_template() non chiamata), ma l’opzione globale è ancora attiva, lo segnalerà come “attivo”. Usa add_filter('comments_open', '__return_false'); per disattivarli a livello core.

15. Perché non controlla se il login è protetto da brute-force?

Per scelta progettuale. Il brute-force è un attacco di rete, non una configurazione WordPress. Il controllo richiederebbe log o metriche esterne, che esulano dallo scopo “passivo” del plugin.

16. Posso estendere il checker con i miei test personalizzati?

Sì! Il codice è aperto e modulare. Puoi aggiungere funzioni custom in un mu-plugin o in un plugin separato che aggancia lo stesso sistema di report. (Esempio: controllo presenza robots.txt, verifica CDN, ecc.)

17. Il report dice che jQuery è caricato, ma io ho disattivato tutto. Cosa succede?

Un altro plugin o il tema potrebbe richiederlo. Usa strumenti come Query Monitor per tracciare chi enqueua jquery. Il checker rileva solo la presenza effettiva, non le intenzioni.

18. Perché non verifica se il file wp-config.php è esposto?

Perché WordPress non può leggere il proprio wp-config.php via HTTP (sarebbe un paradosso di sicurezza). Il controllo di esposizione di file va fatto esternamente (es. con curl o scanner). Il checker lo segnala solo se vedi tentativi di accesso bloccati dal firewall.

19. Posso usare il risultato come “certificato di sicurezza” per un cliente?

Puoi mostrarlo come prova di audit tecnico, ma non come “certificazione ufficiale”. Il report riflette lo stato in un dato momento, non una garanzia perpetua.

20. Come faccio a far sì che tutte le voci diventino verdi?

Installa e configura Lean Bunker Security con tutte le opzioni attivate, oppure replica manualmente le stesse logiche nel tuo mu-plugin. Il checker ti dirà quando avrai chiuso ogni vettore noto.

21. Il report non aggiorna dopo aver modificato le impostazioni. Perché?

Ricarica la pagina. Il plugin non memorizza cache: ogni visita esegue una scansione fresca in tempo reale.

22. Posso nascondere la pagina di report ad alcuni utenti?

Di default è visibile solo agli amministratori (manage_options). Se vuoi limitarla ulteriormente, puoi aggiungere un filtro custom nel tuo mu-plugin.

23. Il codice è verificabile?

Sì. È un unico file PHP, ben commentato, senza short tag, senza librerie esterne. Chiunque può leggerlo in 5 minuti e capire esattamente cosa fa.

24. Cosa non fa il Security Checker?

  • Non scansiona malware
  • Non controlla permessi file (chmod)
  • Non verifica vulnerabilità nei plugin installati
  • Non testa la forza delle password
  • Non simula attacchi

    È uno strumento di conformità, non un antivirus.

✨ In sintesi:

Lean Bunker Security Checker non ti dice cosa fare. Ti dice cosa c’è.
E a volte, nella sicurezza, sapere la verità è l’unico vantaggio che conta.