Sicurezza
La sicurezza non è un plugin.
Element Node nasce con la superficie d’attacco minima. Niente wp-admin esposto, niente XML-RPC, niente file PHP scrivibili dal web. Aggiornamenti gestiti dal tuo team, non da terze parti.
Zero PHP
JWT sessions
No XML-RPC
Audit log
CSP headers
No wp-admin
- Niente PHPSolo Node.js. Esce di scena tutto un universo di vulnerabilità storiche.
- Zero plugin di terzi obbligatoriLe funzionalità chiave sono parte del core, non scaricate da repository pubblici.
- Hashing password Argon-compatibilebcrypt con cost adeguato. Niente MD5 leftover.
- Sessioni firmate JWTNextAuth v5, cookie httpOnly, rotation gestita.
- Headers di sicurezza già attiviCSP-friendly, X-Frame-Options, Referrer-Policy, Permissions-Policy out of the box.
- Audit log nativiOgni azione admin è loggata e ricercabile.
Vulnerabilità tipiche, una per una
Non si tratta di "noi siamo meglio". Sono classi intere di problemi che non esistono.
| Vulnerabilità | WordPress | Element Node |
|---|---|---|
| Plugin abbandonati con CVE | Comune | |
| wp-admin esposto al pubblico | Default | |
| XML-RPC brute force | Default | |
| File PHP scrivibili dal web | Possibile | |
| Login enumeration | Default | |
| Cross-site scripting via shortcode | Frequente | |
| Aggiornamenti core automatici rischiosi | Default | |
| Bot scanning wp-login | Inevitabile |
Processo di sicurezza
Non basta non avere problemi. Bisogna sapere come reagire quando arrivano.
Dependency scanning
npm audit + Snyk in CI. Le dipendenze vulnerabili bloccano il build.
Vulnerability disclosure
Email security@elementnode.cloud. Ack entro 24h, patch entro 7gg per critiche.
Patch firmate
Tag Git firmati GPG. Verifichi l’origine prima di deployare.
Audit log nativi
Login, modifiche pagine, cambio password — tutto loggato e ricercabile.
Pronto a lasciare WordPress?
Provalo nella demo live, oppure scarica il CMS e mettilo sul tuo server in 10 minuti.