Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Coppa WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

La guida definitiva alla sicurezza di WordPress – Passo dopo passo (2024)

Mantenere il vostro sito web WordPress sicuro e protetto è importante per ogni proprietario di sito web. Proprio come proteggete la vostra casa o la vostra azienda, dovete proteggere il vostro sito web dalle minacce online.

Se non si adottano le giuste misure per proteggere il proprio sito web, questo potrebbe essere a rischio. Ogni giorno Google blocca migliaia di siti web a causa di malware e altri problemi di sicurezza.

Abbiamo mantenuto WPBeginner al sicuro da ripetuti attacchi per molti anni. Lo facciamo utilizzando i migliori plugin di sicurezza e seguendo le migliori pratiche di sicurezza di WordPress.

In questa guida condivideremo i nostri migliori consigli e la lista di controllo della sicurezza di WordPress per aiutarvi a proteggere il vostro sito web da hacker e malware.

The Ultimate WordPress Security Guide - Step by Step

Anche se il software di base di WordPress è molto sicuro e viene controllato regolarmente da centinaia di sviluppatori, c’è ancora molto da fare per mantenere il vostro sito sicuro.

Noi di WPBeginner crediamo che la sicurezza non si limiti all’eliminazione dei rischi. Si tratta anche di ridurre i rischi. Come proprietari di un sito web, potete fare molto per migliorare la sicurezza di WordPress, anche se non siete esperti di tecnologia.

Ecco perché abbiamo messo insieme una lista di controllo della sicurezza di WordPress con i passi da compiere per proteggere il vostro sito web dalle vulnerabilità della sicurezza.

Per semplificare le cose, abbiamo creato un indice per aiutarvi a navigare facilmente nella nostra guida definitiva alla sicurezza di WordPress.

Indice dei contenuti

Nozioni di base sulla sicurezza di WordPress

La sicurezza di WordPress in semplici passi (senza codice)

Sicurezza di WordPress per gli utenti fai-da-te

Pronti? Iniziamo.

Perché la sicurezza del sito web è importante

Un sito WordPress violato può causare gravi danni alle entrate e alla reputazione della vostra azienda. Gli hacker possono rubare informazioni e password degli utenti, installare software dannoso e persino distribuire malware agli utenti.

Nel peggiore dei casi, potreste ritrovarvi a pagare un ransomware agli hacker solo per riottenere l’accesso al vostro sito web.

Ransomware Attack

Ogni giorno, Google avvisa 12-14 milioni di utenti che un sito web che stanno cercando di visitare potrebbe contenere malware o rubare informazioni.

Inoltre, Google inserisce ogni giorno nella blacklist oltre 10.000 siti web per malware o phishing.

Proprio come i proprietari di aziende con una sede fisica hanno la responsabilità di salvaguardare la loro proprietà, i proprietari di aziende online devono prestare maggiore attenzione alla sicurezza del loro WordPress.

[Torna all’inizio ↑]

Mantenere WordPress aggiornato

Easily update WordPress

WordPress è un software open-source e viene mantenuto e aggiornato regolarmente. Per impostazione predefinita, WordPress installa automaticamente gli aggiornamenti minori.

Per le versioni principali, è necessario avviare manualmente l’aggiornamento.

WordPress è inoltre dotato di migliaia di plugin e temi che è possibile installare sul proprio sito web. Questi plugin e temi sono gestiti da sviluppatori terzi, che rilasciano regolarmente anche gli aggiornamenti.

Questi aggiornamenti di WordPress sono fondamentali per la sicurezza e la stabilità del vostro sito WordPress. Dovete assicurarvi che il nucleo di WordPress , i plugin e il tema siano aggiornati.

[Torna all’inizio ↑]

Utilizzare password e permessi utente forti

Manage strong passwords

I più comuni tentativi di violazione di WordPress utilizzano password rubate. Potete rendere più difficile questa situazione utilizzando password più forti e uniche per il vostro sito web.

Non stiamo parlando solo dell’area di amministrazione di WordPress. Ricordate di creare password forti per gli account FTP, i database, gli account di hosting WordPress e gli indirizzi e-mail personalizzati che utilizzano il nome di dominio del vostro sito.

Molti principianti non amano usare password forti perché sono difficili da ricordare. La cosa positiva è che non è più necessario ricordare le password perché basta usare un gestore di password.

Per ulteriori informazioni, consultate la nostra guida su come gestire le password di WordPress.

Un altro modo per ridurre il rischio è quello di non dare a nessuno l’accesso all’account di amministrazione di WordPress, a meno che non sia assolutamente necessario.

Se avete un team numeroso o autori ospiti, assicuratevi di aver compreso i ruoli e le capacità degli utenti in WordPress prima di aggiungere nuovi account utente e autori al vostro sito WordPress.

[Torna all’inizio ↑]

Capire il ruolo dell’hosting WordPress

SiteGround

Il vostro servizio di hosting WordPress gioca il ruolo più importante nella sicurezza del vostro sito WordPress. Un buon provider di hosting condiviso come Hostinger, Bluehost o SiteGround adotta misure extra per proteggere i propri server dalle minacce più comuni.

Ecco alcuni modi in cui le buone società di web hosting lavorano in background per proteggere i vostri siti web e i vostri dati:

  • Monitorano continuamente la loro rete alla ricerca di attività sospette.
  • Tutte le buone società di hosting dispongono di strumenti per prevenire gli attacchi DDoS su larga scala.
  • Mantengono aggiornati il software del server, le versioni di PHP e l’hardware per evitare che gli hacker sfruttino una vulnerabilità di sicurezza nota in una vecchia versione.
  • Dispongono di piani di disaster recovery e di incidenti pronti all’uso che consentono di proteggere i dati in caso di incidente grave.

Con un piano di hosting condiviso, si condividono le risorse del server con molti altri clienti. Esiste il rischio di contaminazione cross-site, in cui un hacker può utilizzare un sito vicino per attaccare il vostro sito web.

