È uno scenario che si presenta più spesso di quanto si ammetta nel settore. Il developer freelance che seguiva il sito di un cliente smette di rispondere. Non è malafede necessariamente: a volte è un problema personale, a volte ha trovato un lavoro fisso, a volte ha semplicemente deciso di sparire. Il problema non è la sua scomparsa: è che era l’unico con accesso all’hosting, al dominio, a Cloudflare, al pannello di amministrazione WordPress. Il cliente ti chiama perché il sito non funziona o perché deve fare una modifica urgente. E tu non puoi fare niente.
Questa situazione l’abbiamo gestita più volte, sia direttamente sia supportando agenzie partner che si trovavano in questa posizione. La cosa che accomuna quasi tutti i casi è la stessa: nessuno aveva pensato a separare gli accessi fin dall’inizio, perché in quel momento sembrava una complicazione inutile. Non lo era.
Questo articolo ha due parti. La prima è il protocollo da eseguire adesso se sei già in questa situazione. La seconda è il sistema da implementare subito dopo per non trovarti mai più in questa posizione.
Parte 1 — I primi 60 minuti: recuperare il controllo
La sequenza di azioni dipende da cosa il freelancer controllava. Nella maggior parte dei casi, i punti critici sono quattro: il dominio, l’hosting, Cloudflare e l’account WordPress amministratore.
Passo 1: Verifica cosa è ancora accessibile. Prima di fare qualsiasi altra cosa, mappa la situazione. Puoi accedere al backend WordPress? Riesci ad entrare nel pannello di hosting? Hai accesso al registrar del dominio? Hai accesso all’account Cloudflare? Per ogni punto di accesso, annota se hai le credenziali, se le credenziali sono intestate al cliente o al freelancer, e se c’è un metodo di recupero disponibile.
Passo 2: Recupera l’accesso al dominio. Il dominio è il punto più critico. Se il freelancer ha registrato il dominio a suo nome invece che a nome del cliente, il recupero è complicato e richiede procedure legali. Se il dominio è a nome del cliente ma le credenziali del registrar erano gestite dal freelancer, quasi tutti i registrar permettono il recupero tramite verifica dell’intestatario: il cliente può richiedere il recupero dell’accesso dimostrando di essere il proprietario legale del dominio con email aziendale o documenti.
Registrar come Aruba, Register.it e GoDaddy hanno procedure specifiche per questo scenario. Il tempo di recupero varia da poche ore a qualche giorno. Nel frattempo il dominio è operativo: non smette di funzionare perché hai perso l’accesso al pannello del registrar.
Passo 3: Recupera l’accesso all’hosting. Se l’account di hosting è intestato al cliente, il recupero segue la stessa procedura del registrar: verifica dell’intestatario tramite support ticket. Se l’account è intestato al freelancer, il provider di hosting non può darti accesso per ragioni legali, ma può nella maggior parte dei casi creare un backup del contenuto e consegnarlo al proprietario legale del dominio dietro documentazione. Contatta il supporto dell’hosting con la documentazione che dimostra che il cliente è il proprietario del sito.
Passo 4: Recupera l’accesso a WordPress. Se hai ancora accesso all’hosting, puoi resettare la password dell’amministratore WordPress direttamente dal database tramite phpMyAdmin o tramite WP-CLI. La query SQL per resettare la password di un utente amministratore è una procedura standard che non richiede accesso al backend WordPress.
Se non hai accesso all’hosting ma hai accesso FTP, puoi aggiungere un file PHP temporaneo alla root del sito che resetta la password dell’amministratore. Non è la soluzione più elegante ma funziona in emergenza.
Passo 5: Recupera l’accesso a Cloudflare. Questo è il punto più complesso. Se il freelancer aveva creato l’account Cloudflare a suo nome e non ha aggiunto il cliente come membro, il recupero richiede la procedura di dispute del dominio di Cloudflare. Il cliente deve dimostrare di essere il proprietario legale del dominio, dopodiché Cloudflare trasferisce il controllo della zona DNS.
Ci è capitato direttamente con un progetto che stavamo supportando per un’agenzia partner. Il developer precedente aveva configurato Cloudflare con il suo account personale e non aveva mai aggiunto nessun altro come amministratore. Quando è sparito, l’agenzia non poteva modificare i DNS, non poteva attivare protezioni, non poteva cambiare niente sull’infrastruttura. Abbiamo aperto un ticket di supporto con Cloudflare documentando la proprietà del dominio. Il processo ha richiesto quattro giorni lavorativi. Nel frattempo il sito era operativo ma completamente indifeso, e non potevamo modificare nessuna configurazione.
Passo 6: Cambia tutte le password immediatamente. Non appena recuperi l’accesso a ogni componente, cambia le credenziali. Tutte. Hosting, WordPress, Cloudflare, dominio, email collegata all’account. Anche se il freelancer non aveva intenzioni malevole, lasciare le sue credenziali attive è un rischio inutile.
Verifica anche i token API, le chiavi SSH e i webhook configurati: sono vettori di accesso meno visibili che spesso non vengono considerati durante il recupero delle credenziali standard.
