Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Coppa WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

La guida definitiva alla sicurezza di WordPress – Passo dopo passo (2024)

La sicurezza di WordPress è un argomento di enorme importanza per ogni proprietario di un sito web.

Se avete a cuore il vostro sito web, dovete prestare attenzione alle best practice di sicurezza di WordPress. Altrimenti, potreste diventare uno degli oltre 10.000 siti web che Google inserisce nella blacklist ogni giorno per malware e phishing.

In questa guida condivideremo i nostri migliori consigli sulla sicurezza di WordPress per aiutarvi a proteggere il vostro sito web da hacker e malware.

The Ultimate WordPress Security Guide - Step by Step

Anche se il software di base di WordPress è molto sicuro e viene controllato regolarmente da centinaia di sviluppatori, c’è ancora molto da fare per mantenere il vostro sito sicuro.

Noi di WPBeginner crediamo che la sicurezza non si limiti all’eliminazione dei rischi. Si tratta anche di ridurre i rischi. Come proprietari di un sito web, potete fare molto per migliorare la sicurezza di WordPress, anche se non siete esperti di tecnologia.

Ecco perché abbiamo messo insieme un elenco di azioni che potete intraprendere per proteggere il vostro sito web dalle vulnerabilità della sicurezza.

Per semplificare le cose, abbiamo creato un indice per aiutarvi a navigare facilmente nella nostra guida definitiva alla sicurezza di WordPress.

Indice dei contenuti

Nozioni di base sulla sicurezza di WordPress

La sicurezza di WordPress in semplici passi (senza codice)

Sicurezza di WordPress per gli utenti fai-da-te

Pronti? Iniziamo.

Perché la sicurezza del sito web è importante

Un sito WordPress violato può causare gravi danni alle entrate e alla reputazione della vostra azienda. Gli hacker possono rubare informazioni e password degli utenti, installare software dannoso e persino distribuire malware agli utenti.

Nel peggiore dei casi, potreste ritrovarvi a pagare un ransomware agli hacker solo per riottenere l’accesso al vostro sito web.

Ransomware Attack

Ogni giorno, Google avvisa 12-14 milioni di utenti che un sito web che stanno cercando di visitare potrebbe contenere malware o rubare informazioni.

Inoltre, ogni giorno Google inserisce nella blacklist oltre 10.000 siti web per malware o phishing.

Proprio come i proprietari di aziende con una sede fisica hanno la responsabilità di salvaguardare la loro proprietà, i proprietari di aziende online devono prestare maggiore attenzione alla sicurezza del loro WordPress.

[Torna all’inizio ↑]

Mantenere WordPress aggiornato

Easily update WordPress

WordPress è un software open-source e viene mantenuto e aggiornato regolarmente. Per impostazione predefinita, WordPress installa automaticamente gli aggiornamenti minori.

Per le versioni principali, è necessario avviare manualmente l’aggiornamento.

WordPress è inoltre dotato di migliaia di plugin e temi che è possibile installare sul proprio sito web. Questi plugin e temi sono gestiti da sviluppatori terzi, che rilasciano regolarmente anche gli aggiornamenti.

Questi aggiornamenti di WordPress sono fondamentali per la sicurezza e la stabilità del vostro sito WordPress. Dovete assicurarvi che il nucleo di WordPress , i plugin e il tema siano aggiornati.

[Torna all’inizio ↑]

Utilizzare password e permessi utente forti

Manage strong passwords

I più comuni tentativi di violazione di WordPress utilizzano password rubate. Potete rendere più difficile questa situazione utilizzando password più forti e uniche per il vostro sito web.

Non stiamo parlando solo dell’area di amministrazione di WordPress. Ricordate di creare password forti per gli account FTP, i database, gli account di hosting WordPress e gli indirizzi e-mail personalizzati che utilizzano il nome di dominio del vostro sito.

Molti principianti non amano usare password forti perché sono difficili da ricordare. La cosa positiva è che non è più necessario ricordare le password perché basta usare un gestore di password.

Per ulteriori informazioni, consultate la nostra guida su come gestire le password di WordPress.

Un altro modo per ridurre il rischio è quello di non dare a nessuno l’accesso all’account di amministrazione di WordPress, a meno che non sia assolutamente necessario.

Se avete un team numeroso o autori ospiti, assicuratevi di aver compreso i ruoli e le capacità degli utenti in WordPress prima di aggiungere nuovi account utente e autori al vostro sito WordPress.

[Torna all’inizio ↑]

Capire il ruolo dell’hosting WordPress

WP Engine WordPress Hosting Homepage

Il vostro servizio di hosting WordPress gioca il ruolo più importante nella sicurezza del vostro sito WordPress. Un buon provider di hosting condiviso come Hostinger, Bluehost o SiteGround adotta misure extra per proteggere i propri server dalle minacce più comuni.

