Sicurezza WordPress: La Guida Definitiva per Proteggere il Tuo Sito
La sicurezza è uno degli aspetti più critici e spesso trascurati nella gestione di un sito WordPress. Ogni giorno migliaia di siti web vengono compromessi da attacchi informatici, e WordPress, essendo il CMS più diffuso al mondo con oltre il 43{6fb8dad3a9c483f1a21adb5997a0bd0fb65a4b2f8344003d223c5d2f2542798c} di market share, è naturalmente il bersaglio preferito degli hacker. Ma la buona notizia è che la stragrande maggioranza degli attacchi è prevenibile con le giuste misure di protezione. In questa guida definitiva affronteremo ogni aspetto della sicurezza WordPress, dalla prevenzione al ripristino.
Secondo le statistiche di Sucuri, nel 2025 il 96,2{6fb8dad3a9c483f1a21adb5997a0bd0fb65a4b2f8344003d223c5d2f2542798c} dei siti WordPress compromessi utilizzava una versione obsoleta del CMS, dei plugin o dei temi. Questo dato ci dice che la sicurezza WordPress non è una questione di vulnerabilità intrinseche della piattaforma, ma di cattiva manutenzione. Con le pratiche che ti presenteremo, puoi ridurre drasticamente il rischio di compromissione.
Le minacce più comuni per WordPress
Per proteggere efficacemente il tuo sito, devi conoscere le minacce che lo attendono:
Attacchi brute force: tentativi automatizzati di indovinare username e password provando migliaia di combinazioni al minuto. Colpiscono la pagina di login (/wp-login.php) e la XML-RPC API. Sono l’attacco più comune e il più facile da prevenire.
Vulnerabilità nei plugin e nei temi: la causa principale delle compromissioni. Plugin non aggiornati, abbandonati o di dubbia provenienza possono contenere falle di sicurezza che gli hacker sfruttano per iniettare codice malevolo, accedere al database o prendere il controllo del server.
SQL Injection: attacchi che sfruttano input non validati per iniettare comandi SQL nel database, potendo leggere, modificare o cancellare dati sensibili.
Cross-Site Scripting (XSS): iniezione di script malevoli nelle pagine del sito che vengono eseguiti nel browser dei visitatori, potendo rubare cookie, sessioni e dati personali.
Malware e backdoor: codice malevolo inserito nei file del sito che può inviare spam, reindirizzare i visitatori verso siti pericolosi, rubare credenziali o trasformare il server in un nodo per attacchi DDoS.
Phishing e SEO Spam: creazione di pagine nascoste sul tuo sito che promuovono prodotti farmaceutici, gioco d’azzardo o truffe. Queste pagine sfruttano l’autorità del tuo dominio per posizionarsi su Google.
Aggiornamenti: la prima linea di difesa
Mantenere aggiornati WordPress, i temi e i plugin è la singola azione più importante per la sicurezza del tuo sito. Ogni aggiornamento include correzioni di bug e patch di sicurezza che chiudono vulnerabilità note.
Core WordPress: attiva gli aggiornamenti automatici per le versioni minori (es. 6.7.1 → 6.7.2). Per le versioni major (6.7 → 6.8), valuta di aggiornare manualmente dopo qualche giorno dalla release, verificando la compatibilità dei tuoi plugin.
Plugin: aggiornali regolarmente, idealmente entro 48 ore dalla pubblicazione di un aggiornamento. Prima di aggiornare, verifica il changelog per capire se l’aggiornamento include correzioni di sicurezza (in quel caso, aggiorna immediatamente).
Temi: anche i temi ricevono aggiornamenti di sicurezza. Se utilizzi un child theme, assicurati che anche il tema parent sia sempre aggiornato.
PHP: utilizza sempre una versione di PHP supportata e aggiornata. Nel 2026, le versioni consigliate sono PHP 8.2, 8.3 o 8.4. Le versioni obsolete di PHP non ricevono più patch di sicurezza.
Proteggere la pagina di login
La pagina di login è il punto d’ingresso più attaccato di ogni sito WordPress. Ecco come blindarla:
Cambia l’URL di login: la pagina /wp-login.php e /wp-admin sono note a tutti gli hacker. Plugin come WPS Hide Login permettono di cambiare l’URL di login in un indirizzo personalizzato (es. /accesso-riservato), rendendo inutili gli attacchi automatizzati alla pagina standard.
Limita i tentativi di accesso: plugin come Limit Login Attempts Reloaded bloccano temporaneamente l’IP dopo un certo numero di tentativi falliti. Configura il blocco dopo 3-5 tentativi con una durata crescente (15 minuti, 1 ora, 24 ore).
