Guida Essenziale Sicurezza Wordpress Proteggi Il Tuo Sito Da Hacker 2025

Guida Essenziale Sicurezza WordPress: Proteggi il Tuo Sito da Hacker! (2025)

By:
On:
In: Sicurezza WordPress
With: 0 Commenti
7Shares

Quando parliamo con i nuovi proprietari di siti web, raccomandiamo sempre di implementare soluzioni di sicurezza WordPress il prima possibile. Un sito sicuro è la base per qualsiasi progetto online di successo.

Abbiamo mantenuto con successo i nostri siti al sicuro da ripetuti attacchi nel corso di molti anni. Lo facciamo utilizzando i migliori strumenti e seguendo le best practice per la sicurezza WordPress.

Detto questo, mantenere il tuo sito web WordPress sicuro e protetto è importante per ogni proprietario. Proprio come proteggi la tua casa o la tua attività fisica, devi anche proteggere il tuo sito web dalle minacce online.

Se non prendi le giuste misure per proteggere il tuo sito web, potrebbe essere a rischio. Ogni giorno, Google blocca migliaia di siti web a causa di malware e altri problemi di sicurezza.

In questa guida, condivideremo i nostri migliori consigli e la checklist di sicurezza WordPress per aiutarti a proteggere il tuo sito web da hacker e malware.

Sebbene il software principale di WordPress sia molto sicuro e venga controllato regolarmente da centinaia di sviluppatori, c’è ancora molto da fare per mantenere il tuo sito sicuro.

Noi crediamo che la sicurezza non sia solo eliminazione del rischio, ma anche riduzione del rischio. Come proprietario di un sito web, c’è molto che puoi fare per migliorare la tua sicurezza WordPress, anche se non sei esperto di tecnologia.

Ecco perché abbiamo messo insieme una checklist di sicurezza WordPress con passaggi concreti che puoi intraprendere per proteggere il tuo sito web dalle vulnerabilità di sicurezza.

1. Basi della Sicurezza WordPress

1.1 Perché la Sicurezza di WordPress è Importante?

Un sito web WordPress hackerato può causare gravi danni alle entrate e alla reputazione della tua attività. Gli hacker possono rubare informazioni e password degli utenti, installare software dannoso e persino distribuire malware ai tuoi visitatori.

Peggio ancora, potresti trovarti a pagare un riscatto agli hacker solo per riottenere l’accesso al tuo sito web.

Guida Essenziale Sicurezza WordPress Proteggi Il Tuo Sito Da Hacker 2025

Ogni giorno, Google avverte milioni di utenti che un sito web che stanno cercando di visitare potrebbe contenere malware o rubare informazioni.

Inoltre, Google inserisce nella lista nera circa 10.000+ siti web ogni giorno per malware o phishing.

Proprio come i proprietari di attività commerciali con una sede fisica sono responsabili della salvaguardia della loro proprietà, i proprietari di attività online devono prestare particolare attenzione alla loro sicurezza WordPress.

1.2 Mantieni WordPress Aggiornato

Guida Essenziale Sicurezza WordPress Proteggi Il Tuo Sito Da Hacker 2025
Aggiorna facilmente WordPress

WordPress è un software open-source, regolarmente mantenuto e aggiornato. Per impostazione predefinita, WordPress installa automaticamente gli aggiornamenti minori (es. 6.4.1 -> 6.4.2). Per le versioni principali (es. 6.4 -> 6.5), è necessario avviare manualmente l’aggiornamento dalla bacheca.

WordPress include anche migliaia di plugin e temi che puoi installare sul tuo sito web. Questi plugin e temi sono mantenuti da sviluppatori di terze parti, che rilasciano regolarmente anche aggiornamenti.

Questi aggiornamenti di WordPress, temi e plugin sono cruciali per la sicurezza e la stabilità del tuo sito WordPress. Contengono spesso patch per vulnerabilità note.

Devi assicurarti che il core di WordPress, i plugin e il tema siano sempre aggiornati all’ultima versione stabile disponibile.

1.3 Usa Password Forti e Permessi Utente Corretti

Guida Essenziale Sicurezza WordPress Proteggi Il Tuo Sito Da Hacker 2025

I tentativi di hacking WordPress più comuni utilizzano password rubate o indovinate. Puoi rendere loro la vita molto più difficile utilizzando password complesse e uniche per il tuo sito web.