Ecco alcuni modi in cui le buone società di web hosting lavorano in background per proteggere i vostri siti web e i vostri dati:

  • Monitorano continuamente la loro rete alla ricerca di attività sospette.
  • Tutte le buone società di hosting dispongono di strumenti per prevenire gli attacchi DDoS su larga scala.
  • Mantengono aggiornati il software del server, le versioni di PHP e l’hardware per evitare che gli hacker sfruttino una vulnerabilità di sicurezza nota in una vecchia versione.
  • Dispongono di piani di disaster recovery e di incidenti pronti all’uso che consentono di proteggere i dati in caso di incidente grave.

Con un piano di hosting condiviso, si condividono le risorse del server con molti altri clienti. Esiste il rischio di contaminazione cross-site, in cui un hacker può utilizzare un sito vicino per attaccare il vostro sito web.

Al contrario, l’utilizzo di un servizio di hosting WordPress gestito offre una piattaforma più sicura per il vostro sito web. Le società di hosting WordPress gestite offrono backup automatici, aggiornamenti automatici di WordPress e configurazioni di sicurezza più avanzate per proteggere il vostro sito web.

Raccomandiamo WP Engine come nostro provider di hosting WordPress gestito preferito. È anche il provider più popolare del settore.

Assicuratevi di ottenere la migliore offerta utilizzando il nostro coupon speciale WP Engine.

[Torna all’inizio ↑]

La sicurezza di WordPress in pochi semplici passi (senza codice)

Sappiamo che migliorare la sicurezza di WordPress può essere un pensiero terrificante per i principianti, soprattutto se non si è esperti di tecnologia. Indovinate un po’: non siete soli.

Abbiamo aiutato migliaia di utenti di WordPress a rafforzare la loro sicurezza.

Vi mostreremo come migliorare la sicurezza di WordPress con pochi clic (non è necessario alcun codice).

Se sapete fare punta e clicca, potete fare questo!

1. Installare una soluzione di backup per WordPress

WordPress Backup

I backup sono la prima difesa contro qualsiasi attacco a WordPress. Ricordate che nulla è sicuro al 100%. Se i siti web governativi possono essere violati, anche il vostro può esserlo.

I backup consentono di ripristinare rapidamente il sito WordPress nel caso in cui si verifichi un evento negativo.

Esistono molti plugin di backup per WordPress, gratuiti e a pagamento, che potete utilizzare. La cosa più importante da sapere quando si tratta di backup è che dovete salvare regolarmente i backup dell’intero sito in una posizione remota (non il vostro account di hosting).

Si consiglia di archiviarli su un servizio cloud come Amazon, Dropbox o su cloud privati come Stash.

In base alla frequenza di aggiornamento del sito web, l’impostazione ideale potrebbe essere quella di un backup al giorno o in tempo reale.

Fortunatamente questo può essere fatto facilmente utilizzando plugin come Duplicator, UpdraftPlus o BlogVault. Sono entrambi affidabili e soprattutto facili da usare (non è necessario alcun codice).

Per maggiori dettagli, consultate la nostra guida su come eseguire il backup del vostro sito web WordPress.

[Torna all’inizio ↑]

Installate un plugin di sicurezza per WordPress affidabile

Dopo i backup, la cosa successiva da fare è impostare un sistema di auditing e monitoraggio che tenga traccia di tutto ciò che accade sul vostro sito web.

Questo include il monitoraggio dell’integrità dei file, i tentativi di accesso falliti, la scansione del malware e altro ancora.

Per fortuna, potete occuparvene facilmente installando uno dei migliori plugin di sicurezza per WordPress, come Sucuri.

È necessario installare e attivare il plugin gratuito Sucuri Security. Per maggiori dettagli, consultate la nostra guida passo-passo su come installare un plugin di WordPress.

Ora è possibile accedere alla “Dashboard” di Sucuri Security per verificare se il plugin ha riscontrato problemi immediati con il codice di WordPress.

Setting up the Sucuri WordPress security plugin

La cosa successiva da fare è navigare nella pagina Sucuri Security ” Impostazioni e fare clic sulla scheda “Tempra”.

Le impostazioni predefinite funzionano bene per la maggior parte dei siti web, quindi si può procedere all’attivazione facendo clic sul pulsante “Applica protezione” per ciascuna opzione.

Hardening your WordPress blog or website

In questo modo è possibile bloccare le aree chiave che gli hacker utilizzano spesso nei loro attacchi.

Suggerimento: più avanti in questo articolo tratteremo altri modi per rendere più sicuro il vostro sito web, come la modifica del prefisso del database e del nome utente dell’amministratore. Tuttavia, questi sono più tecnici e potrebbero richiedere conoscenze di codifica.

Dopo la parte di indurimento, le altre impostazioni predefinite del plugin sono sufficienti per la maggior parte dei siti web e non richiedono alcuna modifica.

L’unica cosa che consigliamo di personalizzare sono gli avvisi via e-mail, che si trovano nella scheda “Avvisi” della pagina delle impostazioni.

Customizing your website's security alerts

Per impostazione predefinita, riceverete molti avvisi e-mail che possono ingombrare la vostra casella di posta.

