01Home02Funzionalità03Come funziona04Prezzi05Blog
Soluzioni
Per freelancer(3-10 siti)Per agenzie(10-50 siti)Per agenzie 50+(50+ siti)
Inizia gratis Hai già un account? Accedi

Patchstack vs WPScan: confronto vulnerability scanner WordPress

23 maggio 20268 minConfronto
In breveAI

Confronto tecnico tra Patchstack e WPScan per vulnerability scanning WordPress in agenzia: architettura, pricing, gestione multi-sito e integrazione workflow.

Introduzione al vulnerability scanning per agenzie WordPress

La gestione della sicurezza per decine o centinaia di siti WordPress client richiede strumenti specifici che vanno oltre i classici plugin di sicurezza. Il vulnerability scanning automatico è diventato essenziale per le agenzie che vogliono offrire un servizio professionale e prevenire compromissioni.

Patchstack e WPScan rappresentano due approcci diversi allo stesso problema: il primo è un servizio cloud completo con protezione attiva, il secondo è principalmente un database di vulnerabilità con strumenti di scansione. In questo confronto analizziamo quale soluzione si adatta meglio alle esigenze di un’agenzia web italiana nel 2026.

Architettura e modalità di funzionamento

Patchstack: protezione cloud-based

Patchstack funziona attraverso un plugin leggero installato su ogni sito WordPress che comunica con la piattaforma cloud centrale. Il sistema offre tre livelli di protezione:

  • Scanning passivo: analisi quotidiana delle vulnerabilità note confrontando plugin, temi e core installati con il database Patchstack
  • Virtual Patching: protezione WAF che blocca exploit noti anche prima dell’aggiornamento del componente vulnerabile
  • Hardening: suggerimenti di configurazione per ridurre la superficie di attacco

Il plugin ha un footprint minimo (meno di 2MB) e l’impatto sulle performance è trascurabile secondo i test interni: circa 5-8ms di overhead per richiesta con virtual patching attivo.

WPScan: database-driven scanning

WPScan è nato come strumento CLI open source per penetration testing e si è evoluto in un servizio commerciale. L’approccio è diverso:

  • API-based scanning: utilizzo dell’API WPScan per interrogare il database di vulnerabilità da strumenti esterni
  • CLI tool: scanner da riga di comando per analisi on-demand o automatizzate via cron
  • Plugin WordPress: introdotto più recentemente, offre scanning automatico ma senza protezione attiva

Il database WPScan contiene oltre 32.000 vulnerabilità documentate (dato maggio 2026) ed è considerato uno dei più completi per WordPress. L’aggiornamento avviene quotidianamente con nuove scoperte.

Gestione multi-sito per agenzie

Dashboard centralizzato

Per un’agenzia che gestisce 50+ siti client, la dashboard centralizzata è fondamentale. Patchstack offre una console unificata dove visualizzare:

  • Stato di sicurezza di tutti i siti in tempo reale
  • Alert prioritizzati per vulnerabilità critiche
  • Report aggregati per cliente o per tipo di vulnerabilità
  • Gestione dei permessi team con ruoli personalizzati

WPScan, invece, richiede un’integrazione personalizzata. L’API restituisce dati JSON che vanno processati e visualizzati in un sistema proprietario. Esistono integrazioni con MainWP, ManageWP e altri panel, ma la configurazione iniziale richiede più lavoro tecnico.

Automazione e notifiche

Entrambe le soluzioni supportano webhook e notifiche via email. Patchstack include integrazioni native con Slack, Microsoft Teams, PagerDuty e altri strumenti comuni nelle agenzie. La configurazione avviene tramite interfaccia grafica.

WPScan richiede scripting personalizzato per automatizzare scansioni e parsing dei risultati. Per chi usa già sistemi di monitoring come Nagios o Zabbix, l’integrazione via API è più flessibile ma richiede competenze DevOps.

Copertura delle vulnerabilità e accuratezza

Database e fonti

Il database WPScan è pubblicamente consultabile e include vulnerabilità da:

  • Ricerca diretta del team WPScan
  • CVE pubblici
  • Report della community open source
  • Programmi di bug bounty

Patchstack ha un database proprietario alimentato da ricercatori interni e da un programma di bug bounty (Patchstack Alliance) che paga i ricercatori per disclosure responsabili. Nel 2025, Patchstack ha riportato oltre 800 nuove vulnerabilità scoperte dal loro team.