Non stiamo parlando solo dell’area di amministrazione di WordPress. Ricorda di creare password complesse per i tuoi account FTP/SFTP, database, pannello di controllo dell’hosting, account email personalizzati che utilizzano il nome di dominio del tuo sito, e ogni altro servizio correlato.

Molti principianti non amano usare password complesse perché sono difficili da ricordare. La buona notizia è che non è più necessario ricordarle, perché puoi semplicemente usare un gestore di password.

Per maggiori informazioni, consulta la nostra guida su come gestire le password di WordPress.

Un altro modo per ridurre il rischio è non dare a nessuno l’accesso al tuo account amministratore di WordPress a meno che non sia assolutamente necessario.

Se hai un team numeroso o autori ospiti, assicurati di comprendere i ruoli utente e le capacità in WordPress prima di aggiungere nuovi account utente e autori al tuo sito WordPress.

Assegna sempre il ruolo con i privilegi minimi necessari per svolgere il compito richiesto.

1.4 Comprendi il Ruolo dell’Hosting WordPress

Il tuo servizio di hosting WordPress svolge il ruolo più significativo nella sicurezza del tuo sito WordPress.

Un buon provider di hosting, sia esso condiviso (come Hostinger, Bluehost, SiteGround), gestito o un VPS autogestito (come nel caso di un VPS Contabo), adotta misure extra per proteggere i propri server e l’infrastruttura dalle minacce comuni.

Ecco alcuni modi in cui le buone società di web hosting (o una buona configurazione VPS) lavorano per proteggere i tuoi siti web e dati:

  • Monitorano continuamente la loro rete per attività sospette.
  • Dispongono di strumenti per prevenire attacchi DDoS su larga scala.
  • Mantengono aggiornati il software del server (sistema operativo, web server come Apache/Nginx, versioni PHP, MySQL) e l’hardware per impedire agli hacker di sfruttare vulnerabilità note.
  • Hanno piani di disaster recovery e backup pronti all’uso (anche se un tuo backup personale è sempre consigliato).

Su un piano di hosting condiviso, condividi le risorse del server con molti altri clienti. Esiste un rischio (sebbene mitigato dai buoni provider) di contaminazione incrociata in cui un hacker può utilizzare un sito vicino per attaccare il tuo sito web.

Utilizzare un servizio di hosting WordPress gestito o configurare correttamente un VPS fornisce una piattaforma più sicura e isolata per il tuo sito web.

Gli hosting gestiti spesso offrono backup automatici, aggiornamenti automatici di WordPress e configurazioni di sicurezza più avanzate.

Con un VPS autogestito, hai il pieno controllo ma anche la piena responsabilità della configurazione di sicurezza a livello server.

2. Sicurezza WordPress in Pochi Passi Facili (Senza Codice)

Sappiamo che migliorare la sicurezza WordPress può sembrare un pensiero terrificante per i principianti, specialmente se non sei esperto di tecnologia. Indovina un po’? Non sei solo.

Abbiamo aiutato migliaia di utenti WordPress a rafforzare la loro sicurezza.

Ti mostreremo come puoi migliorare la tua sicurezza WordPress con pochi clic (nessuna codifica richiesta).

Se sai puntare e cliccare, puoi farlo!

2.1 Installa una Soluzione di Backup WordPress

Guida Essenziale Sicurezza WordPress Proteggi Il Tuo Sito Da Hacker 2025

I backup sono la tua prima difesa contro qualsiasi attacco WordPress. Ricorda, niente è sicuro al 100%. Se i siti web governativi possono essere hackerati, allora anche il tuo può esserlo.

I backup ti consentono di ripristinare rapidamente il tuo sito WordPress nel caso in cui accada qualcosa di brutto.

Esistono molti plugin di backup WordPress gratuiti e a pagamento che puoi utilizzare. La cosa più importante che devi sapere sui backup è che devi salvare regolarmente backup completi del sito in una posizione remota (non solo sul tuo account di hosting).

Consigliamo di archiviarli su un servizio cloud come Google Drive, Dropbox, Amazon S3 o cloud privati.

In base alla frequenza con cui aggiorni il tuo sito web, l’impostazione ideale potrebbe essere una volta al giorno o backup in tempo reale.

Fortunatamente questo può essere fatto facilmente utilizzando plugin come Duplicator, UpdraftPlus o BlogVault. Sono affidabili e, soprattutto, facili da usare.