Si consiglia di attivare gli avvisi solo per le azioni chiave di cui si desidera ricevere notifica, come le modifiche ai plugin e le registrazioni di nuovi utenti.

Customizing your WordPress security notifications

Questo plugin per la sicurezza di WordPress è molto potente, quindi sfogliate tutte le schede e le impostazioni per vedere tutto ciò che fa, come la scansione del malware, i registri di audit, il monitoraggio dei tentativi di accesso falliti e altro ancora.

Per maggiori informazioni, potete consultare la nostra recensione dettagliata di Sucuri.

Abilitare un firewall per applicazioni Web (WAF)

Il modo più semplice per proteggere il vostro sito ed essere sicuri della sicurezza di WordPress è utilizzare un firewall per applicazioni web (WAF).

Un firewall per siti web blocca tutto il traffico dannoso prima ancora che raggiunga il vostro sito.

  • Un firewall per siti web a livello di DNS instrada il traffico del vostro sito web attraverso i suoi server proxy nel cloud. Ciò consente di inviare al vostro server web solo il traffico autentico.
  • Un firewall a livello di applicazione esamina il traffico una volta raggiunto il server, ma prima di caricare la maggior parte degli script di WordPress. Questo metodo non è efficiente come il firewall a livello di DNS nel ridurre il carico del server.

Per saperne di più, consultate il nostro elenco dei migliori plugin firewall per WordPress.

How website firewall blocks attacks

Abbiamo utilizzato Sucuri su WPBeginner per molti anni e lo raccomandiamo ancora come uno dei migliori firewall per applicazioni web per WordPress. Di recente siamo passati da Sucuri a Cloudflare perché avevamo bisogno di una rete CDN più grande con caratteristiche più orientate ai clienti aziendali.

Potete leggere come Sucuri ci ha aiutato a bloccare 450.000 attacchi WordPress in un mese.

Attacks blocked by Sucuri

La parte migliore del firewall di Sucuri è che viene fornito anche con una garanzia di pulizia del malware e di rimozione dalla blacklist. Ciò significa che se doveste subire un attacco di hacking sotto la loro sorveglianza, vi garantiscono di sistemare il vostro sito web, indipendentemente dal numero di pagine che avete.

Si tratta di una garanzia piuttosto forte, perché riparare i siti web violati è costoso. Gli esperti di sicurezza normalmente chiedono più di 250 dollari all’ora, mentre è possibile ottenere l’intero pacchetto di sicurezza Sucuri a 199 dollari per un anno intero.

Detto questo, Sucuri non è l’unico fornitore di firewall a livello di DNS in circolazione. L’altro popolare concorrente è Cloudflare. Consultate il nostro confronto tra Sucuri e Cloudflare (pro e contro).

[Torna all’inizio ↑]

Passare il sito WordPress a SSL/HTTPS

SSL (Secure Sockets Layer) è un protocollo che cripta il trasferimento di dati tra il vostro sito web e il browser dell’utente. Questa crittografia rende più difficile per qualcuno sniffare e rubare informazioni.

How SSL Works

Una volta attivato l’SSL, l’indirizzo del vostro sito web utilizzerà HTTPS anziché HTTP. Nel browser si vedrà anche un lucchetto o un’icona simile accanto all’indirizzo del sito web.

I certificati SSL sono tipicamente emessi dalle autorità di certificazione e il loro prezzo varia da 80 a centinaia di dollari all’anno. A causa dei costi aggiuntivi, in passato la maggior parte dei proprietari di siti web ha scelto di continuare a utilizzare il protocollo insicuro.

Per risolvere questo problema, un’organizzazione no-profit chiamata Let’s Encrypt ha deciso di offrire certificati SSL gratuiti ai proprietari di siti web. Il loro progetto è sostenuto da Google Chrome, Facebook, Mozilla e molte altre aziende.

È più facile che mai iniziare a usare l’SSL per tutti i vostri siti web WordPress. Molte società di hosting offrono ora un certificato SSL gratuito per il vostro sito WordPress.

Se la vostra società di hosting non ne offre uno, potete acquistare un certificato SSL da Domain.com. Si tratta delle offerte SSL migliori e più affidabili del mercato. Il certificato viene fornito con una garanzia di sicurezza di 10.000 dollari e un sigillo di sicurezza TrustLogo.

Se fate tutto ciò che abbiamo menzionato finora, allora siete a buon punto.

Ma come sempre, è possibile fare di più per rafforzare la sicurezza di WordPress.

Tenete presente che alcuni di questi passaggi possono richiedere conoscenze di codifica.

Cambiare il nome utente amministratore predefinito

In passato, il nome utente predefinito dell’amministratore di WordPress era “admin”. Poiché i nomi utente costituiscono la metà delle credenziali di accesso, questo rendeva più facile per gli hacker effettuare attacchi a forza bruta.

