Duplicator Duplicator
Duplicator Duplicator
Annuncio di Staging con un clic e ripristini cloud remoti per modifiche audaci, conseguenze zero

Annuncio di Staging con un clic e ripristini cloud remoti per modifiche audaci, conseguenze zero

Smetti di compromettere il tuo sito live. Lo staging con un clic e i ripristini cloud remoti di Duplicator ti consentono di testare le modifiche e recuperare anche se il tuo server è completamente inattivo!

Continue Reading →
Sicurezza di WordPress

Checklist di sicurezza WordPress: Guida passo passo per proteggere il tuo sito

· · 22 min read ·
Written By: avatar autore Joella Dunn
avatar autore Joella Dunn
Joella is a writer with years of experience in WordPress. At Duplicator, she specializes in site maintenance — from basic backups to large-scale migrations. Her ultimate goal is to make sure your WordPress website is safe and ready for growth.
See Full Bio
·
Reviewed By: avatar recensore John Turner
avatar recensore John Turner
John Turner is the President of Duplicator. He has over 20+ years of business and development experience and his plugins have been downloaded over 25 million times.
See Full Bio

Hai bisogno di migliorare la sicurezza del tuo WordPress?

Se non proteggi il tuo sito WordPress, è vulnerabile agli hacker. Potrebbero trovare punti deboli, modificare i tuoi contenuti, rubare informazioni sugli utenti o danneggiare il tuo sito. Ciò potrebbe danneggiare seriamente la tua attività e la tua reputazione. 

In questo post del blog, ti fornirò una checklist completa per la sicurezza di WordPress! Imparerai le migliori pratiche di sicurezza, in modo che il tuo sito non venga mai hackerato.

Ecco i punti chiave:

  • Scegli un hosting web sicuro con certificati SSL, firewall e backup regolari per costruire una solida base di sicurezza
  • Esegui automaticamente il backup del tuo sito sul cloud in modo da poterlo ripristinare se qualcosa va storto
  • Mantieni aggiornati il core di WordPress, i plugin e i temi per correggere le vulnerabilità di sicurezza
  • Utilizza password complesse e univoche e abilita l'autenticazione a due fattori per prevenire attacchi di forza bruta
  • Installa plugin di sicurezza come Sucuri per aggiungere firewall, scansione malware e monitoraggio delle minacce
  • Nascondi la tua pagina di accesso, limita i tentativi di accesso e disabilita le funzionalità non necessarie come XML-RPC per ridurre gli attacchi
  • Monitora l'attività degli utenti e limita l'accesso amministrativo per ridurre al minimo il rischio di violazioni interne della sicurezza

Indice

WordPress è sicuro?

Sì, WordPress è fondamentalmente sicuro. Detto questo, come qualsiasi altra piattaforma online, non è immune da rischi. 

Con milioni di siti web in tutto il mondo che si affidano a WordPress, puoi star certo che la piattaforma prende sul serio la sicurezza. Rilasciano aggiornamenti regolari per mantenere il software sicuro.

Ma poiché è una piattaforma open-source, chiunque può esaminare il codice sorgente, trovando potenzialmente vulnerabilità da sfruttare. 

Tuttavia, molti hacker accedono ai siti WordPress attraverso la negligenza del proprietario del sito. Se il tuo software core di WordPress è obsoleto o hai una password debole, questo può lasciare il tuo sito estremamente vulnerabile. 

Questo ci dice che la sicurezza di WordPress non è qualcosa da prendere alla leggera. WordPress ha una solida base, ma avrai comunque alcuni compiti di manutenzione ordinaria per potenziare la tua sicurezza. 

Perché la sicurezza di WordPress è importante?

Hai lavorato instancabilmente al tuo blog o al tuo negozio e-commerce. Tutto va bene finché una mattina ti svegli e scopri che tutto è sparito. 

Ecco perché la sicurezza di WordPress è così importante. Utilizzando buone misure di sicurezza, proteggerai il tuo sito dalle minacce. Questo riduce significativamente le tue possibilità di cadere vittima di attacchi hacker e violazioni di dati. 

Oltre a mantenere al sicuro i tuoi contenuti, un sito sicuro è anche più attraente per i visitatori. Quando i visitatori sanno di essere al sicuro, è più probabile che rimangano. 