2.2 Installa un Plugin di Sicurezza WordPress Affidabile

Dopo i backup, la prossima cosa che dobbiamo fare è impostare un sistema di auditing e monitoraggio che tenga traccia di tutto ciò che accade sul tuo sito web.

Ciò include il monitoraggio dell’integrità dei file, i tentativi di accesso falliti, la scansione del malware e altro ancora.

Fortunatamente, puoi occuparti facilmente di questo installando uno dei migliori plugin di sicurezza WordPress. Due delle scelte più popolari e potenti sono Wordfence e Sucuri.

  • Wordfence: Offre un firewall a livello applicativo (WAF), uno scanner di malware completo, protezione da forza bruta, login security (inclusa 2FA nella versione premium), blocco IP e molto altro. Ha un piano gratuito molto robusto e piani premium con funzionalità aggiuntive e supporto prioritario.
  • Sucuri: Fornisce un firewall a livello DNS/Cloud (WAF), monitoraggio dell’integrità, scansione malware (lato server e remota), hardening della sicurezza e servizi di pulizia del sito (nei piani a pagamento). Offre un plugin gratuito con funzionalità di base e piani premium completi.

Dato che sul nostro sito di esempio utilizziamo Wordfence, ci concentreremo su come impostare le basi con esso (ma i concetti sono simili per altri plugin):

  1. Installa e attiva il plugin Wordfence Security.
  2. Segui la procedura guidata iniziale. Ti chiederà di inserire un’email per gli avvisi di sicurezza e di accettare i termini.
  3. Configura lo Scanner: Vai su Wordfence » Scan e avvia la tua prima scansione. Esamina i risultati e segui le raccomandazioni per risolvere eventuali problemi iniziali. Imposta scansioni pianificate regolari (es. giornaliere).
  4. Configura il Firewall (WAF): Vai su Wordfence » Firewall. Inizialmente, il firewall funzionerà in “Learning Mode“. Dopo circa una settimana, ti verrà chiesto di ottimizzarlo. Clicca su “Optimize the Wordfence Firewall“. Ti verrà chiesto di scaricare un backup del tuo file .htaccess (per Apache) o di copiare regole specifiche per Nginx (se Wordfence lo rileva correttamente) o altri server. Segui attentamente le istruzioni per il tuo tipo di server per abilitare la protezione estesa del firewall. Per Nginx, spesso richiede l’aggiunta manuale di una direttiva auto_prepend_file nel file di configurazione del server o nel file .user.ini, puntando al file wordfence-waf.php. Consulta la documentazione di Wordfence per la configurazione specifica di Nginx.
  5. Configura Login Security: Vai su Wordfence » Login Security. Qui puoi abilitare la protezione da forza bruta (limitando i tentativi di login), impostare l’autenticazione a due fattori (2FA – consigliato, anche se potrebbe richiedere la versione premium per alcune opzioni) e altre impostazioni per rendere più sicuro il processo di accesso.
  6. Esplora le Altre Opzioni: Wordfence offre molte altre impostazioni (blocco IP, rate limiting, scansioni avanzate). Esplora la dashboard per familiarizzare con le opzioni disponibili.

Un plugin di sicurezza come Wordfence è uno strumento potente per la tua strategia di sicurezza WordPress.

2.3 Abilita un Web Application Firewall (WAF)

Utilizzare un Web Application Firewall (WAF) è uno dei modi più efficaci per proteggere il tuo sito e avere fiducia nella tua sicurezza WordPress.

Un firewall blocca tutto il traffico dannoso prima ancora che raggiunga il tuo sito web.

Esistono principalmente due tipi:

  • Firewall a Livello DNS/Cloud: Instrada il traffico del tuo sito web attraverso i suoi server proxy cloud. Questo gli consente di inviare solo traffico genuino al tuo server web, bloccando attacchi (DDoS, tentativi di exploit, spam) a monte. Cloudflare (con un ottimo piano gratuito) e Sucuri (piani a pagamento) sono i leader in questa categoria. Questo tipo di WAF è generalmente più efficace nel ridurre il carico sul server.
  • Firewall a Livello Applicativo: Esamina il traffico una volta che raggiunge il tuo server ma prima di caricare la maggior parte degli script di WordPress. I firewall inclusi in plugin come Wordfence rientrano in questa categoria. Sono molto utili ma non riducono il carico sul server tanto quanto un WAF a livello DNS.

