Perché la Sicurezza di WordPress è Più Importante Che Mai nel 2026
WordPress alimenta oltre il 43% di tutti i siti web su internet, rendendolo il principale obiettivo per gli attacchi informatici. Solo nel 2025, i ricercatori di sicurezza hanno documentato oltre 5.800 vulnerabilità nei plugin, nei temi e nel software di base di WordPress. Il costo medio di una violazione del sito web per le piccole imprese supera ora i 25.000 dollari se si considerano i tempi di inattività, la perdita di dati, i danni alla reputazione e le spese di recupero.
La buona notizia è che la stragrande maggioranza degli attacchi a WordPress è automatizzata e opportunistica. Mirano a vulnerabilità note, password deboli e installazioni mal configurate. Seguendo un approccio sistematico alla sicurezza, puoi eliminare oltre il 95% dei vettori di attacco e rendere il tuo sito un obiettivo rinforzato che gli attaccanti eviteranno a favore di prede più facili.
Questa guida copre ogni livello della sicurezza di WordPress, dalla configurazione del server alle pratiche di manutenzione quotidiana. Che tu gestisca un blog personale o un negozio e-commerce ad alto traffico, queste strategie ti aiuteranno a costruire una postura di sicurezza a difesa profonda.
Comprendere le Minacce Comuni di WordPress
Prima di poter difendere il tuo sito, devi capire contro cosa ti stai difendendo. Ecco i tipi di attacco più prevalenti che prendono di mira le installazioni di WordPress nel 2026.
Attacchi Brute Force
Gli attacchi brute force tentano di indovinare le tue credenziali di accesso provando migliaia o milioni di combinazioni di nome utente e password. I bot automatizzati prendono di mira continuamente gli endpoint /wp-login.php e /xmlrpc.php. Un tipico sito WordPress riceve centinaia di tentativi di brute force al giorno, e i siti con nomi utente comuni come "admin" sono particolarmente vulnerabili.
SQL Injection (SQLi)
Gli attacchi di SQL injection sfruttano campi di input non sanitizzati correttamente per eseguire query di database dannose. Gli attaccanti possono estrarre dati sensibili, modificare contenuti, creare account amministratore o addirittura prendere il controllo completo del server di database. I plugin e i temi vulnerabili che non utilizzano le dichiarazioni preparate di WordPress sono il principale punto di ingresso.
Cross-Site Scripting (XSS)
Gli attacchi XSS iniettano JavaScript dannoso nelle pagine web che altri utenti visualizzano. Lo XSS memorizzato è particolarmente pericoloso perché lo script dannoso persiste nel database ed esegue ogni volta che qualcuno carica la pagina interessata. Questo può portare a dirottamenti di sessione, furto di cookie e attacchi di phishing provenienti dal tuo stesso dominio.
Malware e Backdoor
Una volta che gli attaccanti ottengono accesso, di solito installano backdoor — script nascosti che consentono loro di riottenere accesso anche dopo che hai cambiato le password. I luoghi comuni di occultamento includono file di plugin falsi, funzioni di tema modificate e codice offuscato nella directory degli upload. I miner di criptovalute, gli iniettori di spam e lo spam SEO sono tra i payload più comuni.
Attacchi DDoS
Gli attacchi Distributed Denial of Service sovraccaricano il tuo server con traffico, rendendo il tuo sito inaccessibile ai visitatori legittimi. I siti WordPress sono particolarmente vulnerabili agli attacchi DDoS a livello di applicazione che sfruttano operazioni intensive in termini di risorse come le query di ricerca, i pingback XML-RPC e gli endpoint REST API.
| Tipo di Attacco | Obiettivo Principale | Metodo di Prevenzione | Gravità |
|---|---|---|---|
| Brute Force | Pagine di accesso, XML-RPC | Limitazione accesso, 2FA, password forti | Media |
| SQL Injection | Form di plugin, parametri URL | Sanitizzazione input, WAF, plugin aggiornati | Critica |
| Cross-Site Scripting | Form di commento, ricerca, campi di input | Escape output, intestazioni CSP, WAF | Alta |
| Malware/Backdoor | File di plugin, upload, file di tema | Monitoraggio file, scansione, permessi | Critica |
| DDoS | Risorse del server, larghezza di banda | CDN, limitazione del tasso, WAF | Alta |
| File Inclusion | Parametri di tema/plugin | Validazione input, disabilitare modifica file | Critica |
| Privilege Escalation | Gestione dei ruoli utente | Software aggiornato, auditing dei ruoli | Alta |
Rinforzare WordPress: Sicurezza a Livello Fondamentale
Rinforzare la tua installazione di WordPress significa ridurre la superficie di attacco disabilitando funzionalità non necessarie, stringendo i permessi dei file e configurando il tuo ambiente per resistere agli attacchi comuni. Queste sono misure che dovresti implementare su ogni sito WordPress, indipendentemente dalle dimensioni o dallo scopo.
