WPBeginner - Tutorial WordPress per principianti

Tutorial WordPress affidabili, quando ne hai più bisogno.
Guida per principianti a WordPress
WPB Cup
25 Milioni+
Siti web che utilizzano i nostri plugin
16+
Anni di esperienza con WordPress
3000+
Tutorial WordPress di esperti

11 motivi principali per cui i siti WordPress vengono hackerati (& Come prevenirlo)

Di Staff Editoriale | | Dichiarazione del lettore

Shares 478 ChatGPT Perplexity X LinkedIn WhatsApp

Molti proprietari di siti web temono che i loro siti WordPress vengano hackerati. Gestiamo molti siti web e comprendiamo bene questa preoccupazione.

Essere hackerati è molto frustrante e può danneggiare la tua attività. Mentre gli hacker cercano di attaccare tutti i tipi di siti web, alcuni errori comuni possono rendere il tuo sito WordPress un bersaglio più facile.

In questo articolo, condivideremo i motivi principali per cui i siti WordPress vengono hackerati in modo che tu possa intraprendere azioni per proteggere meglio il tuo sito web.

Perché i siti WordPress vengono hackerati?

Perché WordPress è preso di mira dagli hacker?

Innanzitutto, non è solo WordPress. Tutti i siti web su Internet sono vulnerabili ai tentativi di hacking.

Il motivo per cui i siti web WordPress sono un bersaglio comune è che WordPress è il costruttore di siti web più popolare al mondo. Alimenta oltre il 43% di tutti i siti web, il che significa centinaia di milioni di siti web in tutto il mondo.

Questa immensa popolarità offre agli hacker un modo semplice per trovare siti web meno sicuri in modo da poterli sfruttare.

Gli hacker hanno vari motivi per hackerare un sito web. Alcuni sono principianti che stanno appena imparando a sfruttare siti meno sicuri. Altri hanno intenzioni malevole, come distribuire malware, attaccare altri siti web e inviare spam.

Detto questo, diamo un'occhiata ad alcune delle principali cause per cui i siti WordPress vengono hackerati in modo che tu possa imparare come impedire che il tuo sito web venga hackerato.

1. Hosting web insicuro

Come tutti i siti web, i siti WordPress sono ospitati su un server web. Alcune società di hosting non proteggono adeguatamente la loro piattaforma di hosting. Questo rende tutti i siti web ospitati sui loro server vulnerabili ai tentativi di hacking.

Questo può essere facilmente evitato scegliendo il provider di miglior hosting WordPress per il tuo sito web. Server adeguatamente protetti possono bloccare molti degli attacchi più comuni ai siti WordPress.

Se vuoi prendere precauzioni extra, ti consigliamo di utilizzare un provider di hosting WordPress gestito.

2. Utilizzo di password deboli

Utilizzo di password deboli

Le password sono le chiavi del tuo sito WordPress. Devi assicurarti di utilizzare una password forte e univoca per ciascuno dei seguenti account, poiché tutti possono fornire a un hacker l'accesso completo al tuo sito web:

  • Il tuo account amministratore di WordPress
  • Il tuo account del pannello di controllo di hosting web
  • I tuoi account FTP
  • Il database MySQL utilizzato per il tuo sito WordPress
  • Tutti gli account email utilizzati per l'amministrazione di WordPress e l'hosting

Tutti questi account sono protetti da password. L'utilizzo di password deboli rende più facile per gli hacker decifrare le password utilizzando alcuni strumenti di hacking di base.

Puoi evitarlo facilmente utilizzando password univoche e forti per ogni account. Consulta la nostra guida sul miglior modo per gestire le password per i principianti di WordPress per imparare come gestire tutte quelle password forti.

3. Accesso non protetto all'amministrazione di WordPress (wp-admin)

L'area di amministrazione di WordPress consente a un utente di eseguire diverse azioni sul tuo sito WordPress. È anche l'area più comunemente attaccata di un sito WordPress.

Lasciarlo non protetto consente agli hacker di provare diversi approcci per violare il tuo sito web. Puoi renderglielo difficile aggiungendo livelli di autenticazione alla tua directory di amministrazione.

Innanzitutto, dovresti proteggere con password l'area di amministrazione di WordPress. Questo aggiunge un ulteriore livello di sicurezza e chiunque tenti di accedere all'amministrazione di WordPress dovrà fornire una password aggiuntiva.

Se gestisci un sito WordPress multi-autore o multi-utente, puoi imporre password forti a tutti gli utenti del tuo sito. Puoi anche aggiungere l'autenticazione a due fattori (2FA) per rendere ancora più difficile per gli hacker accedere alla tua area di amministrazione di WordPress.

