Mettere in sicurezza WordPress: protezione di base contro attacchi, malware e brute force

WordPress è ampiamente diffuso in tutto il mondo ed è per questo un bersaglio attraente per gli attacchi automatizzati. La maggior parte degli attacchi non è mirata specificamente a un singolo piccolo sito web, ma avviene in modo automatizzato: i bot cercano plugin obsoleti, password deboli, temi non sicuri, pagine di login aperte o vulnerabilità di sicurezza note.

La buona notizia: molti rischi tipici possono essere notevolmente ridotti con una manutenzione costante, credenziali forti, aggiornamenti regolari, una corretta gestione dei permessi utente e un ambiente di hosting stabile. La sicurezza di WordPress non è un singolo interruttore, ma una combinazione di più misure.

In sintesi: La protezione di base più importante per WordPress consiste in aggiornamenti costanti, password forti, pochi amministratori, una corretta igiene dei plugin, backup, SSL e una base di hosting sicura.

Perché la sicurezza di WordPress è così importante

Un sito web compromesso non è solo un problema tecnico. Può mettere a rischio i visitatori, esporre i dati dei clienti, inviare spam, distribuire malware, danneggiare il posizionamento SEO o essere contrassegnato come non sicuro dai browser e dai motori di ricerca.

Possibili conseguenze di un attacco andato a buon fine:

  • Il sito mostra contenuti estranei o reindirizzamenti,
  • Il login non funziona più,
  • Viene iniettato del malware,
  • Vengono create pagine di spam,
  • I motori di ricerca segnalano il sito come pericoloso,
  • I moduli di contatto vengono abusati,
  • L'invio di e-mail finisce nelle blacklist,
  • I dati dei clienti possono essere a rischio,
  • Gli ordini dello shop o i pagamenti vengono interrotti,
  • La pulizia comporta sforzi e costi.

La prevenzione è quasi sempre più semplice rispetto alla bonifica di un sito web hackerato.

1. Mantenere aggiornati WordPress, plugin e temi

Il software obsoleto è una delle porte d'accesso più comuni. Questo non riguarda solo WordPress stesso, ma soprattutto i plugin e i temi. Molti attacchi sfruttano vulnerabilità di sicurezza note per le quali sarebbero già disponibili degli aggiornamenti.

Aggiornate regolarmente:

  • Il core di WordPress,
  • I plugin,
  • I temi,
  • Le traduzioni,
  • La versione PHP,
  • WooCommerce e i plugin di pagamento, se presenti.

Per i siti web semplici, gli aggiornamenti automatici possono essere utili. Per gli shop WooCommerce, le aree membri o i siti complessi, gli aggiornamenti principali dovrebbero essere prima testati in un ambiente di staging.

Importante: Create un backup prima di eseguire aggiornamenti importanti. In particolare, dovrebbero essere testati gli aggiornamenti di WooCommerce, dei page builder, dei plugin di sicurezza, di caching e dei fornitori di servizi di pagamento.

2. Non conservare plugin e temi inutili

Ogni plugin installato e ogni tema aumenta la superficie di attacco. Anche i plugin disattivati e i temi non utilizzati rimangono presenti come file sul server. Se sono obsoleti, possono rappresentare un rischio.

Raccomandazioni:

  • Eliminare i plugin non necessari,
  • Non conservare i plugin disattivati in modo permanente,
  • Rimuovere i temi non utilizzati,
  • Conservare un tema standard come fallback,
  • Non installare plugin da fonti sconosciute,
  • Non utilizzare plugin premium contraffatti ("nulled"),
  • Controllare regolarmente l'elenco dei plugin.

L'igiene dei plugin è al tempo stesso manutenzione della sicurezza e ottimizzazione delle prestazioni.

3. Utilizzare password forti

Le password deboli sono un grande rischio. Gli attacchi automatizzati provano frequentemente combinazioni comuni, parole del dizionario ed elenchi di password note.

Una buona password:

  • è lunga,
  • è unica,
  • non viene riutilizzata su altri siti web,
  • contiene lettere maiuscole e minuscole, numeri e caratteri speciali,
  • viene idealmente salvata in un password manager.

