Come Mettere in Sicurezza un Sito WordPress: Checklist Completa
Lettura 9 min · AstraLoop Studio
WordPress fa girare oltre il 40% dei siti del pianeta. È anche il motivo per cui è il bersaglio preferito degli attacchi automatizzati: se scrivi un bot capace di attaccare WordPress, ti sei già garantito un mercato enorme di vittime potenziali. Non serve che qualcuno ce l'abbia con te. Basta che il tuo sito esista e sia raggiungibile.
I numeri lo dicono chiaramente. Secondo le stime del settore, un sito web viene attaccato in media ogni 32 minuti e nell'ultimo anno le botnet potenziate dall'intelligenza artificiale sono cresciute di circa il 45%. Tradotto: gli scanner automatici che cercano versioni vecchie di plugin, password deboli e file di configurazione esposti sono più veloci, più capillari e più difficili da distinguere dal traffico legittimo. Il Rapporto Clusit 2026 conferma la direzione: in Italia lo sfruttamento delle vulnerabilità è cresciuto di circa il 65% rispetto al 2024 e le PMI rappresentano il 72% dei bersagli.
La buona notizia è che la maggior parte di questi attacchi non è sofisticata. Sono robot che provano le stesse dieci cose su milioni di siti. Se chiudi quelle dieci cose, esci dal radar della quasi totalità degli attacchi opportunistici. Questa guida è la checklist per farlo, con onestà su dove un plugin di sicurezza ti copre e dove invece serve qualcos'altro.

Perché WordPress viene attaccato così spesso
Il core di WordPress, cioè la parte sviluppata e mantenuta dal progetto ufficiale, è tra i software open source più controllati al mondo. Le falle gravi nel core sono rare e vengono chiuse in fretta. Il problema quasi mai è WordPress in sé. Il problema è tutto quello che ci aggiungi sopra.
Un'installazione tipica ha un tema e da dieci a trenta plugin, ognuno scritto da autori diversi, con standard di qualità diversi e frequenze di aggiornamento diverse. Ogni plugin è codice che gira sul tuo server con permessi elevati. Se anche uno solo di questi ha una vulnerabilità e non lo aggiorni, hai una porta aperta. Le statistiche di settore attribuiscono la stragrande maggioranza dei siti WordPress compromessi proprio a plugin obsoleti, vulnerabili o abbandonati dai loro sviluppatori. Se vuoi capire meglio la meccanica di questo rischio, abbiamo dedicato un approfondimento alle vulnerabilità dei plugin WordPress e a come individuarle prima che lo facciano gli attaccanti.
Gli altri due vettori classici sono le credenziali deboli (attacchi brute force e credential stuffing sull'area di login) e gli hosting mal configurati (permessi file sbagliati, versioni di PHP non aggiornate, assenza di isolamento tra siti sullo stesso server). Tre fronti, tutti chiudibili con un po' di disciplina.
La checklist per mettere in sicurezza WordPress
Segui questi punti nell'ordine. I primi sono a costo zero e coprono la maggior parte del rischio. Gli ultimi richiedono più attenzione o competenze specifiche.
1. Aggiorna tutto, sempre e in fretta
Core, tema e plugin. Gli aggiornamenti di sicurezza chiudono falle già pubbliche, quindi note anche agli attaccanti. Il momento più pericoloso è la finestra tra quando una vulnerabilità viene divulgata e quando tu aggiorni. Attiva gli aggiornamenti automatici almeno per il core e per i plugin di sicurezza. Per i plugin critici che potrebbero rompere il sito, aggiorna manualmente ma entro 24-48 ore dal rilascio, testando prima su una copia di staging.
2. Elimina ciò che non usi
Ogni plugin e tema disattivato ma ancora installato resta codice presente sul server, aggredibile anche se inattivo. Cancella (non solo disattivare) tutto quello che non ti serve. Un plugin abbandonato dal suo autore, senza aggiornamenti da oltre un anno, va sostituito: è una bomba a orologeria.