Inoltre, i motori di ricerca tendono a favorire i siti sicuri anche nei ranking. Più securizzi WordPress, più il tuo SEO migliorerà

Tutto sommato, investire nella sicurezza di WordPress è come comprare un allarme per la casa. Potrebbe essere un po' una seccatura installarlo, ma alla fine ne vale sicuramente la pena.

La tua checklist per la sicurezza di WordPress

Come principiante, potresti pensare: da dove comincio?

Ho creato una checklist completa per la sicurezza di WordPress per te! Semplicemente segui ogni passaggio e alla fine avrai un sito completamente sicuro.

Checklist rapida per la sicurezza di WordPress:

  • Trova un hosting web sicuro: Scegli un hosting con solidi protocolli di sicurezza, certificati SSL, firewall e backup regolari
  • Esegui il backup del tuo sito web: Usa plugin come Duplicator per automatizzare i backup cloud e proteggere i tuoi dati
  • Aggiorna il software: Mantieni aggiornati il core di WordPress, i plugin e i temi per correggere le vulnerabilità
  • Rimuovi plugin e temi inutilizzati: Elimina il software inattivo per eliminare potenziali falle di sicurezza
  • Usa password complesse: Crea password uniche e complesse con caratteri misti ed evita frasi comuni
  • Aggiorna gli accessi admin: Limita gli utenti amministratori, rimuovi gli account inattivi e assegna privilegi minimi
  • Nascondi la pagina di accesso di WordPress: Personalizza l'URL di accesso per prevenire attacchi brute force
  • Monitora l'attività degli utenti: Tieni traccia delle azioni degli utenti per identificare violazioni di sicurezza e modifiche indesiderate
  • Installa un plugin di sicurezza per WordPress: Usa strumenti come Sucuri per la scansione di malware e le notifiche di sicurezza
  • Utilizza un Web Application Firewall (WAF): Blocca il traffico dannoso con firewall a livello DNS o applicativo
  • Scansiona alla ricerca di malware: Controlla regolarmente il tuo sito per virus e minacce con plugin di sicurezza
  • Passa a SSL/HTTPS: Abilita i certificati SSL per crittografare i dati tra gli utenti e il tuo server
  • Cambia il tuo nome utente: Evita nomi utente prevedibili come "admin" per ridurre le vulnerabilità di accesso
  • Aggiorna i permessi dei file: Imposta permessi appropriati (755 per le cartelle, 644 per i file) per controllare l'accesso
  • Disabilita la modifica dei file: Disattiva l'editor di file di WordPress per impedire agli hacker di iniettare codice dannoso
  • Disabilita l'esecuzione di file PHP: Blocca l'esecuzione di file PHP nelle directory di caricamento per fermare gli attacchi
  • Limita i tentativi di accesso: Restringi il numero di tentativi di accesso da un singolo indirizzo IP
  • Utilizza l'autenticazione a due fattori: Aggiungi un passaggio di verifica aggiuntivo con codici mobili per la sicurezza dell'accesso
  • Cambia il prefisso del database di WordPress: Sostituisci il prefisso predefinito "wp_" per rendere i nomi delle tabelle più difficili da indovinare
  • Proteggi con password le pagine di amministrazione e di accesso: Aggiungi un livello di password aggiuntivo prima che gli utenti raggiungano la schermata di accesso
  • Disabilita l'indicizzazione e la navigazione delle directory: Nascondi i contenuti delle directory per proteggere i file dalla visualizzazione
  • Disabilita XML-RPC: Disattiva questa API per impedire agli hacker di sfruttare le vulnerabilità di indovinamento delle password
  • Disconnetti gli utenti inattivi: Disconnetti automaticamente gli utenti inattivi per prevenire il dirottamento della sessione
  • Nascondi la tua versione di WordPress: Rimuovi i numeri di versione dal codice sorgente per evitare attacchi mirati
  • Ripristina il tuo sito dopo gli attacchi hacker: Utilizza strumenti di backup con ripristino di emergenza (Duplicator Pro) per ripristinare rapidamente i siti compromessi

1. Trova un hosting web sicuro

La scelta di un web host è più che un semplice controllo del prezzo. Ciò di cui hai bisogno è un host appassionato di sicurezza.

Cerca un web host che offra le ultime novità in termini di protocolli di sicurezza. I loro server dovrebbero essere mantenuti e aggiornati. È anche ottimo se dispone di un firewall robusto e offre certificati SSL. 

E infine, scopri se il web host offre backup regolari e ripristini del sito. Spereresti di non aver mai bisogno di questa rete di sicurezza, ma è bene averla, per ogni evenienza.

