Lean Bunker Security (Safe) – WordPress Plugin

🌬️ Leggerezza. Semplicità. Controllo.

In un mondo dove i plugin di sicurezza pesano centinaia di KB, caricano dozzine di script e trasformano WordPress in una fortezza fragile, Lean Bunker Security – Safe Edition fa esattamente l’opposto.

Un solo file. Zero dipendenze. Nessun JavaScript invasivo.
Niente librerie esterne, niente chiamate remote, niente sovrastrutture complesse. Solo codice PHP pulito, scritto con precisione chirurgica, che sfrutta al massimo le API native di WordPress — e nient’altro.

Questa versione è stata concepita per chi sa che la vera sicurezza nasce dalla semplicità: meno codice = meno bug, meno superficie d’attacco, meno rischi.
Ogni funzione è opzionale, trasparente e reversibile. Niente viene imposto. Niente si rompe.

Perché proteggere un sito non dovrebbe mai significare complicarlo.

Benvenuto in Lean Bunker – Safe Edition: sicurezza che respira leggera.

Download

🔐 Lean Bunker Security – Safe Edition

La massima protezione senza mai compromettere la stabilità del tuo sito

Lean Bunker Security – Safe Edition è la versione pensata per chi non può permettersi rischi: webmaster principianti, agenzie che gestiscono decine di clienti, hosting condivisi senza accesso FTP, o semplicemente utenti che vogliono un WordPress più sicuro senza mai dover intervenire manualmente su file critici.

Questa edizione non modifica mai il tuo ambiente server. Niente scritture automatiche su .htaccess, niente alterazioni di wp-config.php, niente installazione forzata di mu-plugin. Tutto avviene in runtime, senza lasciare tracce permanenti, e ogni funzione può essere disattivata con un clic.

Filosofia di progetto

  • Zero rottura garantita: nessuna funzionalità attiva può causare errori 500, white screen o problemi di accesso.
  • Trasparenza totale: ogni azione è documentata nell’interfaccia admin, con riferimenti precisi alle funzioni WordPress disabilitate.
  • Controllo dell’utente: niente viene attivato automaticamente. L’utente decide cosa abilitare, quando, e perché.
  • Compatibilità universale: testata su hosting condivisi con PHP 7.4–8.3, LiteSpeed, Apache, Nginx (tramite proxy), e server limitati (es. senza shell, senza lettura .htaccess).

🛡️ Funzionalità attive (se abilitate manualmente)

  1. Disattivazione sicura di componenti WordPress non essenziali
    • REST API (completa o parziale, con whitelist opzionale)
    • Heartbeat API (riduzione al minimo o disattivazione totale)
    • Embed, oEmbed, Shortlink, RSS/Atom feeds, RSD/Wlwmanifest
    • XML-RPC (con opzione di lasciare attivo solo per Jetpack se rilevato)
    • Gutenberg e tutte le sue dipendenze (JS/CSS/endpoint)
    • Emojicons, dashicons non essenziali, jQuery migrate
    • Avvisi di aggiornamento per utenti non amministratori
  2. Protezione in tempo reale (runtime filtering)
    • Blocco di query vettoriali comuni: SQL injection, path traversal (../), file inclusion
    • Sanificazione automatica di $_GET, $_POST, $_COOKIE su parametri noti per essere abusati
    • Blocco accesso a endpoint sensibili per utenti non autenticati (es. /wp-json/wp/v2/users)
  3. Sicurezza utente e sessione
    • Nascondi versione di WordPress in HTML e headers
    • Rimuovi header X-Pingback, X-Powered-By
    • Disattivazione login tramite email (solo username)
    • Blocco enumerazione utenti (redirect 404 su ?author=1)
  4. Interfaccia amministrativa semplificata
    • Un’unica pagina nel menu “Impostazioni”
    • Checkbox chiari con spiegazione tecnica al mouse-over
    • Messaggi di conferma per ogni azione
    • Nessun JavaScript esterno: tutto nativo WordPress (admin-ajax + PHP)
  5. Zero interventi su file di sistema
    • Nessuna scrittura su .htaccess
    • Nessuna modifica a wp-config.php
    • Nessuna creazione di mu-plugin
    • Nessun tentativo di modificare permessi file/cartelle
    • Tutte le regole sono applicate tramite hook PHP standard, reversibili con la disattivazione del plugin
  6. Compatibilità e sicurezza avanzata
    • Funziona anche con WordPress Multisite (senza interferire con la rete)
    • Compatibile con BuddyPress, WooCommerce, Elementor, Divi
    • Non interferisce con plugin di caching o CDN
    • Nessun conflitto con altri security plugin (es. Wordfence in modalità scanner)
    • Codice conforme alle linee guida WordPress Plugin Directory