Fortunatamente, WordPress ha cambiato questo aspetto e ora richiede di selezionare un nome utente personalizzato al momento dell’installazione di WordPress.

Tuttavia, alcuni installatori di WordPress con un solo clic impostano ancora il nome utente amministratore predefinito su “admin”. Se notate che questo è il caso, probabilmente è una buona idea cambiare il vostro hosting web.

Poiché WordPress non consente di modificare i nomi utente per impostazione predefinita, ci sono tre metodi che si possono utilizzare per cambiare il nome utente.

  1. Creare un nuovo nome utente amministratore ed eliminare quello vecchio.
  2. Utilizzare il plugin Cambio nome utente
  3. Aggiornare il nome utente da phpMyAdmin

Abbiamo trattato tutti e tre questi aspetti nella nostra guida dettagliata su come cambiare correttamente il nome utente di WordPress.

Nota: per essere chiari, stiamo parlando di cambiare il nome utente chiamato “admin”, non il ruolo di amministratore, che a volte è chiamato anche “admin”.

[Torna all’inizio ↑]

Disattivare la modifica dei file

WordPress è dotato di un editor di codice integrato che consente di modificare i file di temi e plugin direttamente dall’area di amministrazione di WordPress.

Nelle mani sbagliate, questa funzione può rappresentare un rischio per la sicurezza, per cui si consiglia di disattivarla.

Adding custom CSS in a child theme's stylesheet in the theme file editor

È possibile farlo facilmente aggiungendo il seguente codice al file wp-config.php o con un plugin di snippet di codice come WPCode (consigliato):

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Vi mostriamo come farlo passo dopo passo nella nostra guida su come disabilitare gli editor di temi e plugin dal pannello di amministrazione di WordPress.

In alternativa, è possibile eseguire questa operazione con un solo clic utilizzando la funzione Hardening del plugin gratuito Sucuri menzionato in precedenza.

[Torna all’inizio ↑]

Disabilitare l’esecuzione di file PHP in determinate directory di WordPress

Un altro modo per rafforzare la sicurezza di WordPress è quello di disabilitare l’esecuzione di file PHP nelle directory in cui non è necessario, come /wp-content/uploads/.

È possibile farlo aprendo un editor di testo come Notepad e incollando questo codice:

<Files *.php>
deny from all
</Files>

Successivamente, è necessario salvare questo file come .htaccess e caricarlo nella cartella /wp-content/uploads/ del vostro sito web utilizzando un client FTP.

Per una spiegazione più dettagliata, consultate la nostra guida su come disabilitare l’esecuzione di PHP in alcune directory di WordPress.

In alternativa, è possibile eseguire questa operazione con un solo clic utilizzando la funzione Hardening del plugin gratuito Sucuri di cui abbiamo parlato sopra.

[Torna all’inizio ↑]

Limitare i tentativi di accesso

Per impostazione predefinita, WordPress consente agli utenti di provare ad accedere quante volte vogliono. Questo rende il vostro sito WordPress vulnerabile agli attacchi di forza bruta. In questo caso, gli hacker cercano di decifrare le password provando ad accedere con diverse combinazioni.

Questo problema può essere facilmente risolto limitando i tentativi di accesso falliti che un utente può effettuare. Se si utilizza il firewall per applicazioni web menzionato in precedenza, questo problema viene risolto automaticamente.

Tuttavia, se non avete impostato il firewall, potete procedere come segue.

Innanzitutto, è necessario installare e attivare il plugin gratuito Limit Login Attempts Reloaded. Per maggiori dettagli, consultate la nostra guida passo-passo su come installare un plugin di WordPress.

Dopo l’attivazione, il plugin inizierà a limitare il numero di tentativi di accesso degli utenti.

Le impostazioni predefinite funzionano per la maggior parte dei siti web, tuttavia è possibile personalizzarle visitando la pagina Impostazioni ” Limita tentativi di accesso e facendo clic sulla scheda “Impostazioni” in alto. Ad esempio, per rispettare le leggi GDPR, è possibile fare clic sulla casella di controllo “Conformità GDPR”.

Limit Login Attempts

Per istruzioni dettagliate, date un’occhiata alla nostra guida su come e perché limitare i tentativi di accesso in WordPress.

[Torna all’inizio ↑]

Aggiungere l’autenticazione a due fattori (2FA)

Il metodo di autenticazione a due fattori richiede due diversi passaggi per l’accesso degli utenti:

  1. Il primo passo è rappresentato dal nome utente e dalla password.
  2. Il secondo passo richiede l’utilizzo di un codice da un dispositivo o da un’applicazione in vostro possesso a cui gli hacker non possono accedere, come ad esempio il vostro smartphone.

La maggior parte dei principali siti online, come Google, Facebook e Twitter, consentono di abilitarla per i propri account. È possibile aggiungere la stessa funzionalità al proprio sito WordPress.

Innanzitutto, è necessario installare e attivare il plugin WP 2FA – Autenticazione a due fattori. Per maggiori dettagli, consultate la nostra guida passo passo su come installare un plugin di WordPress.