Permessi dei File Sicuri
I permessi dei file errati sono uno degli errori di sicurezza più comuni. I tuoi file di WordPress dovrebbero seguire questi standard di permesso:
- Directory: 755 (il proprietario può leggere/scrivere/eseguire; il gruppo e il pubblico possono leggere/eseguire)
- File: 644 (il proprietario può leggere/scrivere; il gruppo e il pubblico possono leggere solo)
- wp-config.php: 400 o 440 (solo lettura per il proprietario — il file più sensibile sul tuo sito)
- .htaccess: 444 (solo lettura per tutti; Apache deve leggerlo)
Non impostare mai alcun file o directory su 777. Se un plugin richiede permessi 777, trova un plugin alternativo perché è un segnale di allerta serio.
Proteggere wp-config.php
Il file wp-config.php contiene le tue credenziali di database, chiavi di autenticazione e altre configurazioni sensibili. Oltre a limitare i permessi dei file, aggiungi questi miglioramenti di sicurezza:
- Sposta
wp-config.phpuna directory sopra la tua root di WordPress (WordPress lo troverà automaticamente lì) - Aggiungi chiavi di autenticazione e sali unici dal generatore di sali di WordPress
- Cambia il prefisso della tabella di database predefinito da
wp_a una stringa personalizzata - Disabilita la modifica dei file:
define('DISALLOW_FILE_EDIT', true); - Disabilita l'installazione di plugin/temi:
define('DISALLOW_FILE_MODS', true);(per i siti di produzione) - Forza SSL per l'amministratore:
define('FORCE_SSL_ADMIN', true); - Limita le revisioni dei post:
define('WP_POST_REVISIONS', 5);
Disabilitare XML-RPC
XML-RPC è un protocollo legacy che consente alle applicazioni esterne di comunicare con WordPress. Anche se era utile nei primi giorni di WordPress, l'API REST ha in gran parte sostituito la sua funzionalità. XML-RPC è frequentemente sfruttato per attacchi di amplificazione brute force (gli attaccanti possono provare centinaia di password in una singola richiesta) e attacchi DDoS tramite la funzionalità di pingback. Disabilitalo aggiungendo questo al tuo file .htaccess o utilizzando un plugin di sicurezza.
Limitare i Tentativi di Accesso
WordPress non limita i tentativi di accesso per impostazione predefinita, il che rende gli attacchi brute force estremamente facili. Implementa una limitazione dei tentativi di accesso che blocca gli indirizzi IP dopo 3-5 tentativi falliti per un minimo di 15 minuti, con durate di blocco crescenti per i trasgressori recidivi. La maggior parte dei plugin di sicurezza include questa funzionalità, e ci sono anche plugin leggeri autonomi che la gestiscono senza il sovraccarico di un'intera suite di sicurezza.
Cambiare l'URL di Accesso
Sebbene la sicurezza attraverso l'oscurità non sia una strategia completa, cambiare l'URL di accesso predefinito da /wp-login.php a un percorso personalizzato riduce significativamente il traffico automatizzato di brute force. I bot che scansionano le installazioni di WordPress prendono di mira l'URL di accesso predefinito, e un URL personalizzato elimina completamente questo rumore.
Proteggi il Tuo Sito con Sicurezza di Livello Aziendale
Wordfence Security Premium fornisce regole firewall in tempo reale, scansione malware, sicurezza di accesso e intelligence sulle minacce per una protezione completa di WordPress.
Ottieni Wordfence Premium →Plugin di Sicurezza: La Tua Prima Linea di Difesa
Un plugin di sicurezza dedicato aggiunge più livelli di protezione che sarebbero impraticabili da implementare manualmente. Ecco un confronto delle soluzioni di sicurezza WordPress più ampiamente distribuite nel 2026.