Guida Essenziale Sicurezza WordPress Proteggi Il Tuo Sito Da Hacker 2025

Per la massima protezione, la combinazione di un WAF a livello DNS (come Cloudflare) e un plugin di sicurezza con WAF a livello applicativo (come Wordfence) è una strategia eccellente.

Cloudflare filtra il traffico “spazzatura” prima che raggiunga il server, e Wordfence analizza il traffico rimanente alla ricerca di minacce specifiche per WordPress. Sul nostro sito di esempio, utilizziamo proprio questa combinazione: Cloudflare + Wordfence.

Se scegli Cloudflare, assicurati di configurarlo correttamente per WordPress, inclusa l’impostazione di Page Rules per escludere /wp-admin/ da alcune ottimizzazioni e l’attivazione delle regole WAF appropriate (il piano gratuito offre un set di regole base).

2.4 Sposta il Tuo Sito WordPress su SSL/HTTPS

SSL (Secure Sockets Layer) è un protocollo che crittografa il trasferimento dei dati tra il tuo sito web e il browser dell’utente. Questa crittografia rende più difficile per qualcuno intercettare e rubare informazioni sensibili (come password o dati di pagamento).

Guida Essenziale Sicurezza WordPress Proteggi Il Tuo Sito Da Hacker 2025

Una volta abilitato SSL, l’indirizzo del tuo sito web utilizzerà https:// invece di http://. Vedrai anche un’icona a forma di lucchetto accanto all’indirizzo del tuo sito web nel browser.

I certificati SSL sono tipicamente emessi da Autorità di Certificazione (CA). In passato erano costosi, ma grazie a iniziative come Let’s Encrypt, ora è possibile ottenere certificati SSL gratuiti, affidabili e riconosciuti dalla maggior parte dei browser.

È più facile che mai iniziare a utilizzare SSL per tutti i tuoi siti web WordPress. Molte società di hosting ora offrono un certificato SSL gratuito per il tuo sito web WordPress (spesso tramite integrazione con Let’s Encrypt).

Se il tuo hosting non lo offre, o se preferisci acquistarne uno con garanzie aggiuntive, puoi farlo presso registrar di domini o CA specializzate.

L’utilizzo di HTTPS è ormai uno standard e un fattore di ranking SEO, fondamentale per la sicurezza WordPress.

3. Sicurezza WordPress per Utenti Fai-da-te (Avanzato)

Se hai seguito tutto ciò che abbiamo menzionato finora, sei già in ottima forma. Ma come sempre, c’è di più che puoi fare per rafforzare la tua sicurezza WordPress.

Tieni presente che alcuni di questi passaggi potrebbero richiedere conoscenze di codifica o accesso ai file del server.

3.1 Cambia il Nome Utente Admin Predefinito

In passato, il nome utente amministratore predefinito di WordPress era “admin“. Poiché i nomi utente costituiscono metà delle credenziali di accesso, ciò facilitava gli attacchi di forza bruta per gli hacker.

Fortunatamente, WordPress ha cambiato questo e ora richiede di selezionare un nome utente personalizzato al momento dell’installazione.

Tuttavia, alcuni installatori WordPress “1-click” potrebbero ancora impostare il nome utente amministratore predefinito su “admin“. Se noti che questo è il caso, è probabilmente una buona idea cambiare provider di hosting o, almeno, cambiare quel nome utente.

Poiché WordPress non consente di modificare i nomi utente per impostazione predefinita dall’interfaccia, ci sono tre metodi che puoi utilizzare:

  1. Crea un nuovo nome utente amministratore ed elimina quello vecchio (“admin”).
  2. Utilizza un plugin specifico come Username Changer.
  3. Aggiorna il nome utente da phpMyAdmin.

Nota: Stiamo parlando di cambiare il nome utente chiamato “admin”, non il ruolo utente Amministratore.

3.2 Disabilita la Modifica dei File

WordPress è dotato di un editor di codice integrato che ti consente di modificare i file del tema e dei plugin direttamente dalla tua area di amministrazione WordPress (Aspetto » Editor del tema, Plugin » Editor del plugin).

Nelle mani sbagliate (o anche per un errore accidentale), questa funzione può essere un rischio per la sicurezza, poiché consente di inserire codice potenzialmente dannoso. Raccomandiamo vivamente di disattivarla.