Non utilizzate password come admin123, wordpress2024, il nome dell'azienda più l'anno o informazioni personali.

4. Evitare il nome utente "admin"

Il nome utente admin è un bersaglio frequente negli attacchi brute force. Se gli aggressori conoscono già il nome utente, devono solo indovinare la password.

Procedura consigliata:

  1. Create un nuovo amministratore con un nome utente personalizzato.
  2. Accedete con il nuovo account.
  3. Eliminate il vecchio account admin.
  4. Assegnate i contenuti esistenti al nuovo utente.

Evitate di scegliere un nome visibile pubblicamente come nome utente per il login, se possibile.

5. Assegnare i permessi di amministratore con parsimonia

Non tutti gli utenti hanno bisogno dei permessi di amministratore. Più persone hanno pieno accesso, maggiore è il rischio di errori di configurazione, modifiche accidentali o account compromessi.

Regola di base:

  • Amministratore: solo per la gestione tecnica.
  • Editore: per la gestione completa dei contenuti.
  • Autore: per i propri articoli.
  • Contributore: per le bozze senza pubblicazione.
  • Iscritto: per i semplici account utente.

I fornitori di servizi esterni dovrebbero ricevere account temporanei dedicati. Non condividete mai la vostra password di amministratore personale.

6. Attivare l'autenticazione a due fattori

L'autenticazione a due fattori, in breve 2FA, protegge ulteriormente il login. Oltre alla password è richiesto un secondo fattore, ad esempio un codice generato da un'app di autenticazione.

La 2FA è particolarmente consigliata per:

  • Amministratori,
  • Gestori di e-commerce,
  • Editori con molti permessi,
  • Accessi per web designer,
  • Accessi per il supporto,
  • Siti web con dati dei clienti.

La 2FA non impedisce qualsiasi metodo di attacco, ma aumenta notevolmente la sicurezza del login.

7. Limitare i tentativi di login

Negli attacchi brute force, i bot tentano di accedere provando numerose combinazioni di nomi utente e password. Limitare i tentativi di login può rallentare o bloccare tali attacchi.

Possibilità:

  • Plugin di sicurezza con limitazione del login,
  • 2FA,
  • Password forti,
  • Protezione lato server,
  • Blocchi IP in caso di comportamenti sospetti,
  • Monitoraggio dei tentativi di login.
Nota di CURIAWEB: I meccanismi di protezione lato server possono intercettare molti accessi automatizzati. La sicurezza della vostra installazione di WordPress rimane comunque dipendente anche da aggiornamenti, password, plugin e permessi utente.

8. Installare solo plugin e temi affidabili

Installate plugin e temi solo da fonti affidabili, ad esempio dalla directory ufficiale di WordPress, direttamente dal produttore o da marketplace conosciuti. Evitate le copie gratuite di plugin premium a pagamento.

Prima dell'installazione verificate:

  • Quando è stato aggiornato il plugin l'ultima volta?
  • È compatibile con la vostra versione di WordPress?
  • Come sono le recensioni e lo storico del supporto?
  • Viene mantenuto attivamente?
  • È presente una documentazione chiara?
  • Richiede troppi permessi o connessioni esterne non necessarie?

I plugin e i temi "nulled" rappresentano un rischio significativo. Possono contenere codice dannoso nascosto e non dovrebbero mai essere utilizzati in ambienti di produzione.

9. Disattivare l'editor dei file nella bacheca

WordPress consente agli amministratori, in determinate condizioni, di modificare i file di temi e plugin direttamente dalla bacheca. Questa funzione è comoda ma rischiosa. Se un accesso amministratore viene compromesso, un aggressore può sfruttarlo per inserire codice dannoso.

Potete disattivare l'editor dei file aggiungendo la seguente riga nel file wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Inserite il codice sopra la riga che indica che la modifica termina e WordPress viene caricato.

Creare prima un backup: Modifiche errate al file wp-config.php possono bloccare il vostro sito web. Modificate il file solo se avete accesso tramite cPanel o FTP.