<| Caratteristica | Wordfence Premium | Sucuri | iThemes Security Pro | All In One WP Security |
|---|---|---|---|---|
| Web Application Firewall | Regole basate su endpoint (regole in tempo reale) | Proxy basato su cloud | Regole di base | Regole di base |
| Scanner Malware | Scansione approfondita lato server | Remoto + lato server | Rilevamento delle modifiche ai file | Rilevamento delle modifiche ai file |
| Sicurezza del Login | 2FA, reCAPTCHA, limitazione del login | Limitazione del login, whitelist IP | 2FA, login senza password | Limitazione del login, CAPTCHA |
| Intelligence sulle Minacce in Tempo Reale | Sì (ritardo di 30 giorni per la versione gratuita) | Sì | Limitato | No |
| Monitoraggio dell'Integrità dei File | File core, plugin e tema | File core | Registrazione delle modifiche ai file | File core |
| Protezione da Forza Bruta | Avanzata con blocco per paese | Basata su IP | Forza bruta di rete | Blocco del login |
| Impatto sulle Prestazioni | Moderato (scansione lato server) | Basso (basato su cloud) | Basso | Basso |
| Prezzo (annuo) | $119 | $199 | $99 | Gratuito |
Per la maggior parte dei siti WordPress, Wordfence Premium offre la combinazione più forte di protezione del firewall, scansione malware e sicurezza del login. Il suo firewall basato su endpoint funziona sul tuo server e non può essere eluso da attaccanti che conoscono l'indirizzo IP del tuo server, una debolezza nota delle soluzioni WAF basate su cloud.
Configurazione SSL/TLS e HTTPS
La crittografia SSL/TLS non è più opzionale. Protegge i dati in transito tra i tuoi visitatori e il tuo server, previene attacchi man-in-the-middle ed è un fattore di ranking confermato da Google. Ogni sito WordPress dovrebbe funzionare su HTTPS con un certificato SSL configurato correttamente.
Passaggi di Implementazione
- Ottieni un certificato SSL (Let's Encrypt fornisce certificati gratuiti, oppure utilizza l'opzione del tuo provider di hosting)
- Aggiorna le impostazioni dell'URL di WordPress per utilizzare
https:// - Imposta i reindirizzamenti 301 da HTTP a HTTPS
- Aggiorna tutti i link interni e le risorse incorporate a HTTPS
- Abilita gli header HSTS (HTTP Strict Transport Security)
- Testa con SSL Labs (puntare a un rating A+)
La configurazione TLS moderna dovrebbe disabilitare TLS 1.0 e 1.1 (entrambi deprecati), utilizzare TLS 1.2 come minimo e preferire TLS 1.3 per le sue migliori prestazioni e sicurezza. Configura i tuoi cipher suites per dare priorità agli algoritmi di segretezza in avanti.
Configurazione del Web Application Firewall (WAF)
Un Web Application Firewall ispeziona le richieste HTTP in arrivo e blocca quelle che corrispondono a modelli di attacco noti. I WAF proteggono contro SQL injection, XSS, inclusione di file e molti altri tipi di attacco senza richiedere modifiche al codice della tua applicazione.
Tipi di WAF
- WAF basato su endpoint (ad esempio, Wordfence): Funziona sul tuo server come un plugin WordPress. Può ispezionare l'intera richiesta, inclusi i dati POST, e ha accesso al contesto di WordPress per decisioni più intelligenti. Non può essere eluso tramite accesso diretto all'IP.
- WAF basato su cloud (ad esempio, Cloudflare, Sucuri): Opera come un proxy inverso. Filtra il traffico prima che raggiunga il tuo server. Aggiunge protezione DDoS e capacità CDN. Può essere eluso se il tuo IP di origine è esposto.
- WAF a livello server (ad esempio, ModSecurity): Funziona a livello del server web (Apache/Nginx). Fornisce una protezione ampia indipendentemente dall'applicazione. Richiede accesso all'amministrazione del server per la configurazione.
Per una protezione completa, combina un WAF basato su cloud (per mitigazione DDoS e caching edge) con un WAF basato su endpoint (per ispezione approfondita a livello di applicazione). Questo approccio a strati garantisce che gli attacchi debbano passare attraverso più punti di ispezione.
Autenticazione a Due Fattori (2FA)
L'autenticazione a due fattori aggiunge un secondo passaggio di verifica oltre alla tua password. Anche se un attaccante ottiene la tua password tramite phishing, una violazione dei dati o forza bruta, non può accedere al tuo account senza il secondo fattore. Per gli amministratori di WordPress, la 2FA dovrebbe essere considerata obbligatoria, non opzionale.
