{"id":18180,"date":"2018-05-07T15:01:39","date_gmt":"2018-05-07T15:01:39","guid":{"rendered":"http:\/\/kinstastaging.com\/it\/?p=18180"},"modified":"2025-04-07T15:13:35","modified_gmt":"2025-04-07T14:13:35","slug":"wordpress-e-sicurezza","status":"publish","type":"post","link":"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/","title":{"rendered":"19 passi per proteggere il tuo sito WordPress dalle minacce"},"content":{"rendered":"<p>WordPress <a href=\"https:\/\/kinsta.com\/it\/blog\/statistiche-su-wordpress\/\">alimenta oltre il 43,6% del web<\/a>. Questo ne fa un obiettivo primario per i cyberattacchi. Con migliaia di plugin e temi, vengono scoperte e sfruttate di continuo nuove vulnerabilit\u00e0.<\/p>\n<p>Nel 2023, uno <a href=\"https:\/\/sucuri.net\/reports\/2023-hacked-website-report\/\" target=\"_blank\" rel=\"noopener noreferrer\">studio di Sucuri<\/a> riportava che il 95,5% di tutte le infezioni rilevate riguardava siti WordPress, rispetto all&#8217;<a href=\"https:\/\/sucuri.net\/reports\/2017-hacked-website-report\" target=\"_blank\" rel=\"noopener noreferrer\">83% del 2017<\/a>. Sebbene anche altri CMS come Joomla (1,7%) e Magento (0,6%) presentino rischi per la sicurezza, WordPress domina sia in termini di utilizzo che di attacchi.<\/p>\n<figure id=\"attachment_105528\" aria-describedby=\"caption-attachment-105528\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/wp-security-vulnerabilites.png\" alt=\"WordPress security vulnerabilities\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105528\" class=\"wp-caption-text\">Vulnerabilit\u00e0 di WordPress.<\/figcaption><\/figure>\n<p>Uno dei motivi principali risiede nelle versioni obsolese del software. Secondo Sucuri:<\/p>\n<ul>\n<li>Il 39,1% dei siti violati utilizzava versioni obsolete al momento dell&#8217;infezione.<\/li>\n<li>Il 13,97% dei siti compromessi presentava almeno un plugin o un tema vulnerabile, da cui si deduce che i temi e i plugin sono gli anelli pi\u00f9 deboli.<\/li>\n<li>Il 49,21% dei siti infetti conteneva backdoor, come plugin falsi o utenti admin iniettati, che permettevano agli hacker di riottenere l&#8217;accesso anche dopo la pulizia.<\/li>\n<\/ul>\n<p>La buona notizia \u00e8 che WordPress \u00e8 migliorato notevolmente negli ultimi anni. Funzioni come gli <a href=\"https:\/\/kinsta.com\/it\/blog\/aggiornamenti-automatici-di-wordpress\/\">aggiornamenti automatici<\/a> hanno contribuito a ridurre le vulnerabilit\u00e0 del core del CMS. Tuttavia, le cattive prassi di sicurezza, come l&#8217;uso di plugin nulli, password deboli e temi obsoleti, continuano a mettere a rischio i siti.<\/p>\n<p>Come dice la <a href=\"https:\/\/developer.wordpress.org\/advanced-administration\/security\/hardening\/#what-is-security\" target=\"_blank\" rel=\"noopener noreferrer\">documentazione per gli sviluppatori di WordPress Security<\/a>:<\/p>\n<blockquote><p>La sicurezza non riguarda sistemi perfettamente sicuri. Una cosa del genere potrebbe essere impraticabile o impossibile da mantenere. La sicurezza \u00e8 la riduzione del rischio, non la sua eliminazione. Si tratta di utilizzare i controlli appropriati a disposizione, nei limiti del ragionevole, per migliorare la posizione generale e ridurre le probabilit\u00e0 di diventare un bersaglio.<\/p><\/blockquote>\n<p>Tenendo presente tutto questo, la vera domanda \u00e8: come si possono evitare questi rischi? Anche se nessun sistema \u00e8 sicuro al 100%, la scelta del provider di hosting giusto \u00e8 una delle soluzioni pi\u00f9 efficaci per proteggere il proprio sito.<\/p>\n<p>Vediamo ora quali sono i modi pi\u00f9 efficaci per proteggere un sito WordPress e prevenire gli attacchi.<\/p>\n<aside role=\"note\" class=\"wp-block-kinsta-notice is-style-info\">\n            <h3>Info<\/h3>\n        <p>I clienti di Kinsta non dovranno preoccuparsi di molti di questi aspetti, perch\u00e9 Kinsta offre la correzione gratuita degli hack! Ma anche con questa garanzia, \u00e8 sempre necessario seguire le best practice di sicurezza.<\/p>\n<\/aside>\n\n<div><\/div><kinsta-auto-toc heading=\"Table of Contents\" exclude=\"last\" list-style=\"arrow\" selector=\"h2\" count-number=\"-1\"><\/kinsta-auto-toc>\n<h2>1. Investire in un hosting WordPress sicuro<\/h2>\n<p>Un sito WordPress sicuro inizia con un <a href=\"https:\/\/kinsta.com\/it\/blog\/lista-sicurezza-sito\/\">provider di hosting sicuro<\/a>. Non importa quanti plugin di sicurezza si installano o quanto attentamente si gestiscono gli aggiornamenti, il sito \u00e8 a rischio se l&#8217;ambiente di hosting \u00e8 vulnerabile.<\/p>\n<p>Molti proprietari di siti web si concentrano sulla messa in sicurezza di WordPress, ma spesso trascurano il luogo in cui il sito risiede.<\/p>\n<p>Un ambiente di hosting scadente lascia esposti ad <a href=\"https:\/\/kinsta.com\/it\/blog\/attacchi-ddos\/\">attacchi DDoS<\/a>, <a href=\"https:\/\/kinsta.com\/it\/blog\/tipi-di-malware\/\">infezioni da malware<\/a>, <a href=\"https:\/\/kinsta.com\/it\/blog\/cosa-e-un-firewall\/\">firewall<\/a> deboli e software server non aggiornati, tutti elementi che gli hacker sfruttano attivamente. D&#8217;altra parte, un host WordPress sicuro toglie gran parte dell&#8217;onere della messa in sicurezza del sito, bloccando in modo proattivo il traffico dannoso, scansionando le minacce e applicando automaticamente le patch di sicurezza.<\/p>\n<p>Una piattaforma di hosting ben protetta dovrebbe offrire:<\/p>\n<ul>\n<li>Firewall di livello enterprise e protezione DDoS, per filtrare il traffico dannoso prima che raggiunga il sito.<\/li>\n<li>Scansione e rimozione automatica del malware, per catturare le infezioni prima che si diffondano.<\/li>\n<li>Isolamento sicuro dei server, in modo che se un sito dovesse essere compromesso, la minaccia non si ripercuota sugli altri.<\/li>\n<li>Aggiornamenti software e patch automatiche, per garantire che l&#8217;ambiente server sia sempre aggiornato.<\/li>\n<li>Backup giornalieri e opzioni di ripristino, cos\u00ec, anche se qualcosa va storto, si pu\u00f2 ripristinare il sito all&#8217;istante.<\/li>\n<\/ul>\n<p>La maggior parte degli attacchi a WordPress non avviene grazie a sofisticati exploit. Succede perch\u00e9 <a href=\"https:\/\/kinsta.com\/it\/blog\/vulnerabilita-plugin-wordpress\/#outdated-plugins\">plugin obsoleti<\/a>, password deboli e scarsa sicurezza del server lasciano la porta aperta. E quando gli hacker cercano i punti deboli, spesso iniziano proprio dal server.<\/p>\n<h3>Da Kinsta, la sicurezza \u00e8 integrata nell&#8217;infrastruttura<\/h3>\n<p>Dal momento in cui un sito viene installato sulla nostra piattaforma, viene messo in sicurezza da <a href=\"https:\/\/kinsta.com\/it\/hosting-wordpress\/sicurezza\/\">protezioni di livello enterprise<\/a> che lavorano silenziosamente in background, bloccando il traffico dannoso, fermando gli <a href=\"https:\/\/kinsta.com\/it\/blog\/xmlrpc-php\/#brute-force-attacks-via-xmlrpc\">attacchi brute-force<\/a> e mantenendo aggiornato il software core senza che i proprietari del sito debbano muovere un dito.<\/p>\n<p>Inoltre, ogni sito \u00e8 completamente isolato grazie alla <a href=\"https:\/\/kinsta.com\/it\/blog\/tecnologia-dei-container-isolati\/\">tecnologia dei container Linux<\/a>, il che significa che un sito compromesso non pu\u00f2 infettare gli altri. Questo livello di isolamento \u00e8 raramente riscontrabile nell&#8217;hosting condiviso tradizionale, dove pi\u00f9 siti sullo stesso server condividono risorse e rischi.<\/p>\n<figure id=\"attachment_105528\" aria-describedby=\"caption-attachment-105528\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/wp-architecture.png\" alt=\"Kinsta WordPress hosting architecture\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105528\" class=\"wp-caption-text\">Architettura dell&#8217;hosting WordPress di Kinsta.<\/figcaption><\/figure>\n<p>Come mostrato nello schema dell&#8217;architettura del nostro hosting qui sopra, su Kinsta tutti i siti girano sulla rete di livello premium di Google Cloud Platform, beneficiando degli oltre 15 anni di innovazioni di Google in materia di sicurezza, con le stessa tecnologie che proteggono servizi come Gmail e Search.<\/p>\n<p>Oltre alle solide misure di sicurezza gi\u00e0 citate, Kinsta offre:<\/p>\n<ul>\n<li>Il <a href=\"https:\/\/kinsta.com\/it\/integrazione-cloudflare\/\">firewall di livello enterprise di Cloudflare<\/a>, che filtra il traffico dannoso, blocca i bot dannosi e mitiga gli attacchi brute-force prima ancora che raggiungano il sito.<\/li>\n<li>Protezione DDoS, che garantisce che il sito rimanga online anche quando viene preso di mira da attacchi ad alto volume.<\/li>\n<li><a href=\"https:\/\/kinsta.com\/it\/add-on-di-kinsta\/aggiornamenti-automatici-di-kinsta\/\">Aggiornamenti automatici<\/a> per plugin e temi, che fanno s\u00ec che il sito sia sempre aggiornato con le ultime patch e funzionalit\u00e0 di sicurezza.<\/li>\n<li><a href=\"https:\/\/kinsta.com\/it\/blog\/hosting-ssl-gratuito\/\">Crittografia SSL gratuita<\/a>, che protegge tutti i dati scambiati tra il sito e i visitatori, con il rinnovo automatico dei certificati SSL per prevenire eventuali cadute nella sicurezza.<\/li>\n<li><a href=\"https:\/\/kinsta.com\/it\/docs\/hosting-wordpress\/wordpress-backup\/\">Backup<\/a> giornalieri automatizzati, che conservano istantanee dell&#8217;intero sito per due settimane, consentendo un ripristino immediato in caso di attacco o perdita accidentale di dati.<\/li>\n<li><a href=\"https:\/\/kinsta.com\/it\/docs\/hosting-wordpress\/wordpress-monitoraggio\/monitoraggio-uptime\/\">Monitoraggio dell&#8217;attivit\u00e0<\/a> in tempo reale, con controlli ogni tre minuti, ovvero 480 controlli giornalieri, che permettono di individuare i problemi prima che diventino gravi.<\/li>\n<li><a href=\"https:\/\/kinsta.com\/it\/supporto-kinsta\/\">Supporto 24\/7\/365<\/a>. Kinsta fornisce assistenza in tempo reale in 10 lingue ogni volta che ne hai bisogno, garantendo che il sito funzioni sempre in modo fluido e sicuro.<\/li>\n<\/ul>\n<p>La sicurezza non consiste solo nel reagire alle minacce, ma anche nel prevenirle prima che si verifichino. L&#8217;approccio di Kinsta alla sicurezza fa s\u00ec che i proprietari di siti WordPress possano smettere di preoccuparsi di malware, attacchi DDoS e vulnerabilit\u00e0 dei server e concentrarsi su ci\u00f2 che conta: far crescere il proprio business.<\/p>\n<h2>2. Utilizzare l&#8217;ultima versione di PHP<\/h2>\n<p><a href=\"https:\/\/kinsta.com\/it\/blog\/cosa-e-php\/\">PHP<\/a> \u00e8 la spina dorsale di un sito WordPress, quindi utilizzare la versione pi\u00f9 recente disponibile sul server \u00e8 essenziale per la sicurezza, le prestazioni e la stabilit\u00e0.<\/p>\n<p>Ogni major release di PHP riceve <a href=\"http:\/\/php.net\/supported-versions.php\" target=\"_blank\" rel=\"noopener noreferrer\">supporto per due anni<\/a>, durante i quali vengono regolarmente corretti vulnerabilit\u00e0 e bug. Una volta che una versione raggiunge la fine del suo ciclo di vita, non riceve pi\u00f9 aggiornamenti, lasciando i siti che vi girano sopra esposti a falle nella sicurezza che non saranno corrette.<\/p>\n<figure id=\"attachment_105528\" aria-describedby=\"caption-attachment-105528\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/supported-php-versions.png\" alt=\"Supported PHP Versions\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105528\" class=\"wp-caption-text\">Versioni PHP supportate.<\/figcaption><\/figure>\n<p>Eppure, molti siti WordPress si affidano ancora a versioni obsolete. Secondo la pagina ufficiale di <a href=\"https:\/\/wordpress.org\/about\/stats\/\" target=\"_blank\" rel=\"noopener noreferrer\">WordPress Stats<\/a>, solo il 49,4% dei siti WordPress utilizza PHP 8.1 o versioni superiori. Ci\u00f2 significa che oltre la met\u00e0 dei siti utilizza versioni di PHP non pi\u00f9 supportate. In effetti, PHP 7.4, che ha perso il supporto alla sicurezza alla fine del 2022, alimenta ancora il 31% di tutti i siti WordPress. Si tratta di una statistica preoccupante per la sicurezza.