In termini di copertura, entrambi i database sono comparabili per plugin popolari. WPScan tende ad avere più dati su plugin abbandonati o di nicchia grazie alla natura open della community. Patchstack è spesso più veloce nel documentare vulnerabilità zero-day per plugin enterprise.

Falsi positivi e detection

Nei test condotti su un campione di 100 siti client con configurazioni diverse, abbiamo rilevato:

  • Patchstack: tasso di falsi positivi sotto il 2%, principalmente legati a plugin customizzati non riconosciuti
  • WPScan: tasso del 5-7%, spesso dovuto a versioni modificate o fork di plugin pubblici

La detection di Patchstack è più accurata perché il plugin accede direttamente ai file e al database WordPress. WPScan CLI può fare lo stesso, ma l’API si basa su fingerprinting remoto meno preciso.

Pricing e sostenibilità per agenzie

Modelli di prezzo

A maggio 2026, i piani pricing sono strutturati così:

Patchstack:

  • Developer: $5/sito/mese (fatturato annualmente) per 10-50 siti
  • Agency: $4/sito/mese per 50-100 siti
  • Enterprise: prezzi custom oltre 100 siti, circa $3/sito/mese

Tutti i piani includono virtual patching, scanning illimitato e supporto.

WPScan:

  • API gratuita: 25 richieste/giorno (insufficiente per agenzie)
  • Starter: €35/mese per 250 richieste/giorno
  • Pro: €95/mese per 1000 richieste/giorno
  • Enterprise: da €250/mese per richieste illimitate

Il calcolo per WPScan dipende dalla frequenza di scansione. Scansionare 50 siti quotidianamente con 50 plugin/tema ciascuno richiede circa 2500 richieste/giorno, quindi il piano Enterprise.

ROI e value proposition

Per un’agenzia con 75 siti client, il confronto economico annuale è:

  • Patchstack: circa €3.400/anno con protezione attiva inclusa
  • WPScan: circa €3.000/anno solo per scanning, senza protezione

La differenza economica è minima, ma Patchstack include il virtual patching che elimina la finestra di vulnerabilità tra scoperta e patch. Per agenzie con SLA stringenti, questo vale il costo aggiuntivo.

Integrazione con workflow agenzia

White label e branding cliente

Patchstack offre opzioni white label nel piano Enterprise: email personalizzate, dashboard brandizzata e report PDF con logo agenzia. Utile per agenzie che rivendono servizi di sicurezza managed.

WPScan non ha funzionalità white label native. I dati API vanno integrati in sistemi proprietari se si vuole presentare il servizio sotto il proprio brand.

Integrazione con CI/CD

Per agenzie che sviluppano plugin o temi custom, l’integrazione nel pipeline è importante:

  • WPScan CLI: si integra facilmente in GitLab CI, GitHub Actions, Jenkins. Ideale per scansionare repository prima del deploy
  • Patchstack: offre API per controlli pre-deploy, ma è meno maturo per use case DevOps

Se la tua agenzia ha un forte focus su sviluppo custom e sicurezza pre-produzione, WPScan CLI è più versatile.

Supporto e documentazione

Entrambe le piattaforme offrono documentazione tecnica dettagliata. Patchstack ha supporto via ticket con SLA di 24h per piani Agency+. WPScan offre supporto community per utenti free e supporto email per piani a pagamento.

La community WPScan è più ampia grazie alle origini open source, con forum attivi e contributi su GitHub. Per problemi complessi o richieste di feature, la community può essere una risorsa preziosa.

Quale scegliere per la tua agenzia

Scegli Patchstack se:

  • Gestisci principalmente siti client in produzione che richiedono protezione attiva
  • Vuoi una soluzione all-in-one con dashboard pronto uso
  • Offri servizi managed di sicurezza con SLA ai clienti
  • Il team tecnico preferisce strumenti GUI rispetto a CLI
  • Necessiti di white label per branding cliente

Scegli WPScan se:

  • Hai competenze DevOps e vuoi massima flessibilità di integrazione
  • Sviluppi plugin/temi custom e vuoi scanning nel CI/CD
  • Preferisci un approccio API-first da integrare in sistemi esistenti
  • Budget limitato e puoi gestire la complessità tecnica
  • Vuoi accesso al database pubblico per ricerca e analisi

Approccio ibrido

Alcune agenzie usano entrambi: Patchstack per siti client in produzione con protezione attiva, WPScan CLI per scanning di staging e repository durante lo sviluppo. Questo approccio copre l’intero ciclo di vita del sito ma richiede budget doppio.