Metodi di 2FA Ordinati per Sicurezza
- Chiavi di sicurezza hardware (YubiKey, Titan): Opzione più forte, resistente al phishing, richiede un dispositivo fisico
- App di autenticazione (Google Authenticator, Authy): Codici basati sul tempo generati sul tuo telefono, ampiamente supportati
- Notifiche push: Approva o nega il login dal tuo telefono, comodo ma richiede internet
- Codici SMS: Metodo 2FA più debole a causa degli attacchi di SIM swapping, ma comunque significativamente più forte della sola password
Abilita la 2FA per tutti gli account amministratori ed editor come minimo. Per i siti di e-commerce che gestiscono dati di pagamento dei clienti, considera di richiedere la 2FA per tutti i ruoli utente con accesso backend.
Header di Sicurezza
Gli header di sicurezza HTTP istruiscono i browser ad abilitare le funzionalità di sicurezza integrate che proteggono i tuoi visitatori. Questi header sono configurati a livello di server (Nginx/Apache) o tramite un plugin di sicurezza e aggiungono una protezione significativa con un impatto minimo sulle prestazioni.
| Header | Scopo | Valore Raccomandato |
|---|---|---|
| Content-Security-Policy | Controlla quali risorse possono caricarsi sulla tua pagina | Direttive script-src, style-src, img-src |
| X-Content-Type-Options | Previene il MIME type sniffing | nosniff |
| X-Frame-Options | Previene il clickjacking tramite iframe | SAMEORIGIN |
| Strict-Transport-Security | Forza le connessioni HTTPS | max-age=31536000; includeSubDomains |
| Referrer-Policy | Controlla le informazioni sul referrer | strict-origin-when-cross-origin |
| Permissions-Policy | Controlla l'accesso alle funzionalità del browser | camera=(), microphone=(), geolocation=() |
| X-XSS-Protection | Filtro XSS legacy (browser moderni) | 1; mode=block |
Testa i tuoi header di sicurezza su SecurityHeaders.com e punta a un voto A o A+. Content-Security-Policy è il più potente ma anche il più complesso da configurare. Inizia con una modalità solo report per identificare problemi prima di applicare.
Strategia di Backup: La Tua Rete di Sicurezza
Nessuna configurazione di sicurezza è infallibile. Una robusta strategia di backup è la tua polizza assicurativa contro attacchi riusciti, guasti del server e errori umani. Segui la regola di backup 3-2-1: mantieni almeno 3 copie dei tuoi dati, su 2 tipi di archiviazione diversi, con 1 copia conservata offsite.
Componenti di Backup
- Database: Tutto il tuo contenuto, impostazioni, dati utente e ordini. Esegui il backup quotidianamente come minimo, ogni ora per i siti di e-commerce attivi.
- File: Core di WordPress, temi, plugin e caricamenti. Esegui il backup settimanalmente o dopo ogni modifica significativa.
- Configurazione: Configurazioni del server, .htaccess, wp-config.php. Esegui il backup dopo ogni modifica.
Utilizza UpdraftPlus Premium per backup programmati automatizzati con integrazione di archiviazione cloud. Conserva i backup in almeno due posizioni come Amazon S3 e Google Drive. Testa il tuo processo di ripristino trimestralmente per garantire che i backup siano validi. Per un approfondimento, consulta la nostra Guida al Backup di WordPress.
Rilevamento e Rimozione di Malware
Anche con misure preventive forti, dovresti avere un piano per rilevare e rimuovere malware. La rilevazione precoce minimizza i danni e accelera il recupero.
Segni di Infezione
- Reindirizzamenti inaspettati verso siti web sconosciuti
- Nuovi utenti admin che non hai creato
- File modificati con timestamp recenti che non puoi spiegare
- Improvvisa caduta nelle classifiche di ricerca o avvisi di Google
- Aumenti nell'uso delle risorse del server (CPU, memoria, larghezza di banda)
- Contenuti spam che appaiono nei risultati di ricerca dal tuo dominio
- Reclami dei clienti riguardo comportamenti sospetti sul tuo sito
Processo di Rimozione del Malware
- Isolare: Metti il sito offline o attiva la modalità manutenzione per prevenire ulteriori danni e proteggere i visitatori
- Scansionare: Esegui una scansione approfondita del malware utilizzando Wordfence o Sucuri SiteCheck per identificare tutti i file infetti
- Documentare: Registra tutte le scoperte, inclusi i percorsi dei file, le date di modifica e i tipi di malware
- Pulire: Sostituisci i file core di WordPress con copie fresche, rimuovi file sospetti da plugin/temi/caricamenti
- Aggiornare: Aggiorna tutti i plugin, temi e
- Indurire: Reimposta tutte le password, rigenera le chiavi di sicurezza, rivedi gli account utente, controlla i permessi dei file
- Monitorare: Abilita il monitoraggio dei file in tempo reale per almeno 30 giorni dopo la pulizia
- Richiedere revisione: Se sei stato inserito nella blacklist di Google, invia una richiesta di riesame tramite Search Console
Piano di Risposta agli Incidenti
Ogni sito WordPress dovrebbe avere un piano di risposta agli incidenti documentato prima che si verifichi un attacco. Quando il tuo sito è compromesso, devi agire rapidamente e in modo metodico. Il panico porta a errori che possono peggiorare la situazione.