<\/p>\n<figure id=\"attachment_105529\" aria-describedby=\"caption-attachment-105529\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/wp-php-stat.png\" alt=\"WordPress PHP version Stats\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105529\" class=\"wp-caption-text\">Statistiche sulle versioni PHP di WordPress.<\/figcaption><\/figure>\n<p>Se non si \u00e8 sicuri della versione di PHP utilizzata dal sito, si pu\u00f2 verificarla nella dashboard del servizio di hosting o utilizzare lo strumento <a href=\"https:\/\/wordpress.org\/documentation\/article\/site-health-screen\/\" target=\"_blank\" rel=\"noopener noreferrer\">WordPress Site Health<\/a>, che fornisce una panoramica della configurazione del sito.<\/p>\n<figure id=\"attachment_105530\" aria-describedby=\"caption-attachment-105530\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/tools-php-version.png\" alt=\"Verifica della versione di PHP di WordPress\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105530\" class=\"wp-caption-text\">Verifica della versione di PHP di WordPress.<\/figcaption><\/figure>\n<p>Noi di Kinsta consigliamo vivamente di utilizzare <strong>PHP 8.1 o superiore<\/strong> per garantire sicurezza e prestazioni ottimali. Tuttavia, sappiamo che una buona parte degli utenti di WordPress &#8211; circa il 40,4% &#8211; si affida ancora a versioni pi\u00f9 vecchie, come PHP 7.4 e 8.0.<\/p>\n<p>Per garantire che questi utenti possano continuare a utilizzare il nostro ambiente di hosting sicuro, <a href=\"https:\/\/kinsta.com\/it\/changelog\/supporto-fine-ciclo-vita\/\">continuiamo a supportare queste versioni<\/a> ma incoraggiamo i clienti a passare alle versioni pi\u00f9 recenti.<\/p>\n<p>Passare da una versione PHP all&#8217;altra \u00e8 facile. Nella dashboard <a href=\"https:\/\/kinsta.com\/it\/mykinsta\/\">MyKinsta<\/a>, basta andare nella scheda <strong>Strumenti<\/strong>, navigare nelle <strong>Impostazioni PHP<\/strong> e cliccare sul pulsante <strong>Modifica<\/strong> per aggiornare immediatamente la versione PHP del sito.<\/p>\n<figure id=\"attachment_105531\" aria-describedby=\"caption-attachment-105531\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/kinsta-php-version.png\" alt=\"Come cambiare la versione PHP di Kinsta\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105531\" class=\"wp-caption-text\">Come cambiare la versione PHP di Kinsta.<\/figcaption><\/figure>\n<p>Per rendere le cose ancora pi\u00f9 semplici, Kinsta offre <strong>aggiornamenti di PHP automatici<\/strong>. Se il sito utilizza una versione di PHP al termine del ciclo di vita, il nostro sistema lo aggiorna automaticamente all&#8217;ultima versione supportata. In questo modo il sito rimane sicuro e completamente ottimizzato senza richiedere alcun intervento manuale.<\/p>\n<figure id=\"attachment_105532\" aria-describedby=\"caption-attachment-105532\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/auto-php-update.png\" alt=\"Automatic PHP updates.\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105532\" class=\"wp-caption-text\">Aggiornamenti PHP automatici.<\/figcaption><\/figure>\n<p>Con un host WordPress che utilizza <a href=\"https:\/\/kinsta.com\/it\/blog\/cosa-e-cpanel\/\">cPanel<\/a>, in genere si pu\u00f2 cambiare la versione di PHP selezionando l&#8217;opzione <strong>Seleziona versione PHP<\/strong> nella categoria <strong>Software<\/strong>.<\/p>\n<figure id=\"attachment_105533\" aria-describedby=\"caption-attachment-105533\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/cpanel-php-version.png\" alt=\"cPanel PHP version\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105533\" class=\"wp-caption-text\">Versione PHP di cPanel.<\/figcaption><\/figure>\n<h2>3. Utilizzare sempre l&#8217;ultima versione di WordPress, dei temi e dei plugin<\/h2>\n<p>Un altro modo molto importante per rafforzare la sicurezza di WordPress \u00e8 quello di tenerlo sempre aggiornato. Questo include il core di WordPress, i temi e i plugin (sia quelli del <a href=\"https:\/\/wordpress.org\/plugins\/\" target=\"_blank\" rel=\"noopener noreferrer\">repository di WordPress<\/a> che quelli premium).<\/p>\n<p>Questi aggiornamenti non riguardano solo le nuove funzionalit\u00e0: spesso contengono patch di sicurezza critiche che risolvono le <a href=\"https:\/\/kinsta.com\/it\/blog\/vulnerabilita-plugin-wordpress\/\">vulnerabilit\u00e0<\/a> prima che gli hacker possano sfruttarle.<\/p>\n<p>Nei primi anni di vita di WordPress, il software core era soggetto a minacce alla sicurezza perch\u00e9 gli aggiornamenti non venivano sempre applicati in tempo. WordPress ha compiuto un passo importante verso il miglioramento della sicurezza con il rilascio della versione 3.7, che ha introdotto gli <a href=\"https:\/\/kinsta.com\/it\/blog\/aggiornamenti-automatici-di-wordpress\/\">aggiornamenti automatici<\/a> per le minor release, inclusi gli aggiornamenti di sicurezza e di manutenzione.<\/p>\n<figure id=\"attachment_105534\" aria-describedby=\"caption-attachment-105534\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/wp-updates.png\" alt=\"WordPress updates\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105534\" class=\"wp-caption-text\">Aggiornamenti di WordPress.<\/figcaption><\/figure>\n<p>Questo ha ridotto in modo significativo il numero di attacchi alle versioni non aggiornate del core di WordPress. Tuttavia, mentre il core di WordPress \u00e8 ora pi\u00f9 sicuro, i temi e i plugin sono diventati la principale area di attacco.<\/p>\n<p>Secondo <a href=\"https:\/\/patchstack.com\/whitepaper\/state-of-wordpress-security-in-2024\/\" target=\"_blank\" rel=\"noopener noreferrer\">Patchstack<\/a>, nel 2023 il 96,77% di tutte le nuove vulnerabilit\u00e0 di WordPress proveniva dai plugin, mentre i temi rappresentavano solo il 3,01% e le vulnerabilit\u00e0 del core erano inferiori all&#8217;1%.<\/p>\n<figure id=\"attachment_105535\" aria-describedby=\"caption-attachment-105535\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/patchstack-wp-vulnerabilities.png\" alt=\"PatchStack's 2023 WordPress vulnerabilities report\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105535\" class=\"wp-caption-text\">Rapporto di PatchStack sulle vulnerabilit\u00e0 di WordPress nel 2023.<\/figcaption><\/figure>\n<p>Questo significa che il vero rischio per la sicurezza non \u00e8 WordPress in s\u00e9, ma i temi e i plugin di terze parti che ne estendono le funzionalit\u00e0.<\/p>\n<p>Il rischio \u00e8 ancora maggiore quando i plugin vengono abbandonati. Nel 2023, Patchstack ha segnalato al team di WordPress 827 plugin e temi vulnerabili. Di questi, 481 componenti sono stati rimossi dalla repository dei plugin a causa dell&#8217;abbandono &#8211; un aumento del 450% rispetto al 2022, quando sono stati segnalati solo 147 plugin e temi e 87 sono stati rimossi.<\/p>\n<p>Ci\u00f2 significa che migliaia di siti WordPress utilizzavano plugin che non ricevevano pi\u00f9 aggiornamenti ed erano facili bersagli per gli aggressori.<\/p>\n<figure id=\"attachment_105536\" aria-describedby=\"caption-attachment-105536\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/vulnerable-plugins.png\" alt=\"PatchStack vulnerable plugin report\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105536\" class=\"wp-caption-text\">Report di PatchStack sui plugin vulnerabili.<\/figcaption><\/figure>\n<p>I temi e i plugin sono le maggiori fonti di vulnerabilit\u00e0 di WordPress, quindi tenerli aggiornati dovrebbe essere una priorit\u00e0 assoluta. Tuttavia, controllare manualmente la presenza di aggiornamenti su pi\u00f9 plugin, temi e siti pu\u00f2 essere un&#8217;impresa ardua.<\/p>\n<p>Noi di Kinsta abbiamo reso tutto questo molto pi\u00f9 semplice con gli <a href=\"https:\/\/kinsta.com\/it\/add-on-di-kinsta\/aggiornamenti-automatici-di-kinsta\/\">Aggiornamenti Automatici di Kinsta<\/a>. Questo servizio garantisce che tutti i temi e i plugin, sia attivi che inattivi, vengano aggiornati quotidianamente. Ogni nuovo plugin o tema installato viene inoltre aggiunto automaticamente al sistema di aggiornamento di Kinsta, rimanendo cos\u00ec protetto dalle vulnerabilit\u00e0 senza dover intervenire.<\/p>\n<figure id=\"attachment_105537\" aria-describedby=\"caption-attachment-105537\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/automatic-updates-status-page.png\" alt=\"Aggiornamenti Automatici di Kinsta status page\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105537\" class=\"wp-caption-text\">Pagina di stato degli Aggiornamenti automatici di Kinsta.<\/figcaption><\/figure>\n<p>Per evitare problemi imprevisti, dopo un aggiornamento Kinsta esegue dei test di regressione visiva sul sito. Ci\u00f2 significa che confrontiamo gli screenshot delle pagine del sito prima e dopo un aggiornamento per individuare i cambiamenti significativi. Per saperne di pi\u00f9 su questo servizio e sul suo funzionamento, si legga la <a href=\"https:\/\/kinsta.com\/it\/docs\/hosting-wordpress\/temi-plugin-wordpress\/aggiornamenti-automatici-temi-plugin-wordpress\/\">nostra documentazione<\/a>.<\/p>\n<p>Per gli utenti che preferiscono il controllo manuale, si possono aggiornare temi e plugin direttamente dalla dashboard di MyKinsta o dalla sezione Aggiornamenti di WordPress del pannello di <a href=\"https:\/\/kinsta.com\/it\/blog\/amministrazione-wordpress\/\">amministrazione<\/a>. Basta selezionare i plugin che si desidera aggiornare e cliccare su <strong>Aggiorna plugin<\/strong>.<\/p>\n<figure id=\"attachment_105538\" aria-describedby=\"caption-attachment-105538\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/wp-update-plugins.png\" alt=\"Update plugins\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105538\" class=\"wp-caption-text\">Aggiorna plugin.<\/figcaption><\/figure>\n<p>\u00c8 importante essere anche selettivi riguardo ai plugin che si installano. <a href=\"https:\/\/patchstack.com\/articles\/security-implications-of-wordpress-repository-access-restrictions-and-plugin-closures\/\" target=\"_blank\" rel=\"noopener noreferrer\">Patchstack ha dimostrato<\/a> che molti plugin presenti nel repository di WordPress non vengono pi\u00f9 mantenuti.<\/p>\n<p>Prima di installare un plugin, \u00e8 importante controllare la data dell&#8217;<strong>ultimo aggiornamento<\/strong> e leggere le recensioni degli utenti. Se un plugin non \u00e8 stato aggiornato da molto tempo o ha valutazioni scarse, \u00e8 meglio cercare un&#8217;alternativa.<\/p>\n<figure id=\"attachment_105539\" aria-describedby=\"caption-attachment-105539\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/outdated-plugin.png\" alt=\"Outdated plugin\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105539\" class=\"wp-caption-text\">Un plugin obsoleto.<\/figcaption><\/figure>\n<p>Come si vede nell&#8217;immagine qui sopra, WordPress segnala i plugin obsoleti con un avviso in cima al elenco, permettendo cos\u00ec di individuare potenziali rischi.<\/p>\n<p>Per essere sempre al passo con le minacce alla sicurezza di WordPress, risorse come <a href=\"https:\/\/wpscan.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">WPScan<\/a>, che tiene traccia di oltre 10.000 vulnerabilit\u00e0 core, nei plugin e nei temi di WordPress, e l&#8217;<a href=\"https:\/\/wordpress.org\/news\/category\/security\/\" target=\"_blank\" rel=\"noopener noreferrer\">Archivio ufficiale della sicurezza di WordPress<\/a>, che registra tutte le modifiche relative alla sicurezza, aiutano a rimanere informati sui rischi pi\u00f9 recenti.<\/p>\n<p>\u00c8 possibile ridurre drasticamente i rischi per la sicurezza del sito mantenendo WordPress, i temi e i plugin sempre aggiornati, utilizzando un sistema di aggiornamento affidabile e scegliendo con cautela i plugin.