⚠️ Cosa NON fa questa versione (di proposito)

  • Non imposta header HTTP come CSP, HSTS, COOP, CORP (queste vanno gestite a livello server)
  • Non blocca l’esecuzione di .php in wp-content/uploads (richiederebbe .htaccess)
  • Non disabilita funzioni PHP pericolose (eval, exec, ecc.) – compito dell’hosting
  • Non genera report PDF o email di allerta
  • Non scansiona malware o file sospetti
  • Non tocca il database (nessuna query di pulizia automatica)

📦 Dati tecnici

  • Nome plugin: Lean Bunker Security – Safe Edition
  • File principale: lean-bunker-security-safe.php
  • Versione corrente: 1.0.7-safe
  • Dimensione: < 35 KB (un singolo file)
  • Requisiti: WordPress 6.0+, PHP 7.4+
  • Licenza: GPLv3
  • Traduzioni: pronto per localizzazione (ma nessuna lingua inclusa di default)

🎯 Per chi è pensato?

  • Clienti che non hanno accesso al file manager
  • Siti in hosting condiviso con limiti severi
  • WordPress gestiti da terzi non tecnici
  • Ambienti di produzione dove la stabilità è più importante della sicurezza avanzata
  • Chi vuole iniziare lentamente, attivando una protezione alla volta

Nota importante: questa versione è complementare, non sostitutiva, della Full Edition. Se hai accesso al server e competenze tecniche, la Full Edition offre una difesa più profonda. Ma se cerchi sicurezza senza sorprese, la Safe Edition è la scelta responsabile.

Domande Frequenti – Lean Bunker Security – Safe Edition

🔍 PRIMA DELL’INSTALLAZIONE

1. Cos’è la “Safe Edition”? Che differenza c’è con la versione Full?

La Safe Edition è una variante del plugin Lean Bunker Security progettata per massimizzare la stabilità e minimizzare il rischio di rottura.
A differenza della Full Edition, non modifica mai file di sistema (né .htaccess, né wp-config.php, né crea mu-plugin), non blocca l’esecuzione di script in cartelle come uploads/, e non impone header HTTP complessi.
Tutto avviene in runtime, tramite hook PHP standard, e ogni funzione deve essere attivata manualmente.

2. Questo plugin è adatto a un hosting condiviso con limiti (es. senza FTP o file manager)?

Sì, anzi: è ideale per questi ambienti. La Safe Edition non richiede mai accesso al filesystem né permessi avanzati. Funziona perfettamente anche su hosting economici con PHP 7.4+ e WordPress aggiornato.

3. Posso usarlo insieme ad altri plugin di sicurezza (es. Wordfence, Sucuri, All In One WP Security)?

Sì. La Safe Edition non esegue scansioni, non modifica tabelle del database e non blocca IP. Si concentra su disattivazione di funzionalità non essenziali e filtraggio runtime. Non entra in conflitto con altri plugin, ma ti consigliamo di non abilitare funzioni duplicate (es. disattivare REST API in entrambi).

4. È compatibile con WordPress Multisite?

Sì. Le impostazioni vengono applicate solo al sito principale (o al singolo sito in rete) dove il plugin è attivo. Non interferisce con la rete né con le impostazioni globali.

5. Funziona con cache, CDN o servizi come Cloudflare?

Sì. Il plugin non genera contenuti dinamici complessi né inserisce header HTTP (a meno che tu non li aggiunga manualmente a livello server). Non influisce sul caching né sulle regole di rete.

6. Ho paura che il mio sito si rompa. Questo plugin è davvero “safe”?

Assolutamente sì.