Parte 2 — Come non trovarsi mai più in questa situazione
Il recupero è costoso in termini di tempo, stress e rapporto con il cliente. La prevenzione richiede cinque minuti in più all’inizio di ogni progetto.
Regola 1: Il dominio deve essere sempre intestato al cliente. Senza eccezioni. Il registrar, le credenziali di accesso, la email di recupero: tutto intestato al cliente o all’agenzia, mai al developer che segue il progetto. Se il cliente non vuole gestire il dominio da solo, l’agenzia può gestirlo per lui, ma deve essere l’agenzia il proprietario registrato, non il freelancer.
Regola 2: L’hosting deve avere accessi separati per ruolo. Il cliente deve avere un accesso con le sue credenziali. L’agenzia deve avere un accesso separato. Il developer freelance, se coinvolto, deve avere un accesso con permessi limitati a quello che serve per il suo lavoro specifico. La maggior parte degli hosting provider supporta account utente multipli con permessi diversi. Usarli dall’inizio è la prevenzione più efficace.
Regola 3: Cloudflare con accesso multi-utente. Cloudflare permette di aggiungere membri con ruoli diversi a ogni account zona. Il developer può avere accesso come membro con permessi limitati. Il cliente e l’agenzia devono avere accesso come amministratori. Configurarlo richiede tre minuti alla creazione del sito.
Regola 4: WordPress con ruoli separati. Il developer lavora con un account amministratore a suo nome. Il cliente ha il suo account amministratore separato. Noi di Blurr creiamo sempre almeno due account amministratori su ogni sito che sviluppiamo per le agenzie partner: uno operativo per il lavoro quotidiano e uno di backup con una email diversa. Se per qualsiasi motivo un account viene perso o compromesso, l’altro rimane disponibile.
Regola 5: Documenta tutto in un documento condiviso fin dal primo giorno. Un documento semplice con tutti gli accessi, le credenziali di recupero, i contatti dei provider: è il documento che evita il panico quando qualcosa va storto. Non deve essere elaborato: basta che esista e che sia aggiornato ogni volta che cambia qualcosa.
Regola 6: Il contratto con il freelancer deve includere la restituzione degli accessi. Una clausola contrattuale che obbliga il freelancer a restituire tutti gli accessi e le credenziali alla conclusione del rapporto di lavoro, con penale in caso di inadempienza. Non è una misura sufficiente da sola perché un freelancer sparito non risponde al contratto, ma è uno strumento utile se la situazione diventa una disputa legale.
Lavorare con Blurr come partner white label elimina strutturalmente questo rischio. Non siamo un freelancer singolo: siamo una struttura societaria con procedure di gestione degli accessi standardizzate su ogni progetto. Ogni sito che sviluppiamo mantiene una documentazione completa degli accessi che l’agenzia partner può richiedere in qualsiasi momento. Su blurr.it/contatti/ puoi prenotare una chiamata per capire come strutturiamo questa parte del processo. Per approfondire come gestiamo la sicurezza e il monitoraggio su ogni progetto, leggi cosa succede a un sito web senza monitoraggio. Per capire come strutturiamo il NDA e le clausole contrattuali nel rapporto con le agenzie partner, leggi l’articolo dedicato.
FAQ
Se il dominio è intestato al cliente, quasi tutti i registrar permettono il recupero tramite verifica dell’intestatario: il cliente dimostra di essere il proprietario legale tramite email aziendale o documenti e il registrar ripristina l’accesso. Se il dominio è intestato al freelancer, il recupero richiede procedure legali più complesse e potrebbe richiedere settimane. Per questo il dominio deve essere sempre intestato al cliente o all’agenzia, mai al developer che segue il progetto.
Tramite accesso diretto al database. Con phpMyAdmin o WP-CLI, è possibile resettare la password di qualsiasi utente amministratore WordPress modificando direttamente il record nella tabella wp_users. Richiede accesso all’hosting. Se non si ha accesso all’hosting, si può aggiungere un file PHP temporaneo alla root del sito tramite FTP per eseguire il reset. Entrambe le procedure sono standard e non distruttive per il sito.
La soluzione più rapida non passa dal supporto Cloudflare ma dal registrar del dominio. Se si ha accesso al registrar dove il dominio è registrato, si possono cambiare i nameserver da quelli di Cloudflare a qualsiasi altro DNS provider, oppure aggiungere il dominio a un nuovo account Cloudflare. Cloudflare segue il dominio, non l’account: chi controlla il registrar controlla i nameserver e quindi controlla quale account Cloudflare gestisce la zona DNS. Se non si ha accesso nemmeno al registrar, si apre un ticket con il supporto Cloudflare documentando la proprietà del dominio, ma i tempi e le procedure variano caso per caso senza un processo standardizzato. Nel frattempo il sito continua a funzionare normalmente: perdere l’accesso all’account Cloudflare non interrompe il servizio.
Con cinque regole: dominio sempre intestato al cliente o all’agenzia, hosting con accessi separati per ruolo, Cloudflare con accesso multi-utente configurato dall’inizio, WordPress con almeno due account amministratori distinti, e un documento condiviso con tutti gli accessi aggiornato ad ogni modifica. Il contratto con il freelancer deve includere una clausola esplicita di restituzione degli accessi alla conclusione del rapporto.