<\/p>\n<h2>4. Nascondere la versione di WordPress<\/h2>\n<p>Nascondere la versione di WordPress riduce i rischi per la sicurezza. Se gli hacker possono vedere che si sta utilizzando una versione di WordPress non aggiornata, il sito diventa un bersaglio per attacchi che sfruttano vulnerabilit\u00e0 note.<\/p>\n<p>Di default, WordPress visualizza il numero di versione nel codice HTML del sito.<\/p>\n<figure id=\"attachment_105540\" aria-describedby=\"caption-attachment-105540\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/wp-version.png\" alt=\"WordPress version\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105540\" class=\"wp-caption-text\">Versione di WordPress.<\/figcaption><\/figure>\n<p>Sebbene l&#8217;approccio migliore sia quello di mantenere sempre aggiornato WordPress, si pu\u00f2 rimuovere il numero di versione dal codice sorgente aggiungendo questo snippet al file <code>functions.php<\/code> del tema:<\/p>\n<pre><code class=\"language-bash\">function wp_version_remove_version() {\n    return '';\n}\nadd_filter('the_generator', 'wp_version_remove_version');<\/code><\/pre>\n<aside role=\"note\" class=\"wp-block-kinsta-notice is-style-important\">\n            <h3>Important<\/h3>\n        <p>La modifica dei file del tema pu\u00f2 danneggiare il sito se effettuata in modo errato. Per evitare problemi, si dovrebbe valutare la possibilit\u00e0 di utilizzare un <a href=\"https:\/\/kinsta.com\/it\/blog\/child-theme-wordpress\/\">child theme<\/a> o effettuare le modifiche in un <a href=\"https:\/\/kinsta.com\/it\/docs\/hosting-wordpress\/ambienti-di-staging\/\">ambiente di staging<\/a>. Se non si \u00e8 sicuri, meglio consultare uno <a href=\"https:\/\/kinsta.com\/it\/blog\/assumere-uno-sviluppatore-wordpress\/\">sviluppatore<\/a> prima di procedere.<\/p>\n<\/aside>\n\n<p>Per una soluzione pi\u00f9 semplice, il plugin <a href=\"https:\/\/perfmatters.io\/\" target=\"_blank\" rel=\"noopener noreferrer\">Perfmatters<\/a> permette di nascondere la versione di WordPress con un solo clic, oltre ad offrire altre impostazioni per ottimizzare le prestazioni e la sicurezza del sito.<\/p>\n<h2>5. Bloccare il pannello di amministrazione di WordPress<\/h2>\n<p>Anche se <strong>la security by obscurity di WordPress<\/strong> non \u00e8 una soluzione infallibile, fare in modo che sia pi\u00f9 difficile per gli hacker trovare e sfruttare il pannello di amministrazione riduce l&#8217;esposizione agli attacchi brute force e ai bot maligni.<\/p>\n<p>Gli hacker prendono spesso di mira la pagina <code>wp-admin<\/code> perch\u00e9 \u00e8 la porta di accesso al sito. Se riescono ad accedere all&#8217;area di amministrazione, possono prendere il controllo totale, iniettando malware, modificando i file o addirittura bloccando l&#8217;amministratore.<\/p>\n<p>Rafforzare l&#8217;accesso alla bacheca di WordPress aggiunge un ulteriore livello di sicurezza, garantendo che gli aggressori non possano accedere al sito anche se esiste una vulnerabilit\u00e0 altrove.<\/p>\n<p>Le soluzioni pi\u00f9 efficaci per proteggere l&#8217;amministrazione di WordPress sono:<\/p>\n<ul>\n<li>Cambiare l&#8217;URL di accesso predefinito in modo che gli aggressori e i bot non possano trovarlo facilmente.<\/li>\n<li>Limitare i tentativi di accesso per bloccare gli attacchi brute-force.<\/li>\n<li>Aggiungere l&#8217;autenticazione HTTP e richiedere un nome utente e una password aggiuntivi prima di caricare la pagina di login.<\/li>\n<li>Limitare l&#8217;accesso al pannello di amministratore a IP specifici utilizzando un firewall o le regole del server web.<\/li>\n<\/ul>\n<p>Queste soluzioni possono essere combinate per prevenire tentativi di accesso non autorizzati e ridurre il rischio di exploit del pannello di amministrazione. Esaminiamole una per una.<\/p>\n<h3>Cambiare l&#8217;URL di accesso a WordPress<\/h3>\n<p>Di default, i siti WordPress utilizzano <code>domain.com\/wp-admin<\/code> o <code>domain.com\/wp-login.php<\/code> come URL di accesso. Il problema \u00e8 che anche gli hacker e i bot lo sanno. Esaminano costantemente i siti alla ricerca di pagine di login da attaccare.<\/p>\n<p>Cambiare l&#8217;URL di accesso non rende il sito invulnerabile, ma lo rende un bersaglio molto pi\u00f9 difficile da raggiungere, riducendo in modo significativo gli attacchi automatici.<\/p>\n<p>Per modificare l&#8217;URL di accesso, si possono utilizzare plugin gratuiti come <a href=\"https:\/\/wordpress.org\/plugins\/wps-hide-login\/\" target=\"_blank\" rel=\"noopener noreferrer\">WPS Hide Login<\/a> o soluzioni premium come <a href=\"https:\/\/perfmatters.io\/docs\/change-wordpress-login-url\/\" target=\"_blank\" rel=\"noopener noreferrer\">Perfmatters<\/a>. Questi plugin permettono di impostare un percorso di login personalizzato, rendendo molto pi\u00f9 difficile per i malintenzionati trovare la pagina di login dell&#8217;amministratore. \u00c8 importante scegliere un URL unico che non sia facilmente indovinato dai bot.<\/p>\n<h3>Limitare i tentativi di accesso<\/h3>\n<p>Anche con un URL di accesso nascosto, gli aggressori possono tentare di indovinare le password attraverso attacchi brute force, in cui tentano migliaia di combinazioni nome utente-password fino a trovare quella giusta. Di default, WordPress non limita i tentativi di accesso, il che significa che i bot possono continuare a provare all&#8217;infinito.<\/p>\n<p>\u00c8 possibile bloccare questi attacchi limitando il numero di tentativi di accesso falliti prima che un indirizzo IP venga temporaneamente bloccato. Il plugin <a href=\"https:\/\/wordpress.org\/plugins\/limit-login-attempts-reloaded\/\" target=\"_blank\" rel=\"noopener noreferrer\">Limit Login Attempts Reloaded<\/a> \u00e8 uno strumento semplice per limitare i tentativi di accesso: permette di configurare la durata del blocco, di impostare i limiti dei tentativi di accesso e persino di inserire gli IP in una lista o in una allowlist o in una blocklist.<\/p>\n<figure id=\"attachment_105541\" aria-describedby=\"caption-attachment-105541\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/limit-login-reloaded.png\" alt=\"Limit Login Attempts Reloaded\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105541\" class=\"wp-caption-text\">Limit Login Attempts Reloaded.<\/figcaption><\/figure>\n<p>In alternativa, <a href=\"https:\/\/wordpress.org\/plugins\/login-lockdown\/\" target=\"_blank\" rel=\"noopener noreferrer\">Login Lockdown &#038; Protection<\/a> registra gli indirizzi IP e i timestamp dei tentativi di accesso falliti, bloccando l&#8217;accesso se si verificano troppi tentativi in un breve periodo. Questo aiuta a prevenire gli attacchi automatici e a evitare che gli utenti legittimi vengano bloccati troppo facilmente.<\/p>\n<figure id=\"attachment_105542\" aria-describedby=\"caption-attachment-105542\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/login-protection-settings.png\" alt=\"Login Lockdown &#038; Protection settings\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105542\" class=\"wp-caption-text\">Impostazioni di Login Lockdown &#038; Protection.<\/figcaption><\/figure>\n<h3>Aggiungere un ulteriore livello di sicurezza con l&#8217;autenticazione HTTP<\/h3>\n<p>Un altro modo efficace per proteggere la pagina di login \u00e8 aggiungere un ulteriore livello di protezione della password prima che qualcuno possa accedervi. Ci\u00f2 significa che prima che qualcuno veda la schermata di login di WordPress, dovr\u00e0 inserire un nome utente e una password.<\/p>\n<figure id=\"attachment_105543\" aria-describedby=\"caption-attachment-105543\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/http-authentication.png\" alt=\"HTTP authentication\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105543\" class=\"wp-caption-text\">Autenticazione HTTP.<\/figcaption><\/figure>\n<p>Questo metodo \u00e8 molto efficace ma non \u00e8 l&#8217;ideale per i siti di e-commerce o per i siti ad iscrizione, dato che gli utenti devono accedere frequentemente. Tuttavia, pu\u00f2 ridurre significativamente i tentativi di accesso non autorizzati per blog, siti aziendali e progetti personali.<\/p>\n<p>Molti provider di hosting offrono strumenti integrati per aggiungere un altro livello di autenticazione. Ad esempio, Kinsta offre una funzione di <strong>protezione con password<\/strong> nella pagina <strong>Strumenti<\/strong> della dashboard MyKinsta.<\/p>\n<figure id=\"attachment_105544\" aria-describedby=\"caption-attachment-105544\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/password-protection.png\" alt=\"Kinsta Password protection\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105544\" class=\"wp-caption-text\">Protezione con password di Kinsta.<\/figcaption><\/figure>\n<p>L&#8217;attivazione dell&#8217;autenticazione HTTP richiede solo pochi clic. Agli utenti viene chiesto di inserire un nome utente e una password aggiuntivi prima di accedere alla pagina di login di WordPress.<\/p>\n<p>Per i <a href=\"https:\/\/kinsta.com\/it\/blog\/cosa-e-apache\/\">server Apache<\/a>, questa funzione pu\u00f2 essere impostata manualmente creando un file <code>.htpasswd<\/code>. \u00c8 possibile utilizzare questo <a href=\"http:\/\/www.htaccesstools.com\/htpasswd-generator\/\" target=\"_blank\" rel=\"noopener noreferrer\">strumento di generazione<\/a> e caricare il file in una directory della cartella <code>wp-admin<\/code>. Ad esempio:<\/p>\n<pre><code class=\"language-bash\">home\/user\/.htpasswds\/public_html\/wp-admin\/htpasswd\/<\/code><\/pre>\n<p>Quindi, si crea un file <code>.htaccess<\/code> con il seguente codice e lo si carica nella cartella <code>\/wp-admin\/<\/code>. Bisogna assicurarsi di aggiornare il percorso della cartella e il nome utente.<\/p>\n<pre><code class=\"language-bash\">AuthName \"Admins Only\"\nAuthUserFile \/home\/yourdirectory\/.htpasswds\/public_html\/wp-admin\/htpasswd\nAuthType basic\nrequire user yourusername<\/code><\/pre>\n<p>L&#8217;unico inconveniente \u00e8 che questo interrompe AJAX (admin-ajax) sul frontend del sito. Alcuni plugin di terze parti lo richiedono. Pertanto, \u00e8 necessario aggiungere il seguente codice al file <code>.htaccess<\/code>.<\/p>\n<pre><code class=\"language-bash\">&lt;Files admin-ajax.php&gt;\nOrder allow,deny\nAllow from all\nSatisfy any\n&lt;\/Files&gt;<\/code><\/pre>\n<p>Se si usa <a href=\"https:\/\/kinsta.com\/it\/blog\/cosa-e-nginx\/\">Nginx<\/a>, si pu\u00f2 anche limitare l&#8217;accesso con l&#8217;autenticazione base HTTP. Al riguardo, si pu\u00f2 consultare <a href=\"https:\/\/www.nginx.com\/resources\/admin-guide\/restricting-access-auth-basic\/\" target=\"_blank\" rel=\"noopener noreferrer\">questo tutorial<\/a>.<\/p>\n<h3>Limitare l&#8217;accesso al pannello di amministrazione in base all&#8217;indirizzo IP<\/h3>\n<p>Gli hacker utilizzano spesso attacchi brute force per colpire la pagina di login di WordPress, provando migliaia di combinazioni di password fino a quando non riescono a entrare. Ma se non riescono nemmeno a raggiungere la schermata di login, gli attacchi diventano inutili.<\/p>\n<p>\u00c8 possibile limitare l&#8217;accesso a specifici indirizzi IP. In questo modo, solo gli utenti provenienti da localit\u00e0 approvate potranno accedere, bloccando tutti gli altri, anche se in possesso delle credenziali corrette.<\/p>\n<p>Se si usa un <a href=\"https:\/\/kinsta.com\/it\/blog\/cosa-e-un-firewall\/\">Web Application Firewall<\/a> (WAF) come Cloudflare, la funzione <a href=\"https:\/\/developers.cloudflare.com\/waf\/tools\/zone-lockdown\/\" target=\"_blank\" rel=\"noopener noreferrer\">Zone Lockdown<\/a> permette di limitare l&#8217;accesso a <code>\/wp-admin\/<\/code> e <code>\/wp-login.php\/<\/code> solo agli indirizzi IP approvati.