10. Disattivare il Directory Browsing

Se il directory browsing è attivo, i visitatori potrebbero essere in grado di vedere il contenuto delle cartelle direttamente nel browser qualora non sia presente un file di indice. Questo dovrebbe essere evitato.

In molti ambienti di hosting, il directory browsing è già disattivato. Se necessario, l'aggiunta della seguente voce nel file .htaccess può essere d'aiuto:

Options -Indexes

Anche in questo caso: prima di apportare modifiche al file .htaccess, create sempre un backup.

11. Utilizzare l'SSL in modo coerente

Il vostro sito web dovrebbe essere completamente raggiungibile tramite HTTPS. L'SSL protegge la trasmissione dei dati tra il visitatore e il server. Questo è particolarmente importante per i login, i moduli di contatto, le aree clienti e gli shop.

Verificate che:

  • Il certificato SSL sia attivo,
  • Il sito si carichi tramite https://,
  • L'HTTP venga reindirizzato su HTTPS,
  • Non siano presenti errori di contenuto misto (Mixed Content),
  • L'indirizzo WordPress e l'indirizzo del sito siano impostati su HTTPS,
  • I moduli e le pagine di login siano raggiungibili in modo sicuro.

Se nonostante l'SSL compare un avviso del browser, spesso si tratta di un problema di contenuto misto.

12. Creare backup regolari

I backup sono una parte centrale di qualsiasi strategia di sicurezza. Non prevengono un attacco, ma consentono il ripristino se qualcosa va storto.

Un buon backup comprende:

  • File,
  • Database,
  • Caricamenti (uploads),
  • Tema e plugin,
  • File di configurazione,
  • Per gli shop, anche i dati degli ordini recenti.

Not salvate i backup esclusivamente sullo stesso server. Una copia esterna è particolarmente importante.

13. Utilizzare i plugin di sicurezza in modo sensato

I plugin di sicurezza possono proteggere ulteriormente WordPress. Tuttavia, non sostituiscono gli aggiornamenti, i backup o una corretta gestione degli utenti.

Funzioni tipiche dei plugin di sicurezza:

  • Regole di firewall,
  • Limitazione del login,
  • 2FA,
  • Scansione malware,
  • Verifica delle modifiche ai file,
  • Notifiche per eventi sospetti,
  • Blocco di indirizzi IP sospetti,
  • Rafforzamento di determinate impostazioni di WordPress.

Soluzioni note sono ad esempio Wordfence, Solid Security o plugin di sicurezza simili. Scegliete un plugin che sia mantenuto attivamente e che si adatti al vostro sito web.

Valutazione realistica: Un plugin di sicurezza può aiutare, ma non è una carta bianca. Plugin di sicurezza configurati in modo errato possono anche causare problemi di login o sovraccaricare le prestazioni.

14. Spiegazione delle minacce comuni

Minaccia Cosa succede? Misure di protezione
Brute Force I bot provano molte combinazioni di login. Password forti, 2FA, limitazione del login.
Vulnerabilità dei plugin Gli aggressori sfruttano una falla nota in un plugin. Aggiornamenti, igiene dei plugin, fonti affidabili.
SQL Injection Input manipolati colpiscono le query del database. Plugin aggiornati, programmazione sicura, firewall.
XSS Viene iniettato del JavaScript dannoso. Aggiornamenti, plugin sicuri, validazione degli input.
Malware Il codice dannoso viene inserito nei file o nel database. Backup, scansioni, accessi puliti, aggiornamenti.

15. Proteggere wp-config.php e .htaccess

I file wp-config.php e .htaccess sono particolarmente sensibili. Contengono configurazioni importanti per WordPress e per il server.

Raccomandazioni:

  • Non modificare i file se non necessario,
  • Creare un backup prima delle modifiche,
  • Non impostare i permessi di accesso in modo troppo permissivo,
  • Non pubblicare le credenziali di accesso,
  • Documentare le modifiche apportate,
  • In caso di incertezza, chiedere al supporto.

Regole impostate in modo errato nel file .htaccess possono rendere il vostro sito web irraggiungibile.

