WordPress è il CMS più popolare al mondo, alimentando oltre il 43% di tutti i siti web. Tuttavia, questa popolarità lo rende anche un bersaglio privilegiato per hacker e attacchi informatici. Ogni giorno migliaia di siti WordPress vengono compromessi a causa di vulnerabilità sfruttabili, plugin obsoleti, credenziali deboli e configurazioni poco sicure.

Fortunatamente, con le giuste misure di sicurezza, puoi proteggere il tuo sito dal 99% degli attacchi. In questa guida completa, esploreremo 25 tecniche avanzate per rafforzare la sicurezza di WordPress, garantendo che il tuo sito rimanga al sicuro da minacce come malware, brute force attacks, SQL injection e altro ancora.

1. Mantieni WordPress, Temi e Plugin Aggiornati

Gli aggiornamenti non solo introducono nuove funzionalità ma anche patch di sicurezza critiche. Abilita gli aggiornamenti automatici per WordPress core e, dove possibile, per temi e plugin.

// Aggiungi questa riga al file wp-config.php per abilitare gli aggiornamenti automatici  
define( 'WP_AUTO_UPDATE_CORE', true );  

2. Utilizza Password Forti e Autenticazione a Due Fattori (2FA)

• Password complesse: almeno 12 caratteri con mix di lettere, numeri e simboli.
• 2FA: Plugin come Google Authenticator o Wordfence aggiungono un ulteriore livello di sicurezza.

3. Limita i Tentativi di Login con Fail2Ban o Plugin

Gli attacchi brute force cercano di indovinare password tramite tentativi ripetuti. Usa plugin come Login LockDown o configura Fail2Ban a livello di server.

4. Cambia il Percorso di Accesso alla Pagina di Login (/wp-admin/)

Cambia l’URL predefinito /wp-admin/ con strumenti come WPS Hide Login per evitare attacchi mirati.

5. Disabilita l’Editor di File Integrato in WordPress

Per impedire modifiche dannose al codice, aggiungi questa riga al wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );  

6. Configura Correttamente i Permessi dei File

• Cartelle: 755
• File: 644
• wp-config.php: 600

7. Proteggi il File wp-config.php

Spostalo in una directory superiore alla root di WordPress o aggiungi regole .htaccess per bloccarne l’accesso:

<files wp-config.php>  
order allow,deny  
deny from all  
</files>  

8. Abilita HTTPS con un Certificato SSL

Google penalizza i siti non sicuri. Usa Let’s Encrypt per un certificato gratuito o soluzioni premium come Cloudflare SSL.

9. Implementa una Web Application Firewall (WAF)

Un WAF blocca traffico dannoso prima che raggiunga il server. Soluzioni consigliate:

• Cloudflare
• Sucuri
• Wordfence

10. Disabilita l’Esecuzione di PHP in Cartelle Non Necessarie

Aggiungi questa direttiva al .htaccess nelle cartelle /wp-content/uploads/:

<Files *.php>  
deny from all  
</Files>  

11. Nascondi la Versione di WordPress

Gli hacker sfruttano versioni vulnerabili. Rimuovi la meta tag dal codice:

remove_action('wp_head', 'wp_generator');  

12. Disabilita XML-RPC

XML-RPC è un vettore comune per attacchi DDoS e brute force. Disabilitalo con:

# Aggiungi in .htaccess  
<Files xmlrpc.php>  
order deny,allow  
deny from all  
</Files>  

13. Monitora le Attività degli Utenti con un Audit Log

Plugin come WP Security Audit Log tengono traccia di login, modifiche e attività sospette.

14. Esegui Backup Automatici e Conservali in Posizioni Sicure

Usa UpdraftPlus o BlogVault per backup automatizzati su cloud esterni (Google Drive, Dropbox).

15. Usa una Protezione Anti-Spam per i Commenti

Akismet è lo standard, ma anche reCAPTCHA di Google può ridurre lo spam.

16. Configura Security Headers

Aggiungi intestazioni di sicurezza nel .htaccess:

Header set X-Content-Type-Options "nosniff"  
Header set X-Frame-Options "SAMEORIGIN"  
Header set X-XSS-Protection "1; mode=block"  

17. Rimuovi Utenti e Ruoli Non Necessari

Elimina account inattivi e limita i permessi degli editor.

18. Sostituisci il Database Prefix Predefinito (wp_)

Modificalo durante l’installazione o usa plugin come iThemes Security per cambiarlo dopo.

19. Disabilita Directory Browsing

Previeni l’esplorazione delle cartelle con:

Options All -Indexes  

20. Proteggi le Form di Upload con Sanitizzazione dei File

Usa funzioni PHP come escapeshellarg() e controlla le estensioni dei file caricati.

21. Configura Limitazioni per le REST API

Se non necessaria, disabilita l’accesso pubblico alla REST API:

add_filter( 'rest_authentication_errors', function( $result ) {  
    if ( !empty( $result ) ) return $result;  
    if ( !is_user_logged_in() ) return new WP_Error( 'rest_not_logged_in', 'Accesso negato.', array( 'status' => 401 ) );  
    return $result;  
});  

22. Usa una VPN o IP Whitelisting per l’Accesso all’Admin

Limita l’accesso a /wp-admin/ solo a IP fidati.

23. Scansiona Regolarmente il Sito con Strumenti di Sicurezza

Plugin come MalCare e Quttera rilevano malware e vulnerabilità.

24. Sfrutta l’Isolamento dei Siti con Hosting Gestito

Piattaforme come Kinsta e WP Engine offrono ambienti isolati per maggiore sicurezza.

25. Educa il Tuo Team sulle Best Practices di Sicurezza

Formazione continua riduce errori umani, come cliccare su phishing email.

