L’investimento iniziale necessario per un sito web è un motivo sufficiente per proteggere il sito fin dall’inizio. Hacker, malware, attacchi backdoor e spam SEO sono solo alcune delle minacce che attendono il vostro server, i dati dei visitatori e l’infrastruttura del sito.

Queste minacce alla sicurezza mettono in pericolo i profitti, la fiducia dei clienti e la stabilità del sito. Ecco perché abbiamo stilato un elenco dei migliori plugin per la sicurezza di WordPress per bloccare tutti i possibili intrusi.

Utilizzare questi plugin di sicurezza su un sito web è come stipulare un’assicurazione e installare un sistema di allarme. Il vostro investimento potrebbe richiedere un forte anticipo, spese di ispezione e un mutuo. Non vorreste proteggerlo al meglio? È proprio questo l’argomento che approfondiremo in questo articolo!

Plugin di Sicurezza di WordPress 101

Di default, il core di WordPress prevede alcune misure di sicurezza. Ma la sicurezza può essere notevolmente migliorata con un plugin affidabile. I migliori plugin per la sicurezza di WordPress offrono:

  • Monitoraggio attivo della sicurezza
  • Scansione dei file
  • Scansione malware
  • Monitoraggio della blocklist
  • Irrigidimento della sicurezza
  • Azioni post-hack
  • Firewall
  • Protezione da attacchi brute force
  • Notifiche inviate quando viene rilevata una minaccia

Alcuni plugin per la sicurezza di WordPress offrono ancora più garanzie, ma le funzioni elencate qui sopra sono le più importanti.

La Priorità Numero Uno: Hosting Sicuro

La sicurezza del sito è buona tanto quanto lo sono le sue fondamenta. Per questo motivo, prima di cercare i migliori plugin per la sicurezza di WordPress, è importante scegliere una piattaforma di hosting WordPress che disponga già di misure di sicurezza, come ad esempio Kinsta (che offre soluzioni di sicurezza di livello enterprise per tutti gli utenti).

Molte di queste misure di sicurezza vengono adottate a livello di server e possono essere molto più efficaci senza danneggiare le prestazioni del sito. Non bisogna perdere tempo a smanettare con una serie di impostazioni di sicurezza nei plugin che potrebbero non essere comprensibili.

Hosting WordPress Sicuro
Hosting WordPress Sicuro

Ecco alcune caratteristiche di sicurezza offerte da Kinsta su tutti i piani di hosting WordPress gestito.

  • Kinsta rileva gli attacchi DDoS, monitora i tempi di attività e blocca automaticamente gli IP con più di sei tentativi di accesso falliti in un minuto.
  • Sono supportate solo connessioni SFTP e SSH crittografate (non FTP) per l’accesso diretto ai siti WordPress (ecco la differenza tra FTP e SFTP).
  • Per impedire l’accesso ai dati, sono in atto firewall hardware e altre misure di sicurezza attive e passive.
  • Le restrizioni di open_basedir non consentono inoltre l’esecuzione di PHP in directory standard soggette a script dannosi.
  • Kinsta utilizza container Linux (LXC) su Google Cloud Platform (GCP), garantendo l’isolamento completo di ogni account e ogni sito WordPress. Si tratta di un metodo molto più sicuro di quello offerto dalla concorrenza. GCP utilizza anche la crittografia dei dati a riposo.
  • Kinsta esegue solo versioni supportate di PHP. Le versioni di PHP non supportate sono pericolose perché non dispongono più di aggiornamenti di sicurezza e sono esposte a vulnerabilità non risolte. Gli aggiornamenti regolari sono la soluzione migliore.
  • Kinsta fornisce backup per tutti i siti sui suoi server, creando automaticamente due settimane di backup che i proprietari dei siti possono ripristinare in caso di necessità.
  • L’autenticazione a due fattori aggiunge un ulteriore livello di sicurezza durante il processo di login.
  • Tutte le nuove installazioni di Kinsta devono generare una password solida per procedere.
  • Niente è mai a prova di hacker al 100%, ed è per questo che Kinsta fornisce riparazioni gratuite per tutti i clienti.

È importante notare che molti plugin di sicurezza causano problemi di prestazioni perché sono sempre in funzione. Ecco perché Kinsta vieta alcuni (non tutti) i plugin di sicurezza. Kinsta utilizza anche i bilanciatori di carico di Google Cloud Platform, il che significa che in alcuni casi le funzioni di blocco degli IP di specifici plugin di sicurezza non funzioneranno come previsto.

Ai clienti di Kinsta consigliamo vivamente di utilizzare una soluzione come Cloudflare o Sucuri insieme a Kinsta, soprattutto se si ha bisogno di una protezione extra o di un aiuto per ridurre il traffico di bot e/o proxy. Sucuri è noto per riuscire a mitigare rapidamente gli attacchi DDoS. Se si utilizza Cloudflare, è anche possibile configurare le impostazioni del firewall consigliate.

Ma non tutti gli host dispongono di una sicurezza così rigorosa come quella di Kinsta, ed è in questo caso che si può trarre vantaggio dai migliori plugin per la sicurezza di WordPress.

I Migliori Plugin per la Sicurezza di WordPress nel 2024

Se avete fretta, fate clic sui seguenti link per testare i plugin di sicurezza e scegliere quello che vi serve. Se invece volete sapere tutto della nostra analisi approfondita, continuate a leggere!

I Migliori Plugin per la Protezione Totale del Sito e il Monitoraggio Attivo

I Migliori per la Scansione e il Blocco di Malware, Virus e IP Sospetti

I Migliori per la Prevenzione di Spam e Bot

I Migliori per Nascondere i File agli Intrusi

I Migliori per l’Autenticazione e la Sicurezza del Login

Il Migliore per il Backup dei File del Sito

I Migliori Plugin per Riparare gli Hack

Il Migliore per l’Esecuzione dei Log di Sicurezza

Il Migliore per Attivare un SSL (Secure Socket Layer)

La maggior parte dei plugin di sicurezza è a pagamento, ma alcuni sono disponibili gratuitamente con funzionalità limitate.

Parleremo dei prezzi, ma è più importante capire cosa fa ognuno di questi plugin. In definitiva, si tratta di trovare il modo migliore per tenere lontani i malintenzionati dal vostro investimento e a volte questo significa spendere un po’ di soldi.

I Migliori Plugin per la Protezione Completa del Sito Web e il Monitoraggio Attivo

1. Sucuri Security – Auditing, Malware Scanner and Security Hardening

Il plugin Sucuri Security ha sia una versione gratuita che una versione a pagamento, ma alla maggior parte dei siti web dovrebbe essere sufficiente il plugin gratuito. Ad esempio, il firewall richiede un piano a pagamento di Sucuri, ma non tutti gli amministratori di siti web ritengono di aver bisogno di questo tipo di sicurezza.

Il plugin WordPress Sucuri Security
Il plugin WordPress Sucuri Security

Per quanto riguarda le funzioni gratuite, il plugin è dotato di un controllo delle attività di sicurezza per verificare l’efficacia del plugin nel proteggere il sito.

Ha il monitoraggio dell’integrità dei file, il monitoraggio delle liste di blocco, le notifiche di sicurezza e l’irrigidimento della sicurezza. I piani premium offrono canali di assistenza clienti e scansioni più frequenti. Ad esempio, potreste eseguire una scansione ogni 12 ore.

Prezzi

Sucuri offre un piano gratuito e una garanzia di rimborso di 30 giorni se l’upgrade non è di vostro gradimento.

Ecco i piani premium:

  • Firewall Basic: $9,99 al mese
  • Firewall Pro: $19,98 al mese
  • Piattaforma Basic (pulizie, scansioni, firewall e CDN): $199,99 al mese
  • Piattaforma Pro: 299,99 dollari al mese
  • Piattaforma Business: $499,99 al mese

Caratteristiche che Rendono Sucuri Security un’Ottima Scelta:

  • Offre diverse varianti di certificati SSL. Questi sono a pagamento, ma sono disponibili nei pacchetti.
  • Il servizio clienti è disponibile in chat 24/7/365, email e sistema di ticketing.
  • Si ricevono notifiche istantanee quando qualcosa non va nel sito.
  • È disponibile in alcuni piani protezione DDoS avanzata.
  • Se non si vuol pagare nulla, si ricevono comunque preziosi strumenti per il monitoraggio della blocklist, la scansione del malware, il monitoraggio dell’integrità dei file e il rafforzamento della sicurezza.
  • La piattaforma premium offre report post-pulizia, SLA per la rimozione dell’hardware, monitoraggio della blocklist, patch per gli hack e altro ancora.

Altre letture: Come Configurare Sucuri Firewall (WAF) Nel Vostro Sito WordPress

2. iThemes Security

Il plugin iThemes Security (precedentemente noto come Better WP Security) è una delle soluzioni più interessanti per proteggere il vostro sito web, con oltre 30 funzionalità per prevenire hack e intrusioni indesiderate.