Se attualmente hai un piano di hosting condiviso, potresti voler passare a un hosting WordPress gestito. Con un host condiviso, condividerai le risorse con altri siti. Se qualcuno sul tuo server subisce una violazione della sicurezza, ciò potrebbe influire anche sul tuo sito web.

Tuttavia, host condivisi affidabili come Bluehost, Hostinger e SiteGround ti proteggeranno da molti problemi di sicurezza di base.

Una volta trovato un host WordPress sicuro, ecco come migrare il tuo sito sul nuovo server

2. Esegui il backup del tuo sito web

Quando avvii il tuo sito web, sarai probabilmente entusiasta di scrivere nuovi post sul blog o vendere prodotti. Tuttavia, dovrai anche eseguire regolarmente il backup del tuo sito.

I backup sono una polizza assicurativa per i tuoi contenuti digitali. Ti consentono di ripristinare il tuo sito al suo stato originale se qualcosa va storto.

Duplicator è un plugin di backup che semplifica la creazione di copie del tuo sito. Supporta backup automatici e archiviazione cloud, quindi non perderai mai dati.

Plugin Duplicator Pro
Inizia con Duplicator

È spesso meglio archiviare i backup su un server cloud separato per un ulteriore livello di sicurezza. In questo modo, i tuoi backup non andranno persi se si verifica un problema del server.

Con Duplicator, puoi effettuare il backup del tuo sito sul cloud. Collega semplicemente il tuo servizio di archiviazione cloud preferito e selezionalo quando crei un backup.

Posizioni di archiviazione dei backup

Sarai in grado di personalizzare quali dati vengono salvati nel backup. Quindi, puoi facilmente eseguire il backup solo del tuo database, della libreria multimediale o di altri dati, se necessario.

Backup personalizzato

Il tuo sito web viene costantemente aggiornato con nuovi contenuti, quindi dovrai eseguirne regolarmente il backup. Fortunatamente, Duplicator ti consente di automatizzare i backup.

Backup pianificati di Duplicator

Impostando delle pianificazioni, non dovrai mai preoccuparti dei backup manuali! Il tuo sito sarà costantemente protetto da qualsiasi problema perché potrai semplicemente ripristinare il tuo sito quando si verificano.

Oltre a Duplicator, ci sono molti altri plugin di backup che puoi utilizzare. UpdraftPlus, Jetpack e BlogVault sono alcune opzioni popolari. 

3. Aggiorna il software

Gli aggiornamenti software svolgono un ruolo cruciale nella sicurezza di WordPress. Non aggiungono solo funzionalità extra, ma correggono anche potenziali vulnerabilità. 

WordPress installerà automaticamente gli aggiornamenti minori. Ma dovrai installare manualmente eventuali versioni principali. 

Trova la pagina Aggiornamenti ed esegui tutti gli aggiornamenti per il tuo software core, i plugin e i temi.

Aggiorna il software WordPress

Gli aggiornamenti di sicurezza avvengono continuamente, quindi dovrai tenerli d'occhio. Per tua comodità, puoi anche automatizzarli. 

Tuttavia, ti consiglio di testare prima le nuove versioni di WordPress, dei plugin e dei temi su un sito di staging. Questo ti aiuta a evitare eventuali conflitti software che a volte si verificano dopo aggiornamenti errati.

4. Rimuovi plugin e temi inutilizzati

Pulire il tuo sito può dargli una bella spinta alla sicurezza. È una buona idea eliminare tutti i temi e i plugin di WordPress che non stai utilizzando attivamente. 

Questo perché gli hacker possono utilizzare plugin e temi obsoleti per accedere al tuo sito web. Eliminando il software inattivo, rafforzerai la sicurezza del tuo WordPress. 

Hai bisogno di una regola generale? Se non l'hai usato negli ultimi sei mesi, digli addio. È un modo semplice per ottimizzare il tuo sito WordPress e migliorarne la sicurezza. 

5. Usa password complesse

Una buona password dovrebbe essere unica, imprevedibile e conosciuta solo da te. Consigliamo di utilizzare un mix di lettere maiuscole e minuscole, numeri e simboli. 

Nuova password WordPress

Ricorda, 'Password123' è un errore da principiante! È come lasciare la chiave di casa sotto lo zerbino: praticamente un invito alle potenziali minacce informatiche per una visita al sito.