Al contrario, l’utilizzo di un servizio di hosting WordPress gestito offre una piattaforma più sicura per il vostro sito web. Le società di hosting WordPress gestite offrono backup automatici, aggiornamenti automatici di WordPress e configurazioni di sicurezza più avanzate per proteggere il vostro sito web.

Raccomandiamo Siteground come nostro provider di hosting WordPress gestito preferito. Hanno un’assistenza reattiva, server veloci e un’affidabilità eccellente.

Assicurati di ottenere la migliore offerta utilizzando il nostro speciale coupon Siteground.

[Torna all’inizio ↑]

La sicurezza di WordPress in pochi semplici passi (senza codice)

Sappiamo che migliorare la sicurezza di WordPress può essere un pensiero terrificante per i principianti, soprattutto se non si è esperti di tecnologia. Indovinate un po’: non siete soli.

Abbiamo aiutato migliaia di utenti di WordPress a rafforzare la loro sicurezza.

Vi mostreremo come migliorare la sicurezza di WordPress con pochi clic (non è necessario alcun codice).

Se sapete fare punta e clicca, potete fare questo!

1. Installare una soluzione di backup per WordPress

WordPress Backup

I backup sono la prima difesa contro qualsiasi attacco a WordPress. Ricordate che nulla è sicuro al 100%. Se i siti web governativi possono essere violati, anche il vostro può esserlo.

I backup consentono di ripristinare rapidamente il sito WordPress nel caso in cui si verifichi un evento negativo.

Esistono molti plugin di backup per WordPress, gratuiti e a pagamento, che potete utilizzare. La cosa più importante da sapere quando si tratta di backup è che dovete salvare regolarmente i backup dell’intero sito in una posizione remota (non il vostro account di hosting).

Si consiglia di archiviarli su un servizio cloud come Amazon, Dropbox o su cloud privati come Stash.

In base alla frequenza di aggiornamento del sito web, l’impostazione ideale potrebbe essere quella di un backup al giorno o in tempo reale.

Fortunatamente questo può essere fatto facilmente utilizzando plugin come Duplicator, UpdraftPlus o BlogVault. Sono entrambi affidabili e soprattutto facili da usare (non è necessario alcun codice).

Per maggiori dettagli, consultate la nostra guida su come eseguire il backup del vostro sito web WordPress.

[Torna all’inizio ↑]

Installate un plugin di sicurezza per WordPress affidabile

Dopo i backup, la cosa successiva da fare è impostare un sistema di auditing e monitoraggio che tenga traccia di tutto ciò che accade sul vostro sito web.

Questo include il monitoraggio dell’integrità dei file, i tentativi di accesso falliti, la scansione del malware e altro ancora.

Per fortuna, potete occuparvene facilmente installando uno dei migliori plugin di sicurezza per WordPress, come Sucuri.

È necessario installare e attivare il plugin gratuito Sucuri Security. Per maggiori dettagli, consultate la nostra guida passo-passo su come installare un plugin di WordPress.

Ora è possibile accedere alla “Dashboard” di Sucuri Security per verificare se il plugin ha riscontrato problemi immediati con il codice di WordPress.

Setting up the Sucuri WordPress security plugin

La cosa successiva da fare è navigare nella pagina Sucuri Security ” Impostazioni e fare clic sulla scheda “Tempra”.

Le impostazioni predefinite funzionano bene per la maggior parte dei siti web, quindi si può procedere all’attivazione facendo clic sul pulsante “Applica protezione” per ciascuna opzione.

Hardening your WordPress blog or website

In questo modo è possibile bloccare le aree chiave che gli hacker utilizzano spesso nei loro attacchi.

Suggerimento: più avanti in questo articolo tratteremo altri modi per rendere più sicuro il vostro sito web, come la modifica del prefisso del database e del nome utente dell’amministratore. Tuttavia, questi sono più tecnici e potrebbero richiedere conoscenze di codifica.

Dopo la parte di indurimento, le altre impostazioni predefinite del plugin sono sufficienti per la maggior parte dei siti web e non richiedono alcuna modifica.

L’unica cosa che consigliamo di personalizzare sono gli avvisi via e-mail, che si trovano nella scheda “Avvisi” della pagina delle impostazioni.

Customizing your website's security alerts

Per impostazione predefinita, riceverete molti avvisi e-mail che possono ingombrare la vostra casella di posta.

Si consiglia di attivare gli avvisi solo per le azioni chiave di cui si desidera ricevere notifica, come le modifiche ai plugin e le registrazioni di nuovi utenti.

Customizing your WordPress security notifications

Questo plugin per la sicurezza di WordPress è molto potente, quindi sfogliate tutte le schede e le impostazioni per vedere tutto ciò che fa, come la scansione del malware, i registri di audit, il monitoraggio dei tentativi di accesso falliti e altro ancora.

Per maggiori informazioni, potete consultare la nostra recensione dettagliata di Sucuri.

Abilitare un firewall per applicazioni Web (WAF)

Il modo più semplice per proteggere il vostro sito ed essere sicuri della sicurezza di WordPress è utilizzare un firewall per applicazioni web (WAF).

Un firewall per siti web blocca tutto il traffico dannoso prima ancora che raggiunga il vostro sito.

  • Un firewall per siti web a livello di DNS instrada il traffico del vostro sito web attraverso i suoi server proxy nel cloud. Ciò consente di inviare al vostro server web solo il traffico autentico.
  • Un firewall a livello di applicazione esamina il traffico una volta raggiunto il server, ma prima di caricare la maggior parte degli script di WordPress. Questo metodo non è efficiente come il firewall a livello di DNS nel ridurre il carico del server.

Per saperne di più, consultate il nostro elenco dei migliori plugin firewall per WordPress.

How website firewall blocks attacks

Abbiamo utilizzato Sucuri su WPBeginner per molti anni e lo raccomandiamo ancora come uno dei migliori firewall per applicazioni web per WordPress. Di recente siamo passati da Sucuri a Cloudflare perché avevamo bisogno di una rete CDN più grande con caratteristiche più orientate ai clienti aziendali.

Potete leggere come Sucuri ci ha aiutato a bloccare 450.000 attacchi WordPress in un mese.