Si concentra molto sul riconoscimento delle vulnerabilità dei plugin, di software obsoleto e di password deboli, e questo fa di iThemes un plugin di sicurezza completo per ogni tipo di sito WordPress.

Il plugin WordPress iThemes Security
Il plugin WordPress iThemes Security

Sebbene la versione gratuita includa alcune funzioni di sicurezza di base, consigliamo di passare a iThemes Security Pro. Questa versione offre assistenza con ticket, un anno di aggiornamenti del plugin e il supporto di due siti web. Se si desidera proteggere più siti, si può passare a un piano più costoso.

Per quanto riguarda le caratteristiche principali della versione Pro, iThemes Security Pro offre un forte rafforzamento delle password, il blocco degli utenti scorretti, il backup del database e l’autenticazione a due fattori.

Questi sono solo alcune delle funzioni che il plugin offre per proteggere il vostro sito. È possibile attivare 30 misure di sicurezza complete, il che rende iThemes Security Pro un ottimo affare.

Prezzi

La suite di sicurezza di iThemes Security Pro parte da 80 dollari all’anno. I prezzi aumentano se si ha bisogno di proteggere più siti. C’è anche una garanzia di rimborso di 30 giorni.

Ecco i piani di iThemes Security Pro:

  • Blogger: $80 all’anno
  • Freelance: 127 dollari all’anno
  • Gold: $199 all’anno
  • Plugin Suite: $499 all’anno

Goditi la tranquillità offerta dal Firewall di Google Cloud e la garanzia di correzione degli hack. Prova Kinsta gratuitamente.

Caratteristiche che Rendono iThemes Security una Scelta Eccellente:

  • Il plugin di sicurezza offre il rilevamento delle modifiche ai file, un aspetto fondamentale perché la maggior parte dei webadmin non si accorge quando un file viene modificato.
  • Aggiunge un ulteriore livello di protezione al login utilizzando Google reCAPTCHA e l’autenticazione a due fattori.
  • Il plugin confronta i file principali di WordPress con la versione corrente, permettendo di capire se in quei file è stato inserito qualcosa di dannoso.
  • Aggiorna i sali e le chiavi di WordPress per aggiungere un ulteriore livello di complessità alle chiavi di autenticazione.
  • È possibile impostare una “Modalità Away” utile quando non si effettuano aggiornamenti costanti al sito e si vuole bloccare completamente la bacheca di WordPress per tutti gli utenti.
  • Altre funzioni importanti, come il rilevamento degli errori 404, la protezione da attacchi brute force e l’applicazione di password forti.
  • È possibile bloccare gli utenti e prevenire gli attacchi di forza bruta.
  • Il plugin offre backup parziali del sito e l’applicazione del protocollo SSL.

3. Wordfence Security

Wordfence Security è uno dei più popolari plugin per la sicurezza di WordPress, e per una buona ragione. Questo gioiello abbina la semplicità a potenti strumenti di protezione, come solide funzioni di sicurezza del login e strumenti di ripristino in caso di incidenti nella sicurezza. Uno dei principali vantaggi di Wordfence è che offre una visione d’insieme delle tendenze del traffico e dei tentativi di hacking.

Il plugin WordPress Wordfence Security
Il plugin WordPress Wordfence Security

Wordfence è una delle soluzioni di sicurezza gratuite più impressionanti. Offre di tutto, dai blocchi del firewall alla protezione dagli attacchi brute force.

Prezzi

Esiste una versione gratuita e un’opzione premium a partire da 99 dollari all’anno per un sito.

I creatori del plugin lo rendono più conveniente anche per gli sviluppatori, offrendo sconti consistenti se si acquistano chiavi per più siti. Ad esempio, se si acquistano più di 15 licenze, si ottiene uno sconto del 25% o di 74,25 dollari per licenza.

Conviene prendere in considerazione Wordfence se si stanno sviluppando più siti e si vuole proteggerli tutti.

Ecco l’intera struttura degli sconti:

  • licenza per 1 sito: $99 all’anno
  • licenze per 2-4 siti: $89,10 all’anno (sconto del 10%)
  • licenze per 5-9 siti: 84,15 dollari (15% di sconto)
  • licenze per 10-14 siti: 79,20 dollari (20% di sconto)
  • licenze per 15+ siti: $74,25 (25% di sconto)

Caratteristiche che Rendono WordFence Security un’Ottima Scelta:

  • La versione gratuita è abbastanza potente per i siti web più piccoli.
  • Gli sviluppatori possono risparmiare moltissimo quando sottoscrivono una licenza per più siti.
  • Dispone di una suite completa di firewall con strumenti per il blocco nazionale, il blocco manuale, la protezione da forza bruta, la difesa dalle minacce in tempo reale e un firewall per le applicazioni web.
  • La parte del plugin che riguarda la scansione affronta malware, minacce in tempo reale e spam. Esegue una scansione di tutti i file alla ricerca di malware, non solo di quelli di WordPress.
  • Il plugin monitora il traffico in tempo reale visualizzando elementi come l’attività di crawl di Google, i login e i logout, i visitatori umani e i bot.
  • Il plugin offre funzioni uniche come l’accesso dal cellulare e il controllo del sito web.
  • Il filtro antispam per i commenti evita la necessità di installare un plugin separato.
  • Monitora i plugin e vi informa se sono stati rimossi dalla repository dei plugin di WordPress (di solito perché non sicuri o violati), se non vengono più aggiornati o se sono stati abbandonati.

4. All In One WP Security & Firewall

All In One WP Security & Firewall, uno dei plugin di sicurezza gratuiti più ricchi di funzioni, offre un’interfaccia intuitiva e una discreta assistenza clienti senza dover pagare nulla.

Si tratta di un plugin di sicurezza molto visuale, con grafici che sillustrano le metriche più recenti, come la forza della sicurezza e le azioni da intraprendere per rendere il sito più sicuro.

Il plugin WordPress All In One WP Security & Firewall
Il plugin WordPress All In One WP Security & Firewall

Le funzionalità sono suddivise in tre categorie: Base, Intermedio e Avanzato. Il plugin è quindi adatto anche a sviluppatori avanzati.

All In One WP Security & Firewall protegge prima di tutto gli account utente, bloccando i tentativi di accesso forzato e migliorando la sicurezza della registrazione degli utenti. Il plugin si occupa anche della sicurezza del database e dei file.

Prezzi

Gratuito

Caratteristiche che Rendono All In One WP Security & Firewall un’Ottima Scelta:

  • Il plugin per la sicurezza di WordPress ha uno strumento di blocco che permette di impostare requisiti specifici per bloccare un utente.
  • È possibile fare il backup dei file .htaccess e .wp-config. Esiste anche uno strumento per ripristinarli se qualcosa va storto.
  • Il plugin mostra un grafico che mostra quanto è forte il sito e un altro grafico che indica particolari aree problematiche. È una delle funzioni migliori per l’utente medio per visualizzare lo stato della sicurezza di un sito.
  • C’è un pulsante di blocco temporaneo per le emergenze.
  • È possibile esportare e importare alcune funzioni di sicurezza.
  • Blocca la visualizzazione dei contenuti del sito da parte di altri siti grazie all’uso degli iframe.
  • È possibile nascondere le informazioni del sito ai bot e ad altri intrusi.
  • Il plugin è gratuito e non prevede upselling.

5. BulletProof Security

BulletProof Security viene sviluppato e aggiornato attivamente e sembra disporre di un maggior numero di funzioni rispetto alla maggior parte degli altri plugin di sicurezza disponibili sul mercato. Ci sono funzioni per la quarantena, avvisi via email, anti-spam, ripristino automatico e molto altro.

Funziona piuttosto bene come plugin per la sicurezza generale di WordPress, soprattutto se si considera che gestisce i backup del database e la sicurezza del login.

Il plugin WordPress BulletProof Security
Il plugin WordPress BulletProof Security

Consigliamo di provare prima il plugin gratuito, che offre i seguenti strumenti:

  • Sicurezza e monitoraggio degli accessi.
  • Backup e ripristino del database.
  • MScan Malware Scanner.
  • Strumenti antispam e anti-hacking.
  • Un registro di sicurezza.
  • Cartelle di plugin nascoste.
  • Modalità di manutenzione.
  • Un’installazione completa guidata.

Non è il plugin per la sicurezza di WordPress più adatto ai principianti. Ma fa il suo dovere per gli sviluppatori avanzati che vogliono sfruttare impostazioni e funzionalità specifiche come la protezione anti-exploit e il blocco dei file FTP. Dispone anche di una funzione di autofix guidata dell’installazione che semplifica un po’ le cose.

Prezzi

BulletProof Security ha una versione gratuita e una versione premium. L’opzione a pagamento prevede un pagamento unico di 69,95 dollari e una garanzia di rimborso nei 30 giorni.