Negli attacchi di forza bruta, hacker o bot tenteranno di indovinare la tua password. Proveranno opzioni popolari finché non riusciranno ad accedere. Pertanto, più complessa è la tua password, meglio è. 

Oltre a ciò, evita di utilizzare informazioni identificabili che ti riguardano. Non usare il tuo nome, il tuo compleanno o il nome del tuo animale domestico (non importa quanto adorabili possano essere).

Cerca di non usare la stessa password per tutti i tuoi siti e utenti. Proprio come non useresti la stessa chiave per la tua casa, la tua auto e il tuo ufficio, mantieni le tue chiavi digitali variegate per evitare una violazione della sicurezza.

Considera l'utilizzo di un gestore di password come LastPass per archiviare in modo sicuro le tue password. Può generare automaticamente opzioni sicure e semplificare il processo di accesso.

6. Aggiorna l'accesso amministrativo

Quando si tratta della sicurezza di WordPress, l'aggiornamento del tuo accesso amministrativo è un must. Questo passaggio rende il tuo sito meno vulnerabile a intrusioni o hack indesiderati. 

Innanzitutto, limita il numero di utenti con il ruolo di 'amministratore'. Avere più utenti amministratori può essere un rischio per la sicurezza. Assicurati di avere solo pochi amministratori fidati. 

Successivamente, controlla regolarmente il tuo elenco di utenti, eliminando gli account non più in uso. Ciò riduce il rischio che account dormienti vengano sfruttati dagli hacker. 

Infine, assegna i privilegi minimi necessari per un ruolo utente. Non tutti hanno bisogno dell'accesso amministrativo.

Un utente dovrebbe avere abbastanza diritti per svolgere il proprio lavoro, ma non di più. Ciò riduce al minimo la possibilità di danni se quell'account viene violato.

Se non sei sicuro di quali utenti dovrebbero ottenere determinati accessi, leggi questa guida sui ruoli e permessi utente di WordPress.

7. Nascondi la pagina di accesso di WordPress

Ogni giorno, utilizzi la pagina di accesso per accedere al tuo sito WordPress. Tutti i siti WordPress hanno pagine di accesso che terminano con wp-admin o wp-login. Pertanto, utenti malintenzionati potrebbero accedere al tuo e abusarne. 

Nascondere la tua pagina di accesso a WordPress può proteggere il tuo sito dai tentativi di hacking. Quando gli hacker non riescono a trovare la pagina di accesso, non possono tentare attacchi di forza bruta per aprire la tua dashboard di amministrazione.

Alcuni plugin possono aiutarti a raggiungere facilmente questo obiettivo, come WPS Hide Login. Puoi semplicemente personalizzare il tuo URL di accesso in modo che solo tu sappia dov'è.

plugin WPS Hide Login

8. Monitora l'attività degli utenti

Quando il tuo sito ha molti utenti, uno potrebbe essere violato o condividere le credenziali di accesso con la persona sbagliata. Se l'account utente ha accesso amministrativo, i tuoi temi, plugin o impostazioni potrebbero essere alterati.

Per identificare la violazione della sicurezza, potresti monitorare l'attività degli utenti. Identificherai quale utente ha apportato la modifica indesiderata e la rimuoverai rapidamente dal tuo sito.

Ecco alcuni plugin che possono aiutarti a tenere traccia dei tuoi utenti WordPress:

Questi strumenti possono essere particolarmente utili se gestisci un multisito WordPress. Potresti avere un sacco di diversi proprietari di siti web, autori, editor e altri utenti. È importante sapere esattamente quale utente ha causato una vulnerabilità.

9. Installa un plugin di sicurezza per WordPress

plugin di sicurezza fanno esattamente quello che ti aspetti: aggiungono sicurezza extra al tuo sito. Sono progettati per identificare e affrontare potenziali vulnerabilità. Ad esempio, forniscono scansioni di sicurezza regolari, protezione firewall e filtraggio dello spam. 

Uno dei migliori plugin per la sicurezza di WordPress è Sucuri Security. Questo strumento offre scansione remota di malware, notifiche di sicurezza e soluzioni post-attacco.

Plugin di sicurezza Sucuri

Utilizzando Sucuri, puoi rafforzare facilmente la tua sicurezza. Nelle impostazioni di Hardening, puoi abilitare un firewall, disabilitare gli editor di plugin e temi, nascondere la tua versione di WordPress e altro ancora.