3. Password forti e autenticazione a due fattori
Password lunghe, uniche, generate da un password manager. Per ogni account amministratore attiva l'autenticazione a due fattori (2FA). È la singola misura che neutralizza la maggior parte degli attacchi alle credenziali. Un attaccante può indovinare o rubare una password, ma senza il secondo fattore non entra.
4. Cambia lo username "admin" e limita i tentativi di accesso
L'utente "admin" è il primo che ogni bot prova. Usa username non prevedibili. Poi limita i tentativi di login (dopo N errori, blocco temporaneo dell'IP) per fermare gli attacchi brute force. Molti plugin di sicurezza lo fanno di serie.
5. Proteggi e sposta la pagina di login
Cambiare l'URL di login da /wp-admin a un percorso personalizzato riduce drasticamente il traffico automatizzato sulla pagina. Non è sicurezza vera, è offuscamento, ma taglia il rumore di fondo degli scanner. Meglio ancora: proteggi /wp-admin con autenticazione HTTP a livello di server, oppure restringi l'accesso a IP noti se lavori sempre dalla stessa rete.
6. HTTPS ovunque, senza eccezioni
Certificato SSL/TLS attivo e forzatura del traffico su HTTPS. Senza, le credenziali viaggiano in chiaro e chiunque sulla stessa rete può intercettarle. Oggi è gratuito (Let's Encrypt) e quasi tutti gli hosting lo offrono con un clic. Non c'è scusa per non averlo.
7. Backup automatici e testati
Backup regolari (giornalieri per un sito attivo), salvati fuori dal server del sito, così se il server viene compromesso il backup resta pulito. E soprattutto: verifica di saperli ripristinare. Un backup che non hai mai testato non è un backup, è una speranza. Se ti trovi già nei guai, la nostra guida su cosa fare quando un sito WordPress è stato hackerato spiega i passi immediati.
8. Permessi dei file corretti
Directory a 755, file a 644, il file wp-config.php a 600 o 640. Nessun file o cartella deve essere scrivibile da chiunque (777). Permessi troppo aperti permettono a un attaccante che entra da una falla di scrivere file malevoli e prendere il controllo.
9. Disabilita l'editor di file dalla dashboard
WordPress permette di modificare i file di tema e plugin direttamente dalla bacheca. Comodo, ma è anche il primo posto dove un attaccante che ottiene accesso admin inietta codice. Disabilitalo aggiungendo define('DISALLOW_FILE_EDIT', true); nel wp-config.php.
10. Metti un Web Application Firewall (WAF)
Un WAF filtra le richieste malevole prima che arrivino a WordPress: tentativi di SQL injection, cross-site scripting, sfruttamento di vulnerabilità note. Può essere a livello di plugin (Wordfence, Sucuri) oppure a livello di rete (Cloudflare). Il secondo è più robusto perché blocca il traffico prima ancora che tocchi il tuo server.
11. Hardening dell'hosting
Versione di PHP aggiornata e supportata, isolamento tra siti (no hosting condiviso dove un sito bucato ne infetta altri), disabilitazione di XML-RPC se non ti serve (è un vettore classico di attacchi brute force e DDoS amplificati). Un hosting scadente vanifica ogni altra misura.
12. Monitoraggio e log
Devi sapere cosa succede sul tuo sito: chi accede, quali file cambiano, quali tentativi di login falliscono. Un plugin di monitoraggio dell'integrità dei file ti avvisa se qualcosa viene modificato senza il tuo intervento. Senza log, un'infezione può restare invisibile per mesi.