Caratteristiche che Rendono BulletProof Security un’Ottima Scelta:

  • Dispone di strumenti di sicurezza avanzati unici sul mercato, con funzionalità specifiche come le soluzioni di crittografia BPS Pro ARQ Intrusion Detection and Prevention System (ARQ IDPS), le scansioni cron cURL programmate, il blocco delle cartelle e altro ancora.
  • La versione gratuita è ricca di funzioni sufficienti per un sito web medio.
  • Nella versione gratuita è disponibile il backup del database.
  • È possibile nascondere le cartelle dei singoli plugin.
  • La funzionalità della modalità di manutenzione non è presente nella maggior parte degli altri plugin di sicurezza.
  • La sicurezza e la registrazione degli errori HTTP tengono sotto controllo le vulnerabilità.
  • Il plugin obbliga a creare password forti.
  • Si riceve un promemoria quando è rilasciato l’aggiornamento di un tema o di un plugin.

Il migliore per la Scansione e il Blocco di Malware, Virus e IP Sospetti

6. SecuPress

SecuPress è un’ottima soluzione per la sicurezza generale del sito, ma ci piace soprattutto per il blocco di minacce come malware e virus. È stato sviluppato da Julio Potier, uno dei co-fondatori originali di WP Media, che potresti riconoscere come sviluppatore di WP Rocket e Imagify.

Il plugin per la sicurezza di WordPress SecuPress
Il plugin per la sicurezza di WordPress SecuPress

Per chi desidera un plugin di sicurezza facile da usare e con un’ottima interfaccia, SecuPress è una soluzione da prendere in considerazione. La versione gratuita offre un login anti-brute force, IP bloccati e un firewall.

Offre anche la protezione delle chiavi di sicurezza e il blocco dei bot (che in altri plugin di sicurezza sono spesso a pagamento). Il plugin esegue anche scansioni malware alla ricerca di attività sospette e, quando necessario, provvede a bloccare gli intrusi.

Se volete ancora altre funzioni, la versione premium offre avvisi e notifiche, autenticazione a due fattori, blocco degli IP in base alla geolocalizzazione, scansioni malware PHP e report in PDF.

Prezzi

C’è una versione gratuita adatta alla sicurezza standard dei siti web, con scansione del malware e blocco dei bot. La versione premium parte da 69,99 dollari all’anno per sito. Il prezzo per sito si riduce drasticamente se si opta per 5, 10, 25 o addirittura 200 siti.

Ecco i prezzi di altri prodotti e servizi di SecuPress:

  • Configurazione professionale: $120
  • Rimozione del malware: $360
  • Formazione sulla sicurezza di WordPress: $449
  • Manutenzione della sicurezza: $39

Caratteristiche che Rendono SecuPress un’Ottima Scelta:

  • L’interfaccia utente di SecuPress è una delle migliori! Questo lo rende molto facile da usare, anche per i principianti.
  • Il plugin esegue 35 controlli di sicurezza.
  • La versione premium aggiunge molto valore alla versione base, con avvisi di sicurezza, una scansione approfondita del malware e la possibilità di bloccare i paesi attraverso la geolocalizzazione.
  • Offre la possibilità di modificare l’URL di accesso a WordPress in modo che i bot non possano trovarlo.
  • Aiuta a individuare temi e plugin vulnerabili o che sono stati manomessi con codice maligno.
  • Rileva e blocca gli IP sospetti.
  • Previene i login brute force.
  • Esegue rapporti sulla sicurezza che si possono salvare in PDF o stampare.

7. WPScan – WordPress Security Scanner

Il plugin WPScan adotta un approccio diverso alla sicurezza. Utilizza un database di vulnerabilità curato manualmente e aggiornato quotidianamente da specialisti della sicurezza e dalla community in generale. Sponsorizzato da Automattic, il database contiene oltre 21.000 vulnerabilità conosciute.

Grazie a questo database, il plugin WPScan è in grado di scansionare la versione del core di WordPress, i plugin e i temi alla ricerca di vulnerabilità di sicurezza note.

Il plugin WordPress WPScan
Il plugin WordPress WPScan

Inoltre, il plugin offre altri controlli di sicurezza, come la scansione dei file di log di debug esposti, dei file wp-config.php non salvati, degli utenti con password deboli e altro ancora. WPScan ha un piano API gratuito che dovrebbe essere adatto alla maggior parte dei siti web WordPress. Ma ci sono anche piani a pagamento per gli utenti che hanno bisogno di un maggior numero di chiamate API.

È la scelta migliore per chi cerca scanner di malware, IP e file.

Prezzi

Esiste un piano gratuito valido per sempre che consente di eseguire fino a 25 richieste API al giorno. Questo dovrebbe essere sufficiente per un sito WordPress medio con un massimo di 22 plugin. I prezzi aumentano con i piani premium quando si aggiungono altre richieste API.

I piani premium sono i seguenti:

  • Start: $5 al mese
  • Professional: $25 al mese
  • Enterprise: prezzi personalizzati

Caratteristiche che Rendono WPScan un’Ottima Scelta:

  • Utilizza il proprio database di vulnerabilità aggiornato regolarmente.
  • Esegue scansioni regolari per controllare i file del core, i file di debug.log, i file del database e altro ancora.
  • È possibile inviare notifiche via email se vengono individuate delle vulnerabilità.
  • È possibile programmare l’esecuzione delle scansioni in orari specifici.
  • Il plugin segnala le password deboli e invita a cambiarle.
  • È possibile visualizzare e scarica i rapporti.
  • Si ricevono valutazioni del rischio che offrono una visione più ampia della vulnerabilità del sito.
  • Utilizza lo scanner di sicurezza per vedere quello che vede un hacker quando cerca di attaccare il sito.
  • Ogni vulnerabilità scoperta offre link e riferimenti per guidare gli utenti nella risoluzione del problema.
  • Il sito offre anche un programma di ricompensa per chi si iscrive al database delle vulnerabilità.

8. Security Ninja

Security Ninja è un veterano nel settore della sicurezza di WordPress. Partito come uno dei primi plugin di sicurezza venduti su CodeCanyon (con quattro add-on disponibili), è passato a un modello freemium nel 2016.

Gli add-on sono stati eliminati in modo che ci fossero solo due versioni: gratuita e premium. Il modulo principale (l’unico disponibile gratuitamente) esegue oltre 50 test di sicurezza che vanno dal controllo dei file per verificare la presenza di malware e dei permessi MySQL a varie impostazioni di PHP.

Il plugin WordPress Security Ninja
Il plugin WordPress Security Ninja

Security Ninja esegue anche un controllo brute force di tutte le password degli utenti per eliminare gli account con password deboli come “12345” o “password”.

Questo contribuisce ad educare gli utenti alla sicurezza. Include uno strumento di correzione automatica degli hack, ma per coloro che vogliono capire cosa sta succedendo, c’è una spiegazione dettagliata di ogni test, con tanto di codice, per risolvere manualmente il problema della sicurezza.

Se non vi piace che i plugin interferiscano con il vostro sito, Security Ninja offre un’ottima alternativa al solito approccio “clicca qui per risolvere il problema”. Basta guardare gli avvisi dello scanner delle vulnerabilità e decidere cosa fare.

Prezzi

I piani:

  • Gratuito
  • Starter: $49,99 all’anno
  • Plus: $149,97 all’anno
  • Pro: $199,99 all’anno
  • Agenzia: 249,99 dollari all’anno

È anche possibile optare per un piano mensile (a partire da 8,99 dollari al mese) o per pacchetti a vita (a partire da un pagamento unico di 139,99 dollari per il piano Starter)

Caratteristiche che Rendono Security Ninja un’Ottima Scelta:

  • Il modulo Security Tester (disponibile nella versione gratuita) esegue oltre 50 test di sicurezza sul sito.
  • Non siete esperti di tecnologia? Nessun problema, il modulo di correzione automatica può risolvere qualsiasi problema rilevato.
  • Esegue una scansione del core di WordPress per garantire l’integrità dei file confrontandoli con una copia sicura e recente di WordPress.org.
  • Esegue la scansione di plugin e temi alla ricerca di codice sospetto e malware.
  • Dispone di un elenco massiccio di IP noti come cattivi e li blocca automaticamente.
  • Registra tutti gli eventi del sito WordPress, dall’accesso degli utenti alla modifica delle impostazioni.
  • È possibile programmare scansioni regolari.
  • Ottimizza il database per migliorare la velocità del sito.
  • Esegue diversi test come quelli di debug, di configurazione del database e delle opzioni di WP.
  • Nella versione premium, i test e le scansioni sono ancora più approfonditi, con test per la protezione X-XSS, per i file indesiderati nella cartella principale e per la strict-transport-security.