Rafforzamento della sicurezza Sucuri

Questo è un modo semplice per aumentare la sicurezza del tuo WordPress. Inoltre, c'è una versione gratuita su WordPress.org!

10. Utilizza un Web Application Firewall (WAF)

Un Web Application Firewall (WAF) è uno strumento che supervisiona e filtra il traffico in entrata al tuo sito web. Aiuta a proteggere il tuo sito WordPress da minacce come SQL injection e cross-site scripting (XSS).

Un firewall può scoraggiare molte minacce informatiche comuni. Agisce come una barriera protettiva tra il tuo sito e tutto il traffico in entrata, bloccando le richieste dannose.

Ecco i diversi tipi di firewall:

  • Firewall a livello DNS: invia e valuta il traffico tramite server proxy cloud
  • Firewall a livello applicativo: plugin firewall che valutano il traffico una volta che raggiunge il tuo server

Sucuri offre il modo più semplice per configurare un firewall sul tuo sito WordPress. È uno strumento così efficace che ha aiutato WPBeginner a bloccare 450.000 attacchi informatici in soli 3 mesi.

Con Sucuri, eviterai malware, attacchi DDoS, attacchi di forza bruta e altre preoccupazioni per la sicurezza. 

11. Scansiona alla ricerca di malware

Scansionare regolarmente il tuo sito web alla ricerca di malware è una parte cruciale del mantenimento della sicurezza del tuo WordPress. Plugin popolari come Wordfence e Sucuri possono aiutarti in questo compito. 

Questi strumenti di sicurezza sono specificamente progettati per trovare ed eliminare qualsiasi minaccia potenziale sul tuo sito web. Monitorano attivamente il tuo sito web, avvisandoti rapidamente di qualsiasi attività sospetta e fornendo soluzioni per la loro rimozione.

Sucuri ha anche un controllore di malware gratuito. Inserendo l'URL del tuo sito web, scoprirai se ci sono virus.

Scanner di malware Sucuri

12. Passa a SSL/HTTPS

SSL (Secure Sockets Layer) è un protocollo che crittografa i dati tra il browser di un utente e il tuo server. Rende più difficile per gli aggressori informatici intercettare e rubare dati.

Quando abiliti l'SSL, l'URL del tuo sito utilizza HTTPS (Hypertext Transfer Protocol Secure). Questo viene mostrato con un'icona a forma di lucchetto accanto al tuo dominio nella finestra del browser.

Per passare a HTTPS, dovrai acquistare e installare un certificato SSL sul tuo server. Molti provider di hosting offrono un certificato SSL gratuito tramite Let's Encrypt. Successivamente, assicurati che il tuo sito WordPress utilizzi HTTPS nelle sue impostazioni e URL. 

Se non hai ancora un certificato SSL, ecco come impostarne uno!

13. Cambia il tuo nome utente

Usare "admin" come nome utente è una pratica comune, ma è uno degli errori di sicurezza di WordPress più gravi che vuoi evitare. Dà metà dei tuoi dati di accesso agli aggressori.

Per aiutare a proteggere il tuo sito web, considera di cambiare il tuo nome utente in qualcosa di meno prevedibile e più unico. 

Vai alla bacheca di WordPress ed crea un nuovo utente con privilegi di amministratore. Una volta fatto questo, disconnettiti e accedi nuovamente come nuovo amministratore.

Successivamente, elimina il vecchio utente "admin". Assicurati di trasferire tutti i contenuti dall'utente eliminato al nuovo. È semplice come questo. 

14. Aggiorna i permessi dei file

Le autorizzazioni dei file regolano chi può leggere, scrivere ed eseguire i tuoi file. Autorizzazioni non configurate correttamente potrebbero offrire una porta aperta agli intrusi.

Ecco le impostazioni che consigliamo di utilizzare:

  • 755 per cartelle e sottocartelle
  • 644 per tutti i file

Tieni presente che la correzione delle autorizzazioni di file e cartelle può essere complessa senza esperienza tecnica. In caso di dubbi, è sempre meglio consultare il tuo provider di hosting o uno sviluppatore esperto.

15. Disabilita la modifica dei file

La bacheca di WordPress consente agli amministratori di modificare i file PHP per plugin e temi. Può essere utile ma anche pericoloso.

Se un hacker accede alla tua bacheca, può abusare dell'editor di file per inserire codice dannoso nei tuoi file WordPress. Per evitare questa minaccia alla sicurezza, dovresti disattivare la modifica dei file modificando il tuo file wp-config.php.