Attacks blocked by Sucuri

La parte migliore del firewall di Sucuri è che viene fornito anche con una garanzia di pulizia del malware e di rimozione dalla blacklist. Ciò significa che se doveste subire un attacco di hacking sotto la loro sorveglianza, vi garantiscono di sistemare il vostro sito web, indipendentemente dal numero di pagine che avete.

Si tratta di una garanzia piuttosto forte, perché riparare i siti web violati è costoso. Gli esperti di sicurezza normalmente chiedono più di 250 dollari all’ora, mentre è possibile ottenere l’intero pacchetto di sicurezza Sucuri a 199 dollari per un anno intero.

Detto questo, Sucuri non è l’unico fornitore di firewall a livello di DNS in circolazione. L’altro popolare concorrente è Cloudflare. Consultate il nostro confronto tra Sucuri e Cloudflare (pro e contro).

[Torna all’inizio ↑]

Passare il sito WordPress a SSL/HTTPS

SSL (Secure Sockets Layer) è un protocollo che cripta il trasferimento di dati tra il vostro sito web e il browser dell’utente. Questa crittografia rende più difficile per qualcuno sniffare e rubare informazioni.

How SSL Works

Una volta attivato l’SSL, l’indirizzo del vostro sito web utilizzerà HTTPS anziché HTTP. Nel browser si vedrà anche un lucchetto o un’icona simile accanto all’indirizzo del sito web.

I certificati SSL sono tipicamente emessi dalle autorità di certificazione e il loro prezzo varia da 80 a centinaia di dollari all’anno. A causa dei costi aggiuntivi, in passato la maggior parte dei proprietari di siti web ha scelto di continuare a utilizzare il protocollo insicuro.

Per risolvere questo problema, un’organizzazione no-profit chiamata Let’s Encrypt ha deciso di offrire certificati SSL gratuiti ai proprietari di siti web. Il loro progetto è sostenuto da Google Chrome, Facebook, Mozilla e molte altre aziende.

È più facile che mai iniziare a usare l’SSL per tutti i vostri siti web WordPress. Molte società di hosting offrono ora un certificato SSL gratuito per il vostro sito WordPress.

Se la vostra società di hosting non ne offre uno, potete acquistare un certificato SSL da Domain.com. Si tratta delle offerte SSL migliori e più affidabili del mercato. Il certificato viene fornito con una garanzia di sicurezza di 10.000 dollari e un sigillo di sicurezza TrustLogo.

Se fate tutto ciò che abbiamo menzionato finora, allora siete a buon punto.

Ma come sempre, è possibile fare di più per rafforzare la sicurezza di WordPress.

Tenete presente che alcuni di questi passaggi possono richiedere conoscenze di codifica.

Cambiare il nome utente amministratore predefinito

In passato, il nome utente predefinito dell’amministratore di WordPress era “admin”. Poiché i nomi utente costituiscono la metà delle credenziali di accesso, questo rendeva più facile per gli hacker effettuare attacchi a forza bruta.

Fortunatamente, WordPress ha cambiato questo aspetto e ora richiede di selezionare un nome utente personalizzato al momento dell’installazione di WordPress.

Tuttavia, alcuni installatori di WordPress con un solo clic impostano ancora il nome utente amministratore predefinito su “admin”. Se notate che questo è il caso, probabilmente è una buona idea cambiare il vostro hosting web.

Poiché WordPress non consente di modificare i nomi utente per impostazione predefinita, ci sono tre metodi che si possono utilizzare per cambiare il nome utente.

  1. Creare un nuovo nome utente amministratore ed eliminare quello vecchio.
  2. Utilizzare il plugin Cambio nome utente
  3. Aggiornare il nome utente da phpMyAdmin

Abbiamo trattato tutti e tre questi aspetti nella nostra guida dettagliata su come cambiare correttamente il nome utente di WordPress.

Nota: per essere chiari, stiamo parlando di cambiare il nome utente chiamato “admin”, non il ruolo di amministratore, che a volte è chiamato anche “admin”.

[Torna all’inizio ↑]

Disattivare la modifica dei file

WordPress è dotato di un editor di codice integrato che consente di modificare i file di temi e plugin direttamente dall’area di amministrazione di WordPress.

Nelle mani sbagliate, questa funzione può rappresentare un rischio per la sicurezza, per cui si consiglia di disattivarla.

Adding custom CSS in a child theme's stylesheet in the theme file editor

È possibile farlo facilmente aggiungendo il seguente codice al file wp-config.php o con un plugin di snippet di codice come WPCode (consigliato):

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Vi mostriamo come farlo passo dopo passo nella nostra guida su come disabilitare gli editor di temi e plugin dal pannello di amministrazione di WordPress.

In alternativa, è possibile eseguire questa operazione con un solo clic utilizzando la funzione Hardening del plugin gratuito Sucuri menzionato in precedenza.

[Torna all’inizio ↑]

Disabilitare l’esecuzione di file PHP in determinate directory di WordPress

Un altro modo per rafforzare la sicurezza di WordPress è quello di disabilitare l’esecuzione di file PHP nelle directory in cui non è necessario, come /wp-content/uploads/.

È possibile farlo aprendo un editor di testo come Notepad e incollando questo codice:

<Files *.php>
deny from all
</Files>

Successivamente, è necessario salvare questo file come .htaccess e caricarlo nella cartella /wp-content/uploads/ del vostro sito web utilizzando un client FTP.

Per una spiegazione più dettagliata, consultate la nostra guida su come disabilitare l’esecuzione di PHP in alcune directory di WordPress.

In alternativa, è possibile eseguire questa operazione con un solo clic utilizzando la funzione Hardening del plugin gratuito Sucuri di cui abbiamo parlato sopra.

[Torna all’inizio ↑]

Limitare i tentativi di accesso

Per impostazione predefinita, WordPress consente agli utenti di provare ad accedere quante volte vogliono. Questo rende il vostro sito WordPress vulnerabile agli attacchi di forza bruta. In questo caso, gli hacker cercano di decifrare le password provando ad accedere con diverse combinazioni.