Una procedura guidata di facile utilizzo vi aiuterà a configurare il plugin e poi vi verrà fornito un codice QR.

Use Your Authenticator App to Scan the QR Code

È necessario scansionare il codice QR utilizzando un’applicazione di autenticazione sul telefono, come Google Authenticator, Authy e LastPass Authenticator.

Si consiglia di utilizzare LastPass Authenticator o Authy perché consentono di eseguire il backup degli account nel cloud. Questo è molto utile nel caso in cui il vostro telefono venga perso, resettato o ne acquistiate uno nuovo. Tutti i login dei vostri account saranno facilmente ripristinati.

La maggior parte di queste app funziona in modo simile e, se si utilizza Authy, è sufficiente fare clic sul pulsante “+” o “Aggiungi account” nell’app Autenticatore.

Click the + Button to Add an Account

In questo modo è possibile scansionare il codice QR sul computer utilizzando la fotocamera del telefono. Potrebbe essere necessario dare all’applicazione il permesso di accedere alla fotocamera.

Dopo aver dato un nome all’account, è possibile salvarlo.

La prossima volta che accederete al vostro sito web, vi verrà chiesto il codice di autenticazione a due fattori dopo aver inserito la password.

Users Must Enter an Authentication Code Before Logging In

È sufficiente aprire l’app Authenticator sul telefono per visualizzare un codice unico.

È quindi possibile inserire il codice sul proprio sito web per completare l’accesso.

Find Your 2FA Token

[Torna all’inizio ↑]

Cambiare il prefisso del database di WordPress

Per impostazione predefinita, WordPress utilizza wp_ come prefisso per tutte le tabelle del database di WordPress.

Se il vostro sito WordPress utilizza il prefisso predefinito del database, è più facile per gli hacker indovinare il nome della tabella. Per questo motivo vi consigliamo di cambiarlo.

Potete cambiare il prefisso del database seguendo il nostro tutorial passo passo su come cambiare il prefisso del database di WordPress per migliorare la sicurezza.

Nota: la modifica del prefisso del database può danneggiare il sito se non viene eseguita correttamente. Eseguite questa operazione solo se vi sentite a vostro agio con le vostre capacità di codifica.

[Torna all’inizio ↑]

Proteggere con password la pagina di amministrazione e di accesso di WordPress

Password protect WordPress admin example

Normalmente, gli hacker possono richiedere la cartella wp-admin e la pagina di accesso senza alcuna restrizione. Questo permette loro di provare i loro trucchi di hacking o di eseguire attacchi DDoS.

È possibile aggiungere una protezione aggiuntiva con password a livello di server, che bloccherà efficacemente tali richieste.

Seguite le nostre istruzioni passo passo su come proteggere con password la directory di amministrazione di WordPress (wp-admin).

[Torna all’inizio ↑]

Disattivare l’indicizzazione e la navigazione delle directory

Directory Browsing

Quando si digita l’indirizzo di una delle cartelle del sito web in un browser, viene visualizzata la pagina web index.html, se esiste. Se non esiste, viene visualizzato un elenco di file nella cartella. Questa operazione è nota come navigazione nelle directory.

L’esplorazione delle directory può essere utilizzata dagli hacker per scoprire se sono presenti file con vulnerabilità note, in modo da poterli sfruttare per ottenere l’accesso.

L’esplorazione delle directory può essere utilizzata anche da altre persone per esaminare i file, copiare immagini, scoprire la struttura delle directory e altre informazioni. Per questo motivo si consiglia vivamente di disattivare l’indicizzazione e l’esplorazione delle directory.

È necessario collegarsi al proprio sito web utilizzando l’FTP o il file manager del proprio provider di hosting. Quindi, individuate il file .htaccess nella directory principale del vostro sito web. Se non riuscite a vederlo, consultate la nostra guida sul perché non riuscite a vedere il file .htaccess in WordPress.

Successivamente, è necessario aggiungere la seguente riga alla fine del file .htaccess:

Opzioni -Indici

Non dimenticate di salvare e caricare il file .htaccess sul vostro sito.

Per saperne di più su questo argomento, consultate il nostro articolo su come disabilitare la navigazione nelle directory in WordPress.

[Torna all’inizio ↑]

Disabilitare XML-RPC in WordPress

XML-RPC è un’API di base di WordPress che aiuta a collegare il vostro sito WordPress con le applicazioni web e mobili. È stata attivata per impostazione predefinita da WordPress 3.5.

Tuttavia, a causa della sua natura potente, XML-RPC può amplificare in modo significativo gli attacchi brute-force.

Ad esempio, se un hacker volesse provare 500 password diverse sul vostro sito web, dovrebbe effettuare 500 tentativi di accesso separati. Questo può essere individuato e bloccato dal plugin Limit Login Attempts Reloaded.

Ma con XML-RPC, un hacker può utilizzare la funzione system.multicall per provare migliaia di password con 20 o 50 richieste.

