WordPress alimenta oltre il 43% di tutti i siti web al mondo, rendendolo il bersaglio preferito dei cybercriminali. Non perché sia intrinsecamente insicuro, ma perché la sua diffusione garantisce agli attaccanti un enorme bacino di potenziali vittime. Ogni giorno vengono rilevati migliaia di tentativi di attacco automatizzati contro installazioni WordPress: dalla piccola attività locale al portale e-commerce, nessuno è escluso. Per le PMI italiane che utilizzano WordPress, comprendere e implementare le misure di hardening non è un'opzione, ma una necessità.
Perché WordPress È un Bersaglio e Quali Sono i Rischi Reali
La popolarità di WordPress attira attacchi automatizzati su larga scala. I bot scansionano continuamente internet alla ricerca di installazioni vulnerabili, testando exploit noti su plugin, temi e versioni obsolete del core. Le conseguenze di un sito WordPress compromesso includono inserimento di malware che infetta i visitatori, reindirizzamento verso siti di phishing o contenuti malevoli, furto dei dati degli utenti registrati e dei clienti, invio di spam dal server, penalizzazione da parte di Google con inserimento in blacklist e perdita del posizionamento SEO costruito nel tempo.
Il dato più allarmante è che la maggior parte delle compromissioni avviene attraverso vulnerabilità già note e corrette: il problema non è la falla, ma il mancato aggiornamento.
Plugin e Temi: Il Tallone d'Achille della Sicurezza
Secondo i dati di WPScan, oltre il 90% delle vulnerabilità WordPress riguarda plugin e temi di terze parti, non il core del CMS. L'ecosistema WordPress conta oltre 60.000 plugin, sviluppati da team con livelli di competenza e attenzione alla sicurezza molto diversi.
Rischi principali dei plugin
- Plugin abbandonati: plugin non più aggiornati dagli sviluppatori contengono vulnerabilità che non verranno mai corrette
- Plugin nulled/piratati: versioni craccate di plugin premium che contengono quasi sempre backdoor e malware
- Eccesso di plugin: ogni plugin installato amplia la superficie di attacco; plugin inutilizzati ma ancora installati rappresentano un rischio silenzioso
- Conflitti tra plugin: interazioni impreviste possono creare vulnerabilità non presenti nei singoli componenti
La regola fondamentale è installare solo plugin strettamente necessari, verificarne la reputazione, la frequenza di aggiornamento e il numero di installazioni attive, e rimuovere completamente (non solo disattivare) quelli non utilizzati.
Hardening WordPress: Le Misure Essenziali
L'hardening è il processo di rafforzamento della sicurezza attraverso la riduzione della superficie di attacco. Per WordPress, comprende interventi a diversi livelli.
Protezione del file wp-config.php
Il file wp-config.php contiene le credenziali del database e le chiavi di autenticazione. Deve essere protetto spostando il file sopra la directory pubblica (quando il server lo consente), impostando permessi restrittivi (chmod 400 o 440), aggiornando periodicamente le Authentication Keys e i Salt, e disabilitando l'editor di file integrato con la direttiva DISALLOW_FILE_EDIT.
Protezione dell'area di login
La pagina /wp-admin e /wp-login.php subiscono costanti attacchi brute force. Le contromisure efficaci includono la limitazione dei tentativi di accesso (lockout dopo 3-5 tentativi falliti), l'implementazione dell'autenticazione a due fattori per tutti gli utenti amministratori, il cambio dell'URL di login predefinito e il blocco dell'accesso XML-RPC se non necessario (spesso sfruttato per attacchi brute force amplificati).
Permessi file e directory
Configurare correttamente i permessi del filesystem è cruciale. Le directory devono avere permessi 755, i file 644 e il file wp-config.php 400 o 440. Permessi troppo aperti (es. 777) consentono a qualsiasi processo sul server di modificare i file del sito.
