Applicazione Laravel compromessa via APP_KEY su GitHub: forensics, contenimento e ripristino in cinque giorni
Un CRM Laravel 9 per una PMI logistica veneta è stato compromesso perché un file .env con l'APP_KEY era stato committato su un repository GitHub pubblico due anni prima. L'attaccante ha sfruttato CVE-2018-15133 per ottenere esecuzione remota di codice tramite cookie deserializzato, ha piantato una backdoor in un comando Artisan e ha esfiltrato 4.200 record clienti. Cinque giorni di lavoro: contenimento senza distruzione delle prove, forensics applicativa, remediation e hardening permanente. Continua a leggere
Ultima modifica:
Un VPS Contabo con un e-commerce B2B Laravel è rimasto fermo 60 ore - dal venerdì pomeriggio al lunedì mattina - perché il certificato SSL era scaduto e nessuno se n'era accorto. 80 ordini persi, circa 35.000 euro di fatturato evaporato in un weekend. Il problema non era il certificato: era l'assenza totale di monitoring. Prometheus, Grafana, Alertmanager, health check Laravel e regole di alerting concrete: ecco lo stack che installo su ogni VPS che prendo in carico. 
Una PMI lombarda con 8 sviluppatori e un monolite Laravel 10 lento aveva speso quattro mesi e 120.000 euro per migrare a microservizi. Risultato: tre servizi parzialmente funzionanti, zero in produzione, latenza raddoppiata e metà del team impegnato in infrastruttura Docker anziché in feature. La mia raccomandazione: fermare la migrazione, modularizzare il monolite con bounded context, e risolvere i veri problemi di performance. In due settimane il team era tornato produttivo. 
Un database MySQL da 12 GB su un VPS Contabo, un report mensile che impiegava 47 minuti, 38 indici su una tabella di cui 12 mai utilizzati, e una codebase Laravel 9 cresciuta per cinque anni senza che nessuno aprisse mai un EXPLAIN. Il caso reale di una PMI emiliana del marzo 2025: diagnosi con slow query log e EXPLAIN ANALYZE, invisible indexes per eliminare indici fantasma, tuning InnoDB, schema refactoring con migration sicure su tabelle da milioni di righe. 
Il gestionale logistico più critico di un'azienda piemontese di distribuzione alimentare non aveva test, non aveva pipeline, e i deploy si facevano via FileZilla il venerdì sera. In tre settimane ho portato il team da zero automazione a una pipeline GitHub Actions con PHPStan livello 5, Pest su 340 test, deploy atomico via webhook e rollback in 90 secondi. 
La maggior parte delle applicazioni Laravel nelle PMI italiane viola il GDPR in almeno tre punti: dati personali in chiaro, log senza retention policy, nessun meccanismo per i diritti dell'interessato. Analizzo le violazioni più frequenti che trovo nei miei audit e mostro come correggerle con interventi mirati sul codice Laravel. 
Quando un'applicazione Laravel cresce oltre le capacità di un hosting condiviso, la migrazione verso un VPS diventa inevitabile. Il problema è che molte PMI la affrontano come un trasloco meccanico, quando in realtà è una transizione architetturale che richiede pianificazione, hardening e verifica. In questo articolo racconto il metodo che applico nelle migrazioni reali, con le trappole più comuni e le decisioni che fanno la differenza tra un passaggio pulito e settimane di problemi. 
Un'applicazione Laravel abbandonata da due anni su PHP EOL non si affronta in emergenza: va mappata sistematicamente prima di toccarla. Il caso reale di un gestionale interno per una catena di cliniche dentistiche veronesi del 2025, il metodo in dodici giorni con cui ho prodotto documentazione viva partendo da zero, e gli strumenti di static analysis che rendono il reverse engineering effettivamente economico. 
Quando il sito entra in maintenance mode per un deploy finito male e nessuno lo sa riportare online, il business perde fatturato per mesi in silenzio. Il caso reale di un e-commerce B2B HoReCa bolognese del giugno 2025 su Contabo VPS L, Laravel 9.52 in manutenzione da dodici settimane, il deploy abortito a metà con migration orfane e code bloccate, e i quattro giorni di lavoro con cui ho ricostruito lo stato consistente senza rifare l'applicazione. 
Quando il team di sviluppo esterno chiude senza preavviso, il codice Laravel continua a girare ma i pezzi che non vedi - scheduler, Horizon, queue workers, notifiche transazionali - smettono di funzionare in silenzio. Il caso reale di un SaaS torinese di fleet management del giugno 2025, un Hetzner AX52 con Laravel 10 e Spatie Multi-Tenancy, 47 tenant attivi e 13.000 clienti finali, e i cinque giorni di lavoro con cui ho riportato l'applicazione a regime senza rifare nulla.