Fasi di Risposta
- Rilevamento: Identifica la violazione attraverso avvisi di monitoraggio, segnalazioni dei visitatori o risultati della scansione di sicurezza
- Contenimento: Prevenire ulteriori danni — cambia tutte le password, blocca gli IP sospetti, isola il sito se necessario
- Investigazione: Determina il vettore d'attacco, l'ambito della compromissione e i dati interessati. Rivedi i registri di accesso, i tempi di modifica dei file e le modifiche al database
- Eradicazione: Rimuovi tutto il malware, le backdoor e le modifiche non autorizzate. Ripristina da un backup pulito noto se disponibile
- Recupero: Riporta il sito online con misure di sicurezza potenziate. Monitora attentamente per reinfezioni
- Lezioni apprese: Documenta l'incidente, aggiorna le tue procedure di sicurezza e implementa controlli aggiuntivi per prevenire ricorrenze
Checklist per l'Audit di Sicurezza
Utilizza questa checklist per eseguire un audit di sicurezza regolare della tua installazione WordPress. Raccomandiamo di seguire questa lista mensilmente per i siti aziendali e trimestralmente per i blog personali.
| Compito | Priorità | Difficoltà | Frequenza |
|---|---|---|---|
| Aggiorna il core di WordPress | Critica | Facile | Entro 24 ore dal rilascio |
| Aggiorna tutti i plugin | Critica | Facile | Settimanale |
| Aggiorna tutti i temi | Critica | Facile | Settimanale |
| Rivedi gli account utente e i ruoli | Alta | Facile | Mensile |
| Controlla i permessi dei file | Alta | Media | Mensile |
| Esegui scansione malware | Alta | Facile | Settimanale |
| Rivedi i registri di sicurezza | Alta | Media | Settimanale |
| Testa il ripristino del backup | Alta | Media | Trimestrale |
| Rivedi e rimuovi plugin non utilizzati | Media | Facile | Mensile |
| Controlla la scadenza del certificato SSL | Media | Facile | Mensile |
| Audit degli header di sicurezza | Media | Media | Trimestrale |
| Rivedi le regole e i registri del WAF | Media | Media | Mensile |
| Testa la funzionalità 2FA | Media | Facile | Trimestrale |
| Rotazione delle password per gli admin | Media | Facile | Trimestrale |
| Rivedi i privilegi degli utenti del database | Bassa | Avanzata | Semestrale |
Scegliere il giusto ambiente di hosting è una decisione di sicurezza fondamentale. Un server ben configurato offre vantaggi di sicurezza che nessun plugin può replicare. Leggi la nostra Guida all'Hosting WordPress per raccomandazioni dettagliate. E per un elenco completo di plugin di sicurezza e utilità consigliati, controlla la nostra guida ai plugin WordPress.
Non Perdere Mai il Tuo Sito a Causa di un Attacco
UpdraftPlus Premium offre backup automatici, archiviazione remota e ripristino con un clic, così puoi recuperare da qualsiasi incidente di sicurezza in pochi minuti.
Ottieni UpdraftPlus Premium →Domande Frequenti
WordPress è intrinsecamente insicuro?
No. Il core di WordPress è sviluppato da un team di sicurezza dedicato e riceve patch regolari. La maggior parte degli incidenti di sicurezza di WordPress è causata da plugin obsoleti, password deboli e configurazioni di hosting scadenti — non da vulnerabilità in WordPress stesso. Quando mantenuto e indurito correttamente, WordPress è una piattaforma sicura utilizzata da grandi imprese, governi e organizzazioni di notizie in tutto il mondo.
Con quale frequenza dovrei aggiornare i miei plugin e temi?
