RevealTheme logo

Guida · Aggiornata 2026

Lista di controllo per la sicurezza di WordPress: 30 passi che contano davvero

La maggior parte dei consigli sulla sicurezza di WordPress sono generici, allarmistici e tralasciano ciò che conta davvero. Questa lista ordina le misure di sicurezza per impatto reale, basandosi sui pattern di attacco effettivi usati contro i siti WordPress (forza bruta, plugin vulnerabili, credenziali deboli, core obsoleti).

I 5 essenziali: li faccia per primi

  1. Mantenga aggiornati il core di WordPress, i temi e i plugin. I plugin vulnerabili sono il vettore di attacco numero 1. Attivi gli aggiornamenti automatici delle versioni minori (WordPress 5.6+ lo fa per impostazione predefinita). Per le versioni maggiori, aggiorni entro 7 giorni dal rilascio. Per i plugin, attivi l'aggiornamento automatico di quelli fidati; controlli manualmente le note di versione dei plugin critici.
  2. Usi password forti e uniche per ogni account WordPress. Soprattutto quelle di amministratore. Usi un gestore di password (1Password, Bitwarden). Disattivi il nome utente «admin»: crei un nuovo amministratore ed elimini quello vecchio.
  3. Attivi l'autenticazione a due fattori. Usi Wordfence Login Security (gratuito) o il nostro Generatore di QR 2FA con qualsiasi app TOTP. La 2FA sconfigge più del 99% degli attacchi di credential stuffing.
  4. Installi un plugin di sicurezza affidabile. Wordfence (la versione gratuita basta per la maggior parte dei siti) o Solid Security. Non ne accumuli diversi: entrano in conflitto. Il plugin gestisce il limite di tentativi di accesso, il monitoraggio dell'integrità dei file e la scansione del malware.
  5. Backup giornalieri fuori sito. UpdraftPlus → Dropbox/Google Drive. Faccia il backup prima di averne bisogno. Provi il processo di ripristino almeno una volta.

Le 10 successive: misure aggiuntive ad alto impatto

  1. Forzi l'HTTPS. Let's Encrypt è gratuito su ogni host moderno. Reindirizzi HTTP a HTTPS a livello di server.
  2. Cambi il prefisso delle tabelle del database. WordPress usa wp_ per impostazione predefinita; lo cambi con qualcosa di personalizzato durante l'installazione. Non blocca gli attacchi, ma ostacola alcuni pattern di attacco.
  3. Disattivi XML-RPC se non lo usa. XML-RPC è un comune vettore di amplificazione della forza bruta. Se non usa l'app mobile di Jetpack né la pubblicazione remota, lo disattivi tramite .htaccess o un plugin.
  4. Limiti i tentativi di accesso. Wordfence lo fa automaticamente. Evita il credential stuffing per forza bruta.
  5. Ruoti le chiavi/salt di autenticazione di WordPress. Usi il nostro Generatore di Salt di WordPress. Li ruoti dopo qualsiasi sospetto di compromissione, dopo aver eliminato un amministratore compromesso e ogni 6-12 mesi di routine.
  6. Usi SSH o SFTP per trasferire i file, mai FTP semplice. L'FTP trasmette le credenziali in testo in chiaro.
  7. Restringa l'accesso a wp-admin per IP se possibile. Se il suo team usa IP fissi (ufficio, VPN), limiti wp-admin solo a quegli IP. Tramite .htaccess o la configurazione di Nginx.
  8. Disattivi la modifica dei file in wp-config.php. Aggiunga: define('DISALLOW_FILE_EDIT', true); Evita che gli attaccanti modifichino temi/plugin dal pannello se compromettono un account.
  9. Nasconda il numero di versione di WordPress. Rimuova il meta tag generator. Non blocca gli attacchi, ma riduce il fingerprinting.
  10. Blocchi i permessi dei file. File 644, directory 755, wp-config.php 600. La maggior parte degli host gestiti lo fa automaticamente; su un VPS, lo configuri esplicitamente.

Rifinitura: utile ma non critica

  1. URL di accesso personalizzato (ad es. WPS Hide Login). Riduce soprattutto il rumore del traffico dei bot; non è vera sicurezza.
  2. CAPTCHA nei moduli di accesso. Un lieve attrito per gli attacchi automatizzati.
  3. Disattivi l'esecuzione di PHP in /uploads/. Evita l'esecuzione di shell PHP caricate.
  4. Usi il WAF di Cloudflare (livello gratuito). Filtra il traffico malevolo prima che raggiunga il suo server.
  5. Configuri un avviso via email per l'amministratore per gli aggiornamenti di plugin/core.
  6. Usi il preload HSTS per forzare l'HTTPS a livello di browser.
  7. Disattivi l'enumerazione degli utenti tramite l'API REST (Solid Security o Wordfence lo gestiscono).
  8. Usi le intestazioni di Content Security Policy (CSP).
  9. Disattivi la navigazione delle directory (la maggior parte degli host lo fa per impostazione predefinita).
  10. Monitori il tempo di attività + l'integrità con un servizio esterno (livello gratuito di UptimeRobot + Sucuri SiteCheck settimanale).
  11. Limiti i ruoli utente al privilegio minimo. La maggior parte dei collaboratori non ha bisogno di un accesso di livello editor.
  12. Crittografia dei backup del database (UpdraftPlus Premium la offre).
  13. Hosting delle immagini fuori dal dominio tramite CDN (riduce la superficie di attacco).
  14. Revisione periodica del registro di audit della sicurezza.
  15. Test di penetrazione annuale se il sito genera entrate significative.