<\/p>\n<figure id=\"attachment_105545\" aria-describedby=\"caption-attachment-105545\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/cloudflare-zone-lockdown.png\" alt=\"Cloudflare zone lockdown rule\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105545\" class=\"wp-caption-text\">Regola di blocco della zona di Cloudflare.<\/figcaption><\/figure>\n<p>Tuttavia, Cloudflare consiglia di utilizzare <a href=\"https:\/\/developers.cloudflare.com\/waf\/custom-rules\/\" target=\"_blank\" rel=\"noopener noreferrer\">regole WAF personalizzate<\/a>, in quanto offrono una maggiore flessibilit\u00e0.<\/p>\n<figure id=\"attachment_105546\" aria-describedby=\"caption-attachment-105546\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/custom-waf-rules.png\" alt=\"Custom WAF rules\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105546\" class=\"wp-caption-text\">Regole WAF personalizzate.<\/figcaption><\/figure>\n<p>Per gli utenti di Sucuri, il firewall limita automaticamente l&#8217;accesso alle pagine di amministrazione a meno che un IP non sia inserito nella allowlist. Se si \u00e8 bloccati, si pu\u00f2 aggiungere manualmente l&#8217;IP attuale alla allowlist dalla dashboard di Sucuri.<\/p>\n<p>Se si gestisce direttamente un server e si ha un indirizzo IP statico, si pu\u00f2 limitare manualmente l&#8217;accesso tramite la configurazione di <code>.htaccess<\/code> (Apache) o Nginx specificando gli IP consentiti. Tuttavia, questa soluzione \u00e8 adatta solo per gli utenti che non cambiano spesso rete.<\/p>\n<p>Anche in questo caso, questo metodo non \u00e8 ideale per i siti di e-commerce o le piattaforme di iscrizione, in quanto si basano sull&#8217;accesso frequente al backend da parte di pi\u00f9 utenti. Bloccare l&#8217;accesso in base all&#8217;IP potrebbe impedire a clienti legittimi o ai membri del team di gestire gli account. Altre misure di sicurezza &#8211; come l&#8217;autenticazione a due fattori (2FA) e politiche di password forti &#8211; potrebbero essere soluzioni migliori per questo tipo di siti.<\/p>\n<h2>6. Usare nomi utente e password forti<\/h2>\n<p>Una delle vulnerabilit\u00e0 che permettono agli hacker di entrare in un sito WordPress sono le credenziali deboli. Ogni anno, i <a href=\"https:\/\/nordpass.com\/most-common-passwords-list\/\" target=\"_blank\" rel=\"noopener noreferrer\">rapporti sulla sicurezza<\/a> mostrano che milioni di persone utilizzano ancora password come &#8220;123456&#8221;, &#8220;password&#8221; o &#8220;qwerty&#8221;, che possono essere decifrate in pochi secondi. Gli hacker si affidano ad attacchi brute force, utilizzando script automatizzati per indovinare rapidamente le credenziali di accesso.<\/p>\n<p>Per proteggere il sito, \u00e8 importante usare sempre password lunghe e complesse con un mix di lettere maiuscole e minuscole, numeri e simboli. Gestire password forti oggi \u00e8 pi\u00f9 facile grazie a strumenti come <a href=\"https:\/\/passwords.google.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">Google Password Manager<\/a>, che suggerisce e memorizza le password in modo sicuro.<\/p>\n<figure id=\"attachment_105547\" aria-describedby=\"caption-attachment-105547\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/google-password-manager.png\" alt=\"Google Password Manager\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105547\" class=\"wp-caption-text\">Google Password Manager.<\/figcaption><\/figure>\n<p>Quando si crea un nuovo account WordPress, la piattaforma di Kinsta genera automaticamente password forti. \u00c8 possibile memorizzarle in modo sicuro in un gestore di password come <a href=\"https:\/\/kinsta.com\/it\/blog\/password-manager\/#8-1password\">1Password<\/a> o <a href=\"https:\/\/kinsta.com\/it\/blog\/password-manager\/#6-lastpass\">LastPass<\/a>, evitando cos\u00ec di dover riutilizzare le stesse password su siti diversi.<\/p>\n<figure id=\"attachment_105548\" aria-describedby=\"caption-attachment-105548\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/kinsta-auto-password.png\" alt=\"Kinsta Generate password\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105548\" class=\"wp-caption-text\">Kinsta Genera password.<\/figcaption><\/figure>\n<p>Un altro accorgimento fondamentale \u00e8 evitare il nome utente predefinito &#8220;admin&#8221;. Gli hacker prendono spesso di mira questo nome utente in attacchi brute force. Invece, \u00e8 opportuno creare un nome utente da amministratore unico ed eliminare l&#8217;utente &#8220;admin&#8221; predefinito. \u00c8 possibile farlo nella sezione <strong>Utenti<\/strong> &gt; <strong>Aggiungi nuovo<\/strong> della bacheca di WordPress.<\/p>\n<figure id=\"attachment_105549\" aria-describedby=\"caption-attachment-105549\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/wordpress-role.png\" alt=\"WordPress role\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105549\" class=\"wp-caption-text\">Ruolo di WordPress.<\/figcaption><\/figure>\n<p>Una volta creato il nuovo account, basta eliminare quello vecchio e riassegnare i contenuti al nuovo account da amministratore.<\/p>\n<p>Se si gestisce direttamente il database, si pu\u00f2 rinominare il nome utente amministratore in <a href=\"https:\/\/kinsta.com\/it\/blog\/installare-phpmyadmin\/\">phpMyAdmin<\/a> con il seguente comando (fare sempre un backup del database prima di apportare modifiche):<\/p>\n<pre><code class=\"language-bash\">UPDATE wp_users SET user_login = 'newcomplexadminuser' WHERE user_login = 'admin';<\/code><\/pre>\n<h2>7. Abilitare l&#8217;autenticazione a due fattori (2FA)<\/h2>\n<p>Per quanto forte sia la password, c&#8217;\u00e8 sempre il rischio che venga rubata o indovinata. L&#8217;<a href=\"https:\/\/kinsta.com\/it\/blog\/autenticazione-a-due-fattori-wordpress\/\">autenticazione a due fattori<\/a> (2FA) aggiunge un livello di sicurezza richiedendo una seconda forma di verifica prima di concedere l&#8217;accesso.<\/p>\n<p>In genere si tratta di inserire un codice univoco generato da un&#8217;<a href=\"https:\/\/kinsta.com\/it\/blog\/autenticazione-a-due-fattori-wordpress\/#google-authenticator\">app di autenticazione<\/a>, un messaggio SMS o una chiave di sicurezza. Dato che raramente gli aggressori hanno accesso sia alla password che al dispositivo 2FA, l&#8217;attivazione della 2FA \u00e8 uno dei modi pi\u00f9 efficaci per evitare accessi non autorizzati.<\/p>\n<p>Ci sono due aree principali in cui l&#8217;autenticazione a due fattori dovrebbe essere abilitata:<\/p>\n<ul>\n<li>L&#8217;account di hosting: se qualcuno accede alla dashboard del provider di hosting, potrebbe cambiare le password, modificare le impostazioni DNS o addirittura cancellare il sito. Noi di Kinsta forniamo l&#8217;<a href=\"https:\/\/kinsta.com\/it\/docs\/impostazioni-utente\/accesso-account\/#enable-two-factor-authentication-2-fa\">autenticazione a due fattori per MyKinsta<\/a>, richiedendo un codice una tantum da un&#8217;app di autenticazione come Google Authenticator per assicurarci che solo gli utenti autorizzati possano accedere agli account del servizio di hosting.<\/li>\n<li>La pagina di login di WordPress: sebbene WordPress non disponga di un sistema di autenticazione a due fattori integrato, si pu\u00f2 attivarlo utilizzando plugin come <a href=\"https:\/\/wordpress.org\/plugins\/miniorange-2-factor-authentication\/\" target=\"_blank\" rel=\"noopener noreferrer\">Google Authenticator<\/a> o <a href=\"https:\/\/wordpress.org\/plugins\/two-factor-authentication\/\" target=\"_blank\" rel=\"noopener noreferrer\">Two Factor Authentication<\/a>. Questi plugin si integrano con le app di autenticazione e richiedono l&#8217;inserimento di un codice di sicurezza una tantum al momento dell&#8217;accesso.<\/li>\n<\/ul>\n<p>Una volta configurato il plugin, la pagina di login di WordPress richieder\u00e0 un codice di sicurezza aggiuntivo, riducendo in modo significativo il rischio di accesso non autorizzato, anche se qualcuno ruba la password.<\/p>\n<h2>8. Usare HTTPS per le connessioni crittografate con un certificato SSL<\/h2>\n<p>Uno dei modi pi\u00f9 trascurati per rafforzare la sicurezza di WordPress \u00e8 quello di <a href=\"https:\/\/kinsta.com\/it\/docs\/hosting-wordpress\/wordpress-domini\/certificati-ssl-wordpress\/\">installare un certificato SSL<\/a> e gestire il sito tramite HTTPS (Hypertext Transfer Protocol Secure).<\/p>\n<p>L&#8217;HTTPS cripta i dati scambiati tra il sito web e i suoi visitatori, impedendo ai malintenzionati di intercettare le informazioni sensibili. Sebbene molti pensino che i certificati SSL siano necessari solo per i siti di e-commerce, la realt\u00e0 \u00e8 che qualsiasi sito web che raccolga credenziali di accesso, dati degli utenti o anche solo analisi del traffico trae vantaggio dalla crittografia.<\/p>\n<p>Molti provider di hosting, tra cui Kinsta, rilasciano automaticamente <a href=\"https:\/\/kinsta.com\/it\/docs\/hosting-wordpress\/wordpress-domini\/certificati-ssl-wordpress\/\">certificati SSL gratuiti<\/a> con supporto wildcard grazie alla nostra integrazione di Cloudflare. Questo rende estremamente semplice proteggere il proprio sito.<\/p>\n<p>Se il sito gira ancora su HTTP, ecco perch\u00e9 si dovrebbe intervenire immediatamente:<\/p>\n<ul>\n<li><strong>Sicurezza:<\/strong> senza HTTPS, le credenziali di accesso e i dati degli utenti vengono inviati in chiaro, diventando cos\u00ec un facile bersaglio per gli hacker. L&#8217;HTTPS cripta queste informazioni, prevenendo gli attacchi man-in-the-middle e proteggendo tutte le interazioni sul sito.<\/li>\n<li><strong>SEO:<\/strong> <a href=\"https:\/\/developers.google.com\/search\/blog\/2014\/08\/https-as-ranking-signal\" target=\"_blank\" rel=\"noopener noreferrer\">Google ha confermato<\/a> che l&#8217;HTTPS \u00e8 un fattore di ranking. Sebbene possa essere un fattore secondario, una connessione sicura segnala l&#8217;affidabilit\u00e0 del sito, migliorando potenzialmente la visibilit\u00e0 nelle ricerche.<\/li>\n<li><strong>Fiducia e credibilit\u00e0:<\/strong> i visitatori cercano indicatori di sicurezza come l&#8217;icona del lucchetto. Secondo un vecchio sondaggio di <a href=\"http:\/\/downloads.globalsign.com\/acton\/attachment\/2674\/f-0360\/1\/-\/-\/-\/-\/increase-conversions-with-SSL.pdf\" target=\"_blank\" rel=\"noopener noreferrer\">GlobalSign<\/a>, l&#8217;84% degli acquirenti abbandona un acquisto se i dati vengono inviati tramite una connessione non sicura e il 29% controlla attivamente la presenza di HTTPS prima di accedere a un sito.<\/li>\n<li><strong>Avvisi del browser:<\/strong> <a href=\"https:\/\/blog.chromium.org\/2018\/02\/a-secure-web-is-here-to-stay.html\" target=\"_blank\" rel=\"noopener noreferrer\">Chrome<\/a> e altri browser ora segnalano i siti HTTP come &#8220;Non sicuri&#8221;, scoraggiando i visitatori dal proseguire. Chrome ha anche un&#8217;opzione (<strong>Usa sempre connessioni sicure<\/strong>) per avvisare gli utenti prima di visitare siti che non supportano l&#8217;HTTPS.<\/li>\n<li><strong>Dati di riferimento:<\/strong> l&#8217;HTTPS conserva i dati di riferimento in Google Analytics, mentre il traffico HTTP viene spesso classificato erroneamente come traffico diretto, cosa che rende pi\u00f9 difficile il monitoraggio delle fonti.<\/li>\n<li><strong>Prestazioni:<\/strong> l&#8217;HTTPS abilita <a href=\"https:\/\/kinsta.com\/it\/impara\/http2\/\">HTTP\/2<\/a>, migliorando la velocit\u00e0 del sito grazie a multiplexing e compressione migliori. <a href=\"https:\/\/kinsta.com\/it\/blog\/tls-ssl\/\">TLS 1.3<\/a> ottimizza ulteriormente le prestazioni riducendo i tempi di handshake. Se il sito \u00e8 ospitato su Kinsta, <a href=\"https:\/\/kinsta.com\/it\/blog\/tls-1-3\/\">sia HTTPS che TLS 1.3 sono supportati<\/a> su tutti i server e <a href=\"https:\/\/kinsta.com\/it\/blog\/http3\/\">HTTP\/3 \u00e8 pienamente supportato<\/a>, grazie alla nostra integrazione di Cloudflare, che garantisce connessioni ancora pi\u00f9 veloci e affidabili.