Wordfence, Sucuri e i limiti dei plugin di sicurezza
Wordfence e Sucuri sono ottimi strumenti e i primi che consigliamo di installare. Fanno molto di quello che sta nella checklist: WAF, scansione malware, limitazione dei login, monitoraggio dell'integrità dei file. Se non hai nulla, installali oggi. Detto questo, è importante capire cosa un plugin di sicurezza non può fare, perché il marketing di questi strumenti tende a suggerire una protezione totale che non esiste.
| Aspetto | Plugin (Wordfence / Sucuri) | Audit professionale |
|---|---|---|
| Vulnerabilità note | Rileva le firme già catalogate | Cerca anche configurazioni errate e falle non ancora catalogate |
| Logica di business | Cieco (non capisce cosa fa il tuo sito) | Testa i flussi reali: checkout, aree riservate, form |
| Errori di configurazione | Copertura parziale | Analizza server, permessi, integrazioni, terze parti |
| Falsi positivi e negativi | Frequenti, richiedono interpretazione umana | Verificati manualmente da chi conduce il test |
| Codice custom | Non lo esamina | Ispeziona plugin su misura e integrazioni proprietarie |
| Contesto di rischio | Nessuno | Prioritizza in base all'impatto sul tuo business |
Il limite di fondo è che un plugin lavora su firme: riconosce solo ciò che è già noto. È reattivo per definizione. Non capisce la logica del tuo sito, non sa che il form al terzo passo del tuo checkout ha una falla nella validazione, non esamina il plugin custom che ti ha scritto un freelance tre anni fa, non valuta se una tua integrazione con un servizio esterno espone dati. Uno scanner automatico ti dà un elenco di alert, spesso pieno di falsi positivi e negativi, senza dirti quali contano davvero per te. È la differenza tra un metal detector all'ingresso e una guardia che conosce l'edificio.
Qui sta anche il posizionamento onesto: molte agenzie vendono scansioni automatizzate economiche perché costano poco da erogare. Ma una scansione non è un audit. Un vulnerability assessment serio combina strumenti automatici e verifica umana, e un penetration test va oltre: simula un attaccante reale che prova attivamente a violare il sito. Se vuoi capire la differenza tra i due, l'abbiamo spiegata nell'articolo su vulnerability assessment e penetration test a confronto. Il tutto ha senso dentro una cornice più ampia: un audit di sicurezza informatica per PMI non guarda solo il sito, ma anche email, endpoint, fornitori e uso interno degli strumenti.
Vuoi sapere se il tuo sito WordPress è davvero al sicuro o solo apparentemente a posto? Richiedi un'analisi e ti diciamo dove sono le porte aperte, con priorità chiare invece di una lista di alert da interpretare.
Il fattore AI: perché la checklist da sola non basta più
Fino a qualche anno fa un sito piccolo poteva contare su un certo anonimato: pochi attaccanti umani avevano tempo da perdere su una PMI. Quell'epoca è finita. Le botnet potenziate dall'AI attaccano tutto, indistintamente, a costi marginali prossimi allo zero. Generano varianti di malware più rapidamente, adattano i tentativi di brute force in base alle difese che incontrano e producono campagne di phishing iper-realistiche per rubare le credenziali dei tuoi amministratori. In Italia le frodi basate su deepfake audio sono cresciute di circa il 300% rispetto al 2023.
Questo cambia la prospettiva: il sito è solo una delle porte. Un attaccante moderno spesso non ha bisogno di bucare WordPress se può convincere un tuo collaboratore, con una email credibile, a consegnargli le credenziali. La sicurezza del sito va quindi inserita in un quadro più ampio, che include come il tuo team gestisce email, password e strumenti AI. Se vuoi il quadro completo per un'azienda italiana, parti dalla nostra guida alla cyber security per PMI aggiornata al 2026, e se gestisci un negozio online l'approfondimento su sicurezza informatica per e-commerce entra nel merito dei rischi specifici di chi tratta pagamenti e dati dei clienti.
Non è solo tecnica: c'è anche il GDPR
Se il tuo sito raccoglie dati (form di contatto, newsletter, account clienti, ordini), la sicurezza non è opzionale: è un obbligo di legge. Il GDPR impone misure tecniche e organizzative adeguate a proteggere i dati personali, e in caso di violazione scatta l'obbligo di notifica al Garante Privacy entro 72 ore. Un sito bucato che espone gli indirizzi dei tuoi clienti non è solo un problema tecnico: è un data breach con conseguenze legali e reputazionali. La checklist di questa guida è anche il primo passo per dimostrare di aver adottato quelle misure adeguate. Non è un parere legale, ma il messaggio è chiaro: trascurare la sicurezza del sito ha un prezzo che va ben oltre il downtime.