Guida Essenziale Sicurezza WordPress Proteggi Il Tuo Sito Da Hacker 2025

Puoi farlo facilmente aggiungendo il seguente codice al tuo file wp-config.php (il metodo più sicuro) o con un plugin di snippet di codice come WPCode:

// Disabilita la modifica dei file dall'admin
define( 'DISALLOW_FILE_EDIT', true );

In alternativa, puoi farlo con 1 clic utilizzando la funzione Hardening nel plugin gratuito Sucuri o tramite le opzioni di alcuni altri plugin di sicurezza.

3.3 Disabilita l’Esecuzione di File PHP in Determinate Directory WordPress

Un altro modo per rafforzare la tua sicurezza WordPress è disabilitare l’esecuzione di file PHP in directory dove non è necessaria, come /wp-content/uploads/.

Se un hacker riesce a caricare un file PHP malevolo in questa cartella (ad esempio tramite una vulnerabilità di upload), questa misura impedirà l’esecuzione di tale file.

  • Per server Apache:
    Puoi farlo creando un file .htaccess all’interno della cartella /wp-content/uploads/. Apri un editor di testo, incolla questo codice:

    <Files *.php>
deny from all
</Files>
  • Salva il file come .htaccess (assicurati che il nome inizi con un punto) e caricalo nella cartella /wp-content/uploads/ sul tuo server utilizzando un client FTP.
  • Per server Nginx:
    Nginx non usa file .htaccess. Per ottenere un effetto simile, devi modificare la configurazione del server block del tuo sito (/etc/nginx/sites-available/your_domain). Aggiungi il seguente blocco location all’interno del blocco server { ... }:
  • location ~* /wp-content/uploads/.*\.php$ {
    deny all;
}
  • Questo blocco intercetta qualsiasi tentativo di eseguire un file .php all’interno della cartella uploads (e sottocartelle) e lo nega. Salva il file, testa (sudo nginx -t) e ricarica Nginx (sudo systemctl reload nginx).

In alternativa, puoi farlo con un clic utilizzando la funzione Hardening nel plugin gratuito Sucuri (che gestisce la configurazione per entrambi i server) o tramite opzioni simili in Wordfence.

3.4 Limita i Tentativi di Accesso

Per impostazione predefinita, WordPress consente agli utenti di provare ad accedere tutte le volte che vogliono. Ciò lascia il tuo sito WordPress vulnerabile agli attacchi di forza bruta, in cui gli hacker tentano di indovinare le password provando diverse combinazioni.

Questo può essere facilmente risolto limitando i tentativi di accesso falliti che un utente può fare. Se stai utilizzando un WAF a livello DNS/Cloud come Cloudflare o Sucuri, questo tipo di protezione è spesso già inclusa. Anche plugin come Wordfence offrono questa funzionalità.

Se non hai una protezione WAF o vuoi una soluzione dedicata, puoi installare e attivare il plugin gratuito Limit Login Attempts Reloaded.

Una volta attivato, il plugin inizierà a limitare il numero di tentativi di accesso.

Le impostazioni predefinite funzionano per la maggior parte dei siti web, ma puoi personalizzarle visitando Impostazioni » Limit Login Attempts.

3.5 Aggiungi l’Autenticazione a Due Fattori (2FA)

Il metodo di autenticazione a due fattori richiede 2 passaggi diversi per l’accesso degli utenti:

  1. Nome utente e password;
  2. Un codice da un dispositivo o app in tuo possesso (come lo smartphone).

La maggior parte dei principali siti online (Google, Facebook, Twitter) consente di abilitarla. Puoi aggiungere la stessa funzionalità al tuo sito WordPress, aumentando enormemente la sicurezza WordPress.

Installa e attiva un plugin 2FA come WP 2FA – Two-factor Authentication o utilizza le funzionalità 2FA incluse in plugin di sicurezza come Wordfence (Premium) o altri.

La configurazione solitamente comporta la scansione di un codice QR con un’app di autenticazione sul tuo telefono (Google Authenticator, Authy, ecc.).

Per maggiori informazioni, consulta la nostra guida Autenticazione a Due Fattori WordPress: Guida Gratuita Passo Passo.

Raccomandiamo di usare app come Authy che consentono il backup cloud delle chiavi, utile in caso di smarrimento del telefono.

3.6 Cambia il Prefisso del Database WordPress

Per impostazione predefinita, WordPress utilizza wp_ come prefisso per tutte le tabelle nel tuo database WordPress.

