Logo Keidea CMS

Sicurezza CMS aziendale: WAF nativo, AES-256 e 2FA integrati nel core

KeideaCMS integra WAF nativo, crittografia AES-256-CBC, autenticazione a due fattori e scansione file a 6 livelli direttamente nel codice sorgente. Nessun plugin esterno. Nessuna falla da aggiornare.

Richiedi un Audit di Sicurezza Gratuito →
80+
Pattern di attacco riconosciuti
6+
Livelli di scansione file
256
Bit di crittografia AES
0
Plugin di sicurezza necessari

Firewall Applicativo (WAF)

Ogni richiesta viene analizzata.
Ogni attacco viene bloccato.

Il firewall di KeideaCMS intercetta tutte le richieste HTTP prima che raggiungano il tuo sito. Non è un servizio esterno: è codice che gira sul tuo server, analizza ogni parametro, ogni header, ogni byte del corpo della richiesta.

KeFirewall / v2.4.1 SYSTEM OPERATIONAL WAF · AES-256-CBC · 2FA · 6-LAYER SCAN
UPTIME 99.998% NODE eu-west-1a
INCOMING · 0.0.0.0/0 0
► REQUEST STREAM
LATENCY 1.8ms INSPECT 100%
KEFIREWALL
WAF · CORE MODULE
// kfw.log — tail -fLIVE
Inspected0
Blocked0
Allowed0
Nativo nel core Nessun plugin Nessuna falla da aggiornare Decoder Base64 ricorsivo Scan a 6 livelli

SQL Injection

Blocca tentativi di manipolazione del database: UNION SELECT, stacked queries, blind SQLi, time-based (SLEEP, BENCHMARK), encoding bypass.

Cross-Site Scripting (XSS)

Rileva e blocca iniezioni di codice JavaScript: script tag, event handler, SVG injection, data URI, expression(), vbscript.

Local File Inclusion (LFI)

Impedisce l'accesso a file di sistema: path traversal, null byte, PHP wrappers (php://filter, php://input), file sensibili (/etc/passwd).

Remote File Inclusion (RFI)

Blocca il caricamento di file malevoli da server remoti: URL injection, data URI, inclusione da IP remoti.

Command Injection e SSRF

Rileva tentativi di esecuzione comandi sul server (system, exec, passthru) e richieste forgiate verso servizi interni (SSRF).

Payload Offuscati (Base64)

Decodifica ricorsivamente payload codificati in Base64 per smascherare attacchi nascosti dietro livelli multipli di offuscamento.

Schema architettura firewall WAF integrato KeideaCMS

KeideaCMS è stato progettato per rispondere a 3 necessità:

  1. Sicurezza

  2. Velocità

  3. Facilità

Non sono opinioni. Sono fatti tecnici verificabili. KeideaCMS è stato progettato da professionisti nel campo IT con oltre 20 anni di esperienza, 20 anni di utilizzo di CMS tradizionali come WordPress, Joomla, PrestaShop.

Abbiamo visto centinaia di siti bucati. Abbiamo applicato fix e ottimizzazioni su piattaforme E-Commerce dato che, a causa di installazioni di terze parti necessarie, questi portali erano fermi, lenti e insicuri.

Ci siamo detti: perché non creare un sistema che colmi già tutte queste lacune?

Il tuo sito attuale supererebbe questo test?

Analizziamo gratuitamente la sicurezza del tuo sito web e ti mostriamo le vulnerabilità che un hacker potrebbe sfruttare.

Richiedi l'Audit Gratuito →

Quanto ti costerebbe una perdita di dati?

Calcola in 10 secondi l'esposizione economica del tuo CMS

10010.00025.00050.000
Sanzione minima stimata
Costo notifica obbligatoria
Downtime stimato (72 ore)
Totale esposizione a rischio
Richiedi l'Audit di Sicurezza Gratuito →
Crittografia AES-256-CBC dati form KeideaCMS — chiave separata dal database

Crittografia dei Dati

I dati dei tuoi clienti sono cifrati.
Anche se qualcuno accede al database.

Ogni informazione inserita nei form del tuo sito (nome, email, telefono, messaggio) viene cifrata con algoritmo AES-256-CBC prima di essere salvata nel database. Non è un'opzione da attivare: succede automaticamente, su ogni campo, ogni volta.

  • AES-256-CBC — Lo stesso standard usato da banche e governi. Chiave a 256 bit, praticamente impossibile da forzare.

  • IV casuale per ogni operazione — Ogni cifratura usa un vettore di inizializzazione unico di 16 byte. Lo stesso dato cifrato due volte produce risultati diversi.

  • Chiave separata dal database — La chiave di cifratura risiede nelle variabili d'ambiente del server, non nel database. Anche in caso di dump del DB, i dati restano illeggibili.

  • Derivazione SHA-256 — La chiave viene derivata con hash SHA-256 per garantire esattamente 32 byte, indipendentemente dalla lunghezza della password originale.

Scansione File Avanzata

Ogni file caricato passa attraverso 6 livelli di scansione.

Non basta controllare l'estensione. Un'immagine .jpg può contenere codice PHP nascosto. Un PDF può mascherare una webshell. Il nostro scanner analizza il contenuto binario di ogni file prima di accettarlo

Validazione Nome File

Null bytes, doppie estensioni, caratteri di controllo, 80+ estensioni pericolose bloccate (php, phtml, phar, exe, svg...) 100%

Rilevamento Codice PHP

Cerca tag PHP (<?php, short tag, ASP tag) e funzioni pericolose (eval, system, exec, passthru, base64_decode) in file non-PHP 100%

Firme Webshell Note

Riconosce le webshell più diffuse: c99, r57, b374k, WSO, FilesMan, Alfa Shell, AnonymousFox, p0wny, weevely e altre 15+ 100%

Analisi Entropia (Shannon)

File offuscati o criptati hanno un'entropia anomala. Soglia 7.2 su scala 8.0 per identificare codice malevolo compresso 100%

Payload Base64 Embedded

Cerca e decodifica blocchi Base64 nascosti nel contenuto del file per smascherare payload offuscati a livelli multipli 100%

Rilevamento Polyglot

Identifica file che hanno magic bytes validi (es. JPEG) ma contengono codice PHP embedded — la tecnica più sofisticata usata dagli attaccanti 100%

Autenticazione e Accesso

Chi accede al tuo sito deve dimostrare di essere chi dice di essere.

