WordPress è sicuro? tutto quello che devi sapere

WordPress
23/03/2025
wordpress e sicuro copertina articolo

Sia che tu abbia già un sito in WordPress, sia che tu stia valutando con quale CMS realizzare il tuo prossimo sito, è lecito chiedersi se WordPress è sicuro.

Con milioni di siti attivi, WordPress è naturalmente un bersaglio appetibile per gli hacker, ma questo non significa che sia intrinsecamente insicuro.

In questo articolo analizziamo ogni aspetto della sicurezza WordPress: dalle caratteristiche native del core alle vulnerabilità più comuni, fino agli strumenti consigliati e le best practice da seguire per tenere lontani gli attacchi.

Bando alle ciance...PARTENZA!

Quanto è grande il problema della sicurezza in WordPress?

La sicurezza in WordPress è una questione cruciale: con oltre il 40% dei siti web mondiali costruiti su questa piattaforma, WordPress è il bersaglio preferito di hacker e malware.

Per darti un'idea ti riporto alcune statistiche che considero rappresentative anche se non proprio recenti:

  • Dominio del mercato CMS: Nel 2023, WordPress ha mantenuto la sua posizione dominante, alimentando il 62,8% dei siti che utilizzano un CMS.
  • Nuove vulnerabilità nel 2024: Nel 2024 sono state scoperte 7.966 nuove vulnerabilità nell’ecosistema WordPress, con un aumento del 34% rispetto al 2023, secondo il rapporto Patchstack.
  • Soprattutto plugins: Il 96% delle vulnerabilità del 2024 proviene da plugin (7.633), il 4% da temi (326), e solo lo 0,1% dal core di WordPress, evidenziando la sicurezza del nucleo del CMS.
  • 9000 attacchi al minuto: WordPress subisce circa 90.000 attacchi al minuto, un dato stabile dal 2023 riportato da WPMUDev, a causa della sua popolarità (43% del web).
  • Gravità delle vulnerabilità: Nel 2023, il 42,9% delle nuove vulnerabilità aveva un punteggio CVSS elevato o critico.
  • 61% dei siti non sono aggiornati: Il 61% dei siti WordPress infetti nel 2023 utilizzava versioni obsolete, secondo Sucuri, un problema che persiste nel 2024-2025 senza miglioramenti significativi.
  • Password deboli: L’81% degli attacchi a WordPress nel 2023 è stato causato da password deboli o rubate, una statistica che rimane rilevante nel 2024-2025, secondo Startup Vortex.

WordPress di base è molto sicuro

Quando ci si chiede se WordPress sia sicuro, è essenziale partire dalla sua struttura di base, ovvero il core WordPress.

La sicurezza predefinita di WordPress rappresenta uno dei punti di forza della piattaforma.

Sin dalle versioni iniziali, il sistema è stato sviluppato con attenzione alle best practice di sicurezza, supportato da un team di esperti e da una comunità globale attiva.

WordPress include numerose funzionalità di protezione integrate, come l'autenticazione sicura degli utenti, il controllo degli accessi, la gestione dei permessi e l'uso di chiavi di sicurezza per la crittografia dei cookie.

Nei punti successivi dell'articolo ti mostrerò come migliorare ed ampliare la sicurezza di base grazie a una corretta configurazione e all'uso di plugin affidabili.

Il core di WordPress è sicuro?

Per core di WordPress intendiamo il codice base di WordPress, senza considerare i componenti che aggiungono funzionalità (i plugins) e l'estetica (il tema o template).

Il core viene mantenuto da un team WordPress dedicato, composto da sviluppatori esperti nelle più svariate materie, tra le quali ovviamente la sicurezza informatica, tema sempre più rilevante.

Ogni linea di codice viene verificata con attenzione e testata da più revisori prima di essere rilasciata.

Questo garantisce un livello molto alto di affidabilità per quanto riguarda la struttura interna del CMS.

Inoltre, quando vengono individuate vulnerabilità, il team rilascia tempestivamente aggiornamenti di sicurezza per proteggere tutti i siti basati su WordPress.

L'approccio trasparente del progetto, garantito dal protocollo open source, permette a chiunque di contribuire, ma soprattutto di monitorare eventuali rischi.

Questo continuo controllo collettivo rappresenta un importante punto di forza.

Aggiornamenti automatici e patch di sicurezza

Dal rilascio della versione 3.7, WordPress ha introdotto una funzione fondamentale per la protezione dei siti: gli aggiornamenti automatici WordPress.

Questa funzionalità consente di applicare automaticamente le patch di sicurezza WordPress senza richiedere l'intervento manuale dell'utente.