Sebbene questo sembri tecnico, in realtà è un processo semplice. Accedi alla tua installazione di WordPress tramite FTP e individua il file wp-config.php. Apri questo file e aggiungi il seguente snippet di codice: 

define( 'DISALLOW_FILE_EDIT', true );

Una volta salvato il file, le impostazioni aggiornate iniziano a funzionare subito per proteggere dal codice dannoso. 

Fai questo solo se sei d'accordo a modificare i file del tuo sito web. In caso di dubbi, chiedi aiuto a un esperto. 

16. Disabilita l'esecuzione di file PHP

Disabilitare l'esecuzione di file PHP in determinate directory di WordPress è un passo fondamentale per proteggere il tuo sito. Se non viene fatto, apre un gateway per attacchi malevoli. 

Gli hacker possono sfruttare questa scappatoia distribuendo file PHP nella tua cartella di caricamenti o in altre directory. Questi file possono quindi eseguire codice dannoso, compromettendo il tuo sito web.

Per risolvere questo problema, puoi disabilitare l'esecuzione di file PHP in tutte le directory che non ne hanno bisogno (come /wp-content/uploads/). 

Apri un editor di testo e incolla questo codice:

<Files *.php>

deny from all

</Files>

Nomina il file .htaccess e aggiungilo alla cartella uploads

17. Limita i tentativi di accesso

Come ho detto prima, i bot potrebbero tentare di accedere al tuo sito riprovando ad accedere ancora e ancora.  Per mantenere il tuo sito sicuro, imposta un limite al numero di tentativi di accesso che possono provenire da un singolo indirizzo IP.

Limitando i tentativi di accesso, ridurrai le probabilità di un attacco di forza bruta riuscito. Sebbene WordPress consenta accessi illimitati, puoi impostare un limite con un plugin come Limit Login Attempts Reloaded.

plugin Limit Login Attempts Reloaded

Limit Login Attempts Reloaded bloccherà un indirizzo IP dopo un certo numero di tentativi di accesso non riusciti. Puoi creare un tempo di blocco personalizzato e ricevere automaticamente e-mail sui nuovi blocchi. 

18. Utilizza l'autenticazione a due fattori

L'autenticazione a due fattori (2FA) aggiunge un ulteriore livello di protezione al tuo sito WordPress. Oltre alla password, è necessario un codice di verifica che di solito viene inviato al tuo telefono cellulare. 

Questo sistema di doppio controllo aumenta la sicurezza, rendendo difficile per gli hacker infiltrarsi. Anche se dovessero violare la tua password, avrebbero comunque bisogno del codice di verifica. 

WP 2FA è un plugin che imposta rapidamente l'autenticazione a due fattori sul tuo sito WordPress. Genererà codici di accesso per app di autenticazione come Google Authenticator o Authy. Gli utenti inseriscono un codice insieme alla loro password.

plugin WP 2FA

Con questa funzionalità, hacker o bot non possono accedere al tuo sito anche se ottengono la tua password. C'è un passaggio aggiuntivo per gli accessi, a cui non si può accedere facilmente. 

19. Cambia il prefisso del database di WordPress

WordPress assegna un prefisso alle tabelle del tuo database. Il prefisso predefinito è wp_.

Se viene lasciato il prefisso predefinito, gli hacker possono indovinare facilmente i nomi delle tue tabelle. Pertanto, è buona norma cambiarlo.

Tuttavia, questo non è molto facile per i principianti. E potresti finire per rompere il tuo sito.

Se sei sicuro di voler procedere, segui questa guida su come cambiare correttamente il prefisso del database di WordPress

20. Proteggi con password le pagine di amministrazione e di accesso

Un altro modo per proteggere le tue pagine di accesso a WordPress è aggiungere la protezione tramite password alla tua directory di amministrazione. Ogni volta che qualcuno tenta di accedere all'area di amministrazione, dovrà inserire una password prima ancora di vedere una pagina di accesso.

Admin WP protetto da password

Per abilitare la protezione tramite password dell'amministratore, puoi utilizzare la privacy della directory di cPanel. Questo ti permetterà di proteggere la tua directory di amministrazione senza utilizzare alcun codice.

Privacy directory Bluehost

21. Disabilita l'indicizzazione e la navigazione delle directory

La navigazione per directory può essere un punto debole nella sicurezza del tuo sito web. Se questa funzionalità è abilitata, chiunque può visualizzare il contenuto delle directory sul tuo sito web. Gli hacker potrebbero approfittarne se vedono file con vulnerabilità. 