<\/li>\n<\/ul>\n<p>Per applicare HTTPS al sito WordPress, si pu\u00f2 definire l&#8217;applicazione dell&#8217;SSL nel file <code>wp-config.php<\/code> aggiungendo la seguente riga:<\/p>\n<pre><code class=\"language-bash\">define('FORCE_SSL_ADMIN', true);<\/code><\/pre>\n<p>Se si sta ancora utilizzando il protocollo HTTP, \u00e8 il momento di migrare. Il passaggio al protocollo HTTPS non \u00e8 pi\u00f9 facoltativo: \u00e8 un passo essenziale per la sicurezza, la SEO e la fiducia degli utenti. Se si ha bisogno di aiuto, si pu\u00f2 consultare la nostra <a href=\"https:\/\/kinsta.com\/it\/blog\/da-http-a-https\/\">guida alla migrazione ad HTTPS per WordPress<\/a> per eseguire la transizione senza problemi.<\/p>\n<h2>9. Aggiungere i pi\u00f9 recenti header HTTP di sicurezza<\/h2>\n<p>Un altro modo per rafforzare la sicurezza di WordPress \u00e8 quello di implementare le intestazioni HTTP di sicurezza. Queste intestazioni indicano ai browser come gestire i contenuti del sito, permettendo di prevenire attacchi come XSS (<a href=\"https:\/\/portswigger.net\/web-security\/cross-site-scripting\" target=\"_blank\" rel=\"noopener noreferrer\">Cross-Site Scripting<\/a>) e clickjacking. In genere vengono configurati a livello di server e, sebbene ne esistano molti, i pi\u00f9 importanti sono:<\/p>\n<ul>\n<li><strong>Content-Security-Policy (CSP):<\/strong> limita le risorse (script, stili, immagini) che possono essere caricate sul sito per evitare iniezioni dannose.<\/li>\n<li><strong>Sicurezza del trasporto rigoroso (HSTS):<\/strong> impone ai browser di utilizzare sempre HTTPS, garantendo connessioni sicure.<\/li>\n<li><strong>X-Frame-Options:<\/strong> impedisce che il sito venga incorporato negli iframe, proteggendo dal clickjacking.<\/li>\n<li><strong>X-Content-Type-Options:<\/strong> impedisce ai browser di effettuare il MIME-sniffing, riducendo il rischio di alcuni tipi di attacchi.<\/li>\n<\/ul>\n<aside role=\"note\" class=\"wp-block-kinsta-notice is-style-important\">\n            <h3>Important<\/h3>\n        <p>\u00c8 possibile imbattersi in vecchi articoli che consigliano l&#8217;intestazione X-XSS-Protection per prevenire il cross-site scripting. Tuttavia, questa intestazione <a href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/HTTP\/Reference\/Headers\/X-XSS-Protection\">\u00e8 ormai deprecata<\/a> e non dovrebbe essere utilizzata, in quanto non \u00e8 standard, non \u00e8 supportata dai browser moderni e pu\u00f2 persino introdurre nuove vulnerabilit\u00e0. Si consiglia invece di utilizzare una forte Content-Security-Policy per proteggersi dagli attacchi XSS.<\/p>\n<\/aside>\n\n<p>Per verificare quali intestazioni di sicurezza sono attive sul proprio sito WordPress, basta aprire <strong>Chrome DevTools<\/strong>, andare alla scheda <strong>Network<\/strong> e guardare gli header di risposta della richiesta iniziale del sito.<\/p>\n<figure id=\"attachment_105550\" aria-describedby=\"caption-attachment-105550\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/devtools-network.png\" alt=\"Chrome DevTools network\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105550\" class=\"wp-caption-text\">Network in Chrome DevTools.<\/figcaption><\/figure>\n<p>Per vedere quali intestazioni sono attive e quali mancano, \u00e8 anche possibile eseguire una scansione del sito utilizzando lo strumento gratuito <a href=\"https:\/\/securityheaders.io\/\" target=\"_blank\" rel=\"noopener noreferrer\">securityheaders.io<\/a>.<\/p>\n<aside role=\"note\" class=\"wp-block-kinsta-notice is-style-important\">\n            <h3>Important<\/h3>\n        <p>Si tenga presente che l&#8217;aggiunta di alcune intestazioni, come <a href=\"https:\/\/content-security-policy.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">Content-Security-Policy<\/a>, pu\u00f2 influire sui <a href=\"https:\/\/kinsta.com\/it\/blog\/sottodomini-wordpress\/\">sottodomini<\/a>, quindi \u00e8 importante assicurarsi che tutti i sottodomini necessari siano inclusi nella configurazione.<\/p>\n<\/aside>\n\n<h2>10. Usare sempre connessioni sicure<\/h2>\n<p>Non sottolineeremo mai abbastanza quanto sia importante <a href=\"https:\/\/kinsta.com\/it\/blog\/come-utilizzare-sftp\/\">utilizzare connessioni sicure<\/a>! Bisogna assicurarsi che l&#8217;host di WordPress prenda delle precauzioni, come ad esempio metta a disposizione connessioni <a href=\"https:\/\/kinsta.com\/it\/blog\/funzioni-sftp-ssh\/\">SFTP o SSH<\/a>, che crittografano i dati durante la trasmissione, impedendo ai malintenzionati di intercettare le informazioni sensibili. Si tratta di un metodo pi\u00f9 sicuro del normale <a href=\"https:\/\/kinsta.com\/it\/blog\/ftp-sftp\/\">FTP<\/a>.<\/p>\n<p>Noi di Kinsta supportiamo solo <a href=\"https:\/\/kinsta.com\/it\/docs\/hosting-wordpress\/connessione-con-sftp\/\">connessioni SFTP<\/a> per mantenere i dati dei nostri clienti al sicuro e, a differenza della maggior parte degli host che utilizzano la porta 22, ogni sito di Kinsta ha una porta randomizzata per garantire maggiore sicurezza. \u00c8 possibile trovare i dati SFTP nella dashboard di MyKinsta.<\/p>\n<figure id=\"attachment_105551\" aria-describedby=\"caption-attachment-105551\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/kinsta-sftp-port.png\" alt=\"Kinsta SFTP port\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105551\" class=\"wp-caption-text\">Porta SFTP di Kinsta.<\/figcaption><\/figure>\n<p>Oltre alla sicurezza del server, \u00e8 altrettanto importante proteggere la rete domestica. Un router domestico compromesso potrebbe esporre i dati critici dei siti WordPress. Per ridurre il rischio:<\/p>\n<ul>\n<li>Disattivare la gestione remota (VPN) se non \u00e8 assolutamente necessario.<\/li>\n<li>Usare un intervallo IP privato non predefinito al posto di 192.168.1.1 (ad esempio 10.9.8.7).<\/li>\n<li>Abilitare la crittografia forte sulla rete WiFi.<\/li>\n<li>Consentire gli indirizzi IP per limitare l&#8217;accesso ai dispositivi affidabili.<\/li>\n<li>Tenere aggiornato il firmware del router per eliminare le vulnerabilit\u00e0.<\/li>\n<\/ul>\n<p>Inoltre, bisogna fare attenzione quando si accede a WordPress da reti pubbliche. Il WiFi gratuito dei bar o degli aeroporti non \u00e8 sicuro e gli hacker possono facilmente intercettare il traffico. Se si deve accedere al sito su una rete pubblica, \u00e8 bene utilizzare un servizio <a href=\"https:\/\/kinsta.com\/it\/blog\/cosa-e-una-vpn\/\">VPN<\/a> affidabile come <a href=\"https:\/\/www.expressvpn.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">ExpressVPN<\/a> o <a href=\"https:\/\/nordvpn.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">NordVPN<\/a> per criptare la connessione e nascondere il IP a possibili aggressori.<\/p>\n<h2>11. Disabilitare la modifica dei file nella bacheca di WordPress<\/h2>\n<p>WordPress consente agli amministratori di modificare i file dei temi e dei plugin direttamente dalla bacheca utilizzando l&#8217;<strong>Editor dei file dei temi<\/strong> o l&#8217;<strong>Editor dei file dei plugin<\/strong>.<\/p>\n<figure id=\"attachment_105552\" aria-describedby=\"caption-attachment-105552\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/theme-file-editor.png\" alt=\"Theme File Editor\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105552\" class=\"wp-caption-text\">Editor dei file dei temi.<\/figcaption><\/figure>\n<p>Sebbene questa funzione possa sembrare comoda, pu\u00f2 rappresentare un serio rischio per la sicurezza, soprattutto nei siti con pi\u00f9 utenti. Se un utente malintenzionato riesce ad accedere a un account da amministratore, la prima cosa che potrebbe fare \u00e8 modificare i file PHP per iniettare codice dannoso.<\/p>\n<p>Anche per i proprietari del sito, modificare i file direttamente nella bacheca \u00e8 rischioso. Un piccolo errore di codifica potrebbe portare allo <a href=\"https:\/\/kinsta.com\/it\/blog\/schermo-bianco-della-morte-di-wordpress\/\">schermo bianco della morte<\/a>, rendendo il sito inaccessibile. \u00c8 sempre pi\u00f9 sicuro modificare i file in locale e caricarli tramite SFTP, preferibilmente in un ambiente di staging.<\/p>\n<p>Per disabilitare la modifica dei file ed evitare modifiche non autorizzate, si pu\u00f2 aggiungere la seguente riga al file <code>wp-config.php<\/code>:<\/p>\n<pre><code class=\"language-bash\">define('DISALLOW_FILE_EDIT', true);<\/code><\/pre>\n<p>Per una maggiore sicurezza, sarebbe opportuno disabilitare completamente la modifica dei file, cosa che impedisce l&#8217;installazione di plugin e temi o l&#8217;aggiornamento attraverso la dashboard:<\/p>\n<pre><code class=\"language-bash\">define('DISALLOW_FILE_MODS', true);<\/code><\/pre>\n<h2>12. Proteggere il file wp-config.php<\/h2>\n<p>Il file <code><a href=\"https:\/\/kinsta.com\/it\/blog\/wp-config-php\/\">wp-config.php<\/a><\/code> \u00e8 uno dei componenti pi\u00f9 critici di un&#8217;installazione di WordPress. Questo file memorizza le credenziali di accesso al database, le chiavi di autenticazione e altre informazioni sensibili, e questo lo rendende un obiettivo primario per gli aggressori. Proteggere questo file \u00e8 fondamentale per proteggere il sito.<\/p>\n<p>Ecco tre modi per proteggere il file <code><a href=\"https:\/\/kinsta.com\/it\/blog\/wp-config-php\/\">wp-config.php<\/a><\/code>:<\/p>\n<ol start=\"1\">\n<li><strong>Spostare il file wp-config.php:<\/strong> di default, il file wp-config.php si trova nella directory principale dell&#8217;installazione di WordPress (<code>\/public_html\/<\/code>). Spostarlo in una directory non accessibile al web <a href=\"http:\/\/wordpress.stackexchange.com\/questions\/58391\/is-moving-wp-config-outside-the-web-root-really-beneficial\/74972#74972\" target=\"_blank\" rel=\"noopener noreferrer\">aggiunge un livello di protezione<\/a>. Anche se questo metodo funziona per molti provider di hosting, i clienti di Kinsta non dovrebbero tentare di farlo, perch\u00e9 le nostre restrizioni di sicurezza impediscono gi\u00e0 l&#8217;accesso non autorizzato al file <code>wp-config.php<\/code>.<\/li>\n<li><strong>Aggiornare le chiavi di sicurezza di WordPress:<\/strong> <a href=\"https:\/\/codex.wordpress.org\/Editing_wp-config.php#Security_Keys\" target=\"_blank\" rel=\"noopener noreferrer\">le chiavi di sicurezza di WordPress<\/a> (<code>AUTH_KEY<\/code>, <code>SECURE_AUTH_KEY<\/code>, <code>LOGGED_IN_KEY<\/code>, <code>NONCE_KEY<\/code>) criptano le informazioni memorizzate nei cookie, rendendo il sito pi\u00f9 sicuro. Se il sito ha subito diverse migrazioni o cambi di propriet\u00e0, \u00e8 una buona idea generare nuove chiavi di sicurezza. \u00c8 possibile utilizzare il <a href=\"https:\/\/api.wordpress.org\/secret-key\/1.1\/salt\/\" target=\"_blank\" rel=\"noopener noreferrer\">generatore di chiavi segrete di WordPress<\/a> per creare nuove chiavi e aggiornarle nel file <code>wp-config.php<\/code>.<\/li>\n<li><strong>Cambiare i permessi dei file:<\/strong> il permesso predefinito del file <code>wp-config.php<\/code> \u00e8 solitamente 644, che consente agli altri utenti dello stesso server di leggerlo. Per una maggiore sicurezza e secondo la <a href=\"https:\/\/codex.wordpress.org\/Changing_File_Permissions\" target=\"_blank\" rel=\"noopener noreferrer\">documentazione di WordPress<\/a>, \u00e8 consigliato cambiare i permessi in 440 o 400, limitando l&#8217;accesso al solo proprietario del file. Questa operazione pu\u00f2 essere eseguita tramite un <a href=\"https:\/\/kinsta.com\/it\/blog\/migliori-client-ftp\/\">client FTP<\/a> o dalla riga di comando. Se non si \u00e8 sicuri, \u00e8 meglio chiedere al provider di hosting quali sono le impostazioni migliori per l&#8217;ambiente.<\/li>\n<\/ol>\n<h2>13. Controllare i permessi dei file e del server<\/h2>\n<p>I permessi dei file e del server sono essenziali per proteggere il sito. Se i permessi sono morbidi, gli utenti non autorizzati potrebbero accedere e modificare i file. Se sono troppo rigidi, le funzioni critiche del sito potrebbero interrompersi. Trovare il giusto equilibrio garantisce la sicurezza e la funzionalit\u00e0 del sito.