A inizio 2026 qualcuno aveva accesso completo al nostro server. E noi non lo sapevamo.
Il blog girava su Joomla 5. In superficie tutto funzionava normalmente — gli articoli venivano pubblicati, i lettori arrivavano. Quello che non vedevamo era una webshell installata nel filesystem: un file caricato sfruttando una vulnerabilità nota di Joomla 5, che dava accesso backdoor completo al server, al database e a tutte le credenziali configurate.
La scoperta è stata una doccia fredda. Un blog come il nostro — con contenuti sensibili, dati degli utenti, connessioni all'e-commerce — non può permettersi di avere una porta aperta sul server senza saperlo.
Il problema: Joomla e i temi commerciali
I temi commerciali di Joomla portano con sé una quantità enorme di componenti di terze parti — plugin, estensioni, librerie. Ogni componente ha il suo ciclo di aggiornamenti, la sua superficie di attacco. Basta che uno di questi non venga aggiornato nei tempi giusti, o che abbia una vulnerabilità non ancora patchata, e il sito è esposto.
Nel nostro caso la vulnerabilità era nella gestione dell'upload dei file. Il sistema controllava solo l'estensione — non il contenuto reale del file. Abbastanza per caricare qualcosa di pericoloso camuffato da immagine.
La migrazione: zero downtime, nessun articolo perso
Abbiamo scelto di migrare su KeideaCMS, un CMS proprietario italiano senza plugin di terze parti. L'importatore nativo da Joomla ha trasferito tutti gli articoli, le categorie e i media con redirect 301 automatici sugli URL originali. Il blog è rimasto online durante tutta la migrazione — nessuna interruzione, nessun contenuto perso.
Dopo la migrazione abbiamo attivato il firewall applicativo integrato. Nelle prime settimane abbiamo visto in tempo reale cosa succede quando un sito viene scansionato: tentativi di accesso bloccati, bot che cercano percorsi WordPress inesistenti, IP bannati automaticamente. Non è un'eccezione — è la normalità per qualsiasi sito con traffico reale. La differenza è averlo visibile invece di scoprirlo a danno fatto.
Cosa è cambiato
Il FileUploadScanner di KeideaCMS analizza ogni file caricato con 6 livelli di controllo — non solo l'estensione, ma il contenuto reale, le firme di webshell note, l'entropia del file, il tipo MIME verificato. Il tipo di attacco che ci ha colpiti viene bloccato prima di raggiungere il filesystem.
Per chi gestisce un blog collegato a un e-commerce e vuole capire come funziona questo tipo di protezione nel dettaglio, il percorso che abbiamo seguito è documentato nel caso studio completo con gli screenshot del firewall in produzione.