Cosa diamine è una patch (di sicurezza)?

Immagina WordPress come una casa: ogni tanto, qualcuno potrebbe trovare un modo per forzare una finestra o una porta.

Le patch di sicurezza servono proprio a **chiudere quelle falle** prima che qualcuno possa approfittarne.

Quando gli sviluppatori di WordPress o della comunità scoprono un problema, rilasciano una patch, cioè un piccolo aggiornamento che "ripara" quel punto debole.

In questo modo, i siti sono protetti contro vulnerabilità note nel minor tempo possibile.

Grazie agli aggiornamenti automatici, gli utenti non devono più preoccuparsi di verificare quotidianamente la disponibilità di nuove versioni del core.

Tuttavia, per garantire una protezione ottimale, è comunque consigliabile mantenere aggiornati anche i plugin e i temi installati, che possono rappresentare punti d'ingresso per gli attacchi se trascurati; approfondiremo questo punto tra poco.

Fattori di rischio più comuni

Nonostante il core di WordPress sia ben protetto, diversi fattori esterni possono compromettere la sicurezza di un sito.

Tra i principali ci sono le vulnerabilità dei plugin e dei temi, gli errori umani e la scelta di un hosting inadeguato.

Questi elementi rappresentano le principali vie d'accesso per i malintenzionati; vediamoli più nel dettaglio.

Plugin non aggiornati o male sviluppati

Molte falle di sicurezza derivano da plugin vulnerabili.

Alcuni sviluppatori rilasciano estensioni senza un adeguato controllo del codice o non forniscono aggiornamenti regolari.

Questi plugin WordPress pericolosi possono diventare un facile bersaglio per gli hacker.

Per ridurre i rischi, è consigliabile installare solo plugin da fonti affidabili e verificare la frequenza di aggiornamento e il supporto attivo.

Temi non sicuri o non aggiornati

Allo stesso modo, i temi WordPress a rischio rappresentano un altro punto debole.

Temi mal progettati o non più mantenuti possono contenere codice vulnerabile o incompatibile con le versioni più recenti del CMS.

IMPORTANTISSIMO, non devi MAI E POI MAI scaricare temi premium crackati ossia template scaricati da siti poco affidabili, in quanto molto spesso contengono falle appositamente progettate per bucare i siti degli allocchi; non cadere nella trappola e scarica solo dai marketplace ufficiali (repository di WordPress o piattaforme come ThemeForest).

Password deboli e account non protetti

L'utilizzo di password deboli è una delle minacce più sottovalutate.

Attacchi di forza bruta su WordPress sono estremamente comuni e sfruttano proprio le credenziali poco sicure.

"Attacco di forza bruta" (Brute Force Attack): quando l'hacker prova ad indovinare la tua password

Un attacco di forza bruta è quando un hacker prova a indovinare il nome utente e la password del tuo sito provando tutte le combinazioni possibili, una dopo l’altra, finché non trova quella giusta.

Ovviamente questo attacco non viene quasi mai effettuato "a mano", ma invece è effettuato automaticamente da programmi appositi che possono provare anche migliaia di password in tempi brevissimi.

Per migliorare la protezione del login WordPress, ti consiglio di usare password complesse e soprattutto lunghe, autenticazione a due fattori e limitazione dei tentativi di accesso.

Hosting non sicuro

Infine, un hosting WordPress sicuro può giocare un ruolo cruciale nella protezione del sito.

Anche il miglior sito, con plugin e temi aggiornati, può essere vulnerabile se ospitato su un server vulnerabile.

È fondamentale scegliere provider che offrano firewall, monitoraggio attivo e backup automatici; qualche provider offre anche ambienti ottimizzati per WordPress, ma questo aggiunge un livello di gestione ulteriore (rispetto alla già presente normale gestione di WordPress) e va valutato caso per caso.

Quanto lavoro richiede rendere WordPress più sicuro?

Come avrai capito leggendo finora, WordPress è sicuro di base, ma l'aggiunta di plugin e temi, e soprattutto una cattiva gestione, offrono il fianco a tutta una serie di insidie.

Migliorare la sicurezza WordPress non è solo possibile, ma altamente consigliato attraverso una serie di pratiche di rafforzamento (il cosiddetto hardening) che riducono drasticamente i rischi di compromissione; vediamo insieme i punti principali.

Scegliere un hosting sicuro e performante

La scelta di un hosting WordPress consigliato è uno dei primi passi per garantire protezione.

