WordPress alimenta una quota enorme del web, il che ne fa un bersaglio costante. La buona notizia è che la stragrande maggioranza delle compromissioni di WordPress sfrutta un piccolo e prevedibile insieme di debolezze, e quasi tutte sono prevenibili. Questa checklist per l’hardening della sicurezza WordPress illustra i passaggi che nel 2026 fanno davvero la differenza, più o meno in ordine di priorità.

In breve

  • I plugin e i temi vulnerabili e obsoleti sono di gran lunga il principale vettore di attacco per WordPress; aggiornamenti disciplinati e la rimozione del codice inutilizzato contano più di ogni altra cosa
  • Un’autenticazione forte (nomi amministratore univoci, password robuste, autenticazione a due fattori, limitazione del rate di login) chiude la seconda porta più comune
  • Rafforza wp-config.php, i permessi dei file e la superficie di REST API / XML-RPC, e metti un WAF davanti al sito
  • Esegui backup regolari e testa i ripristini; un buon backup trasforma una violazione in un inconveniente anziché in un disastro

1. Mantieni aggiornati core, plugin e temi

I plugin e i temi obsoleti sono il modo numero uno con cui i siti WordPress vengono violati. Ogni plugin è codice di terze parti che gira con accesso al tuo sito.

  • Abilita gli aggiornamenti automatici per il core di WordPress (almeno le release minori).
  • Aggiorna plugin e temi tempestivamente, idealmente su base pianificata con un test in staging.
  • Rimuovi i plugin e i temi che non usi. Disattivato non basta; eliminato è sicuro.
  • Installa solo plugin da fonti affidabili con uno storico di manutenzione attivo.
  • Fai attenzione ai plugin abbandonati; il codice non mantenuto è un rischio anche se funziona ancora.

2. Blinda l’autenticazione

Gli attacchi brute-force e alle credenziali contro wp-login.php sono incessanti.

  • Non usare mai admin come nome utente. Usa un nome amministratore univoco.
  • Imponi password robuste e univoche per ogni account.
  • Abilita l’autenticazione a due fattori (2FA) per tutti gli account amministratore ed editore.
  • Limita i tentativi di login e aggiungi una limitazione del rate per bloccare i tentativi brute-force.
  • Valuta di cambiare o proteggere l’URL di login e di aggiungere una sfida CAPTCHA.

3. Applica ruoli utente a privilegio minimo

  • Assegna a ogni utente il ruolo più basso che gli consente di svolgere il proprio lavoro. Non tutti devono essere amministratori.
  • Verifica regolarmente gli account utente e rimuovi ex dipendenti e login inutilizzati.
  • Rivedi i ruoli dopo aver installato plugin che aggiungono capacità personalizzate.

4. Rafforza wp-config.php

wp-config.php contiene le credenziali del database e le chiavi segrete, quindi merita un’attenzione particolare.

  • Imposta chiavi di autenticazione e salt univoci.
  • Disabilita l’editor di file integrato: define('DISALLOW_FILE_EDIT', true); così che un aggressore che ottiene l’accesso admin non possa modificare il codice di temi e plugin dalla dashboard.
  • Sposta wp-config.php un livello sopra la web root dove la configurazione di hosting lo consente, e limita i suoi permessi di file.
  • Mantieni WP_DEBUG disabilitato in produzione affinché gli errori non divulghino informazioni.

5. Imposta permessi corretti su file e directory

  • Directory 755, file 644 come baseline standard; non usare mai 777.
  • Assicurati che l’utente del server web sia proprietario dei file ma non possa scrivere dove non serve.
  • Proteggi i file sensibili e disabilita la navigazione delle directory.

6. Riduci la superficie di attacco: XML-RPC e REST API

  • Disabilita XML-RPC se non lo usi; è un comune vettore di brute-force e amplificazione DDoS.
  • Limita o autentica la REST API dove espone dati che non vuoi rendere pubblici.
  • Rimuovi il numero di versione di WordPress e ogni altra divulgazione di informazioni superflua dall’output delle pagine.