4. Permessi file errati

Autorizzazioni file

I permessi dei file sono un insieme di regole utilizzate dal tuo web server. Questi permessi aiutano il tuo web server a controllare l'accesso ai file sul tuo sito. Permessi file errati possono dare a un hacker la possibilità di scrivere e modificare questi file.

Tutti i tuoi file WordPress dovrebbero avere un valore di 644 come permesso file. Tutte le cartelle sul tuo sito WordPress dovrebbero avere 755 come permesso file.

Consulta la nostra guida su come risolvere il problema di caricamento delle immagini in WordPress per imparare come applicare questi permessi file.

5. Non mantenere WordPress aggiornato

Alcuni utenti WordPress hanno paura di aggiornare i propri siti web WordPress. Temono che farlo possa rompere il loro sito web.

Ogni nuova versione di WordPress corregge bug e vulnerabilità di sicurezza. Se non aggiorni WordPress, stai intenzionalmente lasciando il tuo sito vulnerabile.

Se temi che un aggiornamento possa rompere il tuo sito web, puoi creare un backup completo di WordPress prima di eseguire un aggiornamento. In questo modo, se qualcosa non funziona, puoi facilmente tornare alla versione precedente.

Puoi saperne di più nella nostra guida per principianti su come aggiornare WordPress in sicurezza.

6. Non aggiornare plugin o tema

Proprio come il software core di WordPress, aggiornare il tuo tema e i tuoi plugin è ugualmente importante. L'utilizzo di un plugin o tema obsoleto può rendere il tuo sito vulnerabile.

Le falle di sicurezza e i bug vengono spesso scoperti nei plugin e nei temi di WordPress. Di solito, gli autori di temi e plugin sono rapidi nel correggerli. Tuttavia, se un utente non aggiorna il proprio tema o plugin, non c'è nulla che possa fare al riguardo.

Assicurati di mantenere aggiornato il tuo tema e i tuoi plugin di WordPress. Puoi imparare come nella nostra guida su l'ordine di aggiornamento corretto per WordPress, plugin e temi.

7. Utilizzo di FTP normale invece di SFTP/SSH

SFTP invece di FTP

Gli account FTP vengono utilizzati per caricare file sul tuo server web utilizzando un client FTP. La maggior parte dei provider di hosting supporta connessioni FTP utilizzando diversi protocolli. Puoi connetterti utilizzando FTP normale, SFTP o SSH.

Quando ti connetti al tuo sito utilizzando FTP normale, la tua password viene inviata al server senza crittografia. Ciò significa che può essere spiata e facilmente rubata. Invece di utilizzare FTP, dovresti sempre utilizzare SFTP o SSH.

Non è necessario modificare il tuo client FTP. La maggior parte dei client FTP può connettersi al tuo sito web sia su SFTP che su SSH. Devi solo cambiare il protocollo in 'SFTP – SSH' quando ti connetti al tuo sito web.

8. Utilizzo di Admin come nome utente di WordPress

L'utilizzo di 'admin' come nome utente di WordPress non è raccomandato. Se il tuo nome utente amministratore è 'admin', dovresti immediatamente cambiarlo in un nome utente diverso.

Per istruzioni dettagliate, consulta il nostro tutorial su come cambiare il tuo nome utente di WordPress.

9. Temi e plugin nulled

Malware

There are many websites on the internet that distribute paid WordPress plugins and themes for free. You may feel tempted to use those nulled plugins and themes on your site.

Downloading WordPress themes and plugins from unreliable sources is very dangerous. Not only can they compromise the security of your website, but they can also be used to steal sensitive information.

You should always download WordPress plugins and themes from reliable sources such as the developer’s website or official WordPress repositories.

If you can’t afford to buy a premium plugin or theme, then there are always free alternatives available for those products. These free plugins may not be as good as their paid counterparts, but they will get the job done and, most importantly, keep your website safe.

You can also find discounts for many of the popular WordPress products in the deals section on our website.

10. Not Securing wp-config.php WordPress Configuration File

Il file di configurazione di WordPress wp-config.php contiene le credenziali di accesso al database di WordPress. Se viene compromesso, rivelerà informazioni che potrebbero dare a un hacker l'accesso completo al tuo sito web.

Puoi aggiungere un ulteriore livello di protezione negando l'accesso al file wp-config utilizzando .htaccess. Aggiungi semplicemente questo codice al tuo file .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>
Hosted with ❤️ by WPCode
1-click Use in WordPress

11. Non cambiare il prefisso delle tabelle di WordPress

Molti esperti raccomandano di cambiare il prefisso predefinito delle tabelle di WordPress. Per impostazione predefinita, WordPress utilizza wp_ come prefisso per le tabelle che crea nel tuo database. Hai l'opzione di cambiarlo durante l'installazione.