Se il tuo sito WordPress utilizza il prefisso predefinito del database, rende più facile per gli hacker indovinare il nome della tua tabella (spesso usato in attacchi SQL Injection automatizzati).

Ecco perché consigliamo di cambiarlo.

Nota: Cambiare il prefisso del database su un sito esistente può rompere il tuo sito se non viene fatto correttamente. Fallo solo se ti senti a tuo agio con le tue competenze tecniche e dopo aver fatto un backup completo. Esistono plugin che possono aiutare a farlo, ma è un’operazione delicata.

3.7 Proteggi con Password l’Admin di WordPress e la Pagina di Login

Normalmente, gli hacker possono richiedere la tua cartella wp-admin e la pagina di login senza alcuna restrizione. Ciò consente loro di provare i loro trucchi di hacking o eseguire attacchi DDoS.

Puoi aggiungere una protezione con password aggiuntiva a livello di server (autenticazione HTTP Basic), che bloccherà efficacemente tali richieste prima che raggiungano WordPress.

Sarà richiesto un nome utente e una password aggiuntivi prima di vedere la pagina di login di WordPress.

  • Per server Apache: Puoi farlo modificando il file .htaccess nella directory principale di WordPress o nella directory /wp-admin/, utilizzando le direttive AuthType Basic, AuthName, AuthUserFile, e Require valid-user. Avrai bisogno di creare un file di password (.htpasswd).
  • Per server Nginx: Puoi farlo aggiungendo le direttive auth_basic e auth_basic_user_file all’interno di un blocco location specifico per /wp-login.php e /wp-admin/ nel file di configurazione del tuo sito. Avrai anche bisogno di creare un file di password (.htpasswd).

Questa configurazione è più avanzata e richiede accesso alla configurazione del server. Molti plugin di sicurezza offrono interfacce più semplici per ottenere un risultato simile.

3.8 Disabilita l’Indicizzazione e la Navigazione delle Directory

Guida Essenziale Sicurezza WordPress Proteggi Il Tuo Sito Da Hacker 2025

Se un web server non trova un file indice (come index.php o index.html) in una cartella, per impostazione predefinita potrebbe mostrare un elenco di tutti i file e le sottocartelle presenti (directory browsing).

Questo può essere utilizzato dagli hacker per scoprire file con vulnerabilità note o semplicemente per curiosare nella struttura del tuo sito.

È una buona pratica disabilitare questa funzione.

  • Per server Apache: Aggiungi la seguente riga al tuo file .htaccess principale (nella root di WordPress): 
    Options -Indexes
  • Per server Nginx: Questa è solitamente l’impostazione predefinita in Nginx. Tuttavia, puoi assicurartene aggiungendo autoindex off; all’interno del blocco http, server o location pertinente nel tuo file di configurazione Nginx (nginx.conf o la configurazione del tuo sito). 
    server {
    # ... altre direttive ...
    autoindex off;
    # ... altre direttive ...
}

3.9 Disabilita XML-RPC in WordPress

XML-RPC è un’API core di WordPress che aiuta a collegare il tuo sito WordPress con app web e mobili.

Tuttavia, a causa della sua natura potente, XML-RPC può amplificare significativamente gli attacchi di forza bruta (consentendo di testare centinaia di password con una singola richiesta) ed è stato fonte di altre vulnerabilità.

Se non utilizzi applicazioni che richiedono specificamente XML-RPC (come l’app mobile WordPress più vecchia o alcuni servizi di terze parti), ti consigliamo vivamente di disabilitarlo.

Ci sono 3 modi per disabilitare XML-RPC in WordPress:

  1. Tramite Plugin: Molti plugin di sicurezza (Sucuri, Wordfence, iThemes Security) offrono un’opzione per disabilitare XML-RPC con un clic. Questo è il metodo più semplice per i principianti.
  2. Tramite Codice (functions.php o plugin snippet): Aggiungi questo filtro: 
    add_filter('xmlrpc_enabled', '__return_false');
  3. Tramite .htaccess (Apache): Questo metodo blocca le richieste prima che raggiungano WordPress, risparmiando risorse. Aggiungi questo al tuo file .htaccess principale: 
    # Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
  4. Tramite Configurazione Nginx: Simile ad Apache, blocca le richieste a livello server. Aggiungi questo blocco `location` al file di configurazione del tuo sito: 
    location = /xmlrpc.php {
    deny all;
    access_log off;
    log_not_found off;
    return 403; # O 404
}
  5. Testa e ricarica Nginx dopo la modifica.