I provider specializzati offrono ambienti ottimizzati, strumenti di monitoraggio, firewall a livello server e aggiornamenti automatici.

Un hosting managed WordPress semplifica la gestione tecnica e assicura un'infrastruttura solida, riducendo l'esposizione a vulnerabilità derivanti dal server stesso, anche se come detto prima occorre valutare caso per caso.

In particolare, se sei un web designer principiante un ambiente ottimizzato per WordPress potrebbe fare al caso tuo; se invece sei un'azienda e come tale devi affidarti ad un webmaster esterno, allora un ambiente ottimizzato sarà solo di intralcio (oltre che far aumentare il costo annuale del servizio).

Utilizzare plugin di sicurezza

L'integrazione di plugin di sicurezza WordPress rafforza la sicurezza andando ad effettuare tre operazioni principali:

  • Rafforzamento tramite settaggi opportuni
  • Monitoraggio del sito in tempo reale
  • Prevenzione degli attacchi
  • Blocco del traffico sospetto
  • Backup periodici (vedi dopo)

Soluzioni come Wordfence o Solid Security (ex iThemes Security) includono firewall WordPress, scanner per malware, protezione da brute force e altre funzioni avanzate.

È importante configurare correttamente questi plugin e mantenere le loro definizioni aggiornate.

Servizi esterni per la sicurezza e il monitoraggio

Oltre ai plugin, è possibile affidarsi a servizi di sicurezza web esterni che offrono un monitoraggio continuo del sito.

Servizi come Cloudflare e Sucuri ad esempio, includono funzioni di protezione DDoS, caching sicuro, scansione delle vulnerabilità e monitoraggio continuativo del sito web.

Questi strumenti operano spesso a livello di rete e forniscono una difesa aggiuntiva rispetto alla sicurezza gestita a livello di CMS.

Limitare i tentativi di login e usare l'autenticazione a due fattori

Bloccare i tentativi di accesso ripetuti è fondamentale per difendersi dagli attacchi automatizzati; la limitazione dei tentativi di login può essere facilmente gestita tramite plugin dedicati, come quelli al punto precedente.

Oltre alle limitazioni, si può implementare la cosiddetta autenticazione a due fattori (2FA); con questo sistema, per accedere al sito, devi inserire un codice temporaneo generato da un’app sul tuo smartphone (come Google Authenticator).

In tal modo è chiaro che se anche se qualcuno conosce o scopre la tua password, non potrà entrare senza quel codice.

Tenere sempre aggiornati temi, plugin e WordPress

Uno dei consigli più importanti è mantenere aggiornato il sito.

Ogni nuova versione del core, dei plugin e dei temi può contenere patch di sicurezza fondamentali, pertanto aggiornare WordPress e i suoi componenti permette di correggere vulnerabilità note e ridurre "la superficie di attacco".

L'uso degli aggiornamenti automatici, quando possibile, semplifica notevolmente questo processo.

Cambiare l'URL di login e nascondere wp-admin

Molti bot attaccano siti WordPress poiché come tutti i CMS ha degli elementi strutturali che sono sempre gli stessi da un sito all'altro.

Uno di questi elementi è l'indirizzo per accedere al pannello d'amministrazione, che per un sito WordPress appena installato è sempre www.nomesito.com/wp-login.php.

Per nascondere il login WordPress (in termini tecnici "offuscare") si procede quindi a cambiare l'URL di accesso con qualcosa del tipo www.nomesito.com/accesso-segreto o con qualcosa di più originale e magari simpatico (a vantaggio della sua memorizzazione) come ad esempio www.nomesito.com/toc-toc-avanti.

Plugin come WPS Hide Login permettono questa modifica in pochi clic, senza compromettere la funzionalità del sito.

Backup regolari

Nonostante tutte le misure di sicurezza, nessun sistema è infallibile, ecco perché effettuare backup regolari di WordPress e di tutti i contenuti è essenziale.

Con dei backup automatici del sito puoi eventualmente ripristinare il contenuto in caso di attacco, errore umano o guasto tecnico.

Per effettuare questi backup esistono tutta una serie di servizi come:

  • Backup offerti dal fornitore: Quasi tutti i provider offrono backup automatici dell'intero spazio web, ed anche backup manuali all'occorrenza.
  • Plugins: Plugins come UpDraft o il buon Duplicator permettono di effettuare una "foto" al sito per poterla ripristinare in caso di problemi.
  • Plugin + spazio esterno: I plugins solitamente salvano una copia sul server, ma qualora servano backup frequenti e voluminosi, si può salvare su spazi esterni, come Google Drive o Dropbox.

