Checklist sicurezza WordPress 2026 — 12 cose che ogni sito dovrebbe avere | Scanthra

Scanthra · 9 min di lettura · Aggiornato Maggio 2026

1. Mantieni core, temi e plugin con aggiornamenti automatici

WordPress 6.5+ supporta gli aggiornamenti automatici per core, plugin e temi. Abilitali tutti. In wp-config.php imposta:

define('WP_AUTO_UPDATE_CORE', true);

Poi sotto Plugin, clicca "Abilita aggiornamenti automatici" per ogni plugin attivo. Sì, anche quelli premium. Un'ora di rischio di regressione a trimestre vale meno di una settimana a ripulire un redirect iniettato.

2. Elimina ogni tema e plugin che non usi

I plugin inattivi sono ancora su disco e vengono comunque analizzati dagli attaccanti che fanno il fingerprinting del tuo sito. Il classico vettore "TimThumb" è vissuto per anni in temi disattivati. Se non lo usi, rimuovi la directory interamente da wp-content/plugins e wp-content/themes.

3. Metti wp-admin dietro qualcosa

Due opzioni efficaci:

• Lista di IP consentiti. Se accedi da un ufficio fisso o VPN, limita /wp-admin e /wp-login.php a quegli IP a livello del web server. Cinque righe di configurazione nginx.
• Rinomina o aggiungi un secondo fattore. Plugin come WPS Hide Login cambiano l'URL; Two-Factor (del team core di WordPress) aggiunge TOTP. Entrambi sono gratuiti.

4. Forza password robuste e disabilita XML-RPC se non usato

WordPress permette il riutilizzo delle password per impostazione predefinita. Installa Password Policy Manager o simile per forzare lunghezza + rotazione. Poi disabilita xmlrpc.php a meno che non ne abbia specificamente bisogno (es. per l'app Jetpack):

location = /xmlrpc.php { deny all; return 403; }

5. Aggiungi i sei header di sicurezza standard

HSTS (forzatura HTTPS), CSP (Content Security Policy), X-Frame-Options, X-Content-Type-Options, Referrer-Policy e Permissions-Policy. Ogni report Scanthra segnala quelli mancanti. Il modo più veloce: un piano Cloudflare gratuito + la loro regola di trasformazione gestita Security Headers, o un plugin come HTTP Headers.

6. Blocca la modifica di file dentro wp-admin

In wp-config.php:

define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);

Questo impedisce a un attaccante che ruba un cookie admin di modificare un file del tema e installare una webshell.

7. Blocca l'esecuzione PHP negli upload

Un .htaccess in wp-content/uploads:

<FilesMatch "\.(php|phtml|phar)$">
  Require all denied
</FilesMatch>

O l'equivalente nginx. La maggior parte degli exploit "carica la tua foto" mette un file PHP mascherato da immagine. Questa singola regola elimina completamente quella classe di problemi.

8. Usa uno scanner malware con una pianificazione

Wordfence gratuito, Sucuri SiteCheck, o open-source WPScan tramite WP-CLI. Pianifica una scansione settimanale e invia l' output alla tua e-mail. Vuoi scoprire di una backdoor prima di Google.

9. Configura backup automatici fuori sede

Un backup sul server è inutile dopo una compromissione totale. Usa UpdraftPlus, BackWPup o il servizio di snapshot del tuo host per inviare backup a S3, Google Drive o BackBlaze ogni giorno. Testa il ripristino almeno una volta a trimestre — la maggior parte delle storie "avevo i backup" finisce con "ma non ho mai provato a ripristinarli".

10. Configura SPF, DKIM e DMARC sul tuo dominio

Se il tuo dominio non ha SPF/DKIM/DMARC (protezione e-mail), i truffatori possono falsificare e-mail come billing@tuosito.com. Aggiungi i tre record DNS (abbiamo un articolo dedicato a questo) e guarda i tuoi reclami per phishing scendere e la tua consegnabilità delle e-mail transazionali salire.

11. Verifica i tuoi admin ogni trimestre

Sotto Utenti → Tutti gli utenti, ordina per ruolo. Qualsiasi account Amministratore che non ha effettuato l'accesso per 90 giorni è una responsabilità — vecchio appaltatore, ex dipendente, account demo. Retrocedi a Abbonato o elimina. Questa è la singola causa più comune di incidenti WordPress "non sappiamo come sono entrati".

12. Pianifica per NIS2 se gestisci dati di clienti UE

La Direttiva UE NIS2 (direttiva UE sulla cybersecurity) è ora in vigore in tutti i 27 Stati Membri tramite trasposizioni nazionali (l'emendamento polacco in vigore dal 3 aprile 2026, il NIS2UmsuCG tedesco, la legge di trasposizione francese, ecc.). Anche se sei sotto la soglia dell'"entità essenziale", i tuoi clienti più grandi potrebbero trasferirti le obbligazioni NIS2 contrattualmente — e questo si applica sia che tu operi dentro l'UE che venda dall'estero. I siti WordPress che gestiscono dati personali UE dovrebbero mantenere un log degli incidenti, documentare la cadenza delle patch, ed eseguire controlli di sicurezza periodici. Una scansione mensile gratuita con Scanthra è un buon punto di partenza — la nostra guida alla conformità NIS2 illustra il resto.

La versione "pomeriggio di domenica" di questa lista

Se hai due ore e vuoi il massimo ritorno: fai le voci 1, 2, 5, 7 e 10. Quelle cinque da sole spingono il tuo sito da "facilmente compromesso" a "abbastanza fastidioso che gli attaccanti passano oltre."

Come Scanthra aiuta con questa checklist

Una scansione Scanthra copre le voci 2 (residui di plugin esposti), 5 (intestazioni di sicurezza), 7 (file PHP negli upload), 10 (SPF/DKIM/DMARC) e molte altre automaticamente. Il report PDF ti dice quali caselle stai già spuntando — e quali richiedono attenzione.