7. Metti un WAF e HTTPS davanti

  • Servi l’intero sito su HTTPS e reindirizza tutto il traffico HTTP.
  • Aggiungi header di sicurezza (HSTS, X-Content-Type-Options, X-Frame-Options o una Content-Security-Policy frame-ancestors, e una CSP dove praticabile).
  • Usa un Web Application Firewall. Un WAF a livello di CDN come Cloudflare filtra il traffico malevolo prima che raggiunga WordPress e assorbe la pressione di bot e DDoS.

8. Hardening di database e hosting

  • Usa un prefisso di tabella del database non predefinito nelle nuove installazioni.
  • Usa un utente di database dedicato con solo i privilegi di cui WordPress ha bisogno.
  • Mantieni PHP a una versione supportata e attuale; un PHP a fine vita è un rischio silenzioso.
  • Scegli un hosting che isola i siti e applica le patch allo stack del server.

9. Monitoraggio, backup e ripristino

  • Esegui scansioni di malware e integrità dei file per rilevare rapidamente cambiamenti inattesi.
  • Abilita la registrazione di sicurezza per vedere i tentativi di login e le modifiche.
  • Esegui backup regolari e automatici archiviati fuori dal server, e testa il ripristino. Un backup non testato è una speranza, non un piano.

Punti chiave

  • I guadagni maggiori sono poco appariscenti: aggiornare tutto, rimuovere plugin e temi inutilizzati e imporre un’autenticazione forte con 2FA.
  • Rafforza wp-config.php, i permessi dei file e la superficie di XML-RPC / REST API per ridurre la superficie di attacco.
  • Metti HTTPS, header di sicurezza e un WAF davanti al sito.
  • Esegui backup regolari e testa i ripristini così che una violazione sia recuperabile.

Hardening professionale della sicurezza WordPress

Una checklist ti porta gran parte del percorso, ma l’hardening della sicurezza WordPress beneficia comunque di occhi esperti. Un audit di sicurezza WordPress esamina ogni plugin e tema, testa autenticazione e accessi, e verifica wp-config.php, il database e la superficie di REST API e XML-RPC, producendo un piano di hardening prioritizzato. Per il quadro più ampio su tutto il tuo sito e stack, consulta la guida all’audit di sicurezza del sito web per le aziende britanniche . Se il tuo sito ha bisogno di sviluppo e manutenzione continui accanto all’hardening, uno sviluppatore WordPress da assumere può mantenerlo sicuro nel tempo.

Domande frequenti (FAQ)

Qual è il modo più comune in cui i siti WordPress vengono violati? Plugin e temi vulnerabili e obsoleti. Il codice dei plugin di terze parti è di gran lunga il principale vettore di attacco, motivo per cui gli aggiornamenti tempestivi e la rimozione dei plugin inutilizzati contano più di quasi ogni altra cosa.

Ho davvero bisogno di un plugin di sicurezza? Un plugin di sicurezza affidabile aiuta con la scansione dei malware, la limitazione dei login e il monitoraggio, ma non sostituisce i fondamentali: aggiornamenti, autenticazione forte, ruoli a privilegio minimo e un WAF. Aggiungilo sopra a una buona igiene, non al suo posto.

Dovrei disabilitare XML-RPC? Se non lo usi (ad esempio per l’app mobile o certe integrazioni), sì. XML-RPC è spesso abusato per brute-force e amplificazione DDoS, quindi disabilitarlo elimina una superficie di attacco comune.

Con quale frequenza dovrei eseguire il backup del mio sito WordPress? Abbastanza spesso da non poter perdere dati significativi, tipicamente ogni giorno per i siti attivi, archiviati fuori dal server. Fondamentale: testa i ripristini; un backup mai ripristinato non è provato.

Cloudflare è sufficiente per mettere in sicurezza WordPress? Un WAF a livello di CDN come Cloudflare filtra molto traffico malevolo e assorbe la pressione di bot e DDoS, ma non risolve plugin vulnerabili, password deboli o configurazioni errate. Usalo come uno strato accanto all’hardening sul sito.