KeideaCMS implementa un sistema di autenticazione a più livelli che protegge l'accesso al pannello di amministrazione con standard bancari.

2FA TOTP Nativo

Autenticazione a due fattori con standard TOTP (RFC 6238). Compatibile con Google Authenticator, Authy e qualsiasi app TOTP. Secret a 160 bit in Base32.

Dispositivi Fidati

Registra i dispositivi di lavoro come "fidati" per 30 giorni. Token crittografico a 256 bit, cookie HttpOnly + Secure + SameSite=Strict. Hash SHA-256 nel database.

Sessioni Blindate

Cookie di sessione HttpOnly (invisibili a JavaScript), flag Secure (solo HTTPS), SameSite=Lax, lifetime zero (scadono alla chiusura del browser). Token CSRF su ogni form.

Misure tecniche orientate a GDPR e Direttiva NIS2

Le normative europee richiedono misure tecniche adeguate per proteggere i dati personali. KeideaCMS le implementa nativamente, non come optional.

GDPR — Art. 32

Crittografia dei dati personali a riposo (AES-256-CBC). Geo-blocking per limitare l'accesso da paesi extra-UE. Logging degli accessi con retention configurabile.

NIS2 — Misure Tecniche

Firewall WAF integrato, autenticazione multi-fattore, gestione degli incidenti con notifiche automatiche, analisi del rischio tramite log e monitoraggio.

Audit Trail Completo

Ogni accesso, ogni modifica, ogni attacco bloccato viene registrato con timestamp, IP, user agent e dettagli della minaccia. Retention log configurabile fino a 90+ giorni.

KeideaCMS vs WordPress: la sicurezza a confronto

Non sono opinioni. Sono fatti tecnici verificabili

Caratteristica WordPress KeideaCMS
Firewall WAF nativo Richiede plugin (Wordfence, Sucuri) Integrato nel core
Protezione SQL Injection ~ Solo con plugin aggiornato 20+ pattern nativi
Protezione XSS ~ Parziale, dipende dal tema 22+ pattern nativi
Crittografia dati form I dati sono in chiaro nel DB AES-256-CBC con IV casuale
2FA nativo Richiede plugin TOTP RFC 6238 integrato
Scansione file upload Controlla solo l'estensione 6 livelli (webshell, entropia, polyglot)
Rate limiting nativo Richiede plugin o Cloudflare Per IP, con auto-blacklist
Geo-blocking Richiede plugin premium MaxMind GeoLite2 integrato
Notifiche attacchi ~ Solo con plugin premium Email automatiche con rate limiting
Security headers Configurazione manuale .htaccess HSTS, CSP, X-Frame-Options nativi
Codice sorgente pubblico Open source (analizzabile dagli hacker) Proprietario e chiuso
Vulnerabilità note (2025) 11.334 CVE nell'ecosistema 0 vulnerabilità pubbliche

Scopri se il tuo sito è davvero protetto.

Il nostro team analizza gratuitamente la sicurezza del tuo sito web e ti fornisce un report dettagliato con le vulnerabilità trovate e le soluzioni consigliate.

Richiedi l'Audit di Sicurezza →

Confronta KeideaCMS con altri CMS → Come funziona KeideaCMS → Leggi il blog →

Guarda anche

Domande Frequenti

Sì, per una ragione strutturale. WordPress è open source e dipende da plugin di terze parti per la sicurezza, che nel 2025 hanno accumulato oltre 11.000 vulnerabilità (fonte: Patchstack). KeideaCMS integra un firewall WAF nativo con oltre 80 pattern di attacco riconosciuti, crittografia AES-256-CBC sui dati, autenticazione a due fattori e uno scanner file a 6 livelli direttamente nel core del sistema. Non è una questione di opinione: è architettura
Ogni dato inserito nei form del sito viene cifrato con algoritmo AES-256-CBC prima di essere salvato nel database. Ogni operazione di cifratura utilizza un vettore di inizializzazione (IV) casuale di 16 byte, rendendo impossibile decifrare i dati anche in caso di accesso non autorizzato al database. La chiave di cifratura è conservata separatamente nelle variabili d'ambiente del server, non nel database stesso
KeideaCMS implementa misure tecniche che supportano la conformità GDPR (Art. 32) e NIS2: crittografia dei dati personali a riposo, geo-blocking per limitare l'accesso da paesi extra-UE, logging degli accessi e degli attacchi con retention configurabile, autenticazione a due fattori per gli operatori, e notifiche email automatiche in caso di attacchi bloccati. Queste misure sono integrate nel sistema, non aggiunte tramite plugin
Il firewall blocca immediatamente la richiesta con una risposta 403 Forbidden e registra l'evento nel log con tutti i dettagli (tipo di minaccia, IP, URL, user agent, dati corrispondenti). Se lo stesso IP supera la soglia configurata (default: 5 tentativi in un'ora), viene inserito automaticamente in blacklist per 24 ore. L'amministratore riceve una notifica email in tempo reale. Il sistema è progettato per essere fail-safe: se il firewall stesso dovesse avere un problema, il sito continua a funzionare normalmente