9. MalCare Security

Il plugin MalCare Security fornisce uno scanner di malware basato sul cloud che controlla l’intero sito web per identificare qualsiasi cosa, dai problemi con i plugin agli IP a rischio. La protezione contro i bot è molto utile, ma il plugin è eccellente anche come strumento di ricerca rapida di malware.

Il plugin dispone di uno strumento di rimozione con un solo clic che permette di ripulire il sito prima che i motori di ricerca ne rilevino i problemi. Inoltre, la procedura intelligente di scansione utilizza i dati di migliaia di siti web per individuare quelli che potrebbero interessare il vostro.

Il plugin MalCare Security
Il plugin MalCare Security

MalCare Security invia una notifica ogni volta che il sito va in tilt, consentendo di avere il tempo sufficiente per rispondere a un attacco. Infine, MalCare Security è leggero e non rallenta il sito, ottimo, dato che i plugin ingombranti sono un po’ la norma nel settore della scansione malware.

Prezzi

Esiste un piano gratuito che offre scansione del malware, firewall, protezione del login e rilevamento dei bot.

I piani premium offrono strumenti aggiuntivi come la rimozione istantanea del malware, gli aggiornamenti del firewall in tempo reale e la possibilità di visualizzare i file violati. Ecco i prezzi:

  • Basic: $99 all’anno
  • Plus: 149 dollari all’anno
  • Pro: 299 dollari all’anno

I piani includono il supporto per un sito web; si sale di prezzo man mano che si aggiungono altri siti. Il servizio offre anche componenti aggiuntivi come backup in tempo reale ($100 per sito all’anno), backup e scansioni ogni ora ($500 per sito all’anno), test di regressione visiva ($100 per sito all’anno) e ambienti di Staging Premium aggiuntivi (20 dollari al mese per ambiente, con proroga).

Caratteristiche che Rendono MalCare un’Ottima Scelta:

  • Un sistema di scansione malware basato sul cloud che analizza un intero sito.
  • La protezione bot non solo identifica i bot ma permette anche di bloccarli.
  • Un sistema di monitoraggio intelligente dei plugin e un firewall per tenere lontane le intrusioni.
  • La protezione dell’accesso combatte gli hacker all’accesso, elimina le fonti di traffico insolite e permette di bloccare gli IP provenienti da paesi specifici.
  • Un pulsante per la scansione del malware con un solo clic.
  • Tecnologia Captcha per rafforzare la pagina di login.
  • Protezione del sito ad un clic che segue le best practice del settore e le implementa sul sito in pochi secondi.
  • Monitoraggio dei tempi di attività.
  • Protezione da minacce specifiche come l’hacking del virus favicon, il furto di cookie e l’hacking della blocklist di Google.
  • Opzioni per visualizzare le informazioni sugli hack e rimuovere risolvere i problemi.

10. Security & Malware Scan by CleanTalk

Security & Malware Scan by CleanTalk è un’altra soluzione eccellente per eseguire controlli approfonditi sul malware e identificare IP e bot sospetti. CleanTalk è un servizio che utilizza la sicurezza del cloud per bloccare automaticamente le minacce ai siti web e fornire ai proprietari dei siti le informazioni necessarie per migliorare le misure di sicurezza per il futuro.

Il plugin è gratuito, ma per poter sfruttare la maggior parte delle funzioni è necessario iscriversi al servizio di sicurezza cloud premium. In breve, il plugin di CleanTalk ci piace per la sua costante sorveglianza degli indirizzi IP e del malware.

La connessione al cloud permette anche di non dover eseguire la maggior parte delle attività di sicurezza, mantenendo così una velocità del sito rispettabile.

Il plugin Security & Malware Scan di CleanTalk
Il plugin Security & Malware Scan di CleanTalk

Il plugin è piuttosto semplice e mostra un elenco di file che potrebbero causare problemi. A parte questo, è necessario avere esperienza di codice per aprire i file e vedere cosa c’è che non va. Tuttavia, CleanTalk consente agli utenti a pagamento di inviare i file, dopodiché il team di supporto clienti di CleanTalk li analizzano e li pulisce.

Non si tratta di un sistema automatizzato come quello di alcuni concorrenti, ma l’efficienza e l’accuratezza dello scanner sono imbattibili.

Si ricevono anche altre funzioni per bloccare gli attacchi brute force, controllare i link in uscita, attivare l’autenticazione a due fattori e altro ancora.

Prezzi

Il plugin è gratuito, ma è necessario iscriversi al servizio CleanTalk Cloud Security per poter usufruire di tutte le funzioni.

Ecco i prezzi dei servizi di sicurezza cloud di CleanTalk:

  • 1 sito web: $49 all’anno
  • 3 siti web: 24 dollari all’anno
  • 5 siti web: 36 dollari all’anno
  • 10 siti web: 63 dollari all’anno
  • 20 siti web: 117 dollari all’anno

Il prezzo sale a 180 dollari all’anno per 40 siti, oppure si può optare per il piano con siti web illimitati a 18 dollari al mese.

Caratteristiche che Rendono Security & Malware Scan di CleanTalk un’Ottima Scelta:

  • Dispone di uno scanner di malware basato sul cloud, permettendo di non sprecare le risorse del server.
  • Oltre alla funzionalità malware, è presente anche una scansione antivirus.
  • Tutti i clienti ricevono un firewall di sicurezza automatico.
  • Si avranno rapporti giornalieri, un registro di controllo e il monitoraggio del traffico in tempo reale.
  • Il plugin controlla tutti i link in uscita.
  • Le scansioni vengono eseguite automaticamente (ogni giorno) e vengono archiviate nel cloud per diversi mesi.
  • Chi non ha conoscenze di programmazione può inviare i file vulnerabili affinché il team di CleanTalk possa risolvere i problemi.
  • Il plugin dispone di alcune funzioni per la messa in sicurezza dell’accesso, come la protezione da attacchi brute force, il registro dei tentativi di accesso e il blocco dei tentativi di accesso da determinati paesi o indirizzi IP.
  • Vengono inviate all’amministratore notifiche via email ogni volta che compare una minaccia.

Il migliore per la Prevenzione di Spam e Bot

11. Jetpack

La maggior parte degli utenti di WordPress conosce Jetpack, soprattutto perché ha tantissime funzioni, ma anche perché è stato realizzato da WordPress.com. Le funzioni di Jetpack sono così tante che vale la pena dare un’occhiata. Jetpack è ricco di moduli per migliorare le condivisioni sui social media e la velocità del sito, ma i veri vantaggi in termini di sicurezza derivano dalla prevenzione dello spam e dei bot.

Jetpack, plugin di sicurezza per WordPress
Jetpack, plugin di sicurezza per WordPress

Jetpack include anche altri strumenti di sicurezza che lo rendono interessante per chi vuole risparmiare e avere una soluzione affidabile. Ad esempio, il modulo Protect blocca le attività sospette ed è gratuito.

La funzionalità di sicurezza di base di Jetpack supporta anche la protezione dagli attacchi brute force e l’allowlisting.

Per quanto riguarda la protezione antispam, è l’opzione migliore per trovare ed eliminare automaticamente i commenti spam. L’antispam si integra anche con WooCommerce e con tutti i plugin di ecommerce.

Prezzi

Jetpack offre gratuitamente la famosa protezione antispam di Akismet. Tuttavia, la maggior parte delle altre funzioni di sicurezza richiede un abbonamento.

I backup del sito costano circa 9 dollari al mese, ma gli strumenti per la scansione del malware in tempo reale e la protezione antispam per i moduli richiedono un piano da 24,92 dollari. La buona notizia è che Jetpack offre frequentemente sconti del 50%.

Nel plugin gratuito è inclusa anche la prevenzione degli attacchi brute force.

Caratteristiche che Rendono Jetpack un’Ottima Scelta:

  • Il piano gratuito offre una discreta sicurezza per un sito web di piccole dimensioni. È possibile passare ai piani premium a prezzi ragionevoli e ricevere un’assistenza completa.
  • La protezione antispam è la migliore che si possa trovare, visto che Akismet archivia centinaia di fastidiosi commenti di spam senza che ve ne accorgiate.
  • I piani premium trasformano il plugin in una vera e propria suite, con vantaggi come il backup e la scansione di sicurezza.
  • Gli aggiornamenti del plugin sono gestiti interamente da Jetpack.
  • Con Jetpack non è necessario installare altri plugin. Ad esempio, dispone di funzioni per l’email marketing, i social media, la personalizzazione del sito e l’ottimizzazione.
  • Il piano gratuito include la protezione dagli attacchi brute force.
  • Fornisce statistiche sul sito direttamente nella bacheca di WordPress.
  • La rete di distribuzione dei contenuti (CDN) gratuita aiuta a velocizzare il sito.
  • Offre il monitoraggio dei tempi di inattività.