<\/p>\n<p>I permessi dei file determinano chi pu\u00f2 leggere, scrivere o eseguire i file, mentre i permessi delle directory controllano l&#8217;accesso alle cartelle e la possibilit\u00e0 di modificarne il contenuto. Per WordPress, i permessi consigliati sono:<\/p>\n<ul>\n<li><strong>File:<\/strong> devono essere impostati a <strong>644<\/strong> o <strong>640<\/strong>, ad eccezione di <code>wp-config.php<\/code>, che deve essere <strong>440<\/strong> o <strong>400<\/strong> per evitare accessi non autorizzati.<\/li>\n<li><strong>Directory:<\/strong> dovrebbero essere <strong>755<\/strong> o <strong>750<\/strong> per consentire a WordPress di funzionare correttamente e limitare gli accessi non necessari.<\/li>\n<li><strong>Non utilizzare mai i permessi 777<\/strong>, nemmeno per le directory di upload, perch\u00e9 danno accesso illimitato e rendono il sito vulnerabile.<\/li>\n<\/ul>\n<p>\u00c8 possibile controllare e regolare i permessi dei file utilizzando un client FTP o un plugin di sicurezza come <a href=\"https:\/\/wordpress.org\/plugins\/better-wp-security\/\" target=\"_blank\" rel=\"noopener noreferrer\">Solid Security<\/a>, che analizza il sito alla ricerca di permessi errati.<\/p>\n<p>Per una guida dettagliata sulla modifica dei permessi dei file, si legga la <a href=\"https:\/\/developer.wordpress.org\/advanced-administration\/server\/file-permissions\/\" target=\"_blank\" rel=\"noopener noreferrer\">documentazione ufficiale di WordPress<\/a> per assicurarsi che le impostazioni seguano le best practice di sicurezza.<\/p>\n<h2>14. Rafforzare la sicurezza del database<\/h2>\n<p>Proteggere il <a href=\"https:\/\/kinsta.com\/it\/blog\/database-wordpress\/\">database di WordPress<\/a> aggiunge un altro livello di protezione contro gli attacchi. Un modo semplice per proteggere il database \u00e8 utilizzare un nome unico per il database invece del formato predefinito, che spesso include il nome del sito, rendendo cos\u00ec pi\u00f9 facile individuarlo da parte degli hacker.<\/p>\n<p>Ad esempio, se il sito si chiama <strong>Trucchi della Pallavolo<\/strong>, il database potrebbe chiamarsi <code>wp_volleyballtricks<\/code>. Scegliendo un nome meno prevedibile, sar\u00e0 pi\u00f9 difficile raggiungere il database.<\/p>\n<p>Un&#8217;altra operazione importante \u00e8 modificare il prefisso predefinito <code>wp_<\/code> delle tabelle del database. Ad esempio, si potrebbe utilizzare il prefisso <code>39xw_<\/code>, che aiuterebbe a prevenire gli attacchi automatici che prendono di mira le strutture delle tabelle standard. Questo pu\u00f2 essere fatto durante l&#8217;installazione di WordPress o modificato in seguito con le giuste precauzioni.<\/p>\n<p>Per chi ha bisogno di aiuto, questa <a href=\"https:\/\/kinsta.com\/it\/blog\/prefisso-tabelle-wordpress\/\">guida<\/a> spiega dettagliatamente come modificare il prefisso delle tabelle di WordPress manualmente o con i plugin.<\/p>\n<h2>15. Disattivare XML-RPC<\/h2>\n<p>Negli ultimi anni, <a href=\"https:\/\/kinsta.com\/it\/blog\/xmlrpc-php\/\">XML-RPC<\/a> \u00e8 stato spesso bersaglio di attacchi brute-force. Una delle sue vulnerabilit\u00e0 nascoste \u00e8 il metodo <strong>system.multicall<\/strong>, che consente l&#8217;esecuzione di pi\u00f9 comandi all&#8217;interno di una singola richiesta HTTP.<\/p>\n<p>Sebbene in origine fosse una funzione utile, gli aggressori lo sfruttano per inviare migliaia di tentativi di accesso in una sola volta, aumentando la pericolosit\u00e0 degli attacchi brute-force.<\/p>\n<p>Alcuni plugin, come <a href=\"https:\/\/kinsta.com\/it\/blog\/wordpress-jetpack\/\">Jetpack<\/a>, si affidano ancora a XML-RPC, ma la maggior parte dei siti WordPress non ne ha bisogno. Se non si \u00e8 sicuri se <a href=\"https:\/\/xmlrpc.eritreo.it\/\" target=\"_blank\" rel=\"noopener noreferrer\">XML-RPC<\/a> sia abilitato sul sito, si pu\u00f2 utilizzare lo <a href=\"https:\/\/xmlrpc.blog\/\" target=\"_blank\" rel=\"noopener noreferrer\">strumento XML-RPC Validator<\/a>. Eseguendo il test sul sito, lo strumento verifica se XML-RPC \u00e8 attivo.<\/p>\n<figure id=\"attachment_105553\" aria-describedby=\"caption-attachment-105553\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/image3-1.png\" alt=\"xml-rpc\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105553\" class=\"wp-caption-text\">XML-RPC.<\/figcaption><\/figure>\n<p>Se non si ha bisogno di XML-RPC, \u00e8 meglio disabilitarlo per migliorare la sicurezza del sito. \u00c8 possibile:<\/p>\n<ul>\n<li>Installare il <a href=\"https:\/\/wordpress.org\/plugins\/disable-xml-rpc-api\/\" target=\"_blank\" rel=\"noopener noreferrer\">plugin Disable XML-RPC-API<\/a> per disattivarlo completamente.<\/li>\n<li>Utilizzare il plugin <a href=\"https:\/\/perfmatters.io\/\" target=\"_blank\" rel=\"noopener noreferrer\">Perfmatters<\/a> per disabilitare XML-RPC e migliorare le prestazioni del sito.<\/li>\n<\/ul>\n<p>Per i clienti di Kinsta, non c&#8217;\u00e8 bisogno di prendere provvedimenti. Quando viene rilevato un <a href=\"https:\/\/kinsta.com\/it\/blog\/xmlrpc-php\/\">attacco XML-RPC<\/a>, viene aggiunta automaticamente una regola di sicurezza alla configurazione di Nginx, che blocca la richiesta e restituisce un errore 403.<\/p>\n<pre><code class=\"language-bash\">location ~* ^\/xmlrpc.php$ {\n  return 403;\n}<\/code><\/pre>\n<p>Se il sito non si basa su XML-RPC, disabilitandolo si riduce la superficie di attacco e migliora la sicurezza di WordPress.<\/p>\n<h2>16. Prevenire l&#8217;hotlinking<\/h2>\n<p>L&#8217;hotlinking si verifica quando un altro sito web si collega direttamente alle immagini, utilizzando la larghezza di banda del sito invece di archiviare il file sul proprio server. Sebbene questa possa sembrare un&#8217;operazione innocua, pu\u00f2 comportare un aumento dei costi del server e un riduzione delle prestazioni del sito, soprattutto se un sito ad alto traffico si collega a pi\u00f9 immagini.<\/p>\n<p>Un esempio noto \u00e8 quello dell&#8217;Huffington Post, che ha linkato a caldo una vignetta di <a href=\"http:\/\/theoatmeal.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">The Oatmeal<\/a>, causando un utilizzo eccessivo della larghezza di banda e facendo lievitare i costi dell&#8217;hosting di oltre 1.000 dollari.<\/p>\n<figure id=\"attachment_105554\" aria-describedby=\"caption-attachment-105554\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/hotlinking-bill.png\" alt=\"Hotlinking bill\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105554\" class=\"wp-caption-text\">Bolletta dell&#8217;hotlinking.<\/figcaption><\/figure>\n<p>Per evitare l&#8217;hotlinking, basta configurare il server o il CDN in modo bloccare le richieste di immagini non autorizzate:<\/p>\n<ul>\n<li><strong>Apache:<\/strong> <a href=\"https:\/\/www.simplified.guide\/apache\/hotlinking-prevent\" target=\"_blank\" rel=\"noopener noreferrer\">aggiungere una regola<\/a> nel file <code>.htaccess<\/code> per limitare le richieste di immagini al dominio.<\/li>\n<li><strong>NGINX:<\/strong> <a href=\"https:\/\/www.cybrosys.com\/blog\/how-to-prevent-image-hotlinking-in-nginx\" target=\"_blank\" rel=\"noopener noreferrer\">modificare il file di configurazione<\/a> per bloccare le richieste provenienti da fonti esterne.<\/li>\n<li><strong>Protezione CDN:<\/strong> la maggior parte dei CDN, tra cui <a href=\"https:\/\/developers.cloudflare.com\/waf\/tools\/scrape-shield\/hotlink-protection\/\" target=\"_blank\" rel=\"noopener noreferrer\">Cloudflare<\/a> e <a href=\"https:\/\/www.keycdn.com\/support\/create-a-zonereferrer\/\" target=\"_blank\" rel=\"noopener noreferrer\">KeyCDN<\/a>, offre una protezione da hotlink integrata che pu\u00f2 essere attivata nelle impostazioni.<\/li>\n<\/ul>\n<h2>17. Utilizzare i plugin di sicurezza di WordPress<\/h2>\n<p>Esistono molti <a href=\"https:\/\/kinsta.com\/it\/blog\/plugin-sicurezza-wordpress\/\">plugin di sicurezza per WordPress<\/a> progettati per proteggere il sito dalle minacce. Sebbene un ambiente di hosting sicuro costituisca la prima linea di difesa, aggiungere un altro livello di sicurezza con un plugin pu\u00f2 aiutare a monitorare, rilevare e prevenire potenziali vulnerabilit\u00e0.<\/p>\n<p>Alcuni dei plugin di sicurezza pi\u00f9 noti e usati sono:<\/p>\n<ul>\n<li><a href=\"https:\/\/kinsta.com\/it\/blog\/sucuri-firewall\/\">Sucuri Security<\/a><\/li>\n<li><a href=\"https:\/\/kinsta.com\/it\/blog\/sucuri-vs-wordfence\/\">WordFence Security<\/a><\/li>\n<li><a href=\"https:\/\/wordpress.org\/plugins\/malcare-security\/\" target=\"_blank\" rel=\"noopener noreferrer\">MalCare Security<\/a><\/li>\n<li><a href=\"https:\/\/wordpress.org\/plugins\/secupress\/\" target=\"_blank\" rel=\"noopener noreferrer\">SecuPress<\/a><\/li>\n<li><a href=\"https:\/\/wordpress.org\/plugins\/better-wp-security\/\" target=\"_blank\" rel=\"noopener noreferrer\">Solid Security<\/a> (<a href=\"https:\/\/solidwp.com\/looking-for-ithemes\" target=\"_blank\" rel=\"noopener noreferrer\">ex iThemes Security<\/a>)<\/li>\n<\/ul>\n<p>Ognuno di questi plugin offre diverse funzioni di sicurezza, come ad esempio:<\/p>\n<ul>\n<li>Impostazione di password forti e politiche di scadenza delle password<\/li>\n<li>Registrazione delle azioni degli utenti per tenere traccia delle modifiche e dei comportamenti sospetti<\/li>\n<li>Scansione di malware e modifiche di file<\/li>\n<li>Implementazione dell&#8217;autenticazione a due fattori (2FA)<\/li>\n<li>Aggiunta della protezione reCAPTCHA per i moduli di login<\/li>\n<li>Impostazione di firewall, IP allowlisting e blocklisting<\/li>\n<li>Monitoraggio delle modifiche DNS e blocco delle reti dannose<\/li>\n<\/ul>\n<p>Una funzione particolarmente utile che si trova in molti plugin di sicurezza \u00e8 un&#8217;<a href=\"https:\/\/developer.wordpress.org\/cli\/commands\/core\/verify-checksums\/\" target=\"_blank\" rel=\"noopener noreferrer\">utilit\u00e0 di checksum<\/a>, che analizza i <a href=\"https:\/\/kinsta.com\/it\/blog\/file-di-wordpress\/\">file del core di WordPress<\/a> e li confronta con le versioni ufficiali di WordPress.org. Modifiche non autorizzate potrebbero indicare un hack o un&#8217;<a href=\"https:\/\/kinsta.com\/it\/blog\/sql-injection\/\">iniezione di codice<\/a> maligno.<\/p>\n<p>Si legga la nostra <a href=\"https:\/\/kinsta.com\/it\/blog\/file-integrity-monitoring\/\">guida approfondita sul monitoraggio dell&#8217;integrit\u00e0 dei file<\/a>.<\/p>\n<p>Per le configurazioni di WordPress <a href=\"https:\/\/kinsta.com\/it\/hosting-wordpress\/multisito\/\">multisito<\/a> o multi-autore, <a href=\"https:\/\/wordpress.org\/plugins\/wp-security-audit-log\/\" target=\"_blank\" rel=\"noopener noreferrer\">WP Security Audit Log<\/a> \u00e8 un altro ottimo plugin che fornisce un registro dettagliato delle attivit\u00e0, tracciando le modifiche a login, password, temi, widget, post e aggiornamenti di WordPress. Permette agli amministratori di monitorare l&#8217;attivit\u00e0 degli utenti in tempo reale, migliorando la sicurezza e la responsabilit\u00e0.<\/p>\n<p>Su Kinsta, ogni sito \u00e8 protetto dal <a href=\"https:\/\/kinsta.com\/it\/docs\/hosting-wordpress\/wordpress-come-iniziare\/infrastruttura-wordpress\/#kinsta-firewall\">firewall di Cloudflare, Google Cloud e Kinsta<\/a>, con monitoraggio della sicurezza in tempo reale e <a href=\"https:\/\/kinsta.com\/it\/docs\/informazioni-sul-servizio\/rimozione-malware\/\">rimozione del malware a costo zero<\/a>. Controlliamo l&#8217;<a href=\"https:\/\/kinsta.com\/it\/docs\/hosting-wordpress\/wordpress-monitoraggio\/monitoraggio-uptime\/\">operativit\u00e0 del sito ogni tre minuti<\/a> e interveniamo immediatamente qualunque sia il problema, garantendo un ambiente di hosting sicuro e resistente.