Per questo motivo, se non si utilizza XML-RPC, si consiglia di disabilitarlo.

Ci sono 3 modi per disabilitare XML-RPC in WordPress e li abbiamo trattati tutti nel nostro tutorial passo-passo su come disabilitare XML-RPC in WordPress.

Suggerimento: il metodo .htaccess è il migliore perché è quello che richiede meno risorse. Gli altri metodi sono più semplici per i principianti.

In alternativa, questo aspetto viene gestito automaticamente se si utilizza un firewall per applicazioni web (WAF), come abbiamo detto in precedenza.

[Torna all’inizio ↑]

Disconnettere automaticamente gli utenti inattivi in WordPress

Gli utenti connessi possono talvolta allontanarsi dallo schermo e questo rappresenta un rischio per la sicurezza. Qualcuno può dirottare la loro sessione, cambiare le password o apportare modifiche al loro account.

Ecco perché molti siti bancari e finanziari disconnettono automaticamente un utente inattivo. Potete impostare una funzionalità simile anche sul vostro sito WordPress.

È necessario installare e attivare il plugin Inactive Logout. Dopo l’attivazione, visitare la pagina Impostazioni ” Logout inattivo per personalizzare le impostazioni di logout.

Logout idle users

È sufficiente impostare la durata e aggiungere un messaggio di logout. Quindi, non dimenticate di fare clic sul pulsante “Salva modifiche” in fondo alla pagina per memorizzare le impostazioni.

Per istruzioni passo passo, consultare la nostra guida su come disconnettere automaticamente gli utenti inattivi in WordPress.

[Torna all’inizio ↑]

Aggiungere domande di sicurezza alla schermata di accesso di WordPress

L’aggiunta di una domanda di sicurezza alla schermata di login di WordPress rende ancora più difficile l’accesso non autorizzato.

È possibile aggiungere domande di sicurezza installando il plugin Autenticazione a due fattori. Dopo l’attivazione, è necessario visitare la pagina Autenticazione a più fattori ” Due fattori per configurare le impostazioni del plugin.

Questo vi permetterà di aggiungere vari tipi di autenticazione a due fattori al vostro sito, comprese le domande di sicurezza.

Adding Security Questions to WordPress Login

Per istruzioni più dettagliate, consultate il nostro tutorial su come aggiungere domande di sicurezza alla schermata di login di WordPress.

[Torna all’inizio ↑]

Scansione di WordPress alla ricerca di malware e vulnerabilità

Malware Scan

Se avete installato un plugin di sicurezza per WordPress, questo controllerà regolarmente la presenza di malware e di segni di violazione della sicurezza.

Tuttavia, se notate un improvviso calo del traffico del sito web o delle classifiche di ricerca, potreste voler effettuare una scansione manuale alla ricerca di malware. Potete farlo utilizzando il plugin di sicurezza di WordPress o uno dei migliori scanner di malware e sicurezza.

L’esecuzione di queste scansioni online è piuttosto semplice. Basta inserire l’URL del vostro sito web e i loro crawler lo esamineranno alla ricerca di malware e codice dannoso.

Ora, tenete presente che la maggior parte degli scanner di sicurezza di WordPress può solo avvisarvi se il vostro sito contiene malware. Non possono rimuovere il malware o pulire un sito WordPress violato.

Questo ci porta alla sezione successiva, la pulizia di malware e siti WordPress violati.

[Torna all’inizio ↑]

Riparare un sito WordPress violato

Molti utenti di WordPress non si rendono conto dell’importanza dei backup e della sicurezza del sito web fino a quando il loro sito non viene violato.

Gli hacker installano backdoor sui siti colpiti e se queste backdoor non vengono corrette correttamente, è probabile che il vostro sito web venga nuovamente violato.

Per gli utenti più avventurosi e fai-da-te, abbiamo compilato una guida passo-passo su come riparare un sito WordPress violato.

Tuttavia, la pulizia di un sito WordPress può essere molto difficile e richiedere molto tempo. Il nostro consiglio è di lasciare che se ne occupi un professionista.

Se si paga per utilizzare il plugin di sicurezza Sucuri di cui abbiamo parlato sopra, la riparazione del sito violato è inclusa nel prezzo.

È anche possibile utilizzare il servizio di riparazione dei siti violati di WPBeginner Pro Services. Questo servizio richiede un pagamento una tantum di 249 dollari e comprende la determinazione dei file premium, la rimozione del codice maligno, gli aggiornamenti del software e della sicurezza e il backup del sito pulito.

WPBeginner Pro Services Hacked Site Repair

Garantiamo di riparare il vostro sito o di restituirvi i soldi. Inoltre, copriamo il vostro sito web per 30 giorni dopo la riparazione, quindi se venite violati di nuovo durante questo periodo, saremo lì per ripararlo.

Puliamo e mettiamo in sicurezza i siti web WordPress da oltre 10 anni, quindi potrete stare tranquilli quando utilizzerete il nostro servizio di riparazione dei siti violati.