Questo problema può essere facilmente risolto limitando i tentativi di accesso falliti che un utente può effettuare. Se si utilizza il firewall per applicazioni web menzionato in precedenza, questo problema viene risolto automaticamente.

Tuttavia, se non avete impostato il firewall, potete procedere come segue.

Innanzitutto, è necessario installare e attivare il plugin gratuito Limit Login Attempts Reloaded. Per maggiori dettagli, consultate la nostra guida passo-passo su come installare un plugin di WordPress.

Dopo l’attivazione, il plugin inizierà a limitare il numero di tentativi di accesso degli utenti.

Le impostazioni predefinite funzionano per la maggior parte dei siti web, tuttavia è possibile personalizzarle visitando la pagina Impostazioni ” Limita tentativi di accesso e facendo clic sulla scheda “Impostazioni” in alto. Ad esempio, per rispettare le leggi GDPR, è possibile fare clic sulla casella di controllo “Conformità GDPR”.

Limit Login Attempts

Per istruzioni dettagliate, date un’occhiata alla nostra guida su come e perché limitare i tentativi di accesso in WordPress.

[Torna all’inizio ↑]

Aggiungere l’autenticazione a due fattori (2FA)

Il metodo di autenticazione a due fattori richiede due diversi passaggi per l’accesso degli utenti:

  1. Il primo passo è rappresentato dal nome utente e dalla password.
  2. Il secondo passo richiede l’utilizzo di un codice da un dispositivo o da un’applicazione in vostro possesso a cui gli hacker non possono accedere, come ad esempio il vostro smartphone.

La maggior parte dei principali siti online, come Google, Facebook e Twitter, consentono di abilitarla per i propri account. È possibile aggiungere la stessa funzionalità al proprio sito WordPress.

Innanzitutto, è necessario installare e attivare il plugin WP 2FA – Autenticazione a due fattori. Per maggiori dettagli, consultate la nostra guida passo passo su come installare un plugin di WordPress.

Una procedura guidata di facile utilizzo vi aiuterà a configurare il plugin e poi vi verrà fornito un codice QR.

Use Your Authenticator App to Scan the QR Code

È necessario scansionare il codice QR utilizzando un’applicazione di autenticazione sul telefono, come Google Authenticator, Authy e LastPass Authenticator.

Si consiglia di utilizzare LastPass Authenticator o Authy perché consentono di eseguire il backup degli account nel cloud. Questo è molto utile nel caso in cui il vostro telefono venga perso, resettato o ne acquistiate uno nuovo. Tutti i login dei vostri account saranno facilmente ripristinati.

La maggior parte di queste app funziona in modo simile e, se si utilizza Authy, è sufficiente fare clic sul pulsante “+” o “Aggiungi account” nell’app Autenticatore.

Click the + Button to Add an Account

In questo modo è possibile scansionare il codice QR sul computer utilizzando la fotocamera del telefono. Potrebbe essere necessario dare all’applicazione il permesso di accedere alla fotocamera.

Dopo aver dato un nome all’account, è possibile salvarlo.

La prossima volta che accederete al vostro sito web, vi verrà chiesto il codice di autenticazione a due fattori dopo aver inserito la password.

Users Must Enter an Authentication Code Before Logging In

È sufficiente aprire l’app Authenticator sul telefono per visualizzare un codice unico.

È quindi possibile inserire il codice sul proprio sito web per completare l’accesso.

Find Your 2FA Token

[Torna all’inizio ↑]

Cambiare il prefisso del database di WordPress

Per impostazione predefinita, WordPress utilizza wp_ come prefisso per tutte le tabelle del database di WordPress.

Se il vostro sito WordPress utilizza il prefisso predefinito del database, è più facile per gli hacker indovinare il nome della tabella. Per questo motivo vi consigliamo di cambiarlo.

Potete cambiare il prefisso del database seguendo il nostro tutorial passo passo su come cambiare il prefisso del database di WordPress per migliorare la sicurezza.

Nota: la modifica del prefisso del database può danneggiare il sito se non viene eseguita correttamente. Eseguite questa operazione solo se vi sentite a vostro agio con le vostre capacità di codifica.

[Torna all’inizio ↑]

Proteggere con password la pagina di amministrazione e di accesso di WordPress

Password protect WordPress admin example

Normalmente, gli hacker possono richiedere la cartella wp-admin e la pagina di accesso senza alcuna restrizione. Questo permette loro di provare i loro trucchi di hacking o di eseguire attacchi DDoS.

È possibile aggiungere una protezione aggiuntiva con password a livello di server, che bloccherà efficacemente tali richieste.

Seguite le nostre istruzioni passo passo su come proteggere con password la directory di amministrazione di WordPress (wp-admin).

[Torna all’inizio ↑]

Disattivare l’indicizzazione e la navigazione delle directory

Directory Browsing

Quando si digita l’indirizzo di una delle cartelle del sito web in un browser, viene visualizzata la pagina web index.html, se esiste. Se non esiste, viene visualizzato un elenco di file nella cartella. Questa operazione è nota come navigazione nelle directory.

L’esplorazione delle directory può essere utilizzata dagli hacker per scoprire se sono presenti file con vulnerabilità note, in modo da poterli sfruttare per ottenere l’accesso.

L’esplorazione delle directory può essere utilizzata anche da altre persone per esaminare i file, copiare immagini, scoprire la struttura delle directory e altre informazioni. Per questo motivo si consiglia vivamente di disattivare l’indicizzazione e l’esplorazione delle directory.

È necessario collegarsi al proprio sito web utilizzando l’FTP o il file manager del proprio provider di hosting. Quindi, individuate il file .htaccess nella directory principale del vostro sito web. Se non riuscite a vederlo, consultate la nostra guida sul perché non riuscite a vedere il file .htaccess in WordPress.

Successivamente, è necessario aggiungere la seguente riga alla fine del file .htaccess:

Opzioni -Indici

Non dimenticate di salvare e caricare il file .htaccess sul vostro sito.