Cosa fare adesso, in pratica
Se hai un sito WordPress e finora ti sei affidato solo a un plugin (o a nulla), l'ordine di priorità è questo:
- Attiva subito la 2FA su tutti gli account admin e aggiorna core, temi e plugin.
- Elimina plugin e temi inutilizzati o abbandonati.
- Installa un plugin di sicurezza (Wordfence o Sucuri) e configura backup automatici esterni testati.
- Verifica HTTPS, permessi file e versione PHP insieme al tuo hosting.
- Se il sito gestisce pagamenti, dati sensibili o è centrale per il tuo business, fai valutare la sicurezza da un professionista con un audit, non con una semplice scansione.
I primi quattro punti li puoi coprire da solo in un pomeriggio e ti tolgono dal mirino della maggior parte degli attacchi automatici. Il quinto è quello che fa la differenza tra "sembra a posto" ed "è verificato". Un elenco di alert generato da un plugin non è una valutazione del rischio: è materia prima che qualcuno deve interpretare. Se ti serve capire quanto costa questo tipo di verifica, abbiamo scritto una guida trasparente sul costo di un security audit di un sito web.
Domande frequenti
Basta installare Wordfence per mettere in sicurezza WordPress?
È un ottimo primo passo e copre WAF, scansione malware e limitazione dei login, ma non basta. Wordfence lavora su firme di minacce note e non esamina la logica del tuo sito, il codice custom o gli errori di configurazione del server. Va abbinato alla checklist di base e, per i siti critici, a un audit con verifica umana.
Ogni quanto devo aggiornare plugin e temi di WordPress?
Il prima possibile dopo il rilascio, idealmente entro 24-48 ore per gli aggiornamenti di sicurezza. La finestra tra la divulgazione di una vulnerabilità e il tuo aggiornamento è il momento più pericoloso. Attiva gli aggiornamenti automatici per il core e testa i plugin critici su una copia di staging prima di applicarli in produzione.
I plugin sono davvero la causa principale degli hackeraggi WordPress?
Sì. Il core di WordPress è tra i software open source più controllati al mondo e le falle gravi sono rare. La stragrande maggioranza dei siti compromessi lo è a causa di plugin obsoleti, vulnerabili o abbandonati dai loro sviluppatori. Elimina ciò che non usi e aggiorna in fretta il resto.
Cambiare l'URL di login da wp-admin serve davvero?
Riduce molto il traffico automatizzato degli scanner sulla pagina, ma è offuscamento, non sicurezza vera. Da solo non protegge: va accompagnato da password forti, 2FA e limitazione dei tentativi di accesso. Meglio ancora proteggere l'area admin a livello di server o restringerla a IP noti.
Qual è la differenza tra una scansione automatica e un audit di sicurezza?
Una scansione automatica confronta il sito con un database di vulnerabilità note e produce un elenco di alert, spesso con falsi positivi e negativi. Un audit combina strumenti automatici e verifica umana: testa i flussi reali del sito, esamina il codice custom, valuta le configurazioni e prioritizza i rischi in base all'impatto sul tuo business.
Un sito piccolo con poco traffico è comunque a rischio?
Sì, forse più di uno grande. Gli attacchi moderni sono automatizzati e potenziati dall'AI: colpiscono indistintamente milioni di siti a costo quasi zero, cercando versioni vecchie di plugin e password deboli. Non serve che qualcuno ce l'abbia con te. Le PMI sono il 72% dei bersagli proprio perché spesso meno protette.
Un plugin ti dà alert, non risposte. Parlane con noi: valutiamo la sicurezza del tuo sito e della tua azienda con un audit che distingue il rischio reale dal rumore di fondo.