Conclusione

La sicurezza di WordPress non è un’opzione, ma una necessità. Implementando queste 25 tecniche, ridurrai drasticamente il rischio di attacchi, proteggendo dati, reputazione e traffico del tuo sito. Non aspettare che sia troppo tardi: inizia oggi a rafforzare la tua difesa!

Aggiungere un'ulteriore livello di sicurezza lato server è importante al fine di ridurre la vulnerabilità a cui è esposto il proprio sito. In tal modo le possibilità di accesso mediante brute-force-attack vengono ridotte in modo significativo.

In questo articolo spiegheremo come aggiungere manualmente questo ulteriore livello di sicurezza implementando l'autenticazione HTTP.

Creare un file di password per WordPress

Per proteggere con password l'area di amministrazione di WordPress sarà necessario creare un file .htpasswd di Apache. Il file .htpasswd è un file contenete stringhe di testo con un nome utente e una password che il server web utilizzerà per autenticare gli utenti. È possibile creare tale file utilizzando un generatore di file di password Apache online oppure attraverso la linea di comando Linux:

# htpasswd -c  /path/to/.htpasswd nomeutente

Creare un file .htaccess per Apache

Una volta creato un file .htpasswd bisognerà creare un file .htaccess che andrà caricato nella directory wp-admin dell'installazione di WordPress.

Se non è presente alcun file .htaccess nella directory wp-admin del tuo sito Web, devi crearne uno nuovo. Se esiste già un file .htaccess, crea una copia di backup e modifica quello esistente.

Dopo aver creato il nuovo file, aggiungi il seguente contenuto al file .htaccess:

# enable basic authentication
AuthType Basic
# this text is displayed in the login dialog
AuthName “Restricted Area”
# The absolute path of the Apache htpasswd file. You should edit this
AuthUserFile /path/to/.htpasswd
# Allows any user in the .htpasswd file to access the directory
require valid-user

Salvare il file e caricarlo nella directory wp-admin di WordPress. Una volta impostato, chiunque tenti di accedere a http: // [tuodominio.com] / wp-admin oppure cerca di accedere alla dashboard di WordPress dovrà autenticarsi con il server Web Apache prima di poter accedere alla dashboard di WordPress. Di seguito è riportato uno screenshot della finestra di dialogo di autenticazione HTTP.

Risoluzione dei problemi di autenticazione

Se dopo l'implementazione dell'autenticazione si tenta di accedere alla directory wp-admin e si riceve un errore HTTP 500 (errore interno del server) il problema di solito è riconducibile ad un'errato percorso del file della password specificato nella direttiva AuthUserFile. Tale percorso deve necessariamente essere il percorso assoluto completo a partire dalla radice del server.

Consentire le funzionalità Ajax sul front-end

Alcuni plugin di WordPress utilizzano la funzionalità Ajax di WordPress. Ciò significa che tali plugin potrebbero aver bisogno di accedere al file admin-ajax.php che si trova nella directory wp-admin. Per consentire l'accesso anonimo a tale file che consente il funzionamento dei plugin di WordPress aggiungere quanto segue al file .htaccess:

Sicurezza WordPress

Aggiornamenti regolari

Il primo passo per garantire la sicurezza di WordPress è mantenere il sito web aggiornato. WordPress rilascia regolarmente aggiornamenti di sicurezza per correggere le vulnerabilità e migliorare la sicurezza del sito web. Assicurati di installare gli aggiornamenti non appena sono disponibili.

Utilizzo di plugin e temi sicuri

I plugin e i temi di WordPress possono essere una grande risorsa per il tuo sito web ma possono anche rappresentare una minaccia per la sicurezza. Assicurati di utilizzare solo plugin e temi sicuri e affidabili. Evita di scaricare plugin e temi da fonti non verificate.

Utilizzo di password sicure

Le password deboli sono una delle principali cause di violazioni della sicurezza. Assicurati di utilizzare password sicure e complesse per il tuo sito web. Utilizza una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali.

Utilizzo di SSL

SSL (Secure Sockets Layer) è un protocollo di sicurezza che crittografa i dati tra il tuo sito web e i visitatori. L'utilizzo di SSL può aiutare a proteggere il tuo sito web da attacchi di tipo man-in-the-middle e garantire che i dati dei visitatori siano protetti.

Limitazione degli accessi

Limitare gli accessi al tuo sito web può aiutare a prevenire attacchi da parte di hacker. Assicurati di utilizzare password sicure per gli account degli utenti e di limitare l'accesso solo a coloro che ne hanno bisogno.

Utilizzo di plugin di sicurezza

Esistono molti plugin di sicurezza disponibili per WordPress che possono aiutare a proteggere il tuo sito web da attacchi di hacker. Alcuni dei plugin di sicurezza più popolari includono Wordfence, iThemes Security e Sucuri Security.

Confronto tra WordPress, Drupal e Joomla

Conclusioni

La sicurezza di WordPress è una questione critica per qualsiasi proprietario di un sito web cha usa tale CMS. Utilizzando le migliori pratiche di sicurezza come l'aggiornamento regolare, l'utilizzo di plugin e temi sicuri, l'utilizzo di password sicure, l'utilizzo di SSL, plugin di sicurezza e la limitazione degli accessi puoi proteggere il tuo sito web dai ricorrenti attacchi degli hacker. Inoltre in base alle proprie specifiche esigenze confrontando il livello di sicurezza riscontrato tra WordPress, Drupal e Joomla puoi scegliere il CMS più sicuro per il tuo sito web. Tuttavia è importante ricordare che la sicurezza di un sito web è un processo continuo e che è necessario monitorare costantemente il sito web per rilevare eventuali vulnerabilità e correggerle tempestivamente.