12. Astra Security

Astra Security Suite è il pacchetto di sicurezza ideale per un sito WordPress. Con Astra non bisognerà preoccuparsi di malware, SQLi, XSS, spam dei commenti, brute force o altre 100 minacce, il che significa che potrete liberarvi di altri plugin di sicurezza e lasciare che Astra si occupi di tutto. In più, il cruscotto di Astra è molto intuitivo e non presenta centinaia di pulsanti che possono far sentire a disagio.

AstraWeb Security ci piace soprattutto per la protezione dallo spam e dai bot. Dà priorità al blocco dei bot cattivi e dei bot dei motori di ricerca falsi.

Gestisce diverse forme di spam bloccando automaticamente tutto lo spam e riducendo al minimo i commenti spam, correggendo lo spam della SEO e molto altro.

Astra Web Security per WordPress
Astra Web Security per WordPress

Oltre a combattere lo spam e i bot, Astra esegue scansioni regolari e corregge gli hack dopo che si sono verificati. Astra difende da un lungo elenco di possibili attacchi, tra cui attacchi di forza bruta, attacchi di spam SEO, SQL injection, backdoor WP e hack di monetizzazione.

Prezzi

Non è un plugin gratuito. Anche se è possibile installarlo sul proprio sito, non farà nulla finché non si sottoscrive uno dei seguenti piani:

  • Pro: a partire da $19 al mese
  • Avanzato: $39 al mese
  • Business: $119 al mese

Caratteristiche che Rendono Astra Web Security un’Ottima Scelta:

  • Astra Security Suite si installa come nun normale plugin di WordPress e non è necessario modificare le impostazioni del DNS.
  • Offre una pulizia immediata del malware, un firewall solido che blocca attacchi come SQLi, XSS, Code Injection, Bad Bots, Brute force, SEO spam e oltre 100 altri attacchi informatici.
  • La protezione dallo spam copre tutto, dallo spam della SEO allo spam dei commenti.
  • Il plugin offre un monitoraggio costante dei bot.
  • Astra invia rapporti giornalieri via email con informazioni sul numero di attacchi bloccati, sugli accessi orari e altro ancora.
  • Viene bloccato automaticamente il caricamento di file dannosi.
  • Controllo completo della sicurezza, compresa la logica degli errori aziendali per WordPress.
  • La dashboard è intuitiva e registra tutti gli attacchi, offrendo anche la possibilità di bloccare o consentire l’accesso a paesi, intervalli di IP, URL e molto altro.
  • Avrete accesso a una piattaforma di gestione delle taglie che offre agli hacker un modo sicuro e protetto per segnalare qualsiasi vulnerabilità trovata sul vostro sito web. I tecnici di Astra convalidano ogni problema segnalato.

13. Stop Spammers Security

Stop Spammers Security è uno dei migliori plugin di sicurezza per WordPress per ridurre al minimo lo spam, e non solo lo spam dei commenti! Il plugin individua e blocca lo spam in plugin, moduli, commenti e altro ancora.

È possibile configurare meccanismi di blocco specifici prima di eseguire il plugin, ad esempio bloccando determinati paesi, utenti o semplicemente comportamenti sospetti in generale.

Il plugin Stop Spammer Security
Il plugin Stop Spammer Security

L’idea alla base del plugin è quella di creare una formula di blocco dello spam personalizzata in base alle esigenze specifiche del sito. Ciò significa che potrete scegliere tra varie impostazioni e disattivare quelle che non vi servono.

Per amplificare la protezione dallo spam, Stop Spammers Security abbina le sue funzioni principali a misure di sicurezza per l’accesso, come ad esempio la possibilità di mostrare un Captcha, attivare una modalità per soli membri o richiedere l’accesso ogni volta che un utente tenta di accedere al sito.

Prezzi

Nella versione gratuita sono disponibili le funzioni di base (come la possibilità di bloccare comportamenti sospetti, parole spam, commenti spam e paesi). È possibile effettuare l’upgrade per ottenere maggiori funzionalità con la versione premium. Il prezzo parte da 29 dollari all’anno e aumenta man mano che si aggiungono altre licenze.

Le caratteristiche esclusive della versione premium includono la protezione firewall a livello di server, la sicurezza dei login brute force, l’esportazione dei log, la protezione di Contact Form 7 e molto altro ancora.

Caratteristiche che Rendono Stop Spammer Security un’Ottima Scelta:

  • Il plugin dispone di strumenti per individuare comportamenti sospetti e bot, mettere in quarantena le minacce e notificare il proprietario del sito.
  • Blocca i Paesi in cui si notano attività sospette più frequentemente.
  • Riduce al minimo tutti i tipi di spam dei siti web, da quello che arriva attraverso i moduli a quello dei commenti.
  • Blocca gli URL shortener, le email usa e getta e altri elementi che nascondono l’identità di utenti fastidiosi.
  • È possibile bloccare o consentire l’accesso a specifici nomi utente, email e indirizzi IP.
  • Obbliga alcuni utenti a chiedere l’accesso al sito.
  • Il plugin ha l’opzione di inserire un modulo Captcha nella pagina di accesso.
  • Esiste una modalità per soli membri per garantire che gli unici utenti che accedono ai contenuti siano quelli approvati.
  • Nella versione premium è possibile attivare un firewall avanzato.
  • Sono inclusi nella versione premium il controllo delle notifiche, le impostazioni di importazione, l’esportazione e le pagine a tema.
  • Acquistando il plugin premium, si riceve un modulo di contatto integrato e la protezione per Contact Form 7.

14. Titan Anti-spam and Security

Titan Anti-spam and Security è una suite di strumenti per la riduzione dello spam e la scansione delle minacce alla sicurezza come il malware. Il plugin esegue controlli regolari e segnala quando qualcosa di sospetto tenta di accedere al sito.

Questi strumenti sono abbinati a regole firewall per specificare ciò che si desidera bloccare dal sito web. L’interfaccia è abbastanza semplice anche per i principianti, visto che la dashboard separa ogni funzione all’interno di una scheda.

Pertanto, i gestori dei siti possono accedere facilmente al firewall, al site checker e al registro degli errori con un semplice clic.

Titan Anti-spam and Security
Titan Anti-spam and Security

Ci piacciono in particolare le statistiche anti-spam, che mostrano un grafico di tutti gli attacchi spam dell’ultima settimana. Questo vi aiuta a capire se il plugin sta funzionando o meno e mostra se il sito è diventato un bersaglio per lo spam in generale.

Tecnicamente potreste usare Titan Anti-spam and Security come plugin di sicurezza completo, ma è utile soprattutto per il meccanismo di autoapprendimento dello spam. In breve, siete protetti dalla pubblicazione di contenuti dannosi nei thread dei commenti che potrebbero inviare attacchi fastidiosi ai vostri utenti.

Prezzi

Esiste una versione gratuita con un blocco standard dello spam per i commenti. La versione premium (con tutte le funzioni extra non spam) ha diversi piani tariffari:

  • 1 sito: $55 all’anno
  • 3 siti: $159 all’anno
  • 6 siti: $319 all’anno

Caratteristiche che Rendono Titan Anti-spam and Security un’Ottima Scelta:

  • Il plugin non richiede un Captcha, il che rende l’interfaccia più pulita.
  • Offre uno strumento di riduzione dello spam ad autoapprendimento che funziona in background e migliora continuamente il suo algoritmo di rilevamento dello spam sul sito.
  • Tutti i commenti spam vengono immediatamente rimossi dal sito e contrassegnati come spam.
  • È possibile attivare le regole del firewall ed eseguire la scansione del malware.
  • È possibile bloccare gli indirizzi IP in tempo reale.
  • Il registro degli attacchi memorizza tutti i casi di attività sospetta e può essere scaricato per condividerlo con altri o inserirlo nei file.
  • Crea regole di blocco avanzate basate su hostname, IP, username, referrer e altro ancora.
  • Lo scanner di sicurezza utilizza più di 1000 firme, con un massimo di 6000 firme con la versione Premium.
  • È possibile regolare la velocità di scansione.
  • È possibile programmare le scansioni se si preferisce eseguirle ogni mese o settimana.
  • Tutti gli utenti possono eliminare i file indesiderati direttamente dalla dashboard.
  • Il plugin richiede una password forte e nasconde anche l’area di login dell’autore per proteggere il modulo di login. È anche possibile nascondere la versione di WordPress.

Il Migliore per Nascondere i File agli Intrusi

15. Hide My WP

Hide My WP è un popolare plugin di sicurezza per WordPress che nasconde il fatto che state usando WordPress come CMS a malintenzionati, spammer e rilevatori di temi come Wappalyzer o BuiltWith.

Il plugin Hide My WP
Il plugin Hide My WP

Questo plugin di sicurezza integra un solido sistema di rilevamento delle intrusioni (IDS) per bloccare in tempo reale gli attacchi alla sicurezza come SQL injection, XSS e altri. Utilizza inoltre una rete di fiducia che inizia a rimuovere gli aggressori sconosciuti nel momento stesso in cui si installa il plugin.