Per risolvere questo problema, aggiungi una semplice riga di codice in fondo al tuo file .htaccess

Opzioni -Indici

Questo impedisce alle persone di curiosare nelle cartelle del tuo sito e protegge i file nascosti.

22. Disabilita XML-RPC

Dalla versione 3.5 di WordPress, XML-RPC è un'API principale di WordPress. Consente agli sviluppatori di utilizzare applicazioni remote per aggiornare WordPress.

XML-RPC ti consente di utilizzare app mobili per pubblicare post sul blog. Rende anche possibile collegare il tuo sito con servizi di terze parti come Zapier. 

Questa funzionalità di WordPress consente ad altre app di comunicare con il tuo sito web. Ma crea anche una falla di sicurezza che gli hacker possono utilizzare. 

Se qualcuno tenta di hackerare la tua pagina di accesso, effettua tentativi di accesso separati. Con XML-RPC, gli hacker potrebbero utilizzare una funzione system.multicall per indovinare migliaia di opzioni di password in soli circa 20-50 richieste.

Quindi, disattivare XML-RPC può aiutarti a evitare possibili minacce informatiche.

23. Disconnetti gli utenti inattivi

Accessi non supervisionati possono diventare un gateway per accessi non autorizzati. La loro sessione potrebbe essere compromessa. Ecco perché il tuo sito bancario ti disconnette dopo un certo periodo di tempo.

È meglio che il tuo sito WordPress disconnetta automaticamente gli utenti quando sono inattivi. Questo può ridurre notevolmente le possibilità di problemi.

Puoi utilizzare plugin come Inactive Logout per automatizzare questo processo. Con questo plugin gratuito, imposterai periodi di timeout per inattività. 

Plugin di logout inattivo

Ti consentirà inoltre di personalizzare i messaggi di logout della sessione. Farai sapere agli utenti quando verranno disconnessi per inattività. 

Impostazioni di logout inattivo

24. Nascondi la tua versione di WordPress

Per impostazione predefinita, il tuo codice sorgente mostrerà la versione di WordPress del tuo sito.

Versione di WordPress nel codice sorgente

Esporre la tua ultima versione di WordPress potrebbe sembrare innocuo, ma potrebbe mettere il tuo sito a rischio. Gli hacker utilizzano queste informazioni per sfruttare vulnerabilità di sicurezza note in versioni specifiche. 

Ci sono molti modi per nascondere la tua versione di WordPress, ma ti consigliamo di utilizzare WPCode. Questo plugin per snippet di codice ha uno snippet predefinito per rimuovere il numero della tua versione di WordPress.

Plugin WPCode

Tutto ciò che dovrai fare è cercare lo snippet e utilizzarlo. 

Rimuovi la versione di WordPress con lo snippet WPCode

Quindi, attiva il nuovo snippet!

Attiva lo snippet WPCode che nasconde la versione di WP

25. Ripristina il tuo sito dopo gli attacchi hacker

Anche se fai tutto correttamente, un hacker potrebbe accedere al tuo sito web e causare danni. Nel caso in cui ciò accada, dovrai essere preparato. 

Ripristinare il tuo sito WordPress dopo un attacco hacker può sembrare scoraggiante. Ma è facile con gli strumenti giusti.

Duplicator Pro è un plugin di backup per WordPress che ripristina il tuo sito in pochi secondi. Dopo un attacco hacker, trova il backup più recente e privo di errori e premi il pulsante Ripristina accanto ad esso.

Ripristina backup

Alcuni hacker potrebbero bloccarti l'accesso alla tua dashboard di amministrazione di WordPress. Per evitare ciò, assicurati di impostare in anticipo il ripristino di emergenza.

Crea un backup completo del tuo sito. Quindi, fai clic sull'icona della casa blu accanto ad esso.

Icona di ripristino d'emergenza

Una volta impostato il ripristino di emergenza, Duplicator ti fornirà un link di ripristino e un file di avvio. Uno di questi ripristinerà immediatamente il tuo sito dopo un attacco informatico.

Opzioni di ripristino di emergenza

Personalmente, preferisco il link di ripristino. Dovrai semplicemente aprire una finestra del browser e incollarla. Questo aprirà la procedura guidata di ripristino di Duplicator (senza bisogno della tua dashboard).

