Come impedire ai clienti di disattivare i plugin di WordPress

Quando crei siti web per i clienti, i plugin disattivati accidentalmente possono causare seri problemi.

Disattivare un plugin essenziale può interrompere funzionalità importanti o persino rendere un sito inutilizzabile. Ecco perché controllare chi può disattivare i plugin è così importante.

Ho testato questi metodi per conflitti di autorizzazioni utente, visibilità del menu e affidabilità dell'esecuzione degli hook per assicurarmi che il tuo sito rimanga sicuro:

• Usa i ruoli predefiniti di WordPress per limitare l'accesso
• Crea ruoli personalizzati con autorizzazioni specifiche
• Aggiungi codice personalizzato per proteggere singoli plugin

In questa guida, ti mostreremo esattamente come impedire ai clienti di disattivare i plugin di WordPress. Questi passaggi sono semplici e funzionano su qualsiasi sito WordPress.

Perché impedire ai clienti di disattivare i plugin di WordPress?

Quando crei siti web per i clienti, probabilmente installi plugin essenziali su ogni sito. Questi potrebbero includere plugin di sicurezza come Wordfence o Sucuri che proteggono da hacker e codice dannoso.

Potresti utilizzare plugin come Duplicator, il miglior plugin di backup e migrazione di WordPress utilizzato da oltre 1 milione di siti web, o UpdraftPlus per automatizzare le attività di manutenzione di WordPress come la creazione di backup regolari.

Se un cliente disattiva accidentalmente uno di questi plugin, il suo sito web potrebbe diventare vulnerabile agli attacchi o la sua funzionalità potrebbe essere compromessa. Ho visto siti bloccarsi perché un cliente ha disattivato un plugin di caching, causando un sovraccarico del server durante un traffico elevato.

Nei casi peggiori, la disattivazione di plugin di sicurezza o di backup proprio prima di un attacco hacker o di un crash del server può comportare una perdita permanente di dati. Anche se non è colpa tua, ciò crea una cattiva esperienza per il cliente che potrebbe danneggiare la tua reputazione.

Vediamo come puoi impedire ai clienti di disattivare accidentalmente i plugin in WordPress.

Simply use the quick links below to jump straight to the method you want to use:

Metodo 1: Utilizzo dei ruoli utente predefiniti di WordPress (nessun plugin richiesto)

Solo gli Amministratori di WordPress possono disattivare i plugin per impostazione predefinita. Ciò significa che puoi controllare l'accesso ai plugin gestendo chi ottiene i privilegi di amministratore sul sito.

WordPress include un sistema di gestione utenti integrato in cui ogni utente ha diverse capacità in base al ruolo assegnato.

Quando installi WordPress, crea automaticamente questi ruoli utente:

• Amministratore (controllo completo del sito inclusa la gestione dei plugin)
• Editor (può pubblicare e gestire tutti i contenuti ma non può gestire i plugin)
• Autore (può pubblicare e gestire solo i propri post)
• Collaboratore (può scrivere e gestire i propri post ma non può pubblicare)
• Sottoscrittore (può solo gestire il proprio profilo)

Per impostazione predefinita, solo il ruolo di Amministratore ha il permesso di gestire i plugin, che include la loro attivazione e disattivazione.

Consiglio di creare un singolo account amministratore per i tuoi clienti in modo che abbiano un modo per gestire i loro siti. Puoi quindi creare account non amministratore per chiunque altro abbia bisogno di accesso ma non richieda privilegi di amministratore.

Senza diritti di amministratore, la maggior parte dei tuoi clienti non sarà in grado di disattivare i plugin. Puoi utilizzare qualsiasi ruolo per gli account non amministratore.

Tuttavia, di solito assegno il ruolo di Editor ai miei clienti perché dà loro la capacità di creare, modificare, pubblicare ed eliminare contenuti, inclusi contenuti creati da altre persone. Questo può migliorare il flusso di lavoro editoriale e aiutare i clienti a gestire efficacemente il loro nuovo sito.

È anche una buona idea assegnare l'account Amministratore a qualcuno che abbia esperienza con WordPress e capisca come gestire un sito web in modo sicuro.

Per creare un account per uno o più clienti, vai su Utenti » Aggiungi Nuovo nella dashboard di WordPress. Puoi quindi inserire le informazioni sulla persona, incluso il suo nome e indirizzo email.

Fatto ciò, apri il menu a discesa Ruolo e scegli il ruolo che desideri assegnare a questo utente, come Amministratore o Editore.

Quando sei soddisfatto delle informazioni che hai inserito, fai clic su 'Aggiungi Nuovo Utente'.

