Choose language

🇬🇧English
🇮🇹Italiano
🇪🇸Español
🇫🇷Français
🇩🇪Deutsch
🇧🇷Português
🇯🇵日本語
🇷🇺Русский
Explore
Moduli Per chi Prezzi
Shop — Buy PRO
Account
Dashboard LANGA Account
Docs
Wordpress Logo WhiteDownload for WordPress
eNews

Sicurezza WordPress 2026: le difese che servono davvero

21 Feb 2026

Nel 2026 WordPress è il bersaglio numero uno degli attacchi automatizzati sul web. Il 43% del mercato significa che ogni vulnerabilità scoperta viene sfruttata su milioni di siti in poche ore. Ma la sicurezza WordPress non richiede paranoia — richiede metodo. Ecco le difese che fanno la differenza reale.

Il modello di minaccia: da cosa ti difendi

Il 95% degli attacchi a siti WordPress è automatizzato. Bot che scansionano internet cercando plugin vulnerabili, credenziali deboli, endpoint esposti. Non sei un bersaglio personale — sei un bersaglio statistico. Questo significa che le difese di base fermano la quasi totalità degli attacchi.

Il restante 5% sono attacchi mirati: competitor che vogliono buttare giù il tuo sito, ex dipendenti con credenziali attive, attacchi supply chain tramite plugin compromessi. Questi richiedono difese più sofisticate.

Livello 1: le basi che fermano il 95% degli attacchi

  • Aggiornamenti entro 48 ore: WordPress core, temi e plugin. Le vulnerabilità note vengono sfruttate entro ore dalla pubblicazione. Un sito aggiornato è un bersaglio mobile; uno fermo è un bersaglio facile.
  • Password forti + 2FA: ogni account admin con password unica di 16+ caratteri e autenticazione a due fattori. Blocca il 100% degli attacchi brute-force.
  • Backup giornalieri off-site: non sul server dove sta il sito. Su un servizio esterno (S3, Google Drive, Borg su altro server). Testare il restore almeno una volta al trimestre.
  • HTTPS ovunque: certificato SSL attivo, redirect HTTP→HTTPS forzato, HSTS header. Nel 2026 è il minimo indispensabile.
  • Principio del minimo privilegio: ogni utente ha solo i permessi necessari. L'editor non è admin. Il contributor non pubblica. Meno utenti admin ci sono, minore è la superficie di attacco.

Livello 2: hardening per siti business

  • Disabilitare XML-RPC: protocollo legacy usato quasi esclusivamente per attacchi. A meno che non usi l'app WordPress mobile o Jetpack, va disabilitato.
  • Limitare REST API: endpoint come /wp-json/wp/v2/users espongono la lista degli utenti. Limita l'accesso agli endpoint non necessari.
  • File permissions: wp-config.php a 400 o 440. Nessun file scrivibile dal web server tranne wp-content/uploads. Directory listing disabilitato.
  • HTTP Security Headers: Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy. Ogni header chiude un vettore di attacco specifico.
  • Monitoraggio file: alert automatico se un file core WordPress viene modificato. Qualsiasi modifica ai file core è sospetta — WordPress non modifica i propri file dopo l'installazione.

Livello 3: protezione enterprise

Per siti e-commerce, finanziari, o con dati sensibili:

  • WAF (Web Application Firewall): Cloudflare, Sucuri o ModSecurity filtrano il traffico malevolo prima che raggiunga WordPress. Bloccano SQL injection, XSS, e altri attacchi applicativi.
  • Ambiente isolato: server dedicato o VPS con solo WordPress installato. Niente panel condiviso, niente altri siti sullo stesso server.
  • Audit log completo: ogni azione in wp-admin registrata con timestamp, utente, IP. Essenziale per forensics post-incidente e per compliance GDPR.
  • Penetration test: almeno annuale, eseguito da professionisti. Identifica vulnerabilità che gli scanner automatici non trovano.

Il modulo Safer di LANGA Tools implementa i livelli 1 e 2 con configurazione guidata: XML-RPC, REST API, headers, file permissions — tutto gestito da un pannello unico senza modificare file manualmente.

I plugin di sicurezza servono davvero?

Dipende da quali. Un plugin che implementa le misure descritte sopra (2FA, file monitoring, headers) è utile. Un plugin che promette di bloccare tutti gli attacchi con un firewall applicativo ma poi pesa 5MB e aggiunge 200ms al TTFB potrebbe causare più danni di quelli che previene. Scegli plugin leggeri che fanno poche cose bene.

Il mio hosting offre sicurezza gestita. Basta quello?

La sicurezza dell'hosting copre il livello server (firewall di rete, patching OS, isolamento). Non copre il livello applicativo (plugin vulnerabili, password deboli, configurazione WordPress). Servono entrambi. L'hosting gestito è una buona base, non una soluzione completa.

Cosa faccio se il sito viene compromesso?

Primo: niente panico. Secondo: metti il sito in manutenzione. Terzo: ripristina da un backup pulito (non l'ultimo — potrebbe essere già compromesso; vai indietro di almeno una settimana). Quarto: cambia tutte le password. Quinto: aggiorna tutto. Sesto: identifica il vettore di attacco (quale plugin? quale vulnerabilità?) e chiudilo. Se non sai come fare, chiama un professionista — il costo è inferiore al danno di una pulizia fatta male.

Aaccount
LANGA GALAXY

Per continuare a leggere,
accedi al tuo account.

Il tuo account LANGA ti connette a tutta la Galaxy.

Articoli completi su tutti i blog Galaxy.

Un solo login, accesso ovunque.

Guadagna Leghe e sblocca contenuti premium.

Accedi →Registrati gratis
← Tutti gli articoli
Privacy Cookie Terms Impressum | Docs