Per saperne di più su questo argomento, consultate il nostro articolo su come disabilitare la navigazione nelle directory in WordPress.

[Torna all’inizio ↑]

Disabilitare XML-RPC in WordPress

XML-RPC è un’API di base di WordPress che aiuta a collegare il vostro sito WordPress con le applicazioni web e mobili. È stata attivata per impostazione predefinita da WordPress 3.5.

Tuttavia, a causa della sua natura potente, XML-RPC può amplificare in modo significativo gli attacchi brute-force.

Ad esempio, se un hacker volesse provare 500 password diverse sul vostro sito web, dovrebbe effettuare 500 tentativi di accesso separati. Questo può essere individuato e bloccato dal plugin Limit Login Attempts Reloaded.

Ma con XML-RPC, un hacker può utilizzare la funzione system.multicall per provare migliaia di password con 20 o 50 richieste.

Per questo motivo, se non si utilizza XML-RPC, si consiglia di disabilitarlo.

Ci sono 3 modi per disabilitare XML-RPC in WordPress e li abbiamo trattati tutti nel nostro tutorial passo-passo su come disabilitare XML-RPC in WordPress.

Suggerimento: il metodo .htaccess è il migliore perché è quello che richiede meno risorse. Gli altri metodi sono più semplici per i principianti.

In alternativa, questo aspetto viene gestito automaticamente se si utilizza un firewall per applicazioni web (WAF), come abbiamo detto in precedenza.

[Torna all’inizio ↑]

Disconnettere automaticamente gli utenti inattivi in WordPress

Gli utenti connessi possono talvolta allontanarsi dallo schermo e questo rappresenta un rischio per la sicurezza. Qualcuno può dirottare la loro sessione, cambiare le password o apportare modifiche al loro account.

Ecco perché molti siti bancari e finanziari disconnettono automaticamente un utente inattivo. Potete impostare una funzionalità simile anche sul vostro sito WordPress.

È necessario installare e attivare il plugin Inactive Logout. Dopo l’attivazione, visitare la pagina Impostazioni ” Logout inattivo per personalizzare le impostazioni di logout.

Logout idle users

È sufficiente impostare la durata e aggiungere un messaggio di logout. Quindi, non dimenticate di fare clic sul pulsante “Salva modifiche” in fondo alla pagina per memorizzare le impostazioni.

Per istruzioni passo passo, consultare la nostra guida su come disconnettere automaticamente gli utenti inattivi in WordPress.

[Torna all’inizio ↑]

Aggiungere domande di sicurezza alla schermata di accesso di WordPress

L’aggiunta di una domanda di sicurezza alla schermata di login di WordPress rende ancora più difficile l’accesso non autorizzato.

È possibile aggiungere domande di sicurezza installando il plugin Autenticazione a due fattori. Dopo l’attivazione, è necessario visitare la pagina Autenticazione a più fattori ” Due fattori per configurare le impostazioni del plugin.

Questo vi permetterà di aggiungere vari tipi di autenticazione a due fattori al vostro sito, comprese le domande di sicurezza.

Adding Security Questions to WordPress Login

Per istruzioni più dettagliate, consultate il nostro tutorial su come aggiungere domande di sicurezza alla schermata di login di WordPress.

[Torna all’inizio ↑]

Scansione di WordPress alla ricerca di malware e vulnerabilità

Malware Scan

Se avete installato un plugin di sicurezza per WordPress, questo controllerà regolarmente la presenza di malware e di segni di violazione della sicurezza.

Tuttavia, se notate un improvviso calo del traffico del sito web o delle classifiche di ricerca, potreste voler effettuare una scansione manuale alla ricerca di malware. Potete farlo utilizzando il plugin di sicurezza di WordPress o uno dei migliori scanner di malware e sicurezza.

L’esecuzione di queste scansioni online è piuttosto semplice. Basta inserire l’URL del vostro sito web e i loro crawler lo esamineranno alla ricerca di malware e codice dannoso.

Ora, tenete presente che la maggior parte degli scanner di sicurezza di WordPress può solo avvisarvi se il vostro sito contiene malware. Non possono rimuovere il malware o pulire un sito WordPress violato.

Questo ci porta alla sezione successiva, la pulizia di malware e siti WordPress violati.

[Torna all’inizio ↑]

Riparare un sito WordPress violato

Molti utenti di WordPress non si rendono conto dell’importanza dei backup e della sicurezza del sito web fino a quando il loro sito non viene violato.

Gli hacker installano backdoor sui siti colpiti e se queste backdoor non vengono corrette correttamente, è probabile che il vostro sito web venga nuovamente violato.

Per gli utenti più avventurosi e fai-da-te, abbiamo compilato una guida passo-passo su come riparare un sito WordPress violato.

Tuttavia, la pulizia di un sito WordPress può essere molto difficile e richiedere molto tempo. Il nostro consiglio è di lasciare che se ne occupi un professionista.

Se si paga per utilizzare il plugin di sicurezza Sucuri di cui abbiamo parlato sopra, la riparazione del sito violato è inclusa nel prezzo.

È anche possibile utilizzare il servizio di riparazione dei siti violati di WPBeginner Pro Services. Questo servizio richiede un pagamento una tantum di 249 dollari e comprende la determinazione dei file premium, la rimozione del codice maligno, gli aggiornamenti del software e della sicurezza e il backup del sito pulito.

WPBeginner Pro Services Hacked Site Repair

Garantiamo di riparare il vostro sito o di restituirvi i soldi. Inoltre, copriamo il vostro sito web per 30 giorni dopo la riparazione, quindi se venite violati di nuovo durante questo periodo, saremo lì per ripararlo.

Puliamo e mettiamo in sicurezza i siti web WordPress da oltre 10 anni, quindi potrete stare tranquilli quando utilizzerete il nostro servizio di riparazione dei siti violati.