Controlla gli aggiornamenti almeno settimanalmente e applica le patch di sicurezza entro 24 ore. Gli aggiornamenti delle versioni principali possono attendere alcuni giorni per garantire la compatibilità, ma le versioni di sicurezza dovrebbero essere applicate immediatamente. Abilita gli aggiornamenti automatici per i plugin di cui ti fidi e mantieni sempre un backup recente prima di aggiornare.
Ho bisogno di un plugin di sicurezza se ho un WAF dal mio host?
Sì. I WAF a livello di hosting e i plugin di sicurezza di WordPress svolgono funzioni complementari. Un WAF dell'host filtra il traffico a livello di rete, mentre un plugin come Wordfence fornisce protezione a livello di applicazione, inclusi scansione malware, sicurezza di accesso e monitoraggio dell'integrità dei file. La combinazione crea una difesa a strati che è significativamente più forte di qualsiasi soluzione da sola.
È efficace cambiare l'URL di accesso per la sicurezza?
Cambiare l'URL di accesso è una misura secondaria utile che riduce il rumore dei tentativi di forza bruta automatizzati. Tuttavia, non dovrebbe mai essere la tua unica protezione contro la forza bruta. Combinalo sempre con il limite dei tentativi di accesso, password forti e autenticazione a due fattori. Gli attaccanti determinati possono comunque scoprire URL di accesso personalizzati attraverso varie tecniche di enumerazione.
Come faccio a sapere se il mio sito WordPress è stato hackerato?
Indicatori comuni includono utenti admin inaspettati, file modificati, reindirizzamenti sospetti, contenuti spam nei risultati di ricerca, avvisi di blacklist di Google, utilizzo insolito delle risorse del server e nuovi file nelle tue directory di upload o plugin. Scansioni regolari di malware e monitoraggio dell'integrità dei file aiutano a rilevare compromissioni precocemente prima che causino danni significativi.
Cosa devo fare immediatamente dopo aver scoperto un hack?
Prima di tutto, cambia tutte le password (admin di WordPress, database, FTP, pannello di hosting). In secondo luogo, porta il sito offline o in modalità manutenzione. Terzo, esegui una scansione e rimuovi il malware. Quarto, aggiorna tutto il software. Quinto, controlla la presenza di backdoor nei tuoi file e nel database. Infine, ripristina da un backup pulito se l'infezione è estesa. Documenta tutto per i tuoi registri di risposta agli incidenti.
I plugin di sicurezza gratuiti sono sufficienti per la protezione?
I plugin di sicurezza gratuiti forniscono un livello base di protezione, inclusi firewall di base, limitazione degli accessi e scansioni di malware periodiche. Tuttavia, le versioni premium offrono intelligence sulle minacce in tempo reale, capacità di scansione avanzate, supporto prioritario e funzionalità come il blocco per paese e blacklist IP in tempo reale che migliorano significativamente la tua postura di sicurezza. Per siti aziendali e di e-commerce, l'investimento premium è ben giustificato.
Come aiuta la sicurezza SSL/TLS?
SSL/TLS cripta tutti i dati trasmessi tra i browser dei tuoi visitatori e il tuo server. Questo impedisce agli attaccanti di intercettare informazioni sensibili come credenziali di accesso, dettagli di pagamento e dati personali attraverso attacchi man-in-the-middle. HTTPS verifica anche l'identità del tuo server, prevenendo attacchi di spoofing DNS che reindirizzano i visitatori a versioni false del tuo sito.
Quali sono le impostazioni di sicurezza più importanti di wp-config.php?
Le impostazioni critiche includono: disabilitare la modifica dei file (DISALLOW_FILE_EDIT), utilizzare chiavi di autenticazione e sali unici, impostare un prefisso personalizzato per le tabelle del database, forzare SSL per l'admin, definire credenziali esplicite per il database con i privilegi minimi richiesti e impostare le impostazioni di debug e visualizzazione degli errori appropriate per la produzione (WP_DEBUG false, display_errors off).
Con quale frequenza dovrei eseguire un audit di sicurezza completo?
Per siti web aziendali e negozi online, esegui un audit di sicurezza completo mensilmente. Per blog personali e siti a bassa affluenza, gli audit trimestrali sono sufficienti. Oltre agli audit programmati, esegui revisioni ad hoc dopo qualsiasi incidente di sicurezza, aggiornamento importante o cambiamento significativo al tuo sito. Gli strumenti di monitoraggio automatico possono fornire supervisione continua tra gli audit manuali.