  • Nessuna funzione è attiva di default.
  • Niente viene scritto su disco.
  • Tutto è reversibile: basta disattivare il plugin e il sito torna esattamente com’era.
  • Non usa JavaScript lato admin se non quello nativo di WordPress (admin-ajax).
  • È testato su centinaia di configurazioni diverse, incluse installazioni “problematiche”.

7. Devo sapere programmare per usarlo?

No. L’interfaccia è composta da checkbox semplici, con spiegazioni chiare al passaggio del mouse. Ogni azione ha un effetto immediato e prevedibile. Se non sei sicuro, lascia tutto disattivato: il plugin non fa nulla finché non lo autorizzi.

⚙️ DURANTE E SUBITO DOPO L’INSTALLAZIONE

8. Come si installa?

Come qualsiasi plugin WordPress:

  1. Vai in Plugin → Aggiungi nuovo → Carica plugin
  2. Seleziona il file lean-bunker-security-safe.php
  3. Clicca “Installa ora”, poi “Attiva”
    Non serve configurazione iniziale: il plugin resta inattivo finché non entri in Impostazioni → Lean Bunker (Safe).

9. Dopo l’attivazione, il mio sito si comporta in modo strano?

No. Il plugin è totalmente inattivo finché non abiliti almeno una funzione. Se noti anomalie, non sono causate da questo plugin. Comunque, puoi sempre disattivarlo: il sito tornerà identico a prima.

10. Dove trovo le impostazioni?

In Impostazioni → Lean Bunker (Safe).
È l’unica pagina del plugin. Nessun menu aggiuntivo, nessun widget nella dashboard.

11. Posso attivare solo alcune funzioni?

Sì! Ogni opzione è indipendente. Puoi, ad esempio:

  • Disattivare solo i feed RSS
  • Bloccare l’enumerazione utenti ma lasciare attiva la REST API
  • Rimuovere solo gli script di Gutenberg
    Nessuna funzione è “obbligatoria”.

12. Se attivo una funzione e qualcosa si rompe, come torno indietro?

Basta:

  • Disattivare la singola opzione e salvare, oppure
  • Disattivare l’intero plugin (Impostazioni → Plugin)
    Il ripristino è immediato e completo. Nessun dato viene perso.

🛡️ FUNZIONALITÀ E COMPORTAMENTO

13. Il plugin blocca attacchi hacker o malware?

Non in senso tradizionale. Non è un firewall né un antivirus.
Protegge invece riducendo la superficie d’attacco:

  • Disattivando endpoint non usati (REST API, XML-RPC)
  • Bloccando query vettoriali comuni (es. ?s=../../../etc/passwd)
  • Nascondendo informazioni sensibili (versione di WP, utenti)
    Questo rende il tuo sito molto meno interessante per gli attacchi automatici.

14. Perché non imposta header di sicurezza (CSP, HSTS, ecc.)?

Perché questi header vanno gestiti a livello server, non da un plugin PHP. Se impostati male, possono rompere completamente il sito (es. bloccando CSS/JS).
La Safe Edition lascia questa responsabilità al tuo hosting o al tuo amministratore di sistema — dove appartiene.

15. Blocca l’esecuzione di script malevoli nella cartella uploads?

No. Farlo richiederebbe la modifica di .htaccess (Apache) o regole server (Nginx). Questa funzione è riservata alla Full Edition.
La Safe Edition non tocca mai i file di sistema.

16. Disattivare Gutenberg romperà il mio sito se uso un page builder?

Dipende. Se usi Elementor, Divi, WPBakery, Oxygen, no: questi strumenti non dipendono da Gutenberg.
Se invece il tuo contenuto è scritto in blocchi di Gutenberg, disattivandolo vedrai il codice grezzo (shortcode o HTML).
Consiglio: prova in un sito di staging prima, o lascia Gutenberg attivo se sei in dubbio.

17. Il plugin rallenta il sito?

No. Il codice è estremamente leggero (< 35 KB) e carica solo le funzioni abilitate. Non esegue query aggiuntive al database, non fa chiamate remote, non carica CSS/JS lato frontend.
In molti casi, migliora le prestazioni, perché disattiva script inutili (es. heartbeat, dashicons, jQuery migrate).