[Torna all’inizio ↑]

Suggerimento bonus: assumete un servizio di manutenzione di WordPress

In quanto proprietari di una piccola impresa molto impegnata, potreste non avere il tempo di monitorare la sicurezza del vostro sito web e di proteggerlo dalle vulnerabilità. Quindi, per alleggerire la vostra mente e il vostro carico di lavoro, potete assumere un servizio di manutenzione di WordPress per il monitoraggio della sicurezza 24 ore su 24, 7 giorni su 7.

WPBeginner Pro Services offre una manutenzione completa del sito web WordPress a un prezzo accessibile. Include il monitoraggio della sicurezza, i backup cloud di routine, gli aggiornamenti di WordPress, il monitoraggio dei tempi di attività e molto altro ancora.

WPBeginner WordPress website maintenance service

Basta scegliere il pacchetto di servizi di manutenzione mensile più adatto alle vostre esigenze e otterrete un sito WordPress più sicuro e del tempo libero in più per lavorare su altri aspetti della vostra attività.

Se desiderate altre raccomandazioni, potete consultare la nostra selezione dei migliori servizi di manutenzione di siti web per WordPress.

[Torna all’inizio ↑]

Domande frequenti sulla sicurezza di WordPress

Poiché la sicurezza di WordPress è così importante, ci vengono poste regolarmente domande in merito. Ecco le risposte alle domande più frequenti su come mantenere i siti web WordPress al sicuro dagli attacchi.

WordPress è sicuro da usare?

WordPress è stato progettato per essere sicuro, soprattutto se lo si aggiorna regolarmente. Tuttavia, data la sua popolarità, gli hacker prendono spesso di mira i siti web WordPress.

Non preoccupatevi, però. Seguendo semplici consigli di sicurezza come quelli riportati in questo articolo, potete ridurre notevolmente le possibilità che qualcuno violi il vostro sito web.

Cosa può mettere a rischio il mio sito web WordPress?

Esistono diversi modi in cui gli hacker cercano di accedere ai siti web. Alcune minacce comuni includono l’indovinare le password, l’installazione di software dannoso (malware) e la ricerca di punti deboli nel codice del sito web per rubare informazioni o prenderne il controllo.

Con quale frequenza devo aggiornare il mio sito web WordPress?

Mantenere aggiornati il vostro sito web WordPress, i temi e i plugin è molto importante. I nuovi aggiornamenti spesso includono correzioni per problemi di sicurezza. Cercate di utilizzare gli aggiornamenti automatici o di verificare voi stessi la presenza di aggiornamenti almeno una volta alla settimana e di installarli rapidamente.

Ho bisogno di un plugin speciale per la sicurezza?

Non siete obbligati a usare i plugin di sicurezza, ma possono rendere il vostro sito web molto più sicuro. I plugin di sicurezza agiscono come guardie aggiuntive per il vostro sito web, proteggendovi da hacker e malware.

Come faccio a sapere se qualcuno ha violato il mio sito web?

Se notate che sul vostro sito web accadono cose strane, potrebbe essere un segno che siete stati violati. Ad esempio, si vedono nuovi utenti o file non creati dall’utente, il sito web invia i visitatori a siti diversi, il sito web funziona lentamente o riceve avvisi da Google o dal provider di web hosting.

Cosa devo fare se il mio sito web viene violato?

Se pensate che il vostro sito web sia stato violato, non fatevi prendere dal panico, ma agite rapidamente. Potete contattare la vostra società di web hosting e chiedere aiuto. Potete anche utilizzare un plugin di sicurezza o chiedere a un esperto di sicurezza di pulire il vostro sito web.

Se avete un backup del vostro sito web, ripristinatelo da quel backup. Assicuratevi di modificare tutte le password, comprese quelle dell’area di amministrazione di WordPress, del database e dell’FTP.

Speriamo che questo articolo vi abbia aiutato a conoscere le migliori pratiche per proteggere il vostro sito web e la nostra lista di controllo consigliata per la sicurezza di WordPress. Potreste anche voler consultare il nostro elenco dei principali motivi per cui i siti WordPress vengono violati e la nostra selezione di esperti dei migliori plugin di sicurezza per WordPress.

Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Reader Interactions

Il kit di strumenti WordPress definitivo

Ottenete l'accesso gratuito al nostro kit di strumenti - una raccolta di prodotti e risorse relative a WordPress che ogni professionista dovrebbe avere!

Divulgazione: I nostri contenuti sono sostenuti dai lettori. Ciò significa che se cliccate su alcuni dei nostri link, potremmo guadagnare una commissione. Vedi come WPBeginner è finanziato , perché è importante e come puoi sostenerci. Ecco il nostro processo editoriale .

160 commentiLascia una risposta

  1. Leanne

    This is one of the best tutorial sites (on any subject matter) I have found. Thank you I will refer wpbeginner to others – awesome site!

    • WPBeginner Support

      You’re welcome and glad you’ve found our content helpful :)

      Admin

  2. Daniel

    You know there are guys charging more than $50 or $100 dollars to teach you how to do all of this, and you gave it for free! Thanks heaps guys!

    • WPBeginner Support

      You’re welcome :)

      Admin

  3. Power

    Thanks for the article, its really useful

    • WPBeginner Support

      You’re welcome :)

      Admin

  4. Mydas

    This was super-useful. I have the coding skills to implement all of it, and now I can take much better care of my and my clients’ Wordpress installations. Thank you for the info, it’s so complete that I can’t believe it’s free xD

    • WPBeginner Support

      You’re welcome, glad our guide was helpful :)

      Admin

  5. Splendor Edesiri

    Please do I need a VPN to access my WordPress site from the backend as part of my WordPress site security.

    • WPBeginner Support

      No, that is not required

      Admin

  6. Kam

    Thank you for this article. It is essential reading!

    If you have a host like Bluehost, is it essential to have backup with a plugin such as Updraft plus + remote storage? After all, hosting providers should be providing backup?

    • WPBeginner Support

      While some hosts offer backups, we still recommend creating your own backups for safety

      Admin

  7. Kyle B.

    Changing the database prefix won’t make any difference. Other than that, not a bad article.