Ripristino di emergenza

Per proteggere il tuo sito web, salva il link di ripristino o il file di avvio in un luogo sicuro. Dovrà essere esterno al sito, nel caso in cui il tuo sito web dovesse mai andare offline. 

Se vuoi assicurarti di aver rimosso eventuali backdoor e altre vulnerabilità di sicurezza, leggi questo tutorial su come riparare un sito WordPress compromesso

Domande frequenti sulla sicurezza di WordPress

Come rendo sicuro un sito WordPress?

Per proteggere il tuo sito WordPress, utilizza un web host sicuro, automatizza i backup, mantieni aggiornato il software e monitora l'accesso degli utenti. Per problemi di sicurezza più complessi, non esitare a chiedere a un esperto.

Ho davvero bisogno di un plugin di sicurezza per WordPress?

Un plugin di sicurezza aiuta a proteggere il tuo sito da minacce comuni. Lo consigliamo ai principianti perché sarai in grado di aumentare la tua sicurezza senza toccare alcun codice. Sucuri Security è un'ottima opzione se hai appena iniziato o desideri un approccio alla sicurezza del sito senza interventi manuali. 

Qual è la percentuale di siti WordPress compromessi?

Non esiste un numero esatto di siti WordPress compromessi ogni anno. Tuttavia, Sucuri pulisce regolarmente i siti web e ha scoperto che il 96,2% dei suoi siti sfruttati nel 2022 erano basati su WordPress. Il 49,8% di questi era obsoleto al momento dell'attacco informatico. 

WordPress ha delle vulnerabilità?

Sì, come ogni altra piattaforma, anche WordPress ha le sue vulnerabilità. Queste possono derivare da software non aggiornato, password deboli o dalla mancanza di aggiornamenti di WordPress. Tuttavia, se gestiti correttamente, questi rischi possono essere ridotti in modo significativo.

Qual è il pericolo maggiore nella sicurezza del sito WordPress?

La sicurezza del tuo sito WordPress potrebbe essere a rischio se non aggiorni regolarmente il tuo sistema, i plugin e i temi. Inoltre, non impostare password robuste o l'autenticazione a due fattori può rendere il tuo sito vulnerabile. Questo può portare a seri problemi come attacchi SQL, scripting intersito e accessi forzati.

Conclusione

A questo punto, il tuo sito è pronto a respingere qualsiasi minaccia alla sicurezza!

Mentre sei qui, penso che ti piaceranno queste guide aggiuntive su WordPress:

Vuoi evitare la perdita di dati da hacker imprevisti? Scarica Duplicator Pro per backup automatici nel cloud!

Inizia con Duplicator
avatar autore
Joella Dunn Content Writer
Joella is a writer with years of experience in WordPress. At Duplicator, she specializes in site maintenance — from basic backups to large-scale migrations. Her ultimate goal is to make sure your WordPress website is safe and ready for growth.
See Full Bio
icona social network
beginner wordpress wordpress maintenance wordpress security
Our content is reader-supported. If you click on certain links we may receive a commission.
Ottieni Duplicator - Risparmia il 50%

Risorse popolari

Website Backup Speed: Why Your Backups Are Slow and How to Fix Them
Introducing Duplicator Pro 4.5.10 – New Dashboard Widget, Custom Recovery Folders, and More
WordPress 101: How to Back Up a WordPress Site for Peace of Mind
How to Migrate a WordPress Site (Beginner’s Guide for 2026)
Creating a Perfect Copy: How to Clone a WordPress Site Safely

Ricevi gratuitamente suggerimenti e risorse direttamente nella tua casella di posta, insieme ad altri 10.000 utenti

Seguici

Non lasciare che un altro giorno passi senza protezione

Ogni ora senza backup adeguati di WordPress mette il tuo sito a rischio • Ogni migrazione di WordPress ritardata ti costa in termini di prestazioni e crescita

Get Duplicator Now
Plugin Duplicatore

Aspetta! Non perdere la tua
offerta esclusiva!

Come cliente , ottieni il 60% DI SCONTO

Prova Duplicator gratuitamente sul tuo sito: scopri perché oltre 1,5 milioni di professionisti di WordPress si fidano di noi. Ma non aspettare: questo sconto esclusivo del 60% è disponibile solo per un periodo limitato.

or
Get 60% Off Duplicator Pro Now →

Ti reindirizzeremo per installare Duplicator sul tuo sito WordPress. Mai spam.