<\/p>\n<h2>18. Fare sempre dei backup<\/h2>\n<p>Per quante misure di sicurezza si possano adottare, <strong>nessun sito \u00e8 sicuro al 100%<\/strong>. I backup sono l&#8217;ultima linea di difesa in caso di hacking, cancellazioni accidentali o gravi malfunzionamenti del sito. Tuttavia, molti proprietari di siti trascurano di eseguire regolari backup, rendendosi conto dell&#8217;importanza solo quando si verifica un disastro.<\/p>\n<p>La maggior parte dei provider di <a href=\"https:\/\/kinsta.com\/it\/hosting-wordpress\/\">hosting gestito per WordPress<\/a> offre backup integrati. Su Kinsta, i backup sono gestiti a livello di server. Sono disponibili <a href=\"https:\/\/kinsta.com\/it\/docs\/hosting-wordpress\/wordpress-backup\/\">sei tipi diversi<\/a> di backup, tra cui backup giornalieri automatici con opzioni di ripristino a un solo clic in MyKinsta, per garantire il rapido ripristino del sito in caso di problemi.<\/p>\n<figure id=\"attachment_105555\" aria-describedby=\"caption-attachment-105555\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/kinsta-backups-1.png\" alt=\"Backups in MyKinsta\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105555\" class=\"wp-caption-text\">Backup in MyKinsta.<\/figcaption><\/figure>\n<p>Se il provider di hosting non offre backup, sono disponibili diversi servizi e plugin di backup:<\/p>\n<ul>\n<li>I servizi di backup come <a href=\"https:\/\/vaultpress.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">VaultPress<\/a>, <a href=\"https:\/\/www.codeguard.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">CodeGuard<\/a> e <a href=\"https:\/\/blogvault.net\/\" target=\"_blank\" rel=\"noopener noreferrer\">BlogVault<\/a> archiviano i backup in modo sicuro nel cloud.<\/li>\n<li>I plugin di backup come <a href=\"https:\/\/wordpress.org\/plugins\/updraftplus\/\" target=\"_blank\" rel=\"noopener noreferrer\">UpdraftPlus<\/a>, <a href=\"https:\/\/ithemes.com\/purchase\/backupbuddy\/\" target=\"_blank\" rel=\"noopener noreferrer\">BackupBuddy<\/a> e <a href=\"https:\/\/wptimecapsule.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">WP Time Capsule<\/a> permettono di salvare i backup in archivi esterni come Google Drive, Amazon S3 o Dropbox.<\/li>\n<\/ul>\n<aside role=\"note\" class=\"wp-block-kinsta-notice is-style-important\">\n            <h3>Important<\/h3>\n        <p>Per gli utenti di Kinsta, i plugin di backup di terze parti non sono necessari, perch\u00e9 <a href=\"https:\/\/kinsta.com\/it\/docs\/hosting-wordpress\/temi-plugin-wordpress\/plugin-vietati-incompatibili-wordpress\/#backup-plugins\">i backup non incrementali non sono consentiti<\/a> perch\u00e9 creano problemi di prestazioni. Su Kinsta, i backup vengono gestiti a livello di server, garantendo un impatto nullo sulle prestazioni del sito e mantenendo i dati del sito al sicuro.<\/p>\n<\/aside>\n\n<h2>19. Protezione da attacchi DDoS<\/h2>\n<p>Gli attacchi <a href=\"https:\/\/kinsta.com\/it\/blog\/attacchi-ddos\/\">DDoS<\/a> (Distributed Denial of Service) inondano il sito con elevati volumi di traffico, sovraccaricando il server e causando interruzioni. A differenza degli hacker tradizionali, gli attacchi DDoS non compromettono i dati n\u00e9 iniettano malware, ma possono mettere offline un sito per ore o addirittura giorni, causando perdite di fatturato e visitatori irritati.<\/p>\n<p>Uno dei modi pi\u00f9 efficaci per proteggersi dagli attacchi DDoS \u00e8 utilizzare un servizio di sicurezza di terze parti come <a href=\"https:\/\/kinsta.com\/it\/blog\/installare-cloudflare\/\">Cloudflare<\/a> o <a href=\"https:\/\/kinsta.com\/it\/blog\/sucuri-firewall\/\">Sucuri<\/a>. Questi servizi agiscono come uno scudo protettivo, filtrando il traffico dannoso prima che raggiunga il server. Inoltre, nascondono l&#8217;indirizzo IP di origine per rendere pi\u00f9 difficile agli aggressori colpire direttamente il sito.<\/p>\n<p>Per gli utenti di Kinsta, la protezione DDoS \u00e8 integrata, grazie alla nostra <a href=\"https:\/\/kinsta.com\/it\/integrazione-cloudflare\/\">integrazione gratuita di Cloudflare<\/a>, che rileva e mitiga automaticamente tutti i tipi di attacchi DDoS, tra cui UDP, ICMP, SYN\/ACK flood, amplificazione DNS e attacchi Layer 7.<\/p>\n<p>Un <a href=\"https:\/\/kinsta.com\/it\/blog\/prevenire-attacchi-ddos\/#how-we-mitigated-a-massive-ddos-attack-for-a-financial-client\">esempio reale di protezione DDoS<\/a> in azione: una societ\u00e0 finanziaria \u00e8 passata a Kinsta mentre stava affrontando un massiccio attacco DDoS. Subito dopo la messa in funzione, il sito \u00e8 stato bombardato da milioni di richieste, causando interruzioni.<\/p>\n<figure id=\"attachment_105556\" aria-describedby=\"caption-attachment-105556\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/bandwidth-ddos.png\" alt=\"MyKinsta dashboard analytics showing bandwidth and other information\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105556\" class=\"wp-caption-text\">La dashboard delle statistiche di MyKinsta mostra la larghezza di banda e altre informazioni.<\/figcaption><\/figure>\n<p>Il nostro team SysOps ha lavorato rapidamente con Cloudflare per bloccare il traffico sospetto. Nel giro di 27 minuti, oltre 516 milioni di richieste dannose sono state mitigate, facendo s\u00ec che il sito rimanesse online.<\/p>\n<figure id=\"attachment_105557\" aria-describedby=\"caption-attachment-105557\" style=\"width: 1001px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/kinsta.com\/wp-content\/uploads\/2025\/03\/ddos-mitigation.png\" alt=\"Kinsta infrastructure mitigated 516.9 million requests\" width=\"1001\" height=\"471\"><figcaption id=\"caption-attachment-105557\" class=\"wp-caption-text\">L&#8217;infrastruttura di Kinsta ha mitigato 516,9 milioni di richieste.<\/figcaption><\/figure>\n<p>Per chi si affida al sito web per il proprio business, investire in un solido sistema di protezione DDoS \u00e8 fondamentale per prevenire interruzioni e mantenere il sito sempre in funzione.<\/p>\n<h2>Riepilogo<\/h2>\n<p>Come si vede, esistono molti modi per rafforzare la sicurezza di WordPress. Password forti, aggiornamenti del core e dei plugin e la scelta di un host WordPress gestito e sicuro giocano un ruolo fondamentale per la sicurezza.<\/p>\n<p>Come abbiamo detto, l&#8217;host web gioca un ruolo fondamentale e in Kinsta la <a href=\"https:\/\/kinsta.com\/it\/hosting-wordpress\/sicurezza\/\">sicurezza \u00e8 integrata nell&#8217;infrastruttura<\/a>. Grazie all&#8217;integrazione di Cloudflare, ogni sito beneficia di mitigazione DDoS automatica, un firewall di livello enterprise e scansione malware in tempo reale con pulizia gratuita. Il nostro doppio sistema di firewall blocca le minacce prima che raggiungano il sito, mentre i backup automatici giornalieri e il monitoraggio proattivo dell&#8217;attivit\u00e0 garantiscono un sito sempre attivo e sicuro.<\/p>\n<p>Per molti, il sito WordPress \u00e8 una fonte di reddito, quindi \u00e8 essenziale agire subito sulle best practice di sicurezza.<\/p>\n<p>Proteggi il sito con un hosting che fa il lavoro pesante per te. Passa a Kinsta oggi stesso e approfitta del <a href=\"https:\/\/kinsta.com\/it\/blog\/primo-mese-gratis-con-kinsta\/\">primo mese gratuito<\/a>.<\/p>\n<p>Hai qualche consiglio importante sulla sicurezza di WordPress che ci \u00e8 sfuggito? Scrivilo nei commenti!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>WordPress alimenta oltre il 43,6% del web. Questo ne fa un obiettivo primario per i cyberattacchi. Con migliaia di plugin e temi, vengono scoperte e sfruttate &#8230;<\/p>\n","protected":false},"author":287,"featured_media":80766,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_kinsta_gated_content":false,"_kinsta_gated_content_redirect":"","footnotes":""},"tags":[30,3],"topic":[25951],"class_list":["post-18180","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","tag-sicurezza-web","tag-wordpress","topic-sicurezza-wordpress"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v24.6 (Yoast SEO v24.6) - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>19 passi per proteggere il tuo sito WordPress dalle minacce<\/title>\n<meta name=\"description\" content=\"Ci sono molti trucchi per proteggere un sito WordPress. Questa guida illustra 19 soluzioni per mettere in sicurezza il tuo sito.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/\" \/>\n<meta property=\"og:locale\" content=\"it_IT\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"19 passi per proteggere il tuo sito WordPress dalle minacce\" \/>\n<meta property=\"og:description\" content=\"Ci sono molti trucchi per proteggere un sito WordPress. Questa guida illustra 19 soluzioni per mettere in sicurezza il tuo sito.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/\" \/>\n<meta property=\"og:site_name\" content=\"Kinsta\u00ae\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/kinstaitalia\/\" \/>\n<meta property=\"article:published_time\" content=\"2018-05-07T15:01:39+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-04-07T14:13:35+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/kinsta.com\/it\/wp-content\/uploads\/sites\/2\/2018\/05\/19-steps-to-protect-your-wordpress-site-from-threats.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1470\" \/>\n\t<meta property=\"og:image:height\" content=\"735\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Joel Olawanle\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:description\" content=\"Ci sono molti trucchi per proteggere un sito WordPress. Questa guida illustra 19 soluzioni per mettere in sicurezza il tuo sito.\" \/>\n<meta name=\"twitter:image\" content=\"https:\/\/kinsta.com\/it\/wp-content\/uploads\/sites\/2\/2018\/05\/19-steps-to-protect-your-wordpress-site-from-threats-1024x512.png\" \/>\n<meta name=\"twitter:creator\" content=\"@olawanle_joel\" \/>\n<meta name=\"twitter:site\" content=\"@Kinsta_IT\" \/>\n<meta name=\"twitter:label1\" content=\"Scritto da\" \/>\n\t<meta name=\"twitter:data1\" content=\"Joel Olawanle\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tempo di lettura stimato\" \/>\n\t<meta name=\"twitter:data2\" content=\"45 minuti\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/\"},\"author\":{\"name\":\"Joel Olawanle\",\"@id\":\"https:\/\/kinsta.com\/it\/#\/schema\/person\/efa7de30245ca15be5ce1dcacff89c07\"},\"headline\":\"19 passi per proteggere il tuo sito WordPress dalle minacce\",\"datePublished\":\"2018-05-07T15:01:39+00:00\",\"dateModified\":\"2025-04-07T14:13:35+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/\"},\"wordCount\":7278,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\/\/kinsta.com\/it\/#organization\"},\"image\":{\"@id\":\"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/kinsta.com\/it\/wp-content\/uploads\/sites\/2\/2018\/05\/19-steps-to-protect-your-wordpress-site-from-threats.png\",\"keywords\":[\"sicurezza web\",\"WordPress\"],\"articleSection\":[\"Sicurezza di WordPress\"],\"inLanguage\":\"it-IT\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/\",\"url\":\"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/\",\"name\":\"19 passi per proteggere il tuo sito WordPress dalle minacce\",\"isPartOf\":{\"@id\":\"https:\/\/kinsta.com\/it\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/kinsta.com\/it\/wp-content\/uploads\/sites\/2\/2018\/05\/19-steps-to-protect-your-wordpress-site-from-threats.png\",\"datePublished\":\"2018-05-07T15:01:39+00:00\",\"dateModified\":\"2025-04-07T14:13:35+00:00\",\"description\":\"Ci sono molti trucchi per proteggere un sito WordPress. Questa guida illustra 19 soluzioni per mettere in sicurezza il tuo sito.