Il metodo .htaccess o Nginx è il migliore perché meno intensivo sulle risorse, ma usare un plugin di sicurezza è più semplice.

Un WAF a livello DNS/Cloud come Cloudflare può anche aiutare a mitigare gli attacchi che sfruttano XML-RPC.

3.10 Disconnetti Automaticamente gli Utenti Inattivi in WordPress

Gli utenti loggati possono talvolta allontanarsi dallo schermo, e questo rappresenta un rischio per la sicurezza. Qualcuno potrebbe dirottare la loro sessione, cambiare password o apportare modifiche al loro account.

Ecco perché molti siti bancari e finanziari disconnettono automaticamente un utente inattivo. Puoi impostare una funzionalità simile sul tuo sito WordPress.

Avrai bisogno di installare e attivare il plugin Inactive Logout.

Una volta attivato, visita la pagina Impostazioni » Inactive Logout per personalizzare le impostazioni di logout.

Guida Essenziale Sicurezza WordPress Proteggi Il Tuo Sito Da Hacker 2025

Imposta semplicemente la durata e aggiungi un messaggio di disconnessione.

Quindi, non dimenticare di cliccare sul pulsante “Salva modifiche” in fondo alla pagina per salvare le impostazioni.

3.11 Aggiungi Domande di Sicurezza alla Schermata di Login di WordPress

Aggiungere una domanda di sicurezza alla schermata di login di WordPress rende ancora più difficile per qualcuno ottenere accesso non autorizzato.

Puoi aggiungere domande di sicurezza installando un plugin dedicato o utilizzando funzionalità incluse in alcuni plugin 2FA o di sicurezza.

Ad esempio, alcuni plugin ti permettono di impostare domande a cui solo l’utente conosce la risposta come ulteriore passaggio di verifica.

3.12 Scansiona WordPress alla Ricerca di Malware e Vulnerabilità

Guida Essenziale Sicurezza WordPress Proteggi Il Tuo Sito Da Hacker 2025

Se hai installato un plugin di sicurezza WordPress (come Wordfence o Sucuri), questo controllerà regolarmente la presenza di malware e segni di violazioni della sicurezza.

Tuttavia, se noti un improvviso calo del traffico del sito web o del ranking di ricerca, potresti voler eseguire manualmente la scansione del malware. Puoi farlo utilizzando il tuo plugin di sicurezza WordPress o uno dei migliori scanner di malware e sicurezza online.

L’esecuzione di queste scansioni online è abbastanza semplice. Inserisci semplicemente l’URL del tuo sito web e i loro crawler esamineranno il tuo sito web alla ricerca di malware noto e codice dannoso.

Tieni presente che la maggior parte degli scanner di sicurezza WordPress può solo avvisarti se il tuo sito contiene malware. Non possono rimuovere il malware o pulire un sito WordPress hackerato (a meno che non sia una funzionalità del servizio a pagamento associato, come con Sucuri).

3.13 Ripara un Sito WordPress Hackerato

Molti utenti WordPress non si rendono conto dell’importanza dei backup e della sicurezza del sito web finché il loro sito non viene hackerato.

Pulire un sito WordPress può essere molto difficile e richiedere tempo, poiché gli hacker spesso installano backdoor (punti di accesso nascosti) che, se non rimosse correttamente, porteranno a nuove infezioni.

Se il tuo sito è stato hackerato:

  1. Mantieni la calma ma agisci rapidamente.
  2. Contatta il tuo hosting: Potrebbero avere strumenti o procedure per aiutarti.
  3. Usa un servizio di pulizia professionale: Aziende come Sucuri offrono servizi di rimozione malware garantiti. Questa è spesso l’opzione più sicura e veloce.
  4. Ripristina da un backup pulito: Se hai un backup sicuramente precedente all’infezione, ripristinarlo è un’opzione. Ricorda però che perderai tutte le modifiche fatte dopo quel backup.
  5. Pulizia manuale (per esperti): Se hai competenze tecniche, puoi tentare una pulizia manuale, ma è un processo complesso e rischioso.

4. FAQ sulla Sicurezza WordPress

Poiché la sicurezza WordPress è così importante, ci vengono regolarmente poste domande al riguardo.

Ecco le risposte alle domande più frequenti sulla sicurezza dei siti web WordPress.