16. Non impostare i permessi dei file in modo troppo aperto

Permessi dei file troppo aperti possono rappresentare un rischio per la sicurezza. In WordPress, i file e le cartelle non dovrebbero essere modificabili se non strettamente necessario.

Come regola generale si applica spesso:

  • File: 644,
  • Cartelle: 755.

Non impostate permessi generici come 777, a meno che un supporto affidabile non lo consigli esplicitamente e solo temporaneamente. I permessi 777 permanenti sono un rischio per la sicurezza.

17. Controllare gli amministratori sconosciuti

Controllate regolarmente l'elenco degli utenti in Utenti > Tutti gli utenti. Amministratori sconosciuti possono essere un indizio di una compromissione avvenuta.

Prestate attenzione a:

  • Account utente sconosciuti,
  • Permessi di amministratore imprevisti,
  • Vecchi account di ex dipendenti,
  • Accessi temporanei di fornitori di servizi,
  • Indirizzi e-mail insoliti,
  • Account senza uno scopo chiaro.

Non eliminate o riducete i permessi frettolosamente se non conoscete l'origine di un account. Verificate prima se è richiesto da un plugin, da un fornitore di servizi o da un sistema di integrazione.

18. Cosa fare in caso di sospetto hack?

Se il vostro sito web si comporta in modo insolito, dovreste agire rapidamente. Prima viene identificato un problema, migliori sono le possibilità di un ripristino pulito.

Segnali di avvertimento:

  • Contenuti estranei sul sito web,
  • Reindirizzamenti a pagine sconosciute,
  • Avvisi del browser o di Google,
  • Nuovi amministratori sconosciuti,
  • File insoliti nello spazio web,
  • Pagine di spam nei risultati di Google,
  • Improvviso invio di e-mail di spam,
  • Massicci problemi di prestazioni,
  • Plugin o temi sconosciuti.

Se sospettate un attacco informatico, non dovreste semplicemente lasciare che il sito web "continui a funzionare in qualche modo". Salvate lo stato attuale per l'analisi, verificate i backup e contattate il supporto.

19. Evitare danni SEO causati da attacchi hacker

I siti web hackerati vengono spesso abusati per spam, reindirizzamenti o contenuti nascosti. Ciò può compromettere gravemente il posizionamento nei motori di ricerca e la fiducia degli utenti.

Dopo una bonifica dovreste verificare:

  • Google Search Console,
  • Pagine indicizzate,
  • URL di spam,
  • Sitemap,
  • Reindirizzamenti,
  • Meta titoli e descrizioni,
  • File sconosciuti,
  • Account utente,
  • Stato dei backup e degli aggiornamenti.

Se Google mostra un avviso di sicurezza, dopo la pulizia è necessario richiedere una nuova verifica.

20. GEO: La sicurezza come segnale di fiducia

Anche la GEO, ovvero la Generative Engine Optimization, dipende indirettamente dalla sicurezza. I sistemi di ricerca e risposta basati sull'intelligenza artificiale preferiscono contenuti chiari, accessibili e affidabili. Un sito web compromesso può fornire contenuti errati, spam o errori tecnici.

Un sito WordPress sicuro supporta la GEO attraverso:

  • Contenuti affidabili,
  • Raggiungibilità stabile,
  • Struttura pulita delle pagine,
  • Assenza di contenuti spam nascosti,
  • Corretta erogazione tecnica,
  • Esperienza utente affidabile.

21. Errori comuni nella sicurezza di WordPress

  • Ignorare gli aggiornamenti: Le vulnerabilità note rimangono aperte.
  • Troppi amministratori: Aumenta il rischio di account compromessi.
  • Password deboli: Gli attacchi brute force vengono facilitati.
  • Nome utente admin: Gli aggressori devono solo indovinare la password.
  • Plugin nulled: Alto rischio di malware.
  • Assenza di backup: Il ripristino diventa difficile o impossibile.
  • Lasciare plugin disattivati: Rimane una superficie di attacco non necessaria.
  • Assenza di 2FA: Il login rimane protetto in modo debole.
  • Permessi dei file non sicuri: I file possono essere manipolati più facilmente.
  • Ignorare i segnali di avvertimento: Una piccola infezione può diffondersi.