Per creare altri account, segui semplicemente lo stesso processo descritto sopra. Per ulteriori informazioni su questo argomento, consulta la nostra guida su come aggiungere nuovi utenti al tuo blog WordPress.

Metodo 2: Utilizzo del plugin Members (crea un ruolo cliente personalizzato)

A volte, potresti dover impedire ai clienti di disattivare i plugin senza limitare il loro accesso ad altre aree della dashboard di WordPress.

Detto questo, i ruoli utente integrati potrebbero non essere adatti al tuo sito web. Ad esempio, gli Editor non possono disattivare i plugin, ma non possono nemmeno aggiungere nuovi utenti o installare temi di WordPress, il che potrebbe essere un problema per i tuoi clienti.

Se i ruoli utente predefiniti non sono adatti al tuo cliente, puoi creare un ruolo personalizzato che abbia le autorizzazioni esatte di cui hanno bisogno. Puoi persino creare ruoli diversi per team diversi o singoli dipendenti.

Il modo più semplice per creare ruoli personalizzati è utilizzare il plugin gratuito Members. Con oltre 300.000 installazioni attive, Members ti consente di creare nuovi ruoli e quindi aggiungere e rimuovere capacità a tali ruoli utente, inclusa la possibilità di attivare e disattivare i plugin di WordPress.

La rimozione di questa autorizzazione nasconde l'impostazione Plugin dal menu di sinistra, come puoi vedere nell'immagine seguente.

La prima cosa da fare è installare e attivare il plugin Members. Per maggiori dettagli, consulta la nostra guida passo passo su come installare un plugin di WordPress.

Dopo l'attivazione, vai su Members » Add New Role.

Nel campo 'Inserisci nome ruolo', digita il nome che desideri utilizzare. Questo sarà visibile a chiunque abbia accesso alla dashboard di WordPress.

Dopodiché, è ora di concedere e negare le autorizzazioni.

La colonna di sinistra mostra tutti i diversi tipi di contenuto, come blocchi riutilizzabili e prodotti WooCommerce. Fai semplicemente clic su una scheda e vedrai tutte le autorizzazioni per quel tipo di contenuto.

Puoi quindi procedere e selezionare la casella ‘Concedi’ o ‘Nega’ per ogni autorizzazione. Per istruzioni più dettagliate, consulta la nostra guida su come aggiungere o rimuovere le capacità degli utenti.

Per impedire ai clienti di disattivare i plugin, fai clic sulla scheda ‘Plugin’ sulla sinistra.

In questa schermata, seleziona la casella 'Nega' sulla riga che dice 'Attiva Plugin'. La funzionalità "Attiva Plugin" è l'autorizzazione principale di WordPress che controlla sia l'attivazione che la disattivazione dei plugin. Negando questa singola funzionalità, impedisci entrambe le azioni.

Ho testato questa configurazione su più siti di clienti e ho confermato che gli utenti con questa autorizzazione negata non possono accedere al menu Plugin né modificare lo stato di alcun plugin.

Quando sei soddisfatto di come è configurato il ruolo utente, fai clic su ‘Aggiungi Ruolo’.

Ora puoi assegnare questo ruolo a qualsiasi utente, seguendo lo stesso processo descritto nel Metodo 1.

Metodo 3: Utilizzo di PHP personalizzato (impedisci ai clienti di disattivare plugin specifici)

Se vuoi impedire ai clienti di disattivare tutti i plugin, puoi utilizzare uno dei metodi sopra menzionati.

Tuttavia, a volte, potresti voler proteggere plugin essenziali specifici consentendo comunque ai clienti di disattivare ed eliminare software non essenziali.

Il modo migliore per proteggere plugin specifici è aggiungere codice personalizzato in WordPress. Questo ti permette di rimuovere il link ‘Disattiva’ per plugin specifici.

Questo è un metodo avanzato che richiede la modifica del codice PHP e la comprensione dei percorsi dei file. Un errore di sintassi nel tuo codice potrebbe compromettere il tuo sito, motivo per cui consiglio di utilizzare WPCode per un’implementazione più sicura invece di modificare direttamente i file del tema.

Per iniziare, dovrai conoscere il nome del file del plugin e dove si trova sul tuo server. In genere, questi file utilizzano il nome del plugin seguito da .php e si trovano all'interno di una cartella con il nome del plugin. Ad esempio, il file di WooCommerce si chiama woocommerce.php e si trova all'interno di una cartella woocommerce.

Tuttavia, vale comunque la pena verificarlo, soprattutto se il plugin ha un nome lungo e complicato o più parole.

Ad esempio, se stai utilizzando il plugin SearchWP per migliorare i risultati di ricerca del tuo sito, il suo file si chiama `searchwp.php` e si trova nella cartella `searchwp`.

Puoi controllare il nome e la posizione del file connettendoti al server del sito utilizzando un client FTP come FileZilla, oppure puoi utilizzare il file manager nel pannello di controllo del tuo hosting WordPress.

Se è la prima volta che usi l'FTP, puoi consultare la nostra guida completa su come connettersi al tuo sito tramite FTP.

Dopo di che, vai su /wp-content/plugins/. Qui vedrai tutti i diversi plugin sul tuo sito.

Trova semplicemente il plugin che desideri proteggere e apri la sua cartella.

Dopo di che, trova il file .php.

Ora, prendi nota del nome della cartella e del file .php, poiché utilizzerai queste informazioni nel tuo codice. Ripeti semplicemente questo processo per ogni plugin che desideri proteggere.

Fatto ciò, è ora di aggiungere uno snippet di codice al tuo sito. Spesso, troverai guide che ti chiedono di aggiungere codice al file functions.php del sito.

Tuttavia, questo non è consigliato, poiché semplici errori possono causare innumerevoli errori comuni di WordPress. Perderai anche il codice personalizzato quando aggiornerai il tuo tema WordPress.

È qui che entra in gioco WPCode.

È il miglior plugin per snippet di codice utilizzato da oltre 2 milioni di siti web WordPress. WPCode semplifica l’aggiunta di CSS, HTML, PHP personalizzati e altro ancora senza i rischi di modificare direttamente i file del tema. Per i dettagli, consulta la nostra recensione completa di WPCode.

La prima cosa da fare è installare e attivare il plugin gratuito WPCode. Per maggiori dettagli, consulta la nostra guida passo passo su come installare un plugin di WordPress.

Dopo l'attivazione, vai su Snippet di codice » Aggiungi snippet.

Qui vedrai tutti gli snippet predefiniti che puoi aggiungere al tuo sito. Questi includono uno snippet che ti permette di disabilitare completamente i commenti, caricare tipi di file che WordPress di solito non supporta, disabilitare le pagine degli allegati e molto altro.

Invece, passa il mouse sopra ‘Aggiungi il tuo codice personalizzato’ e poi seleziona ‘Usa snippet’ quando appare.

Per iniziare, digita un titolo per lo snippet di codice personalizzato. Può essere qualsiasi cosa che ti aiuti a identificare lo snippet nella dashboard di WordPress.

Successivamente, apri il menu a discesa 'Tipo di codice' e seleziona 'Snippet PHP'.

Ora sei pronto per aggiungere il PHP personalizzato.

Il codice esatto varierà a seconda dei plugin che stai proteggendo, ma ecco un modello che puoi utilizzare. Questo tutorial è stato testato con WordPress 6.7 e WPCode 2.1.16 a partire da febbraio 2026:

add_filter( 'plugin_action_links', 'disable_plugin_deactivation', 10, 4 );
function disable_plugin_deactivation( $actions, $plugin_file, $plugin_data, $context ) {
	// Check if the 'deactivate' action exists in the actions array
	// and if the current plugin matches our protected plugins list
	if ( array_key_exists( 'deactivate', $actions ) && in_array( $plugin_file, array(
		'wpforms/wpforms.php',  // WPForms contact form plugin
		'woocommerce/woocommerce.php'  // WooCommerce eCommerce plugin
	)))
		unset( $actions['deactivate'] );  // Remove the deactivate link
	return $actions;
}

Questo snippet disabilita la disattivazione per WPForms e WooCommerce. Per proteggere altri plugin, sostituisci semplicemente ‘wpforms/wpforms.php’ e ‘woocommerce/woocommerce.php’ con le cartelle e i nomi dei file ottenuti nel passaggio precedente.

Per disabilitare la disattivazione per più plugin, aggiungili semplicemente all'array. Ad esempio:

  'wpforms/wpforms.php',  // WPForms contact form plugin
        'woocommerce/woocommerce.php',  // WooCommerce eCommerce plugin
		'service-box/service-box.php'  // Service Box plugin
	
    )))

Dopo di che, scorri fino alla sezione ‘Inserimento’. WPCode può aggiungere il tuo codice in diverse posizioni, come dopo ogni post, solo frontend, o solo admin.

Devi usare il codice PHP solo nell'area di amministrazione di WordPress, quindi fai clic su ‘Inserimento automatico’ se non è già stato selezionato. Quindi, apri il menu a discesa ‘Posizione’ e scegli ‘Solo amministrazione’.

Dopodiché, sei pronto per scorrere fino in cima allo schermo e fare clic sull'interruttore ‘Inattivo’ in modo che cambi in ‘Attivo’.

Infine, fai clic su 'Salva snippet' per rendere attivo lo snippet PHP.

Ora, se selezioni ‘Plugin’ dal menu a sinistra, vedrai che il collegamento ‘Disattiva’ è stato rimosso per quei plugin.

Se hai bisogno di ripristinare i collegamenti di 'disattivazione' in qualsiasi momento, puoi disabilitare lo snippet di codice. Vai semplicemente su Snippet di codice » Tutti gli snippet e fai clic sull'interruttore accanto al tuo snippet per trasformarlo da blu (abilitato) a grigio (disabilitato).

Ora puoi disattivare questi plugin andando al menu Plugin .

Puoi anche disattivare i plugin protetti usando phpMyAdmin o un client FTP. Questa potrebbe essere una buona soluzione se vuoi rimuovere un plugin specifico ma non vuoi disabilitare completamente lo snippet di codice e lasciare tutti i tuoi plugin protetti vulnerabili.

Per saperne di più, consulta la nostra guida su come disattivare tutti i plugin quando non è possibile accedere a WP-Admin.

Domande frequenti

I clienti possono ancora disattivare i plugin usando FTP o phpMyAdmin?

Sì, tutti e tre i metodi in questo tutorial impediscono la disattivazione dei plugin solo tramite la dashboard di amministrazione di WordPress. Gli utenti con accesso FTP o al database possono ancora disattivare i plugin rinominando la cartella del plugin tramite FTP o modificando lo stato del plugin nel database.

Per una sicurezza completa, dovresti anche limitare l'accesso FTP e al database solo agli amministratori fidati. La maggior parte dei provider di hosting ti consente di creare account FTP separati con autorizzazioni limitate.

Questi metodi funzioneranno su WordPress Multisite?

Sì, ma con differenze importanti. Su WordPress Multisite, solo i Super Amministratori possono gestire i plugin in tutta la rete per impostazione predefinita.

I singoli amministratori del sito non possono attivare o disattivare i plugin a meno che il Super Admin non conceda loro la funzionalità “Gestisci plugin”. I metodi 2 e 3 di questa guida funzionano su multisito per controllare l'accesso del Super Admin o proteggere plugin specifici da tutti gli amministratori.

Cosa succede se mi blocco accidentalmente?

Se rimuovi per errore le tue capacità di gestione dei plugin, puoi ripristinare l'accesso utilizzando FTP o il file manager del pannello di controllo del tuo hosting. Connettiti al tuo sito, naviga in /wp-content/plugins/members/ e rinomina la cartella del plugin Members in qualcosa come members-disabled.

Questo disattiva il plugin Members e ripristina le autorizzazioni predefinite di WordPress. Per il Metodo 3 che utilizza WPCode, rinomina la cartella del plugin WPCode per disabilitare temporaneamente il tuo codice personalizzato.

Quale metodo è migliore per i principianti?

Raccomandiamo il Metodo 1 (utilizzando i ruoli predefiniti di WordPress) per la maggior parte dei principianti perché non richiede plugin o codice. Assegna semplicemente ai tuoi clienti il ruolo di Editor e non saranno in grado di disattivare alcun plugin.

Se i clienti necessitano di funzionalità più avanzate come l'aggiunta di utenti o l'installazione di temi, proteggendo comunque i plugin, utilizza il Metodo 2 con il plugin Members. Il Metodo 3 è riservato agli utenti esperti che necessitano di un controllo granulare su plugin specifici.

Risorse bonus:

Di seguito sono riportate alcune risorse aggiuntive selezionate che potrebbero esserti utili durante la gestione dei siti dei clienti.

• Come etichettare in bianco la tua dashboard di amministrazione di WordPress
• Come Creare un Report SEO per il Tuo Sito WordPress
• Come correggere il CSS interrotto nella dashboard di amministrazione di WordPress
• Come creare una dashboard per i clienti in WordPress

Speriamo che questo articolo ti abbia aiutato a capire come impedire ai clienti di disattivare i plugin di WordPress. Potresti anche voler consultare la nostra guida definitiva su come nascondere elementi di menu non necessari dall’amministrazione di WordPress e le migliori app mobili per gestire il tuo sito WordPress.

Se ti è piaciuto questo articolo, iscriviti al nostro Canale YouTube per tutorial video su WordPress. Puoi trovarci anche su Twitter e Facebook.