    • WPBeginner Support

      Thanks for sharing your opinion and glad you liked our article :)

      Admin

  8. kalmoa

    just an FYI, with Nginx there is no directory-level configuration file like Apache’s .htaccess. All configuration has to be done at the server level by an administrator, and WordPress cannot modify the configuration, like it can with Apache. So the part about ‘Disable PHP File Execution’, cannot be completed by wordpress installs running on Nginx. That includes myself, who is running my wordpress install on Vultr. Their one-click wordpress install gets deployed on Nginx (ubuntu 18.04)

    • WPBeginner Support

      Thank you for sharing this for the users who specifically are using Nginx for their site.

      Admin

  9. Tom

    What is the best method to update plugins if I have several that need updating? Update one at a time and see if the updated plugin breaks any of the functionality on the website?

  10. Kartik Satija

    Amazing article, very well articulated and documented.
    Thank you all so much for this.
    More power to you guys, keep up the good work.

    Cheers,
    Kartik.

    • WPBeginner Support

      Glad you found our guide helpful :)

      Admin

  11. MIMIFTAH

    Very Informative content. Thanks

    • WPBeginner Support

      You’re welcome :)

      Admin

  12. Liz

    Great article. I have a question about the hardening options. I read that enabling hardening on all options can cause some plugins or the theme to break/not work properly. If this happens, how difficult is it to fix? It seems like there’s more to it than just reverting the hardening option. Any insight you could offer would be greatly appreciated. Thanks!

    • WPBeginner Support

      It would depend on the specific hardening recommendation, plugin, and error message for the difficulty should an error appear. Otherwise, most plugins shouldn’t have an issue

      Admin

  13. Gary Starling

    Very helpful suggestions and well explained from the basic to the complex
    Thank you four your explanations

    • WPBeginner Support

      You’re welcome, glad our article could be helpful :)

      Admin

  14. Andrei

    Hi guys,

    After the first user enumeration, brute force a security plugin will block that IP address.

    If you password protect the wp-admin directory the plugin can no longer block that IP.

    Is that a correct assessment?

    • WPBeginner Support

      Correct, there would be a similar load to a blocked IP but if you need many new users to access your site then limiting login attempts would be better than password protecting your wp-admin

      Admin

      • Andrei

        Ok, I finally understood how this works and sharing here for everyone. Password protecting wp-admin is done at the server (Apache/Nginx) level. If a user enumeration, brute force is unable to bypass the server level, it would not be able to touch PHP/MySQL. Thus, password protecting wp-admin does not put additional load on the database.

  15. Peter

    Very informative and helpful, I have configured all the hardening procedure you mentioned, Thanks a lot.

    • WPBeginner Support

      You’re welcome, glad our guide was helpful :)

      Admin

  16. Aqib khan

    i will always follow you.i will always love you and always share such a fresh and cool content to make us smile.Thank You.

    • WPBeginner Support

      Thank you, glad you’ve enjoyed our content :)

      Admin

  17. mahmoud

    I love this site. you’re offering precious information.
    I’m a beginner and this is helpful.
    but can I only have a strong password and disable indexing to do the matter?
    what about all these plugins I think they will affect the site speed or this not installed on the site?

  18. Krishna

    Hi WP Beginner Team,

    Thanks for such a brief explanation of WordPress security. This article was very useful and let know the value of wp security for the users and website owner.

    THANKS AGAIN…

    • WPBeginner Support

      You’re welcome, glad our article was helpful :)

      Admin

  19. Kushal

    I used all plugin that you mentioned sucuri, itheams, wp serber and jetpack. How many plugin can I use on my website.

  20. Leighann

    This was SO helpful. Thanks for the information and saving me so much time!

    • WPBeginner Support

      You’re welcome, glad our guide could be helpful :)

      Admin

  21. Dietrich

    Hi

    Is it okay to use Sucuri and Wordfence at the same time? I installed Wordfence since Sucuri’s free version doesn’t have a firewall feature.

    • WPBeginner Support

      We would not recommend using both, multiple security tools can conflict with each other and cause issues with your site.

      Admin

  22. Yiannis Christodoulou

    Very helpful article.
    Thank you for sharing.

    • WPBeginner Support

      You’re welcome, glad our article could help :)

      Admin

  23. Steve Schultz

    Your free Sucuri Security plugin link is broken … 404 error.

    • WPBeginner Support

      Thanks for letting us know, the link should be fixed :)

      Admin

  24. Monty parihar

    Now my website is secured, after read your post immidiatly we install security plugin. Thank u WP Beginner.

    • WPBeginner Support

      You’re welcome :)

      Admin

  25. Melvin Adame

    Amazing read! Security should always be the #1 priority for any website owner, for their sake and their visitors.

    • WPBeginner Support

      Thank you, glad you like our content :)

      Admin

  26. Adil

    Thanks for all this info!

    • WPBeginner Support

      You’re welcome :)

      Admin

  27. Mark Bunner

    Some good tips here. I have already used a lot of them; but it gives a few other areas to think about.

    • WPBeginner Support

      Thank you, glad you like our recommendations :)

      Admin

  28. Chukwuemeka Ebuka

    Am very grateful for this article, all thanks to wpbeginner.com.

    • WPBeginner Support

      You’re welcome, glad our article could be helpful :)

      Admin

  29. Heidi

    Great article, thanks! I think I’ve done most of these things now (except ones requiring coding). I did however have a problem setting a password for the admin folder. While I worked out how to do this in cPanel (under ‘directory privacy’), when I went back to my dashboard I found I was locked out. Then I spent over an hour on chat support with Bluehost only to discover what I suspected – that when you log in to WP from Bluehost it takes you straight to the admin area, so there is no opportunity to login to the admin folder, which means you just get locked out. Guess this is a problem with Bluehost and the only solution they gave me was install a plugin :(

    • WPBeginner Support

      If you’re using their link from the hosting dashboard to log into your site that may be true but if you add /wp-admin to your domain then it should take you to the login page which will bring up the additional login requirement

      Admin

      • Heidi

        Ok great thanks, I’ll try that.