Autenticazione a due fattori (2FA): aggiungi un secondo livello di verifica oltre alla password. Plugin come WP 2FA o Wordfence Login Security supportano app TOTP (Google Authenticator, Authy), codici di backup e chiavi hardware. La 2FA è probabilmente la singola misura più efficace contro gli accessi non autorizzati.
Password robuste: imponi password complesse per tutti gli utenti. WordPress include un generatore di password sicure. Una password robusta deve avere almeno 16 caratteri con lettere maiuscole, minuscole, numeri e simboli.
Disabilita XML-RPC: se non utilizzi app mobile per WordPress o servizi che richiedono XML-RPC, disabilitalo. Gli attacchi brute force via XML-RPC possono provare centinaia di password in una singola richiesta HTTP, aggirando i sistemi di rate limiting tradizionali.
Plugin di sicurezza: quale scegliere
Un plugin di sicurezza dedicato aggiunge molteplici livelli di protezione. Ecco i migliori nel 2026:
Wordfence Security: il plugin di sicurezza WordPress più popolare, con firewall applicativo (WAF), scanner malware, protezione brute force, 2FA e monitoraggio del traffico in tempo reale. La versione gratuita è già molto completa; la versione Premium aggiunge regole firewall in tempo reale e blocco geografico.
Sucuri Security: offre monitoraggio dell’integrità dei file, scanner malware, hardening di sicurezza e integrazione con il CDN/WAF Sucuri (servizio a pagamento). Eccellente per la pulizia di siti già compromessi.
iThemes Security (ora SolidWP Security): offre oltre 30 misure di hardening, incluse la protezione brute force, il cambio URL di login, il controllo dei permessi dei file e la rilevazione di modifiche ai file. L’interfaccia è tra le più user-friendly.
All In One WP Security: plugin gratuito con un’interfaccia basata su un sistema di punteggio che rende facile capire quanto è sicuro il tuo sito e cosa migliorare. Offre protezione firewall, sicurezza login, protezione database e controllo file system.
Hardening di WordPress
L’hardening consiste nel rafforzare la configurazione di WordPress per ridurre la superficie di attacco. Ecco le misure principali:
Prefisso tabelle database: il prefisso predefinito "wp_" è noto a tutti gli attaccanti. Usa un prefisso personalizzato (es. "x7k_") durante l’installazione. Se il sito è già installato, puoi cambiarlo ma richiede attenzione.
Chiavi di sicurezza: WordPress utilizza chiavi crittografiche nel file wp-config.php per la sicurezza delle sessioni e dei cookie. Genera chiavi univoche e robuste usando il generatore ufficiale di WordPress (api.wordpress.org/secret-key/1.1/salt/).
Permessi dei file: configura i permessi corretti: wp-config.php a 600 o 640, directory a 755, file a 644. Nessun file o directory dovrebbe avere permessi 777. Il file .htaccess dovrebbe essere 644.
Disabilita l’editor dei file: WordPress include un editor di codice integrato che permette di modificare temi e plugin dalla dashboard. Se un attaccante ottiene accesso amministratore, potrebbe usarlo per iniettare codice malevolo. Disabilitalo aggiungendo a wp-config.php: define( DISALLOW_FILE_EDIT, true );
Nascondi la versione di WordPress: la versione di WordPress è visibile nel codice sorgente delle pagine. Nasconderla non è una misura di sicurezza forte ma riduce le informazioni disponibili agli attaccanti.
Proteggi wp-config.php: questo file contiene le credenziali del database e le chiavi di sicurezza. Proteggilo a livello server impedendo l’accesso via web con regole .htaccess o nginx.
Firewall applicativo (WAF)
Un Web Application Firewall (WAF) filtra il traffico in entrata e blocca le richieste malevole prima che raggiungano WordPress. Esistono due tipologie:
WAF a livello di plugin: come quello integrato in Wordfence, analizza le richieste dopo che raggiungono il server. È meno efficiente ma più semplice da implementare. Protegge da SQL Injection, XSS, file inclusion e altri attacchi comuni.
WAF basato su cloud/DNS: servizi come Cloudflare, Sucuri Firewall e Akamai filtrano il traffico prima che raggiunga il server. Sono più efficaci e proteggono anche da attacchi DDoS, ma richiedono la modifica dei DNS e hanno un costo mensile.
Per siti aziendali e e-commerce, consigliamo un WAF cloud-based (Cloudflare è gratuito nel piano base) combinato con un plugin di sicurezza per la protezione a livello applicativo.
Certificato SSL e HTTPS
Nel 2026, un certificato SSL è assolutamente obbligatorio. HTTPS cripta la comunicazione tra il browser dell’utente e il server, proteggendo password, dati personali e transazioni. Google penalizza i siti senza HTTPS nei risultati di ricerca e i browser mostrano avvisi di "sito non sicuro".