Infine, questo plugin è uno strumento essenziale per rinominare e nascondere le cartelle dei plugin, i file di WordPress e gli URL di accesso, rendendo il vostro sito quasi invisibile online.

Prezzi

Hide My WP è un plugin premium per la sicurezza di WordPress che si può acquistare per 24 dollari su CodeCanyon. Si tratta di un costo una tantum, ma l’assistenza continua costa fino a 17 dollari (per aggiungere altri 12 mesi di supporto e aggiornamenti). Non esiste un sito web di vendita diretta del plugin, ma gli sviluppatori di WPWave hanno un sito informativo.

Nota: alcune funzioni di questo plugin potrebbero non funzionare su Kinsta.

Caratteristiche che Rendono Hide My WP un’Ottima Scelta:

  • Nasconde il nome dei temi e dei plugin, modifica i permalink, nasconde wp-admin, l’URL di accesso e altro ancora.
  • Blocca l’accesso diretto ai file PHP, pulisce i nomi delle classi di WP e disabilita l’elenco delle directory.
  • Notifica ogni possibile comportamento scorretto con tutti i dettagli dell’attaccante, compresi nome utente, indirizzo IP, data e altro ancora.
  • Include una “rete di fiducia” che blocca automaticamente il traffico proveniente da indirizzi IP non corretti.
  • È facile da usare: si può scegliere tra le impostazioni predefinite da implementare con un solo clic.
  • Compatibile con multisito, apache, Nginx, IIS, temi premium e altri plugin di sicurezza.

16. WP Hide and Security Enhancer

WP Hide and Security Enhancer si inserisce nei file di WordPress per nascondere plugin, temi, la pagina di login e altri file fondamentali, in modo da impedire agli intrusi di scoprire l’identità del sito e di utilizzarne i file per scopi dannosi.

Per semplificare le cose, il plugin WP Hide utilizza metodi di riscrittura degli URL per nascondere ed elaborare i file invece di cambiare fisicamente le directory. Il tutto avviene automaticamente dopo l’installazione del plugin, consentendo di nascondere le parti più critiche del sito.

WP Hide and Security Enhancer
WP Hide and Security Enhancer

Un altro motivo per cui WP Hide and Security Enhancer è unico è che nasconde e blocca i file predefiniti di WordPress invece di cambiare semplicemente gli slug (lasciando comunque questi file accessibili agli hacker).

Infine, gli sviluppatori si sono assicurati di eliminare il blocco di altri plugin, temi o file core che potrebbero ostacolare la funzionalità del sito. È uno dei migliori plugin per la sicurezza di WordPress per chi è interessato a nascondere gli URL, le credenziali e le impostazioni predefinite di WordPress.

Prezzi

WP Hide offre un plugin gratuito con funzionalità di blocco dei file, riscrittura degli URL e persino URL di accesso personalizzati. Gli sviluppatori affermano che i siti WordPress di base non dovrebbero avere problemi con la versione gratuita.

L’aggiornamento premium è necessario soprattutto se si utilizzano plugin o temi complessi o se il server è diverso da IIS o Apache.

Se si effettua l’upgrade dalla versione gratuita, ecco i prezzi:

  • Sito singolo: $39 all’anno
  • Sviluppatore: $130 all’anno

Il Migliore per l’Autenticazione e la Sicurezza del Login

17. WP fail2ban

WP fail2ban ha una caratteristica principale, ma piuttosto importante: la protezione dagli attacchi di forza bruta. Il plugin adotta un approccio diverso che molti considerano più efficace di quello offerto da alcune suite di sicurezza presenti sul mercato.

WP fail2ban documenta nel Syslog tutti i tentativi di accesso, indipendentemente dalla loro natura o dal loro successo, utilizzando LOG_AUTH. Si ha la possibilità di implementare un blocco morbido o duro, il che è diverso dall’approccio più tradizionale che prevede la scelta di un solo divieto.

Il plugin di sicurezza WP fail2ban
Il plugin di sicurezza WP fail2ban

Non c’è molto da imparare sulla configurazione del plugin WP fail2ban. Tutto ciò che bisogna fare è installarlo e lasciare che compia la sua magia.

Gli sviluppatori hanno aggiunto nuove funzionalità per completare la protezione dagli attacchi di forza bruta, come il supporto per i siti multipli, il filtro per i tentativi di accesso con nomi utente vuoti e uno strumento di configurazione per Cloudflare. Il plugin è un punto di riferimento e gli utenti riferiscono costantemente che funziona in modo impeccabile.

Prezzi

Gratuito.

Caratteristiche che Rendono WP fail2ban una Scelta Eccellente:

  • Si può scegliere tra blocchi rigidi o morbidi.
  • Integrazione con CloudFlare e server proxy.
  • Registra i commenti per prevenire lo spam o i commenti dannosi.
  • Il plugin registra anche informazioni sullo spam, sui pingback e sull’enumerazione degli utenti.
  • Si ha la possibilità di creare uno shortcode che blocca immediatamente gli utenti prima ancora di raggiungere il login.
  • È possibile integrarlo con i propri plugin preferiti utilizzando l’API, oppure si può prendere in considerazione uno dei componenti aggiuntivi per Gravity Forms e Contact Form 7.
  • È disponibile un widget per la dashboard per vedere regolarmente quali minacce vengono bloccate.
  • È possibile utilizzare il plugin in una configurazione multisito.

18. miniOrange’s Google Authenticator – WordPress Two Factor Authentication

Non ha molto senso installare la maggior parte dei plugin con singole funzioni di sicurezza. Questo perché in genere si può scegliere un plugin come iThemes Security Pro e ottenere una specifica funzione insieme a decine di altre.

Tuttavia, l’autenticazione a due fattori è una storia diversa, perché sembra che molte suite di sicurezza non la includano. Per questo motivo, potrebbe essere utile rafforzare la sicurezza del login con un plugin come questo.

Il plugin WordPress Google Authenticator
Il plugin WordPress Google Authenticator

Il plugin Google Authenticator di miniOrange aggiunge un secondo livello di sicurezza al modulo di login, che è fondamentale dal momento che la maggior parte dei tentativi di hacking avviene con il login.

Oltre alla normale password, questo plugin invia una notifica push al telefono o un’altra forma di autenticazione, come l’utilizzo di un codice QR o una domanda di sicurezza.

In questo modo, il login diventa molto meno penetrabile perché il secondo livello è molto probabilmente qualcosa che si conosce o che si ha con sé (come il telefono).

Oltre a scegliere il tipo di autenticazione, un’altra funzione interessante permette di specificare il ruolo dell’utente che deve essere sottoposto all’autenticazione. Ad esempio, è possibile permettere agli amministratori di accedere più facilmente, ma si potrebbe chiedere agli autori o ad altri utenti di passare attraverso l’autenticazione a due fattori.

Prezzi

Lo strumento di base per l’autenticazione a due fattori è disponibile come plugin gratuito.

Per funzionalità e offerte più avanzate, come siti/utenti illimitati, più metodi di autenticazione, metodi di login di backup e login senza password, è necessario effettuare un upgrade ad uno di questi piani:

  • Premium Lite: $99 all’anno
  • Premium: $199 all’anno
  • Enterprise: A partire da 59 dollari all’anno (ma il prezzo aumenta con l’aumentare degli utenti)

Caratteristiche che rendono Google Authenticator un’ottima scelta:

  • È la cosa più vicina all’eliminazione delle vulnerabilità nell’area di login.
  • È possibile scegliere il metodo di autenticazione a due fattori più adatto alle proprie esigenze.
  • È possibile selezionare i tipi di utenti che devono passare attraverso il processo di autenticazione.
  • Il plugin dispone di uno shortcode da utilizzare per le pagine di login personalizzate.
  • Nelle versioni premium è possibile porre domande di sicurezza o inviare un’email di verifica.
  • È possibile attivare una password unica tramite Whatsapp, Telegram, SMS o email.
  • È possibile modificare le regole di creazione della password per richiedere password forti o optare per il login senza password.
  • Sono disponibili funzioni di sicurezza avanzate, come la protezione dei file, il monitoraggio, il blocco dei paesi, il blocco degli IP, il backup del database e il blocco dei browser.
  • Gli sviluppatori del plugin vendono diversi componenti aggiuntivi per ricordare i dispositivi, la gestione delle sessioni, la restrizione delle pagine, i redirect basati sugli attributi e altro ancora.

19. WP Cerber Security

WP Cerber Security riunisce in un unico plugin diverse funzioni di sicurezza, tra cui antispam, scansione del malware e protezione del login. È valido per la sicurezza generale, ma il suo scopo principale è la protezione degli accessi.