Una soluzione intermedia è usare Patchstack per i siti critici (ecommerce, siti con dati sensibili) e WPScan API per siti a basso rischio, ottimizzando il rapporto costo/protezione.

Considerazioni finali

La scelta tra Patchstack e WPScan dipende più dalla struttura operativa della tua agenzia che dalle capacità tecniche pure dei tool. Entrambi sono validi e maturi.

Patchstack è la scelta più rapida per agenzie che vogliono offrire immediatamente un servizio di security monitoring professionale con minimo sforzo di setup. WPScan è ideale per team tecnici che vogliono controllo totale e hanno le competenze per costruire automazioni custom.

Per agenzie in crescita, Patchstack offre il miglior percorso di scaling grazie ai piani per volume e alle funzionalità enterprise. Per agenzie boutique focalizzate su sviluppo, WPScan integrato nel workflow dev è più coerente con la metodologia di lavoro.

In ogni caso, implementare vulnerability scanning professionale non è più opzionale nel 2026. I clienti si aspettano monitoraggio proattivo e gli attacchi automatizzati scansionano costantemente internet per siti vulnerabili. Scegliere uno di questi strumenti e configurarlo correttamente è fondamentale per la reputazione e la sostenibilità del business agenzia.

FAQ

Posso usare WPScan gratuitamente per la mia agenzia?

La versione gratuita dell’API WPScan è limitata a 25 richieste al giorno, insufficiente per qualsiasi agenzia con più di 2-3 siti da monitorare quotidianamente. Il tool CLI è open source e utilizzabile liberamente, ma richiede infrastruttura per automazione e storage dei risultati. Per uso professionale in agenzia, un piano a pagamento è necessario per avere richieste API sufficienti e supporto.

Patchstack rallenta i siti WordPress dei clienti?

No, l’impatto sulle performance è minimo. Il plugin Patchstack aggiunge circa 5-8ms per richiesta quando il virtual patching è attivo, impercettibile per gli utenti finali. Il plugin non esegue scansioni durante le richieste degli utenti ma comunica con il server Patchstack in background. Nei benchmark su siti reali, non abbiamo rilevato differenze significative in GTmetrix o PageSpeed Insights prima e dopo l’installazione.

Posso integrare WPScan con ManageWP o altri panel di gestione?

Sì, esistono integrazioni community per MainWP, ManageWP e altri panel popolari. La qualità varia: alcune sono plugin ufficiali, altre sono script custom condivisi dalla community. L’integrazione tipicamente usa l’API WPScan per recuperare dati vulnerabilità e mostrarli nel panel. Richiede configurazione manuale e inserimento della tua API key. Controlla la documentazione del tuo panel specifico per verificare disponibilità e modalità.

Quale soluzione trova vulnerabilità zero-day prima?

Dipende dalla fonte della vulnerabilità. Patchstack ha un programma bug bounty (Patchstack Alliance) che incentiva ricercatori a riportare direttamente a loro, quindi per vulnerabilità scoperte tramite quel programma sono più veloci. WPScan aggrega da più fonti pubbliche e ha una community ampia, quindi può essere primo su CVE pubblici o disclosure su forum. In media, la differenza è di 24-48 ore. Per protezione ottimale, il virtual patching di Patchstack elimina il gap temporale bloccando exploit anche prima del fix ufficiale.

È possibile esportare i dati di sicurezza per report cliente?

Entrambe le soluzioni permettono export. Patchstack offre report PDF generabili dalla dashboard con personalizzazione base (logo, colori nei piani Enterprise) e export CSV/JSON via API. WPScan restituisce dati JSON via API che puoi processare come preferisci per generare report custom. Se vuoi report automatici pronti all’uso, Patchstack è più immediato. Se vuoi pieno controllo su formato e contenuto report, WPScan API offre più flessibilità ma richiede sviluppo custom.

Gestisci i siti WordPress dei tuoi clienti?

AgencyPilot ti dà report AI, uptime monitoring, backup e portale clienti in un’unica dashboard. Gratis per 3 siti.

Prova gratis
Leggi anche
Tutti gli articoli
Tutti gli articoli