Quest'ultimo punto, ossia del dove salvare il backup creato, ci offre lo spunto per ricordare la regola secondo la quale un backup dovrebbe essere salvato in 3 posti differenti per diminuire al minimo la possibilità di perdita totale dei dati.

La spiegazione è semplice: immagina di salvare il backup solo nel server e nel tuo pc; se qualcuno ruba il tuo pc e da esso entra nel server (grazie a password salvate sul computer), potresti perdere entrambi le copie; una terza copia, magari in un hard disk esterno, potrebbe fare la differenza.

Ovviamente fare sempre 3 copie potrebbe essere eccessivo soprattutto nei casi più semplici costituiti da siti vetrina o semplici blog; però vale la pena spendere un po' di tempo per effettuare backup multipli in location multiple.

Altri interventi tecnici

Oltre ai punti già descritti, si possono effettuare altri interventi tecnici per rafforzare la sicurezza di WordPress.

Tra questi abbiamo la messa in sicurezza dei files wp-config.php e .htaccess, l'implementazione degli header di sicurezza, il settaggio dei permessi di files e cartelle e vari altri.

Sono tutti argomenti tecnici che meritano un articolo a parte e che non approfondiremo in questa sede.

WordPress rispetto altri CMS in termini di sicurezza

Il tema della sicurezza di un CMS è spesso al centro del dibattito quando si confrontano le piattaforme più utilizzate e soprattutto quando devi scegliere una piattaforma anziché un'altra per realizzare il tuo prossimo sito web o addirittura per scegliere un percorso lavorativo o strategico.

Alcuni mettono in dubbio l'affidabilità di WordPress rispetto a sistemi come Joomla o Drupal.

In realtà, per capire chi vince nel confronto WordPress vs Joomla sulla sicurezza o nel confronto WordPress Drupal, bisogna guardare non solo la tecnologia, ma anche l'adozione e l'uso corretto delle buone pratiche.

WordPress è davvero più sicuro degli altri?

Nel confronto sul tema sicurezza di WordPress contro altri CMS, emerge spesso il dato che WordPress subisce più attacchi.

Tuttavia, ciò è in gran parte dovuto alla sua enorme diffusione e non necessariamente a una maggiore debolezza strutturale.

Le vulnerabilità dei CMS esistono in tutte le piattaforme, ma WordPress ha il vantaggio di una comunità molto attiva e di aggiornamenti frequenti.

Al contrario, altri CMS, sebbene più rari, potrebbero non essere aggiornati con la stessa prontezza, aumentando il rischio se trascurati.

In sostanza, WordPress non è intrinsecamente meno sicuro: la differenza la fa l'utente e come gestisce l'installazione, i plugin e l'hosting.

I numeri dietro gli attacchi a WordPress

Secondo le statistiche sulla sicurezza WordPress, la piattaforma è bersaglio di oltre il 90% degli attacchi ai CMS, ma questo è proporzionale alla sua quota di mercato.

Gli hacker puntano dove ci sono più potenziali vittime e la maggior parte degli attacchi hacker su WordPress sfrutta plugin non aggiornati, credenziali deboli o configurazioni errate.

Un sito WordPress ben configurato, aggiornato e protetto può offrire un livello di sicurezza pari, se non superiore, a quello di altri CMS.

In definitiva, la scelta della piattaforma deve basarsi su esigenze reali, competenze disponibili e capacità di gestione tecnica, non su percezioni errate.

In conclusione

La domanda "WordPress è sicuro?" ha una risposta articolata: sì, ma dipende da come viene utilizzato e mantenuto.

La sicurezza non è mai garantita al 100%, ma con le giuste configurazioni, aggiornamenti regolari, plugin affidabili e un hosting sicuro, WordPress può diventare una piattaforma estremamente robusta.

Se hai bisogno di interventi o una consulenza, sono a tua disposizione: offro servizi di assistenza WordPress specializzata, sia per prevenire che per risolvere problemi legati alla sicurezza.

Detto questo...buon WordPress!

Condividi l'articolo

L'autore di questo articolo è Marco Panichi

Dal 2004 si occupa di realizzazione siti web, soprattutto con WordPress e digital marketing a partire dalla SEO fino all'email marketing, passando per l'advertising su Meta e Google. Grande passione per la programmazione applicata alla comunicazione, appena può pubblica contenuti sul blog e sui social, con l'obiettivo di veicolare informazioni importanti e sensibilizzare l'imprenditore ad un buon rapporto con la promozione digitale.

marco panichi web designer foto quadrata
guest
0 Commenti
Inline Feedbacks
View all comments