È possibile, infatti, combinare diversi elementi per bloccare completamente gli intrusi dalla pagina di login. Tra questi elementi ricordiamo le opzioni per Google reCAPTCHA, il monitoraggio della registrazione, il tracciamento dei cattivi utenti, i limiti dei tentativi di accesso e il blocco degli attacchi brute force.

C’è anche la possibilità di attivare l’autenticazione a due fattori, inviando un codice di verifica a un’app o a un’email prima di effettuare l’accesso.

WP Cerber Security
WP Cerber Security

Oltre alla sicurezza del login, WP Cerber offre strumenti anti-spam per siti WordPress e WooCommerce, con opzioni per proteggere i moduli di registrazione, i moduli per la perdita della password e le aree dei commenti.

È possibile integrare Cloudflare, esportare tutti i dati di sicurezza e programmare scansioni regolari per identificare malware e altre minacce. Non solo, WP Cerber Security cancella i file infetti e recupera le versioni precedenti per riportare il sito alla normalità.

Prezzi

WP Cerber Security viene distribuito in tre piani, uno dei quali è il plugin gratuito con protezione automatica dallo spam e sicurezza del login.

  • Gratuito: $0 al mese
  • Singolo: $99 all’anno
  • 5 Value Pack: 399 dollari all’anno

I piani sono trimestrali o annuali; i piani annuali (nell’elenco sopra) offrono il miglior prezzo a lungo termine. L’aggiornamento premium offre scansioni automatiche del malware, assistenza professionale, protezione cloud, protezione antispam a più livelli e molto altro.

Caratteristiche che Rendono WP Cerber Security una Scelta Eccellente

  • La versione gratuita permette di limitare i tentativi di accesso o di identificare i limiti in base all’indirizzo IP.
  • È possibile limitare gli accessi completamente in base all’indirizzo IP.
  • È possibile generare un URL di accesso personalizzato.
  • È possibile eseguire il motore anti-spam per bloccare lo spam dei moduli di contatto e dei commenti.
  • È possibile implementare l’autenticazione a due fattori per ottenere codici di verifica inviati a un dispositivo prima di accedere al sito.
  • Lo scanner di sicurezza del plugin controlla tutti i file core del sito.
  • Tutte le istanze degli utenti vengono registrate, quindi il plugin cerca di individuare comportamenti sospetti e bot.
  • Si riceve una notifica via email ogni volta che viene notata una modifica di un file o un’attività insolita.
  • Blocca la dashboard di WordPress (wp-admin) a tutti gli utenti che non hanno effettuato l’accesso al sito.
  • È possibile bloccare singoli utenti o attivare la modalità “solo utenti autorizzati”.

Il Migliore per il Backup dei File del Sito

20. VaultPress

Non bisogna dimenticare VaultPress perché funziona in modo simile a plugin come iThemes Security Pro e Sucuri Scanner.

Il plugin offre backup giornalieri in tempo reale, con una bella vista calendario per stabilire il momento in cui eseguire i backup. È anche possibile eseguire il ripristino del sito con un solo clic del mouse.

Inoltre, i file di ripristino vengono registrati nella dashboard e ne vengono memorizzati diversi in modo che si possa scegliere quello che si desidera. L’aspetto migliore di VaultPress per quanto riguarda i backup è che sono incrementali, il che è ottimo per le prestazioni.

Il plugin di sicurezza per WordPress VaultPress
Il plugin di sicurezza per WordPress VaultPress

Gli strumenti di sicurezza principali permettono di monitorare le attività sospette sul sito, con schede per visualizzare la cronologia e vedere le minacce che sono state affrontate o ignorate. È anche possibile controllare le statistiche e gestire tutti i dettagli della sicurezza da una dashboard pulita.

Prezzi

È necessario effettuare un acquisto per ogni tipo di protezione, ma i piani partono da 9,95 dollari al mese e spesso prevedono sconti per il primo anno.

Altri piani sono il pacchetto Security, a $24,95 al mese, e il pacchetto Complete, a $99,95 al mese. Questi piani includono tutte le funzioni di backup ed altre funzioni come la scansione del malware e la protezione dallo spam.

Nota: VaultPress è un prodotto di Automattic che inizialmente veniva venduto singolarmente, ma ora è stato integrato in Jetpack come piano aggiuntivo. VaultPress funziona ancora come plugin separato, ma è “alimentato” da Jetpack. Quindi è possibile installare VaultPress dalla repository di WordPress, ma il pagamento avviene sul sito di Jetpack. È un po’ complicato, ma dato che si tratta di un componente aggiuntivo separato, riteniamo che VaultPress sia in ogni caso un plugin indipendente e al di fuori di Jetpack.

Caratteristiche che rendono VaultPress una scelta eccellente:

  • Il prezzo è migliore rispetto alla maggior parte degli altri plugin premium per la sicurezza di WordPress, soprattutto per quanto riguarda i backup.
  • La dashboard è pulita e intuitiva per tutti gli utenti.
  • È possibile effettuare backup manuali o in tempo reale utilizzando un calendario.
  • La scheda delle statistiche mostra le informazioni sugli orari di visita più frequentati del vostro sito, mostrando anche quali minacce si sono verificate in quegli orari.
  • È possibile contattare gli esperti di VaultPress per farsi aiutare in attività come il ripristino e il backup del sito.
  • VaultPress esegue il backup di tutto, dai commenti ai post, dai plugin ai temi.
  • È possibile ripristinare i file a un momento precedente con un semplice clic.
  • È possibile scaricare i file di backup e salvali dove si vuole.
  • I piani iniziali offrono 10 GB di spazio di archiviazione per i backup e un registro delle attività e un archivio di 30 giorni.

Stai sereno grazie al nostro firewall Google Cloud e alla garanzia di correzione degli hack. Prova Kinsta gratis.

Se volete saperne di più sui migliori plugin di backup, date un’occhiata alla nostra guida: I 4 Migliori Plugin di BackUp Incrementale per WordPress (per Risparmiare Spazio e Migliorare le Prestazioni)

I migliori plugin per riparare gli hack

21. Shield Security

La funzione principale di Shield Security è quella di farsi carico della sicurezza del sito in modo crescente, e questo significa avere uno strumento di protezione intelligente con riparazione degli hack quando se ne ha più bisogno.

Abbiamo tutti poco tempo, quindi abbiamo bisogno di difese più intelligenti e di un plugin di sicurezza che sappia rispondere alle minacce senza assillare con le email.

Il plugin WordPress Shield Security
Il plugin WordPress Shield Security

Adatto sia ai principianti che agli utenti esperti, Shield Security inizia a scansionare e proteggere il sito dal momento in cui lo si attiva. Tutte le opzioni sono completamente documentate, in modo che si possa approfondire la conoscenza degli strumenti di sicurezza del sito.

Prezzi

Il core di Shield Security è gratuito per sempre. I professionisti e le aziende che hanno bisogno di una protezione più attenta e approfondita e di un’assistenza diretta 24 ore su 24 possono valutare l’opportunità di effettuare un upgrade:

  • Shield Pro: $12 al mese
  • Shield Pro Agency: $60 al mese
  • Shield Customer Support: 59€ in più all’anno

La missione di Shield Security è “nessun sito web lasciato indietro”: l’obiettivo è rendere la sicurezza di livello Pro accessibile a tutti i siti, non solo a quelli con maggior budget. Ecco perché molte funzioni sono presenti nella versione gratuita.

La versione Pro offre scansioni più frequenti, criteri per le password degli utenti, audit trail più ampi, supporto per WooCommerce, monitoraggio del traffico e funzioni che rendono le policy di sicurezza più semplici per gli utenti.

Caratteristiche che rendono Shield Security una scelta eccellente:

  • È uno dei pochi plugin di sicurezza che limita l’accesso alle sue impostazioni a determinati utenti.
  • Il plugin protegge da intrusioni, hack e bot.
  • Dopo il rilevamento, Shield implementa automaticamente delle cure, come la riparazione degli hack e il blocco dei bot maligni.
  • Dispone di funzioni di protezione intelligenti che lavorano instancabilmente in background senza fastidiose notifiche.
  • È l’unico plugin di sicurezza che offre gratuitamente tre tipi di autenticazione a due fattori.
  • La versione Pro offre scansioni 6 volte più potenti per rilevare problemi in tutte le aree dei siti.
  • È possibile aggiungere sicurezza ai moduli core, come il modulo di registrazione o il modulo di reimpostazione della password.
  • Il plugin dispone anche di una protezione brute force, di regole di sicurezza per i firewall e di un accesso limitato per gli amministratori.

22. Anti-Malware Security and Brute-force Firewall

Anti-Malware Security and Brute-force Firewall esegue scansioni complete dei siti web per bloccare minacce di ogni tipo. Le funzioni principali riducono problemi come script backdoor e iniezioni nel database, aiutando anche a riparare i danni causati ai file del sito.