Miti sulla sicurezza di WordPress: li ignori

Diverse misure di «sicurezza» molto consigliate offrono una protezione reale minima: (1) «Nascondere la versione di WordPress»: conoscere la sua versione aiuta lievemente gli attacchi mirati, ma la soluzione reale è aggiornare, non nascondere. (2) «Spostare wp-config.php sopra public_html»: apporta essenzialmente zero beneficio di sicurezza; il file è già protetto da .htaccess. (3) «Disattivare l'API REST»: rompe molti plugin e blocca poco. Limiti invece endpoint specifici. (4) «Accumulare diversi plugin di sicurezza»: entrano in conflitto e si sovrappongono. Un plugin affidabile (Wordfence o Solid Security) copre ciò che farebbero in tre. (5) «Rinominare wp-login.php»: sicurezza tramite oscurità; gli attaccanti trovano facilmente il nuovo URL tramite i reindirizzamenti.

Se è stato hackerato: lista di ripristino

  1. Non vada nel panico; non elimini subito le cose. Faccia prima un'istantanea dello stato attuale per l'analisi forense.
  2. Metta il sito offline (plugin di modalità manutenzione o reindirizzamento .htaccess a una pagina statica).
  3. Cambi tutte le password di amministratore e ruoti i salt di WordPress.
  4. Verifichi gli account utente: elimini subito gli account di amministratore non riconosciuti.
  5. Esegua una scansione alla ricerca di malware con Wordfence Premium o Sucuri.
  6. Confronti i file attuali con un download pulito di WordPress: il diff rivela i file del core modificati.
  7. Controlli la tabella wp_options del database alla ricerca di voci inattese (spesso contiene JS iniettato).
  8. Ripristini dal backup pulito più recente (è per questo che i backup giornalieri contano).
  9. Una volta ripristinato, verifichi ogni plugin: elimini quelli non usati, li aggiorni tutti e sostituisca quelli con CVE pubblici.
  10. Aggiorni il core di WordPress all'ultima versione.
  11. Riabiliti il sito e vigili sulla reinfezione per 30 giorni.
Genera nuovi salt di WordPress ora

Domande frequenti

WordPress è meno sicuro di altri CMS?
Non in modo intrinseco. La reputazione di WordPress come rischio per la sicurezza deriva da due fattori: alimenta il 43% del web, quindi gli attaccanti lo prendono di mira; e gli utenti occasionali installano plugin vulnerabili senza verificarli. Un sito WordPress mantenuto con plugin verificati è sicuro quanto Drupal o Joomla. Un sito WordPress abbandonato con 30 plugin obsoleti è un bersaglio facile.
Mi serve un plugin di sicurezza a pagamento?
Alla maggior parte dei siti no. Wordfence Free copre ciò di cui ha bisogno il 90% dei siti WordPress: firewall, scansione del malware, sicurezza dell'accesso, integrità dei file. La versione Premium aggiunge aggiornamenti delle minacce in tempo reale (rispetto a un ritardo di 30 giorni), blocco per paese e supporto prioritario: vale la pena per i siti con entrate reali, opzionale negli altri casi.
Con quale frequenza devo aggiornare WordPress?
Versioni minori (5.6.1 → 5.6.2): automaticamente, subito. Versioni maggiori (5.x → 6.x): entro 7 giorni dal rilascio. Aggiornamenti dei plugin: revisione settimanale; aggiornamento automatico se ha i backup; revisione manuale per i plugin critici (sicurezza, e-commerce, codice personalizzato).
Qual è il modo più comune in cui vengono hackerati i siti WordPress?
I plugin vulnerabili, responsabili di ~55% degli attacchi riusciti a WordPress secondo i rapporti annuali di Wordfence. Il codice stesso del plugin ha una vulnerabilità che l'attaccante sfrutta. Mitigazione: mantenga i plugin aggiornati, elimini quelli non usati e installi solo plugin di sviluppatori fidati.
Devo usare un host con sicurezza WordPress integrata?
Gli host WordPress gestiti (Kinsta, WP Engine, Pressable) includono WAF, scansione del malware e aggiornamenti automatici del core: aggiunte significative. Se giustifichino il prezzo premium dipende dal suo traffico e dal suo profilo di minaccia. Per un sito di piccola impresa, un'installazione gratuita di Wordfence su hosting condiviso copre la maggior parte delle minacce.

Letture correlate

Iscriviti per ricevere aggiornamenti

Non vendiamo la tua email. Non inviamo spam.

© 2026 RevealTheme. All rights reserved.