La maggior parte dei provider di hosting include certificati SSL gratuiti tramite Let’s Encrypt. Dopo l’installazione del certificato, configura WordPress per utilizzare HTTPS: aggiorna gli URL nelle impostazioni generali e installa un plugin come Really Simple SSL per gestire i redirect da HTTP a HTTPS.
Protezione del database
Il database MySQL contiene tutti i contenuti del sito, gli utenti e le configurazioni. Proteggilo con queste misure:
Credenziali robuste: usa un nome utente del database diverso da "root" o dal nome del database e una password di almeno 20 caratteri casuali.
Accesso locale: configura l’utente del database per accettare connessioni solo da localhost, non da host remoti.
Backup regolari: esegui backup del database almeno giornalmente, conservando copie su storage esterno (non sullo stesso server).
Pulizia periodica: elimina le revisioni degli articoli in eccesso, i transient scaduti e le tabelle lasciate da plugin disinstallati. Un database pulito è più veloce e più facile da gestire in caso di problemi.
Monitoraggio e rilevamento intrusioni
La prevenzione è fondamentale, ma devi anche essere in grado di rilevare una compromissione il prima possibile:
Monitoraggio integrità file: plugin come Wordfence e Sucuri confrontano i file del core WordPress con le versioni ufficiali e ti avvisano se qualche file è stato modificato.
Log degli accessi: monitora i tentativi di login (riusciti e falliti), le modifiche agli utenti e le attività sospette nella dashboard. Wordfence offre un log dettagliato del traffico.
Google Search Console: Google ti avvisa se rileva malware o problemi di sicurezza sul tuo sito. Tieni collegata la Search Console e controlla regolarmente la sezione "Problemi di sicurezza".
Uptime monitoring: servizi come UptimeRobot (gratuito) monitorano la disponibilità del sito e ti avvisano se va offline. Un sito che va offline senza motivo potrebbe essere sotto attacco.
Cosa fare se il sito viene hackerato
Nonostante tutte le precauzioni, un’intrusione può accadere. Ecco il protocollo da seguire:
1. Non andare nel panico. Agisci con metodo e documenta ogni passo.
2. Metti il sito in manutenzione. Impedisci l’accesso ai visitatori per proteggerli e per evitare che Google indicizzi contenuti malevoli.
3. Cambia tutte le password: WordPress admin, FTP, database, pannello hosting, email associate al sito.
4. Scansiona il sito: usa Wordfence, Sucuri SiteCheck o scanner lato server per identificare i file infetti.
5. Ripristina da un backup pulito: se hai un backup recente sicuramente non compromesso, il ripristino è il metodo più affidabile.
6. Se non hai un backup: pulisci manualmente i file infetti, reinstalla il core di WordPress, sostituisci temi e plugin con copie fresche, e verifica il database per codice iniettato.
7. Identifica la causa: controlla i log del server per capire come è avvenuta l’intrusione e chiudi la falla.
8. Richiedi una revisione a Google: se il sito è stato segnalato come pericoloso, dopo la pulizia richiedi una revisione tramite Google Search Console.
Checklist di sicurezza WordPress
Riassumiamo le azioni di sicurezza in una checklist pratica da seguire e verificare periodicamente:
WordPress, temi e plugin sempre aggiornati. PHP in versione supportata e aggiornata. Password robuste per tutti gli utenti. Autenticazione a due fattori attiva. Plugin di sicurezza installato e configurato. Certificato SSL attivo e funzionante. Backup automatici giornalieri su storage esterno. Permessi file e directory corretti. Editor di file disabilitato. URL di login personalizzato. Tentativi di login limitati. XML-RPC disabilitato se non necessario. WAF attivo (Cloudflare o equivalente). Monitoraggio uptime attivo. Log di sicurezza controllati regolarmente.
Conclusioni
La sicurezza WordPress non è un prodotto che si acquista una volta: è un processo continuo di prevenzione, monitoraggio e risposta. Nessun sito è invulnerabile al 100{6fb8dad3a9c483f1a21adb5997a0bd0fb65a4b2f8344003d223c5d2f2542798c}, ma seguendo le pratiche descritte in questa guida puoi ridurre il rischio di compromissione a livelli minimi. Il costo della prevenzione è sempre infinitamente inferiore al costo di un’intrusione: perdita di dati, danni alla reputazione, penalizzazioni Google e costi di ripristino possono essere devastanti per un’attività online.
Se la sicurezza del tuo sito ti preoccupa o se hai subito una compromissione, il nostro team di esperti è a disposizione per un audit di sicurezza completo e per implementare tutte le protezioni necessarie.
Approfondisci e ricevi assistenza
Hai bisogno di assistenza professionale? Il team di G Tech Group è a tua disposizione per supporto tecnico e consulenza personalizzata.
Migliora il Tuo Sito WordPress
Scopri le nostre guide complete sugli altri plugin essenziali per WordPress: