Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Coppa WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

11 motivi principali per cui i siti WordPress vengono hackerati (e come prevenirli)

Molti proprietari di siti web si preoccupano che i loro siti WordPress vengano violati. Gestiamo molti siti web e comprendiamo bene questa preoccupazione.

Subire una violazione è molto frustrante e può danneggiare la vostra attività. Sebbene gli hacker cerchino di attaccare tutti i tipi di siti web, alcuni errori comuni possono rendere il vostro sito WordPress un bersaglio più facile.

In questo articolo condivideremo le principali ragioni per cui i siti WordPress vengono violati, in modo che possiate prendere provvedimenti per proteggere meglio il vostro sito web.

Why WordPress sites get hacked?

Perché WordPress è preso di mira dagli hacker?

Innanzitutto, non si tratta solo di WordPress. Tutti i siti web su Internet sono vulnerabili ai tentativi di hacking.

Il motivo per cui i siti web WordPress sono un obiettivo comune è che WordPress è il costruttore di siti web più diffuso al mondo. Alimenta oltre il 43% di tutti i siti web, vale a dire centinaia di milioni di siti web in tutto il mondo.

Questa immensa popolarità offre agli hacker un modo semplice per trovare i siti web meno sicuri e sfruttarli.

Gli hacker hanno diversi motivi per violare un sito web. Alcuni sono principianti che stanno imparando a sfruttare i siti meno sicuri. Altri hanno intenzioni malevole, come distribuire malware, attaccare altri siti web e inviare spam.

Detto questo, analizziamo alcune delle principali cause di violazione dei siti WordPress, in modo che possiate imparare a prevenire la violazione del vostro sito web.

1. Hosting Web insicuro

Come tutti i siti web, anche i siti WordPress sono ospitati su un server web. Alcune società di hosting non proteggono adeguatamente la loro piattaforma di hosting. Questo rende tutti i siti web ospitati sui loro server vulnerabili ai tentativi di hacking.

Questo può essere facilmente evitato scegliendo il miglior provider di hosting WordPress per il vostro sito web. I server adeguatamente protetti possono bloccare molti degli attacchi più comuni ai siti WordPress.

Se volete prendere ulteriori precauzioni, vi consigliamo di utilizzare un provider di hosting WordPress gestito.

2. Utilizzo di password deboli

Using weak passwords

Le password sono le chiavi del vostro sito WordPress. Dovete assicurarvi di utilizzare una password forte e unica per ciascuno dei seguenti account, perché tutti possono fornire a un hacker l’accesso completo al vostro sito web:

  • L’account di amministrazione di WordPress
  • L’account del pannello di controllo del web hosting
  • I vostri account FTP
  • Il database MySQL utilizzato per il sito WordPress
  • Tutti gli account e-mail utilizzati per l’amministrazione di WordPress e l’hosting

Tutti questi account sono protetti da password. L’uso di password deboli rende più facile per gli hacker decifrare le password utilizzando alcuni strumenti di hacking di base.

Potete facilmente evitarlo utilizzando password uniche e forti per ogni account. Consultate la nostra guida sul modo migliore di gestire le password per i principianti di WordPress per imparare a gestire tutte queste password forti.

3. Accesso non protetto all’amministrazione di WordPress (wp-admin)

L’area di amministrazione di WordPress consente all’utente di eseguire diverse azioni sul sito WordPress. È anche l’area più comunemente attaccata di un sito WordPress.

Lasciarla non protetta permette agli hacker di provare diversi approcci per craccare il vostro sito web. Potete rendergli le cose difficili aggiungendo livelli di autenticazione alla vostra directory di amministrazione.

Innanzitutto, dovreste proteggere con una password l’area di amministrazione di WordPress. Questo aggiunge un ulteriore livello di sicurezza e chiunque cerchi di accedere all’amministrazione di WordPress dovrà fornire una password aggiuntiva.

Se gestite un sito WordPress multi-autore o multi-utente, potete imporre password forti per tutti gli utenti del vostro sito. Potete anche aggiungere l’autenticazione a due fattori (2FA) per rendere ancora più difficile agli hacker l’accesso all’area di amministrazione di WordPress.

4. Permessi di file non corretti

File permissions

I permessi dei file sono un insieme di regole utilizzate dal server web. Questi permessi aiutano il server web a controllare l’accesso ai file del sito. Permessi non corretti possono consentire a un hacker di scrivere e modificare i file.

Tutti i file di WordPress devono avere il valore 644 come autorizzazione per i file. Tutte le cartelle del vostro sito WordPress devono avere il valore 755 come autorizzazione per i file.

Consultate la nostra guida su come risolvere il problema del caricamento delle immagini in WordPress per sapere come applicare questi permessi ai file.

5. Non mantenere WordPress aggiornato

Alcuni utenti di WordPress hanno paura di aggiornare il proprio sito web. Temono che così facendo il loro sito web si rompa.

Ogni nuova versione di WordPress risolve bug e vulnerabilità di sicurezza. Se non aggiornate WordPress, state intenzionalmente lasciando il vostro sito vulnerabile.

Se temete che un aggiornamento possa distruggere il vostro sito web, potete creare un backup completo di WordPress prima di eseguire un aggiornamento. In questo modo, se qualcosa non funziona, potete facilmente tornare alla versione precedente.

Per saperne di più, consultate la nostra guida per principianti su come aggiornare WordPress in modo sicuro.

6. Non aggiornare i plugin o il tema

Proprio come il software principale di WordPress, l’aggiornamento del tema e dei plugin è altrettanto importante. L’utilizzo di un plugin o di un tema obsoleto può rendere il vostro sito vulnerabile.

Nei plugin e nei temi di WordPress vengono spesso scoperte falle e bug di sicurezza. Di solito, gli autori dei temi e dei plugin sono pronti a correggerli. Tuttavia, se un utente non aggiorna il proprio tema o plugin, non può farci nulla.

Assicuratevi di mantenere aggiornati il tema e i plugin di WordPress. Per sapere come fare, consultate la nostra guida sul corretto ordine di aggiornamento di WordPress, dei plugin e dei temi.

7. Utilizzo di FTP semplice invece di SFTP/SSH

SFTP instead of FTP

Gli account FTP vengono utilizzati per caricare i file sul server web utilizzando un client FTP. La maggior parte dei provider di hosting supporta le connessioni FTP utilizzando diversi protocolli. È possibile connettersi tramite FTP semplice, SFTP o SSH.

Quando ci si connette al proprio sito utilizzando un FTP semplice, la password viene inviata al server in chiaro. Ciò significa che può essere spiata e facilmente rubata. Invece di usare l’FTP, dovreste sempre usare SFTP o SSH.

Non è necessario cambiare il client FTP. La maggior parte dei client FTP può connettersi al vostro sito web sia con SFTP che con SSH. È sufficiente cambiare il protocollo in “SFTP – SSH” quando ci si connette al sito web.

8. Usare Admin come nome utente di WordPress

L’uso di “admin” come nome utente di WordPress non è consigliato. Se il nome utente dell’amministratore è “admin”, è necessario cambiarlo immediatamente con un altro nome utente.

Per istruzioni dettagliate, consultate il nostro tutorial su come cambiare il nome utente di WordPress.

9. Temi e plugin annullati

Malware

Su Internet ci sono molti siti che distribuiscono gratuitamente plugin e temi per WordPress a pagamento. Potreste essere tentati di utilizzare questi plugin e temi nulli sul vostro sito.

Scaricare temi e plugin per WordPress da fonti non affidabili è molto pericoloso. Non solo possono compromettere la sicurezza del vostro sito web, ma possono anche essere utilizzati per rubare informazioni sensibili.

Dovreste sempre scaricare i plugin e i temi di WordPress da fonti affidabili, come il sito web dello sviluppatore o i repository ufficiali di WordPress.

Se non potete permettervi di acquistare un plugin o un tema premium, sono sempre disponibili alternative gratuite per questi prodotti. Questi plugin gratuiti potrebbero non essere all’altezza delle loro controparti a pagamento, ma svolgeranno il loro compito e, soprattutto, manterranno il vostro sito web al sicuro.

È inoltre possibile trovare sconti per molti dei prodotti WordPress più popolari nella sezione delle offerte del nostro sito web.