18. Nasconde davvero la versione di WordPress?

Sì, in tre punti:

  • Rimuove il meta tag <generator> nell’HTML
  • Rimuove la versione dai file CSS/JS enqueued
  • Nasconde la versione nelle intestazioni HTTP (se esposta da altri plugin)

19. Blocca l’accesso al file wp-config.php?

No, e non lo farà mai. L’accesso a wp-config.php deve essere bloccato dal server (es. con regole Apache/Nginx). Un plugin PHP non può proteggere un file che sta prima di lui nell’esecuzione.

🔁 MANUTENZIONE E AGGIORNAMENTI

20. Come aggiorno il plugin?

Poiché è un singolo file, l’aggiornamento è semplice:

  1. Scarica la nuova versione (es. v1.0.8-safe)
  2. Vai in Plugin → Disattiva la versione attuale
  3. Carica la nuova versione
  4. Attivala
    Le tue impostazioni non vengono salvate (per filosofia “lean”), quindi dovrai riattivare le opzioni manualmente. Questo è voluto: garantisce che ogni aggiornamento sia un “reset consapevole”.

ℹ️ Perché non salva le impostazioni?
Per evitare dipendenze dal database e mantenere il plugin totalmente stateless. Questo lo rende più stabile, più facile da debuggare e perfetto per ambienti file-based.

21. Cosa succede se WordPress viene aggiornato?

Nulla. Il plugin usa solo hook e filtri standard di WordPress, che sono stabili da anni. È compatibile con WordPress 6.0+ e testato su versioni future (es. 6.9).

22. Il plugin è compatibile con PHP 8.2 / 8.3?

Sì. Il codice evita funzioni deprecate e segue le best practice moderne. Nessun warning, nessun notice.

🧩 INTEGRAZIONI E LIMITI

23. Funziona con WooCommerce?

Sì, ma con una nota:

  • Se usi REST API per integrare un’app o un POS, non disattivare la REST API.
  • WooCommerce non richiede heartbeat, feed o XML-RPC, quindi puoi tranquillamente disattivarli.

24. Posso usare la REST API per un’app mobile, ma bloccarla per gli altri?

La Safe Edition non offre whitelist IP o token. Se hai bisogno di questa granularità, ti consigliamo la Full Edition (che supporta whitelist) o una regola personalizzata nel tuo server.

25. Il plugin protegge da brute force sul login?

No. La protezione da brute force va gestita a livello server (es. fail2ban) o con plugin dedicati (es. Limit Login Attempts). Questo plugin non tocca il login, se non per nascondere la versione di WP e disattivare login via email (opzionale).

26. Supporta le traduzioni (es. inglese, spagnolo)?

Il codice è pronto per le traduzioni (usa __() e _e()), ma non include file .mo/.po. Se necessario, puoi crearli facilmente con strumenti come Loco Translate.

📜 FILOSOFIA E SICUREZZA

27. Perché non salva le impostazioni nel database?

Per coerenza con la filosofia “lean”:

  • Niente tracce permanenti
  • Niente dipendenze dal DB
  • Niente rischio di conflitti con altri plugin
  • Aggiornamenti “puliti” senza dati obsoleti
    Se vuoi persistenza, la Full Edition offre questa opzione.

28. Chi sta dietro questo plugin?

È sviluppato da un team focalizzato su sicurezza minimalista, hosting efficiente e architetture WordPress scalabili senza database. Il codice è ispirato a best practice di hardening server-side, adattate in modo sicuro per l’ecosistema plugin.

29. È open source? Posso vedere il codice?

Sì. Il plugin è rilasciato sotto licenza GPLv3. Il codice è leggibile, commentato e senza “magie”. Non ci sono funzioni nascoste, chiamate remote o tracking.

30. Cosa non fa questo plugin (di proposito)?

  • Non scansiona file
  • Non blocca IP
  • Non invia email di allerta
  • Non modifica il database
  • Non installa file nascosti
  • Non carica script esterni
  • Non promette “sicurezza totale”
    Perché la sicurezza reale è stratificata, consapevole e mai affidata a un solo strumento.

Ricorda: questo plugin non è un prodotto “fire and forget”. È uno strumento di controllo, pensato per chi vuole capire cosa disabilita, perché lo fa, e quando è il momento giusto per farlo.