Disabilitazione funzionalità non necessarie
WordPress espone di default alcune funzionalità che ampliano la superficie di attacco. È buona pratica disabilitare l'esecuzione PHP nella directory uploads, bloccare l'enumerazione degli utenti, disattivare la REST API per utenti non autenticati (se non necessaria), rimuovere il file readme.html e i file di installazione, e nascondere la versione di WordPress dal codice sorgente.
Header di Sicurezza HTTP: Una Protezione Spesso Trascurata
Gli HTTP Security Headers sono direttive inviate dal server al browser che limitano comportamenti potenzialmente pericolosi. Molti siti WordPress non li implementano, lasciando aperti vettori di attacco come il clickjacking, il cross-site scripting (XSS) e l'iniezione di contenuti esterni.
Gli header fondamentali da configurare sono Content-Security-Policy (CSP) per controllare quali risorse possono essere caricate, X-Frame-Options per impedire l'inclusione del sito in iframe malevoli, X-Content-Type-Options per prevenire lo sniffing MIME, Strict-Transport-Security (HSTS) per forzare le connessioni HTTPS, Referrer-Policy per controllare le informazioni di referrer trasmesse e Permissions-Policy per limitare l'accesso a funzionalità del browser come geolocalizzazione e fotocamera.
La corretta implementazione degli header richiede competenze specifiche: configurazioni errate possono bloccare funzionalità legittime del sito. La protezione del sito deve integrarsi con un'infrastruttura di hosting professionale che supporti queste configurazioni a livello server.
Database WordPress: Protezione dei Dati
Il database MySQL è il cuore di ogni installazione WordPress: contiene tutti i contenuti, gli utenti, le configurazioni e, nel caso di e-commerce, i dati dei clienti. Le misure di protezione essenziali includono il cambio del prefisso tabelle predefinito (wp_) durante l'installazione, l'uso di un utente database con privilegi minimi (solo quelli necessari al funzionamento di WordPress), la protezione contro le SQL injection attraverso la validazione di tutti gli input e il backup regolare e automatizzato del database con archiviazione esterna.
Monitoraggio e Scansione: Rilevare le Minacce in Tempo Reale
La prevenzione non è sufficiente senza un sistema di monitoraggio attivo. Un sito WordPress professionale deve implementare la scansione periodica dei file per rilevare modifiche non autorizzate (file integrity monitoring), il monitoraggio dei log di accesso per identificare pattern sospetti, alert automatici in caso di tentativi di accesso anomali, la verifica periodica contro database di malware e vulnerabilità note e il controllo della presenza in blacklist dei motori di ricerca.
Il monitoraggio deve essere continuo, non occasionale. Un'infezione rilevata dopo giorni o settimane ha conseguenze enormemente più gravi di una intercettata in tempo reale.
Ruoli Utente e Principio del Privilegio Minimo
WordPress dispone di un sistema di ruoli (Administrator, Editor, Author, Contributor, Subscriber) che va utilizzato rigorosamente. Il principio del privilegio minimo prevede che ogni utente abbia solo i permessi strettamente necessari al proprio ruolo. In pratica l'account Administrator deve essere limitato a una o due persone responsabili, i collaboratori che scrivono contenuti devono usare il ruolo Author o Editor, gli accessi non più necessari vanno revocati immediatamente e ogni utente deve avere il proprio account personale, senza condivisione di credenziali.
Perché la Sicurezza WordPress Richiede un Approccio Professionale
L'hardening di WordPress non è un'operazione da fare una volta e dimenticare. Le vulnerabilità vengono scoperte quotidianamente, le tecniche di attacco evolvono e la configurazione di sicurezza deve adattarsi continuamente. Un singolo errore di configurazione può vanificare tutte le altre misure implementate.
NEO WEB offre un servizio completo di manutenzione e sicurezza per siti WordPress che include hardening iniziale, monitoraggio continuo, aggiornamenti gestiti e intervento rapido in caso di incidenti. Richiedi un'analisi di sicurezza del tuo sito WordPress e scopri il suo reale livello di protezione.