10. Non proteggere il file di configurazione di WordPress wp-config.php

Il file di configurazione di WordPress wp-config.php contiene le credenziali di accesso al database di WordPress. Se viene compromesso, rivelerà informazioni che potrebbero dare a un hacker l’accesso completo al vostro sito web.

È possibile aggiungere un ulteriore livello di protezione negando l’accesso al file wp-config tramite .htaccess. È sufficiente aggiungere questo codice al file .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

11. Non cambiare il prefisso della tabella di WordPress

Molti esperti consigliano di modificare il prefisso predefinito delle tabelle di WordPress. Per impostazione predefinita, WordPress utilizza wp_ come prefisso per le tabelle che crea nel database. L’opzione per cambiarlo è disponibile durante l’installazione.

Si consiglia di utilizzare un prefisso più complesso. In questo modo sarà più difficile per gli hacker indovinare i nomi delle tabelle del database.

Per istruzioni dettagliate, consultate la nostra guida su come modificare il prefisso del database di WordPress per migliorare la sicurezza.

Ripulire un sito WordPress violato

Ripulire un sito WordPress violato può essere doloroso. Tuttavia, è possibile farlo.

Ecco alcune risorse per iniziare a ripulire un sito WordPress violato:

Suggerimento bonus

Per una sicurezza solida come una roccia, Sucuri offre servizi di rilevamento e rimozione del malware e un firewall per siti web che proteggerà il vostro sito dalle minacce più comuni.

Leggete la storia di come Sucuri ci ha aiutato a bloccare 450.000 attacchi WordPress in 3 mesi.

In alternativa, potete usufruire dei nostri convenienti Servizi professionali WPBeginner.

Se il vostro sito web è stato violato, il nostro team di esperti è in grado di ripulire codici, file e malware dannosi per garantire la sicurezza dei vostri dati sensibili. I prezzi partono da 249 dollari.

WPBeginner Professional Services: Hacked Site Repair

Speriamo che questo articolo vi abbia aiutato a conoscere le ragioni in alto per cui un sito WordPress viene violato. Potreste anche consultare la nostra guida su come proteggere il vostro sito WordPress dagli attacchi brute force e la nostra scelta dei migliori plugin di sicurezza per WordPress per proteggere il vostro sito.

Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.

Divulgazione: I nostri contenuti sono sostenuti dai lettori. Ciò significa che se cliccate su alcuni dei nostri link, potremmo guadagnare una commissione. Vedi come WPBeginner è finanziato , perché è importante e come puoi sostenerci. Ecco il nostro processo editoriale .

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Il kit di strumenti WordPress definitivo

Ottenete l'accesso gratuito al nostro kit di strumenti - una raccolta di prodotti e risorse relative a WordPress che ogni professionista dovrebbe avere!

Reader Interactions

6 commentiLascia una risposta

  1. Jiří Vaněk

    What exactly do the directives for securing the wp-config.php file using the .htaccess file do? Do they deny access to anyone from the outside, allowing access only to the file by specific applications? Am I understanding it correctly?

    Won’t this cause some other problem of not being able to access the file?

    • WPBeginner Support

      It would prevent access from someone trying to open the file directly and in most cases should not cause a problem with limiting access this way.

      Admin

      • Jiří Vaněk

        Thank you for answer. I just wanted to make sure that there could be a situation where I would break some internal WordPress communication. I definitely apply security.

  2. SaifZiya

    Thanks for these amazing tips. I going to add the code to .htaccess file now.

  3. Amit Khandelwal

    Hello, i have secure my wp-admin folder through folder privacy but how can i do the same for wp-login url?

  4. Dragos

    You can also not install in the default location your WordPress website so you can actually install the wp into a folder named “secure” and then with some tricks your visitors will enter to your website.com not website.com/secure in order to see your site.

Lascia una risposta

Grazie per aver scelto di lasciare un commento. Tenga presente che tutti i commenti sono moderati in base alle nostre politica dei commenti e il suo indirizzo e-mail NON sarà pubblicato. Si prega di NON utilizzare parole chiave nel campo del nome. Avremo una conversazione personale e significativa.