  30. Julian Song

    Awesome article on security. Setup WordPress is easy, but to managed it need lots of study & research. Your blog helps the community more than you can imagine. I even share your blog on the recent WordPress meet-up as one of the best guidelines.

    • WPBeginner Support

      Thank you for your kind words and sharing our articles :)

      Admin

    • WPBeginner Support

      You’re welcome, glad our guide could be helpful :)

      Admin

  31. Shiva Prasad

    Thanks for being a good mentor and for guiding me on the right path. I will always be thankful to you.

    • WPBeginner Support

      Glad our guides could help you :)

      Admin

  32. Majid

    Hi,

    I am new to wordpress, I am using bluehost to host my website, when I cliked on the wordpress button, it automatically took me to cPanel, without asking any password, which passwords are we talking about?

    P.S at the right top corner I could see Howdy, my name…does that mean is that my username?

    I do’t remember installing wordpress on bluehost, neither did I enter any username or password separately for wordpress.

    Please help.

    • WPBeginner Support

      That is BlueHost’s tool to make setting up your WordPress site easier, our article is talking about the password for your WordPress site. You can change your password for your site under Users>Your Profile. The name next to Howdy should be your username.

      Admin

  33. Terence Vickers

    You may have a typo in the XML-RPC section which is a bit confusing.
    Presently reads: “This is why if you’re not using XML-RPC, then we recommend that you disable it.”

    If I’m not using i There would likely be no way to disable it.

    • WPBeginner Support

      Apologies for any confusion, with that statement we mean if you’re not using it for a specific plugin or other need then we would recommend disabling it rather than meaning if it is disabled to disable it. We’ll look into clarifying that :)

      Admin

  34. Syed Gallani

    I understand keeping wordpress updated is essential for security, but is it really necessary ,from security point of view, to update all the plugins. How outdated plugins can make your website more prone to being hacked?

    • WPBeginner Support

      It would depend on the plugin for how it could make your site vulnerable but some plugins may have code that could be out of date for a newly discovered issue with a piece of code.

      Admin

  35. David Anozie

    A big thank you! Your the boss.

    • WPBeginner Support

      Thank you for being one of our readers :)

      Admin

  36. Nick

    Would blocking Search Engine Spiders (via robots.txt) from Indexing directories help with security?

    • WPBeginner Support

      No, it would only mean those search crawlers would not look at your site.

      Admin

  37. 寒星

    It’s turely helpful to maintaining WP. I love it and thank you so much.

    • WPBeginner Support

      You’re welcome, glad our article was helpful :)

      Admin

  38. peg

    i’m learning the hard way! : ) i’m so glad to have found you. i have a hacked 5-year old site hosted on godaddy (can’t get into the admin at all) … they want $300 to fix it, so i’m rebuilding on bluehost and implementing your security suggestions. looking forward to learning much more! thank you so much for this resource.

    • WPBeginner Support

      You’re welcome, glad our guide can help :)

      Admin

  39. Jeff Moyer

    Great comprehensive list thank you! Limiting the amount of login attempts I find is a big one since it will discourage a lot of hackers right from the get go. It might be frustrating if you lost or forget your passwords but still well worth it.

    • WPBeginner Support

      You’re welcome, glad you liked our article :)

      Admin

  40. Tanmay Kapse

    An awesomely detailed post!! each and every thing is described perfectly. Keep up the good work

    • WPBeginner Support

      Thank you, glad you liked our content :)

      Admin

  41. Sunny Chawla

    Much obliged to you for supportive page improve my site

    • WPBeginner Support

      Glad our guide could be helpful :)

      Admin

  42. Santhosh Naikar

    What are things I need to worry when it is hosted on a internal network[Has access to only systems with in our office network]?

    • WPBeginner Support

      Your main concern for an intranet would be to ensure each user has the correct privileges for their role, after that it would be protecting yourself from brute force attacks and similar.

      Admin

  43. steven suslick

    I find this and many of the posts very helpful. I have a hack related question. Google analytics is reporting strange pages that do not actually existing in my posts. The all seem to have a /?s= for example /?s=dox. I can not seem to locate source any suggestions?

    • WPBeginner Support

      Those pages are from users using the search on your site, for the second someone searched for the word dox :)

      Admin

  44. Emmanuel Ikechukwu

    This is the best wordpress online tutor i have come across so far.

    • WPBeginner Support

      Glad our articles are helpful :)

      Admin

  45. Bobbie Camp

    Found this article to be very helpful. I am very new and not “techy” and need all the assistance I can get. Appreciate your easy to read instructions.

    • WPBeginner Support

      Glad our articles could help :)

      Admin

  46. Jemes

    It is very helpful. Thanks

    • WPBeginner Support

      You’re welcome :)

      Admin

  47. NICHOLAS AMOL GOMES

    Thank you for helpful page improve my site

    • WPBeginner Support

      You’re welcome :)

      Admin

  48. Brad Vincent

    Hey guys,

    I must agree with your mentions of Sucuri – they have sorted out a couple of hacked sites of mine over the years. Worth every penny!

    I am really loving these extended posts with all the info I need. I have been following your website speed post and that has made a big difference to my sites. After I have finished with that I will be following this one for sure.

    Awesome work and much appreciated.

    • WPBeginner Support

      Thank you, glad you find our articles helpful :)

      Admin

  49. Brian

    What are your thoughts on Wordfence and Sucuri on the same WP installation? They seem to have some similar functionality so was wondering how much more I get with both versus just one security tool. Is Wordfence a reasonable alternative?

    • WPBeginner Support

      We would recommend only one at a time to prevent conflicts between the plugins.

      Admin

    • Mark

      I use Wordfence and Sucuri for different functions. While they may at first appear to be competitors, they are actually complementary. I’ve had no issues running both … so far … but of course there are incompatibilities among plugins in general.

Lascia una risposta

Grazie per aver scelto di lasciare un commento. Tenga presente che tutti i commenti sono moderati in base alle nostre politica dei commenti e il suo indirizzo e-mail NON sarà pubblicato. Si prega di NON utilizzare parole chiave nel campo del nome. Avremo una conversazione personale e significativa.