Elenco di controllo della sicurezza consigliato

  1. Mantenere WordPress aggiornato: Aggiornare regolarmente core, plugin e temi.
  2. Utilizzare password forti: Utilizzare un password manager.
  3. Attivare la 2FA: Specialmente per gli amministratori.
  4. Evitare l'utente admin: Nessun nome di login impostato su admin.
  5. Verificare i ruoli utente: Assegnare solo i permessi necessari.
  6. Eseguire l'igiene dei plugin: Eliminare i plugin e i temi non necessari.
  7. Non utilizzare plugin nulled: Utilizzare solo fonti affidabili.
  8. Attivare l'SSL: Utilizzare l'HTTPS in modo coerente.
  9. Creare backup: Salvare regolarmente e su supporti esterni.
  10. Disattivare l'editor dei file: Impostare DISALLOW_FILE_EDIT se appropriato.
  11. Disattivare il directory browsing: Se necessario con Options -Indexes.
  12. Controllare i log e gli utenti: Prendere sul serio le attività sospette.
  13. Utilizzare lo staging per gli aggiornamenti: Specialmente per shop e siti complessi.

Domande frequenti sulla sicurezza di WordPress

WordPress è insicuro?

WordPress non è automaticamente insicuro. I rischi derivano spesso da plugin obsoleti, password deboli, temi non sicuri, troppi amministratori o mancanza di manutenzione.

Qual è la misura di sicurezza più importante?

Aggiornamenti regolari, password forti, 2FA, backup e l'igiene dei plugin sono tra le basi più importanti.

Dovrei installare un plugin di sicurezza?

Un plugin di sicurezza può essere utile, ma non sostituisce la manutenzione, gli aggiornamenti e i backup. Scegliete un plugin mantenuto attivamente e configuratelo con cura.

Perché dovrei evitare l'utente admin?

Perché questo nome utente è spesso il primo a essere provato negli attacchi di login automatizzati.

I plugin disattivati sono pericolosi?

Di norma non vengono eseguiti, ma rimangono comunque come file sul server. I plugin non necessari dovrebbero essere eliminati.

Cosa sono i plugin nulled?

Si tratta di copie distribuite illegalmente di plugin o temi a pagamento. Possono contenere codice dannoso e non dovrebbero mai essere utilizzati.

Cosa significa Brute Force?

Nel Brute Force, i bot tentano di ottenere l'accesso al login effettuando numerosi tentativi di password.

Cosa faccio in caso di sospetto hack?

Non modificate i file a caso. Mettete in sicurezza lo stato attuale, verificate i backup, annotate le anomalie e contattate il supporto per un'analisi.

Avete il sospetto di un hack?

Se il vostro sito web si comporta in modo insolito, compaiono contenuti estranei o si verificano avvisi nei browser o nella Google Search Console, dovreste agire rapidamente. CURIAWEB vi supporta nell'analisi tecnica e nel ripristino del vostro sito WordPress.

Aprire un ticket di supporto per un controllo di sicurezza

Nota: Le analisi di sicurezza, la rimozione di malware e i ripristini possono essere a pagamento a seconda dell'impegno richiesto. Vi informeremo in modo trasparente in anticipo.

Hai trovato utile questa risposta? 0 Utenti hanno trovato utile questa risposta (0 Voti)

Gli articoli più popolari

Come installare WordPress tramite l'auto-installatore Softaculous

Come installare WordPress tramite l'auto-installatore Softaculous WordPress è il sistema di...
Come installare manualmente WordPress tramite archivio di installazione

Come installare manualmente WordPress tramite archivio di installazione In questo tutorial ti...
Configurazione WordPress: Guida completa alle impostazioni generali

Configurazione WordPress: Guida completa alle impostazioni generali Dopo l'installazione...
Cos'è un Plugin WordPress e come si installa?

Cos'è un Plugin WordPress e come si installa un nuovo plugin? Introduzione I plugin sono...
Come installare un nuovo Tema in WordPress

Come installare un nuovo design (Tema) in WordPress Introduzione È evidente quanto sia...