[Torna all’inizio ↑]

Suggerimento bonus: assumete un servizio di manutenzione di WordPress

In quanto proprietari di una piccola impresa molto impegnata, potreste non avere il tempo di monitorare la sicurezza del vostro sito web e di proteggerlo dalle vulnerabilità. Quindi, per alleggerire la vostra mente e il vostro carico di lavoro, potete assumere un servizio di manutenzione di WordPress per il monitoraggio della sicurezza 24 ore su 24, 7 giorni su 7.

WPBeginner Pro Services offre una manutenzione completa del sito web WordPress a un prezzo accessibile. Include il monitoraggio della sicurezza, i backup cloud di routine, gli aggiornamenti di WordPress, il monitoraggio dei tempi di attività e molto altro ancora.

WPBeginner WordPress website maintenance service

Basta scegliere il pacchetto di servizi di manutenzione mensile più adatto alle vostre esigenze e otterrete un sito WordPress più sicuro e del tempo libero in più per lavorare su altri aspetti della vostra attività.

Se desiderate altre raccomandazioni, potete consultare la nostra selezione dei migliori servizi di manutenzione di siti web per WordPress.

[Torna all’inizio ↑]

Speriamo che questo articolo vi abbia aiutato a conoscere le migliori pratiche per la sicurezza di WordPress e a scoprire i migliori plugin di sicurezza per il vostro sito web. Potreste anche voler consultare la nostra guida definitiva alla SEO di WordPress per migliorare le vostre classifiche SEO e i nostri consigli da esperti su come velocizzare WordPress.

Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Reader Interactions

Il kit di strumenti WordPress definitivo

Ottenete l'accesso gratuito al nostro kit di strumenti - una raccolta di prodotti e risorse relative a WordPress che ogni professionista dovrebbe avere!

Divulgazione: I nostri contenuti sono sostenuti dai lettori. Ciò significa che se cliccate su alcuni dei nostri link, potremmo guadagnare una commissione. Vedi come WPBeginner è finanziato , perché è importante e come puoi sostenerci. Ecco il nostro processo editoriale .

161 commentiLascia una risposta

  1. Syed Balkhi

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Kushal Phalak

    Great article! Last year my website was hacked(redirecting to another suspicious website), so I think it is a must to use security measure. In my case, I had to delete my website and was lucky that my hosting provider had backup feature. From then I used Wordfence to secure my websites, but moved to Sucuri as it provided the services like DDoS protection, and CDN as well.

  3. Ayanda Temitayo

    Please I want to ask that is it security wise to change the url of the default login page to another custom url. Like from yourwebsite.com/wp-login to yourwebsite.com/anotherName-login

    I once use a plugin to change my login url to another url where nobody can easily route to my login page. So one of my SEO guy said it will be easy for hackers to hack my site if the plugin is vulnerable and I will lose everything on my website if I keep using a custom route to login page.

    What’s your opinion about changing the default login route?

    • WPBeginner Support

      Changing your login URL is personal preference and not specifically for security.

      Admin

  4. al amin Sheikh

    Two important things in a website – Performance and Security.
    Nicely explained how we can protect our site from hackers. Thanks, WPB.

    • WPBeginner Support

      You’re welcome :)

      Admin

  5. mohadese esmaeeli

    Hello, thank you for this excellent article.I also want to add a few more items to this list, such as using the Google reCAPTCHA plugin, employing security hardware related to the server, examining security tools within the hosting environment, such as Imunify360, and regularly changing passwords at short intervals.

    • WPBeginner Support

      Thank you for your recommendations, hosts do have different tools so it would be best to check with the hosting provider for any security tools they offer :)

      Admin

  6. Fajri

    Whoa, the method to Disable XML-RPC in WordPress is totally new for me.

    I am gonna try to applicate it to add more security for my websites. Thanks for this information team!

    • WPBeginner Support

      Glad you found our article helpful :)

      Admin

  7. Murad Prodhan

    WPbeginner is one the best websites for our community. This article is very helpful for me. Thanks WPbeginner.

    • WPBeginner Support

      You’re welcome, glad the guide was helpful :)

      Admin

  8. Jiří Vaněk

    This is a great article. There are many things here that never occurred to me, even though I tried to secure with WordPress as much as possible. I just copied a snippet to hide error messages when logging into WordPress and I’m going to apply it to my website. It probably won’t stop at just this thing. This article is really a fantastic list of great tips. Thank you for advancing awareness about security. Great job.

    • WPBeginner Support

      You’re welcome, glad our guide was helpful :)

      Admin

  9. Etop Udoekene

    Thanks very much. This information has come to me at just the right time, as I am in the process of setting up my website again after losing my former laptop and Android phone to thieves.
    I am really grateful.

    • WPBeginner Support

      You’re welcome, hopefully things get better and we hope our guide helps you with keeping your site secure after that.

      Admin

  10. Mark Ellsworth

    Thank you – very well organized and comprehensive! This will definitely help with what is an ongoing and challenging issue with WordPress installs.

