Sicurezza WordPress: come proteggere il tuo sito dagli attacchi

Ogni giorno vengono attaccati oltre 90.000 siti WordPress nel mondo. Non si tratta di grandi portali o e-commerce milionari: la stragrande maggioranza dei bersagli sono siti di piccole imprese, professionisti e freelance che non hanno mai pensato di essere un obiettivo interessante. Eppure lo sono, proprio perché spesso non adottano nessuna misura di protezione.

WordPress è il CMS più diffuso al mondo — alimenta oltre il 43% di tutti i siti web esistenti. Questa popolarità è un vantaggio straordinario in termini di ecosistema, plugin e comunità, ma è anche il motivo per cui gli hacker concentrano qui i loro sforzi: sviluppare un attacco automatizzato contro WordPress significa poter colpire milioni di siti con un unico strumento.

In questa sezione trovi tutte le guide pratiche sulla sicurezza WordPress: da cosa fare se il sito è già stato compromesso, a come costruire una difesa preventiva solida che riduca al minimo il rischio di attacchi futuri. Ogni articolo è scritto per essere comprensibile anche a chi non ha un background tecnico, con passaggi concreti e verificabili.

Perché WordPress viene attaccato così spesso

Il core di WordPress è sicuro. Viene revisionato continuamente da centinaia di sviluppatori e le patch escono con regolarità. Il problema, quasi sempre, viene da fuori — e si ripete in tre modi.

Il problema più diffuso riguarda i plugin e i temi non aggiornati. Ogni plugin aggiuntivo installato è una potenziale porta d’ingresso: se lo sviluppatore scopre una vulnerabilità e rilascia un aggiornamento che tu non installi, quella falla rimane aperta. Le statistiche parlano chiaro: oltre il 50% degli attacchi riusciti sfrutta vulnerabilità in plugin non aggiornati.

Poi ci sono le credenziali deboli. La pagina di login di WordPress (wp-login.php) è pubblica per definizione, e gli attacchi brute force — che provano migliaia di combinazioni username/password al secondo — sono automatizzati e continui. Un accesso con username “admin” e una password semplice può essere violato in pochi minuti.

Infine c’è la configurazione errata del server e dei file. Permessi file troppo permissivi, il file wp-config(.)php esposto, l’accesso XML-RPC abilitato senza necessità, prefissi delle tabelle del database lasciati al valore predefinito: ognuno di questi elementi offre un vantaggio agli attaccanti che sanno cosa cercare.

Le quattro aree di rischio principali

1. Accessi non autorizzati

Gli attacchi brute force contro wp-login.php sono la minaccia più comune e più semplice da mitigare. Limitare i tentativi di accesso, abilitare l’autenticazione a due fattori (2FA) e cambiare l’URL di login predefinito sono misure che da sole eliminano la grande maggioranza di questi tentativi.

2. Malware e backdoor

Quando un attaccante riesce ad accedere al sito, il primo obiettivo è quasi sempre installare una backdoor — un accesso nascosto che permette di rientrare anche dopo che la vulnerabilità originale è stata chiusa. Il malware può essere iniettato nei file del tema, nei plugin, nella cartella wp-content o direttamente nel database. Rilevarlo richiede strumenti di scansione specifici come Wordfence o Sucuri Scanner.

3. Vulnerabilità nei plugin e nei temi

Non tutti i plugin vengono mantenuti con la stessa cura. Plugin abbandonati dagli sviluppatori, temi acquistati su marketplace non verificati (o peggio, scaricati gratuitamente da fonti non ufficiali), versioni nulled di plugin premium: sono tutti vettori di attacco documentati. Un firewall applicativo come Wordfence o Cloudflare può bloccare i tentativi di sfruttamento anche prima che raggiungano WordPress.

4. Configurazione e hardening

L’hardening di WordPress — la pratica di rafforzare la configurazione per ridurre la superficie di attacco — comprende una serie di interventi sul file .htaccess, su wp-config(.)php, sui permessi delle cartelle e sulla gestione dei ruoli utente. Molti di questi interventi richiedono pochi minuti ma riducono drasticamente il rischio.

SSL, HTTPS e protezione dei dati in transito

Un certificato SSL non è più opzionale: Google considera HTTPS un fattore di ranking, i browser moderni mostrano avvisi “Non sicuro” sui siti HTTP, e senza cifratura i dati trasmessi tra il sito e i visitatori — inclusi username, password e dati di pagamento — viaggiano in chiaro sulla rete.

Installare e configurare correttamente SSL su WordPress richiede più attenzione di quanto si pensi: loop di redirect, contenuti misti (mixed content), certificati scaduti e mancata forzatura HTTPS sono problemi comuni che possono rendere il sito inaccessibile o far scattare avvisi di sicurezza nei browser.

Cosa fare se il sito è già stato attaccato

Se sospetti che il tuo sito WordPress sia stato compromesso, il tempo è il fattore critico. Più a lungo un sito rimane infetto, maggiore è il rischio che Google lo inserisca nella sua blacklist — con conseguente perdita di traffico organico e notifiche di malware per i visitatori. I segnali da riconoscere includono reindirizzamenti verso altri siti, contenuti estranei nelle pagine, email di spam inviate dal tuo dominio, avvisi di sicurezza nella Google Search Console.

In ordine: isolare il sito, scansionare file e database, rimuovere ogni traccia di malware e backdoor, cambiare tutte le credenziali, verificare l’integrità dei file core. Solo dopo si può richiedere la revisione a Google.

Sicurezza WordPress fai-da-te o affidarsi a un professionista?

La maggior parte delle misure descritte in questa sezione si gestisce da soli, senza bisogno di un tecnico. Aggiornamenti, plugin, backup, configurazione base — tutto ha la sua guida pratica qui sotto. Il punto di rottura arriva quando il sito è già compromesso: un sito ripulito in modo incompleto lascia backdoor attive, e l’attaccante rientra nel giro di ore.

La distinzione da fare è tra sicurezza preventiva — aggiornamenti, plugin, configurazione, backup — che chiunque può gestire seguendo le guide di questa sezione, e risposta a un incidente — sito già compromesso, malware attivo, blacklist Google — dove l’intervento di un esperto è quasi sempre la scelta più rapida ed economica nel lungo periodo.

In sintesi

WordPress non è insicuro — è il bersaglio preferito perché alimenta il 43% del web. Ogni installazione che gira con plugin non aggiornati, credenziali deboli o configurazione di default è un bersaglio facile per i bot automatizzati che scansionano la rete continuamente, senza distinguere tra siti grandi e piccoli. La popolarità di WordPress è un vantaggio enorme in termini di ecosistema e supporto — ma richiede attenzione attiva, non installazione e abbandono.

Oltre il 50% degli attacchi riusciti sfrutta vulnerabilità in plugin per cui esisteva già una patch. Non exploit sofisticati — script automatizzati che trovano la versione vulnerabile e applicano l’exploit documentato. Aggiornarsi non è una buona pratica: è la misura di sicurezza più efficace che esiste per WordPress, e costa zero.

Le quattro aree di rischio reale sono accessi non autorizzati, malware e backdoor, vulnerabilità nei plugin e nei temi, configurazione errata del server. Le guide di questa sezione le coprono tutte — con procedure pratiche, non liste di consigli generici.

Un sito già compromesso è un caso diverso dal sito non ancora attaccato. Per il primo serve un intervento immediato e ordinato — bonifica, rimozione backdoor, hardening, revisione Google. Per il secondo basta la prevenzione: aggiornamenti, backup, firewall, 2FA. La distinzione conta perché le procedure sono diverse e l’urgenza è diversa.