  • WordPress è Sicuro da Usare?
    WordPress è progettato per essere sicuro, specialmente se lo mantieni aggiornato regolarmente. Tuttavia, a causa della sua popolarità, gli hacker prendono spesso di mira i siti web WordPress. Seguendo semplici consigli di sicurezza come quelli in questo articolo, puoi ridurre notevolmente le possibilità che qualcuno hackeri il tuo sito web.
  • Cosa Può Mettere a Rischio il Mio Sito Web WordPress?
    Ci sono diversi modi in cui gli hacker cercano di ottenere l’accesso ai siti web. Alcune minacce comuni includono l’indovinare le password (forza bruta), l’installazione di software dannoso (malware) tramite plugin/temi non sicuri o vulnerabilità, e la ricerca di debolezze nel codice del tuo sito web (o dei plugin/temi) per rubare informazioni o prendere il controllo (SQL injection, XSS).
  • Quanto Spesso Dovrei Aggiornare il Mio Sito Web WordPress?
    Mantenere aggiornati il tuo sito web WordPress, i temi e i plugin è molto importante. I nuovi aggiornamenti spesso includono correzioni per problemi di sicurezza. Cerca di utilizzare gli aggiornamenti automatici (almeno per le versioni minori e di sicurezza) o controlla manualmente gli aggiornamenti almeno una volta alla settimana e installali rapidamente.
  • Ho Bisogno di un Plugin Speciale per la Sicurezza?
    Non devi necessariamente usare un plugin di sicurezza, ma possono rendere il tuo sito web molto più sicuro e semplificare molte delle pratiche discusse qui. I plugin di sicurezza agiscono come guardie extra per il tuo sito web, proteggendoti da hacker e malware con funzionalità come firewall, scanner e protezione degli accessi.
  • Come Faccio a Sapere Se Qualcuno Ha Hackerato il Mio Sito Web?
    Se noti cose strane che accadono sul tuo sito web, potrebbe essere un segno che sei stato hackerato. Ciò potrebbe includere la visualizzazione di nuovi utenti o file che non hai creato, il tuo sito web che invia i visitatori a siti web diversi (redirect), il tuo sito web che funziona lentamente, contenuti strani che appaiono, o ricevere avvisi da Google, dal tuo browser o dal tuo provider di web hosting.
  • Cosa Devo Fare Se il Mio Sito Web Viene Hackerato?
    Se pensi che il tuo sito web sia stato hackerato, non farti prendere dal panico, ma agisci rapidamente. Puoi contattare la tua società di web hosting e chiedere aiuto. Puoi anche utilizzare un servizio di pulizia professionale (come Sucuri) o chiedere a un esperto di sicurezza di pulire il tuo sito web. Se hai un backup pulito del tuo sito web, ripristinalo. Assicurati di cambiare tutte le password (WordPress admin, database, FTP/SFTP, hosting).

Speriamo che questo articolo ti abbia aiutato a imparare le migliori pratiche per proteggere il tuo sito web e la nostra checklist di sicurezza WordPress consigliata.

Potrebbe interessarti anche il nostro elenco dei principali motivi per cui i siti WordPress vengono hackerati e la selezione dei migliori plugin di sicurezza per WordPress da parte dei nostri esperti.

Se questo articolo vi è piaciuto, seguiteci su X e Facebook per rimanere aggiornati su tutte le novità e consigli utili su WordPress!

ARTICOLI CHE POTREBBERO INTERESSARTI

Link Spam WordPress: Trovarli, Rimuoverli e Prevenire Infezioni

Link Spam WordPress: Trovarli, Rimuoverli e Prevenire Infezioni

Scopri e Rimuovi le Backdoor WordPress (Guida Sicurezza)

Scopri e Rimuovi le Backdoor WordPress (Guida Sicurezza)

Come Aggiungere un Generatore di Password Complesse in WordPress (Guida Essenziale)

Come Aggiungere un Generatore di Password Complesse in WordPress (Guida Essenziale)

Sito WordPress Hackerato? Cause Comuni e Come Prevenirlo (Guida Essenziale)

Sito WordPress Hackerato? Cause Comuni e Come Prevenirlo (Guida Essenziale)

URL Login WordPress Personalizzato: Sicurezza e Branding (Guida Facile)

URL Login WordPress Personalizzato: Sicurezza e Branding (Guida Facile)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *