WordPress è il CMS più usato al mondo… e anche uno dei più attaccati. Nel 2025, con la crescente diffusione di bot automatizzati e vulnerabilità zero-day, mettere in sicurezza un sito WordPress non è più un’opzione: è un dovere.
Questa checklist tecnica aggiornata ti aiuterà a blindare il tuo sito, sia che tu gestisca un blog personale, un e-commerce o una vetrina aziendale.
✅ 1. Aggiorna core, plugin e temi
Imposta gli aggiornamenti automatici per plugin e tema.
Verifica che tutti i plugin siano compatibili con l’ultima versione di WP.
Evita plugin abbandonati o con pochi download recenti.
📌 Strumenti consigliati: WP Rollback per downgrade di emergenza.
🔑 2. Autenticazione sicura
Abilita l’autenticazione a due fattori (2FA) per tutti gli utenti admin.
Cambia lo username “admin” predefinito.
Imposta password robuste con autenticazione via app (es. Authy, Google Authenticator).
📌 Plugin consigliato: WP 2FA o miniOrange 2FA.
🔒 3. Limitazione login e bruteforce
Blocca l’accesso dopo X tentativi falliti.
Imposta reCAPTCHA sulla pagina di login.
📌 Plugin consigliato: Limit Login Attempts Reloaded.
🧱 4. Firewall e protezione attiva
Installa un Web Application Firewall (WAF).
Blocca IP sospetti e crawler malevoli.
Monitora i file modificati.
📌 Plugin consigliati: Wordfence Security o All-in-One WP Security
🧬 5. Backup regolari (off-site)
Effettua backup giornalieri o settimanali, salvati fuori dal server (es. Google Drive, Dropbox).
Testa periodicamente il ripristino.
📌 Plugin consigliato: UpdraftPlus o Duplicator.
🧹 6. Pulizia e gestione utenti
Rimuovi utenti inattivi o sconosciuti.
Disabilita la registrazione pubblica, se non necessaria.
Limita i permessi ai soli ruoli necessari.
🌐 7. HTTPS obbligatorio
Attiva il protocollo HTTPS con un certificato SSL valido.
Reindirizza automaticamente tutto il traffico da HTTP a HTTPS.
📌 Plugin utile: Really Simple SSL.
⚙️ 8. Disattiva funzionalità superflue
Disattiva l’editor di file via dashboard (
wp-config.php).Nascondi la versione di WordPress dal codice sorgente.
Disabilita XML-RPC, se non lo usi (è spesso vettore di attacchi).
🕵️♂️ 9. Monitoraggio e log
Tieni traccia degli accessi e delle modifiche agli articoli, pagine e plugin.
Attiva notifiche email per login e attività sospette.
📌 Plugin consigliato: WP Activity Log.
🧪 10. Scanner e test periodici
Scansiona il sito per malware e file compromessi almeno 1 volta a settimana.
Usa servizi esterni per monitoraggio blacklist e sicurezza.
📌 Strumenti online: Sucuri SiteCheck, VirusTotal, Quttera.
🔚 Conclusione
Un sito WordPress sicuro è un sito che funziona, ispira fiducia e riduce al minimo i rischi legali e tecnici. Questa checklist è il tuo punto di partenza: applicala subito e rendi la sicurezza una buona abitudine, non un’emergenza.