    • WPBeginner Support

      Glad you found our security guide helpful :)

      Admin

  11. Ifakayode Femi

    I loved this article and am bookmarking this page for future cause I might not remember the names of most plugins listed here, but sincerely this article helps a long way

    Thanks for taking your time to compose this
    Thanks a million times

    • WPBeginner Support

      Glad you found our guide and recommendations helpful! :)

      Admin

  12. Nikhil

    thankyou sir it’s information is to important thankyou so much sir

    • WPBeginner Support

      You’re welcome, glad to hear our article was helpful!

      Admin

  13. Yasin

    I am very grateful for this article, all thanks to wpbeginner.com.

    • WPBeginner Support

      You’re welcome glad you found our guide helpful!

      Admin

  14. Belinda Viret

    Thank you for the great advice!

    • WPBeginner Support

      You’re welcome!

      Admin

  15. Marko Kozlica

    Wow! Extensive and thorough article for beginners and experienced wordpressers alike. Keep up the good work!

    • WPBeginner Support

      Glad you found our article helpful!

      Admin

  16. Federico

    Really good guide, very useful!

    • WPBeginner Support

      Glad you think so!

      Admin

  17. Claudio Lopes

    Following the tips and feeling that my site is more secure.

    • WPBeginner Support

      Glad to hear our guide could help you!

      Admin

  18. Bob De Maria

    Hi,
    I am brand new to this and this was my first email and I am ever glad I am signed up. You hit on one of my concerns that is right at the top of my list.

    I can’t thank you enough for a very well written and much appreciated tutorial.

    Best Regards,

    Bob De Maria

    • WPBeginner Support

      Glad to hear our guide was helpful!

      Admin

  19. Kimberly

    FYI: Security issue on the WP Security Questions plugin. It’s been removed from wordpress.org.

    • WPBeginner Support

      Thank you for letting us know, we will be sure to look for an alternative we would recommend :)

      Admin

  20. MS

    Hi guys! Txs a lot for this usefull resouces. 1 question, will any of this affect the loading time of my website/pages???

    • WPBeginner Support

      These should not cause a major change to your site’s speed.

      Admin

  21. john

    nice Article ,

    Do use reCAPTCHA in forms is helpful in securing?

    • WPBeginner Support

      reCAPTCHA is for preventing spam more than security.

      Admin

  22. tim jackz

    Hello team,

    If i install two security plugin in my wordpress website, is there any disadvantages for my website?

    • WPBeginner Support

      You would want to check with the support for the plugins you are looking to use, some work together but others try to do the same tasks which can cause conflicts.

      Admin

  23. Diego

    My WordPress site is running WordPress 5.1.8 which part of the 5.1 branch, last updated on November 2020. The current WordPress version is 5.6.2.

    I don’t quite understands all these different branches of WP.
    Should I still need to upgrade?

  24. Julia

    So I pay premium and the free plugins are only for business, is there a way around that. They don’t let us pay for plugins. Premium and lower are not allowed to use them at all.

  25. Trisha

    Great tutorial, thank you! In going thru my 404 error logs, I see a lot of bots hitting non-existent plugins in my /plugins folder….I’m not overly concerned since the plugins they’re looking for don’t exist (hence the 404) BUT is there a way to protect my /plugins folder that won’t interfere with normal plugin operations? Is this advisable? Should I even be concerned?

    • WPBeginner Support

      That normally shouldn’t be something you should be concerned with unless the plugin is on your site then you may want to ensure you have that plugin up to date in case the bot was looking for a plugin with a security vulnerability.

      Admin

  26. Ish

    I took over a word press site how would i know if my site has a cloud backup account prior before me?

    • WPBeginner Support

      You would need to check your active plugins and reach out to your hosting provider to see what is active for your site.

      Admin

  27. Lu

    How can you find out if your site uses XML-RPC? Really useful as always. Thank you.

    • WPBeginner Support

      If your version of WordPress is up to date it should be active on your site normally.

      Admin

  28. Julie Taylor

    Very helpful information. I would like to know your thoughts on the following, if i were to implement all of those security situations, particuarly those that were involving code etc does it effect Google to be able to pull up the site and for SEO to work effectively?

    • WPBeginner Support

      The security recommendations should not affect your site’s SEO

      Admin

  29. MooN Minhas

    Thanks for sharing nice information.

    • WPBeginner Support

      Glad you found it helpful :)

      Admin

  30. Samuel

    is this guide also applies to WordPress.com users?

    • WPBeginner Support

      No, our guides are for WordPress.org sites, you would want to reach out to WordPress.com for the hardening steps they allow :)

      Admin

Lascia una risposta

Grazie per aver scelto di lasciare un commento. Tenga presente che tutti i commenti sono moderati in base alle nostre politica dei commenti e il suo indirizzo e-mail NON sarà pubblicato. Si prega di NON utilizzare parole chiave nel campo del nome. Avremo una conversazione personale e significativa.