Tutto ciò avviene automaticamente, quindi il proprietario del sito non deve preoccuparsi di rimuovere le minacce.

Anti-Malware Security and Brute-force Firewall
Anti-Malware Security and Brute-force Firewall

Nella versione premium sono disponibili le più potenti funzioni di hack patching, con opzioni per la correzione dei problemi di wp-login e il ripristino dell’integrità dei file del core di WordPress.

È un plugin relativamente semplice, con opzioni per visualizzare i report SQL, scansionare il malware con un semplice clic e visualizzare tutte le minacce in quarantena.

Prezzi

Esiste un plugin gratuito che include la scansione approfondita del sito e la rimozione automatica di elementi come script e iniezioni sul database. Il plugin gratuito consente anche di accedere al blocco del firewall e al rilevamento del malware.

Le funzioni premium sono disponibili a fronte di una donazione opzionale allo sviluppatore. Questo permette di accedere a funzioni come il patching avanzato, il controllo dei file principali e le nuove definizioni delle minacce conosciute.

Caratteristiche che fanno di Anti-Malware Security and Brute-force Firewall un’ottima scelta

  • Il plugin protegge da tutte le nuove minacce che arrivano al sito.
  • Esegue una scansione di sicurezza automatica o manuale per identificare le iniezioni sul database e gli script backdoor.
  • Il firewall dispone di strumenti specifici per proteggere alcuni plugin del sito.
  • È possibile aggiornare gli script quando ci sono versioni vulnerabili.
  • È possibile applicare una patch a determinate aree del sito in seguito ad attacchi DDoS o brute force.
  • Il plugin controlla tutti i file core per individuare eventuali problemi.
  • È possibile scaricare le definizioni delle minacce più comuni per i siti WordPress.

Il Migliore per l’Esecuzione dei Registri di Sicurezza

23. WP Activity Log

WP Activity Log genera i log di tutti i processi di un sito per verificare se gli utenti sono produttivi, se qualcuno tenta di hackerare il sito e per risolvere i problemi che dovessero sorgere.

È anche un’ottima soluzione per gestire il sito e gli utenti che lo visitano. Tutte le registrazioni avvengono in tempo reale, consentendo di tenere sotto controllo ciò che accade in ogni momento.

WP Activity Log
WP Activity Log

Il plugin registra diversi elementi del sito, tra cui tag, categorie, widget, profili e modifiche apportate dagli utenti. Inoltre, vedrete tutte le modifiche alle pagine, ai post e ai tipi di post personalizzati registrate.

Questo riguarda tutto, dai metadati ai campi personalizzati, dagli URL ai titoli. Il registro delle attività di WP permette di tenere sotto controllo chi lavora al sito. Ma è anche un plugin essenziale per capire se qualche utente interno o esterno ha intenzione di modificare i file del vostro sito web.

Prezzi

Esiste una versione gratuita che include la maggior parte delle funzioni di WP Activity Log. Le funzionalità estese della versione premium prevedono i seguenti piani tariffari:

  • Starter: $99 all’anno
  • Professional: 139 dollari all’anno
  • Business: 149 dollari all’anno
  • Enterprise: $199 all’anno

Caratteristiche che rendono WP Activity Log una scelta eccellente

  • Il plugin traccia e registra tutte le attività sul sito, in modo specifico su post e pagine.
  • Registra tag, categorie e altre modifiche che possono essere apportate ad etichette di pagine e post.
  • È possibile vedere le modifiche apportate dagli utenti, come le modifiche al profilo, le attività e le modifiche a temi e plugin.
  • È possibile controllare le modifiche apportate ai widget, ai menu, ai file principali di WordPress, alla rete multisito, ai moduli, al database, alle pagine di login e molto altro.
  • Visualizza le informazioni su queste modifiche come i dati, l’ora, l’indirizzo IP di origine e l’utente responsabile.
  • La versione premium del plugin offre opzioni per visualizzare gli utenti che hanno effettuato l’accesso al sito. È anche possibile vedere cosa stanno facendo tutti.
  • Si possono ricevere messaggi sui problemi e avviare gli utenti con un pulsante.
  • Salva, archivia e invia i log delle attività.
  • Cerca nel registro con filtri e testo.
  • Esegue il mirroring dei log in altri software.

Il Migliore per Attivare un SSL (secure socket layer)

24. Really Simple SSL

Really Simple SSL fornisce le basi necessarie per migrare un sito WordPress in un ambiente SSL, collegandolo a un certificato SSL (che protegge le connessioni online e serve principalmente a mantenere i dati personali e transazionali al sicuro dagli hacker nei siti di ecommerce).

Really Simple SSL
Really Simple SSL

Il plugin attiva l’SSL nel vostro ambiente di hosting. Quindi crea automaticamente un certificato SSL per il sito, attingendo da Let’s Encrypt. Potrete quindi attivare l’SSL con un solo clic.

L’attivazione di un certificato SSL richiede alcune conoscenze tecniche (o un host che lo faccia per voi). Ecco perché il plugin Really Simple SSL è utile per i principianti.

Prezzi

Il plugin core è gratuito e fornisce strumenti rapidi per rilevare un ambiente SSL e generare un certificato se non se ne ha già uno.

Il plugin premium ha i seguenti prezzi:

  • Personal: $29 all’anno
  • Professional: $69 all’anno
  • Agency: $169 all’anno

I piani premium aggiungono funzioni extra come gli elenchi di precaricamento, il fixer per i contenuti misti e le intestazioni di sicurezza.

Caratteristiche che rendono Really Simple SSL una scelta eccellente

  • Ha un programma di installazione di certificati SSL con un solo clic.
  • È possibile eseguire una scansione rapida del sito per vedere se ha già delle connessioni sicure.
  • La scansione è utile anche dopo l’attivazione di un SSL, in quanto controlla che funzioni correttamente su tutte le pagine.
  • È possibile attivare HTTP strict transport.
  • La versione premium scansiona e corregge i contenuti misti.
  • Implementa intestazioni di sicurezza avanzate in pochi secondi.
  • Si ricevono feedback e suggerimenti sulla sicurezza nella dashboard di WordPress.

Qual è il Plugin di Sicurezza per WordPress più Adatto a Te?

Dopo aver scoperto i migliori plugin per la sicurezza di WordPress, leggete anche i nostri consigli qui sotto. In questo modo vi sarà più facile scegliere uno o due plugin senza doverli testare tutti. Ricordate che i plugin di sicurezza potrebbero non essere necessari perché il vostro host potrebbe già offrire diversi servizi di sicurezza (come nel caso di Kinsta).

Questi suggerimenti riguardano situazioni specifiche in cui potreste scegliere un plugin invece di un altro.

  • Per un monitoraggio attivo e una sicurezza generale: Sucuri Security, iThemes Security, Wordfence Security, All In One WP Security & Firewall o BulletProof Security.
  • Per scansionare e bloccare malware, virus e IP sospetti: SecuPress, WPScan, Security Ninja, MalCare Security o Security & Malware Scan di CleanTalk.
  • Per la prevenzione di spam e bot: Jetpack, Astra Web Security, Stop Spammers Security o Titan Anti-spam.
  • Per nascondere i file agli intrusi: Hide My WP o WP Hide & Security Enhancer.
  • Per l’autenticazione e la sicurezza del login: WP fail2ban, miniOrange’s Google Authenticator o WP Cerber Security.
  • Per il backup dei file del sito: VaultPress.
  • Per riparare gli hack: Shield Security, Patchstack o Anti-Malware Security e Brute-force Firewall.
  • Per l’esecuzione dei log di sicurezza: WP Activity Log.
  • Per attivare un SSL (secure socket layer): Really Simple SSL.

Oltre a installare un plugin, potete adottare altre misure per migliorare la sicurezza dei vostri siti. Ad esempio, la soluzione Lockr per la gestione delle chiavi offsite (si tratta di un servizio premium) difende da minacce critiche al sito e aiuta a proteggere i dati. Per WordPress è disponibile una semplice integrazione.

Naturalmente, non possiamo analizzare tutti i plugin in circolazione. Questi sono solo quelli che consigliamo in base alla nostra esperienza con gli utenti. Se pensate che qualche altro plugin debba essere inserito in questo elenco, fatecelo sapere qui sotto nei commenti.

Se gestite un sito di ecommerce, leggete anche la nostra guida sulla prevenzione delle frodi nell’ecommerce.

Kinsta offre piani senza contratti a lungo termine, migrazioni assistite e una garanzia di rimborso entro 30 giorni. Dai un’occhiata ai nostri piani o parla con il team vendite per trovare il piano più adatto per te.

Jeremy Holcombe Kinsta

Content & Marketing Editor at Kinsta, WordPress Web Developer, and Content Writer. Outside of all things WordPress, I enjoy the beach, golf, and movies. I also have tall people problems ;).