\",\"breadcrumb\":{\"@id\":\"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/#breadcrumb\"},\"inLanguage\":\"it-IT\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/#primaryimage\",\"url\":\"https:\/\/kinsta.com\/it\/wp-content\/uploads\/sites\/2\/2018\/05\/19-steps-to-protect-your-wordpress-site-from-threats.png\",\"contentUrl\":\"https:\/\/kinsta.com\/it\/wp-content\/uploads\/sites\/2\/2018\/05\/19-steps-to-protect-your-wordpress-site-from-threats.png\",\"width\":1470,\"height\":735},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/kinsta.com\/it\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Sicurezza di WordPress\",\"item\":\"https:\/\/kinsta.com\/it\/argomenti\/sicurezza-wordpress\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"19 passi per proteggere il tuo sito WordPress dalle minacce\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/kinsta.com\/it\/#website\",\"url\":\"https:\/\/kinsta.com\/it\/\",\"name\":\"Kinsta\u00ae\",\"description\":\"Soluzioni di hosting premium, veloci e sicure\",\"publisher\":{\"@id\":\"https:\/\/kinsta.com\/it\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/kinsta.com\/it\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"it-IT\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/kinsta.com\/it\/#organization\",\"name\":\"Kinsta\",\"url\":\"https:\/\/kinsta.com\/it\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\/\/kinsta.com\/it\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/kinsta.com\/it\/wp-content\/uploads\/sites\/2\/2023\/12\/kinsta-logo.jpeg\",\"contentUrl\":\"https:\/\/kinsta.com\/it\/wp-content\/uploads\/sites\/2\/2023\/12\/kinsta-logo.jpeg\",\"width\":500,\"height\":500,\"caption\":\"Kinsta\"},\"image\":{\"@id\":\"https:\/\/kinsta.com\/it\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/kinstaitalia\/\",\"https:\/\/x.com\/Kinsta_IT\",\"https:\/\/www.instagram.com\/kinstahosting\/\",\"https:\/\/www.linkedin.com\/company\/kinsta\/\",\"https:\/\/www.pinterest.com\/kinstahosting\/\",\"https:\/\/www.youtube.com\/c\/Kinsta\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/kinsta.com\/it\/#\/schema\/person\/efa7de30245ca15be5ce1dcacff89c07\",\"name\":\"Joel Olawanle\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\/\/kinsta.com\/it\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/051bf577ce2c837846a1db9eef184758?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/051bf577ce2c837846a1db9eef184758?s=96&d=mm&r=g\",\"caption\":\"Joel Olawanle\"},\"description\":\"Joel is a Frontend developer working at Kinsta as a Technical Editor. He is a passionate teacher with love for open source and has written over 300 technical articles majorly around JavaScript and it's frameworks.\",\"sameAs\":[\"https:\/\/joelolawanle.com\/\",\"https:\/\/www.linkedin.com\/in\/olawanlejoel\/\",\"https:\/\/x.com\/olawanle_joel\",\"https:\/\/www.youtube.com\/@joelolawanle\"],\"gender\":\"male\",\"knowsAbout\":[\"JavaScript\",\"React\",\"Next.js\"],\"knowsLanguage\":[\"English\"],\"jobTitle\":\"Technical Editor\",\"worksFor\":\"Kinsta\",\"url\":\"https:\/\/kinsta.com\/it\/blog\/author\/joelolawanle\/\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"19 passi per proteggere il tuo sito WordPress dalle minacce","description":"Ci sono molti trucchi per proteggere un sito WordPress. Questa guida illustra 19 soluzioni per mettere in sicurezza il tuo sito.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/","og_locale":"it_IT","og_type":"article","og_title":"19 passi per proteggere il tuo sito WordPress dalle minacce","og_description":"Ci sono molti trucchi per proteggere un sito WordPress. Questa guida illustra 19 soluzioni per mettere in sicurezza il tuo sito.","og_url":"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/","og_site_name":"Kinsta\u00ae","article_publisher":"https:\/\/www.facebook.com\/kinstaitalia\/","article_published_time":"2018-05-07T15:01:39+00:00","article_modified_time":"2025-04-07T14:13:35+00:00","og_image":[{"width":1470,"height":735,"url":"https:\/\/kinsta.com\/it\/wp-content\/uploads\/sites\/2\/2018\/05\/19-steps-to-protect-your-wordpress-site-from-threats.png","type":"image\/png"}],"author":"Joel Olawanle","twitter_card":"summary_large_image","twitter_description":"Ci sono molti trucchi per proteggere un sito WordPress. Questa guida illustra 19 soluzioni per mettere in sicurezza il tuo sito.","twitter_image":"https:\/\/kinsta.com\/it\/wp-content\/uploads\/sites\/2\/2018\/05\/19-steps-to-protect-your-wordpress-site-from-threats-1024x512.png","twitter_creator":"@olawanle_joel","twitter_site":"@Kinsta_IT","twitter_misc":{"Scritto da":"Joel Olawanle","Tempo di lettura stimato":"45 minuti"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/#article","isPartOf":{"@id":"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/"},"author":{"name":"Joel Olawanle","@id":"https:\/\/kinsta.com\/it\/#\/schema\/person\/efa7de30245ca15be5ce1dcacff89c07"},"headline":"19 passi per proteggere il tuo sito WordPress dalle minacce","datePublished":"2018-05-07T15:01:39+00:00","dateModified":"2025-04-07T14:13:35+00:00","mainEntityOfPage":{"@id":"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/"},"wordCount":7278,"commentCount":0,"publisher":{"@id":"https:\/\/kinsta.com\/it\/#organization"},"image":{"@id":"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/#primaryimage"},"thumbnailUrl":"https:\/\/kinsta.com\/it\/wp-content\/uploads\/sites\/2\/2018\/05\/19-steps-to-protect-your-wordpress-site-from-threats.png","keywords":["sicurezza web","WordPress"],"articleSection":["Sicurezza di WordPress"],"inLanguage":"it-IT","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/","url":"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/","name":"19 passi per proteggere il tuo sito WordPress dalle minacce","isPartOf":{"@id":"https:\/\/kinsta.com\/it\/#website"},"primaryImageOfPage":{"@id":"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/#primaryimage"},"image":{"@id":"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/#primaryimage"},"thumbnailUrl":"https:\/\/kinsta.com\/it\/wp-content\/uploads\/sites\/2\/2018\/05\/19-steps-to-protect-your-wordpress-site-from-threats.png","datePublished":"2018-05-07T15:01:39+00:00","dateModified":"2025-04-07T14:13:35+00:00","description":"Ci sono molti trucchi per proteggere un sito WordPress. Questa guida illustra 19 soluzioni per mettere in sicurezza il tuo sito.","breadcrumb":{"@id":"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/#breadcrumb"},"inLanguage":"it-IT","potentialAction":[{"@type":"ReadAction","target":["https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/"]}]},{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/#primaryimage","url":"https:\/\/kinsta.com\/it\/wp-content\/uploads\/sites\/2\/2018\/05\/19-steps-to-protect-your-wordpress-site-from-threats.png","contentUrl":"https:\/\/kinsta.com\/it\/wp-content\/uploads\/sites\/2\/2018\/05\/19-steps-to-protect-your-wordpress-site-from-threats.png","width":1470,"height":735},{"@type":"BreadcrumbList","@id":"https:\/\/kinsta.com\/it\/blog\/wordpress-e-sicurezza\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/kinsta.com\/it\/"},{"@type":"ListItem","position":2,"name":"Sicurezza di WordPress","item":"https:\/\/kinsta.com\/it\/argomenti\/sicurezza-wordpress\/"},{"@type":"ListItem","position":3,"name":"19 passi per proteggere il tuo sito WordPress dalle minacce"}]},{"@type":"WebSite","@id":"https:\/\/kinsta.com\/it\/#website","url":"https:\/\/kinsta.com\/it\/","name":"Kinsta\u00ae","description":"Soluzioni di hosting premium, veloci e sicure","publisher":{"@id":"https:\/\/kinsta.com\/it\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/kinsta.com\/it\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"it-IT"},{"@type":"Organization","@id":"https:\/\/kinsta.com\/it\/#organization","name":"Kinsta","url":"https:\/\/kinsta.com\/it\/","logo":{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/kinsta.com\/it\/#\/schema\/logo\/image\/","url":"https:\/\/kinsta.com\/it\/wp-content\/uploads\/sites\/2\/2023\/12\/kinsta-logo.jpeg","contentUrl":"https:\/\/kinsta.com\/it\/wp-content\/uploads\/sites\/2\/2023\/12\/kinsta-logo.jpeg","width":500,"height":500,"caption":"Kinsta"},"image":{"@id":"https:\/\/kinsta.com\/it\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/kinstaitalia\/","https:\/\/x.com\/Kinsta_IT","https:\/\/www.instagram.com\/kinstahosting\/","https:\/\/www.linkedin.com\/company\/kinsta\/","https:\/\/www.pinterest.com\/kinstahosting\/","https:\/\/www.youtube.com\/c\/Kinsta"]},{"@type":"Person","@id":"https:\/\/kinsta.com\/it\/#\/schema\/person\/efa7de30245ca15be5ce1dcacff89c07","name":"Joel Olawanle","image":{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/kinsta.com\/it\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/051bf577ce2c837846a1db9eef184758?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/051bf577ce2c837846a1db9eef184758?s=96&d=mm&r=g","caption":"Joel Olawanle"},"description":"Joel is a Frontend developer working at Kinsta as a Technical Editor. He is a passionate teacher with love for open source and has written over 300 technical articles majorly around JavaScript and it's frameworks.","sameAs":["https:\/\/joelolawanle.com\/","https:\/\/www.linkedin.com\/in\/olawanlejoel\/","https:\/\/x.com\/olawanle_joel","https:\/\/www.youtube.com\/@joelolawanle"],"gender":"male","knowsAbout":["JavaScript","React","Next.js"],"knowsLanguage":["English"],"jobTitle":"Technical Editor","worksFor":"Kinsta","url":"https:\/\/kinsta.com\/it\/blog\/author\/joelolawanle\/"}]}},"acf":[],"_links":{"self":[{"href":"https:\/\/kinsta.com\/it\/wp-json\/wp\/v2\/posts\/18180","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/kinsta.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/kinsta.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/kinsta.com\/it\/wp-json\/wp\/v2\/users\/287"}],"replies":[{"embeddable":true,"href":"https:\/\/kinsta.com\/it\/wp-json\/wp\/v2\/comments?post=18180"}],"version-history":[{"count":20,"href":"https:\/\/kinsta.com\/it\/wp-json\/wp\/v2\/posts\/18180\/revisions"}],"predecessor-version":[{"id":80796,"href":"https:\/\/kinsta.com\/it\/wp-json\/wp\/v2\/posts\/18180\/revisions\/80796"}],"alternate":[{"embeddable":true,"hreflang":"it","title":"Italian","href":"https:\/\/kinsta.com\/it\/wp-json\/kinsta\/v1\/posts\/18180\/translations\/it"},{"embeddable":true,"hreflang":"es","title":"Spanish","href":"https:\/\/kinsta.com\/it\/wp-json\/kinsta\/v1\/posts\/18180\/translations\/es"},{"embeddable":true,"hreflang":"pt","title":"Portuguese","href":"https:\/\/kinsta.com\/it\/wp-json\/kinsta\/v1\/posts\/18180\/translations\/pt"},{"embeddable":true,"hreflang":"fr","title":"French","href":"https:\/\/kinsta.com\/it\/wp-json\/kinsta\/v1\/posts\/18180\/translations\/fr"},{"embeddable":true,"hreflang":"en","title":"English","href":"https:\/\/kinsta.com\/it\/wp-json\/kinsta\/v1\/posts\/18180\/translations\/en"},{"embeddable":true,"hreflang":"de","title":"German","href":"https:\/\/kinsta.com\/it\/wp-json\/kinsta\/v1\/posts\/18180\/translations\/de"},{"embeddable":true,"hreflang":"ja","title":"Japanese","href":"https:\/\/kinsta.com\/it\/wp-json\/kinsta\/v1\/posts\/18180\/translations\/jp"},{"embeddable":true,"hreflang":"sv","title":"Swedish","href":"https:\/\/kinsta.com\/it\/wp-json\/kinsta\/v1\/posts\/18180\/translations\/se"},{"embeddable":true,"hreflang":"nl","title":"Dutch","href":"https:\/\/kinsta.com\/it\/wp-json\/kinsta\/v1\/posts\/18180\/translations\/nl"},{"embeddable":true,"hreflang":"da","title":"Danish","href":"https:\/\/kinsta.com\/it\/wp-json\/kinsta\/v1\/posts\/18180\/translations\/dk"},{"href":"https:\/\/kinsta.com\/it\/wp-json\/kinsta\/v1\/posts\/18180\/tree"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/kinsta.com\/it\/wp-json\/wp\/v2\/media\/80766"}],"wp:attachment":[{"href":"https:\/\/kinsta.com\/it\/wp-json\/wp\/v2\/media?parent=18180"}],"wp:term":[{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/kinsta.com\/it\/wp-json\/wp\/v2\/tags?post=18180"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/kinsta.com\/it\/wp-json\/wp\/v2\/topic?post=18180"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}