Si raccomanda di utilizzare un prefisso più complesso. Questo renderà più difficile per gli hacker indovinare i nomi delle tabelle del tuo database.

Per istruzioni dettagliate, consulta la nostra guida su come cambiare il prefisso del database di WordPress per migliorare la sicurezza.

Pulire un sito WordPress hackerato

Pulire un sito WordPress hackerato può essere doloroso. Tuttavia, può essere fatto.

Ecco alcune risorse per iniziare a pulire un sito WordPress hackerato:

Suggerimento Bonus

Per una sicurezza a prova di proiettile, Sucuri fornisce servizi di rilevamento e rimozione di malware, oltre a un firewall per siti web che proteggerà il tuo sito dalle minacce più comuni.

Leggi la storia di come Sucuri ci ha aiutato a bloccare 450.000 attacchi WordPress in 3 mesi.

Speriamo che questo articolo ti abbia aiutato a conoscere i motivi principali per cui un sito WordPress viene violato. Potresti anche voler consultare la nostra guida su come proteggere il tuo sito WordPress dagli attacchi brute force e la nostra selezione di esperti dei migliori plugin di sicurezza WordPress per proteggere il tuo sito.

Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.

Popolare su WPBeginner Adesso!

Dichiarazione: Il nostro contenuto è supportato dai lettori. Ciò significa che se fai clic su alcuni dei nostri link, potremmo guadagnare una commissione. Vedi come è finanziato WPBeginner, perché è importante e come puoi supportarci. Ecco il nostro processo editoriale.

Il Toolkit WordPress Definitivo

Ottieni l'accesso GRATUITO al nostro toolkit - una raccolta di prodotti e risorse relative a WordPress che ogni professionista dovrebbe avere!

Scarica ora

Interazioni del lettore

7 CommentsLeave a Reply

  1. OTTIMA analisi delle vulnerabilità di sicurezza di WordPress.
    Dopo aver gestito gli aggiornamenti su decine di siti di clienti, ho scoperto che implementare un ambiente di staging per testare gli aggiornamenti è assolutamente fondamentale. T
    esto affronta la preoccupazione menzionata nei punti 5 e 6 riguardo agli aggiornamenti che potrebbero compromettere i siti. Creo una copia di staging, eseguo prima gli aggiornamenti lì, testo a fondo e solo allora aggiorno il sito live. Questo approccio ha salvato i miei clienti da numerosi potenziali problemi, mantenendo i loro siti sicuri e aggiornati. È un passaggio in più, ma vale bene la tranquillità che offre.

    Reply

  2. Cosa fanno esattamente le direttive per proteggere il file wp-config.php utilizzando il file .htaccess? Nego l'accesso a chiunque dall'esterno, consentendo l'accesso al file solo ad applicazioni specifiche? Sto capendo correttamente?

    Questo non causerà qualche altro problema di impossibilità di accedere al file?

    Reply

    • Impedirebbe l'accesso a qualcuno che tenta di aprire il file direttamente e nella maggior parte dei casi non dovrebbe causare problemi limitando l'accesso in questo modo.

      Reply

      Amministratore

      • Grazie per la risposta. Volevo solo assicurarmi che potesse esserci una situazione in cui avrei interrotto alcune comunicazioni interne di WordPress. Applico sicuramente la sicurezza.

        Reply

  4. Ciao, ho protetto la mia cartella wp-admin tramite la privacy della cartella, ma come posso fare lo stesso per l'URL di wp-login?

    Reply

  5. Puoi anche non installare nella posizione predefinita il tuo sito web WordPress, quindi puoi effettivamente installare wp in una cartella chiamata "secure" e poi con alcuni trucchi i tuoi visitatori entreranno nel tuo sito.com non sito.com/secure per vedere il tuo sito.

    Reply

Lascia una risposta

Grazie per aver scelto di lasciare un commento. Tieni presente che tutti i commenti sono moderati secondo la nostra politica sui commenti, e il tuo indirizzo email NON verrà pubblicato. Si prega di NON utilizzare parole chiave nel campo del nome. Avviamo una conversazione personale e significativa.

Copyright © 2009 - 2025 WPBeginner LLC. Tutti i diritti riservati. WPBeginner® è un marchio registrato.

Gestito da Awesome Motive | Hosting WordPress da SiteGround

Il marchio WordPress® è proprietà intellettuale della WordPress Foundation. L'uso di WordPress® e dei nomi su questo sito web è solo a scopo identificativo e non implica un'approvazione da parte della WordPress Foundation. WPBeginner non è approvato, posseduto o affiliato alla WordPress Foundation.

Ho bisogno di aiuto con...

Ricerche popolari:

Avviare un blog SEO WordPress Prestazioni di WordPress Errori di WordPress Sicurezza WordPress Creare un negozio online