Hardening WordPress: checklist tecnica essenziale
Checklist pratica per ridurre la superficie d'attacco di WordPress: login, permessi, file, utenti, backup, headers, XML-RPC e hosting.
Hardening WordPress significa ridurre la superficie d'attacco. Non è un singolo plugin e non è una lista da applicare senza pensare. È un insieme di scelte tecniche adattate al sito reale.
Questa checklist copre i punti essenziali.
Login e utenti
Controlla prima gli accessi:
- rimuovi utenti admin non necessari;
- vieta account condivisi;
- attiva 2FA per amministratori;
- usa password manager;
- limita tentativi di login;
- disattiva utenti inattivi;
- verifica email associate agli admin.
Molte compromissioni partono da credenziali deboli o riutilizzate.
File e permessi
Permessi troppo larghi permettono a un attaccante di scrivere dove non dovrebbe. Baseline comune:
- cartelle a
755; - file a
644; wp-config.phppiù restrittivo dove possibile;- nessun PHP eseguibile in
uploads; - editor file disabilitato da Bacheca;
- temi e plugin inutili rimossi.
Il valore esatto dipende dall'hosting, ma 777 non è una soluzione.
Core, plugin e temi
Aggiorna, ma con metodo. Prima backup, poi test, poi deploy. Su siti complessi usa staging. Rimuovi plugin abbandonati e temi non usati.
Un plugin nulled annulla quasi ogni altra misura di hardening: non puoi fidarti del codice e non puoi aggiornarlo correttamente.
Configurazioni applicative
Valuta:
- disabilitazione XML-RPC se non serve;
- protezione REST API per endpoint sensibili;
- limitazione upload;
- controllo MIME type;
- SALT aggiornate dopo compromissione;
- cron verificati;
- debug disattivato in produzione.
Hosting e headers
WordPress vive dentro un ambiente. Controlla:
- versione PHP supportata;
- isolamento account;
- HTTPS valido;
- backup offsite;
- WAF o regole server-side;
- security headers ragionevoli;
- log accessibili;
- limiti risorse adeguati.
Gli headers non risolvono vulnerabilità PHP, ma riducono alcuni rischi lato browser.
Backup e recovery
Un hardening senza backup è incompleto. Servono backup offsite, retention adeguata e test di ripristino. Il backup deve essere recuperabile anche se l'hosting viene sospeso.
Per questo nei servizi WPsec.it includiamo backup su object storage con retention 90 giorni nei percorsi coperti.
Priorità
Se devi partire da tre cose: aggiorna componenti vulnerabili, proteggi accessi admin e verifica backup. Poi costruisci il resto.
Per un intervento strutturato, vedi la pagina hardening WordPress.
Scritto dal team WPsec.it
Team WPsec.it
Bonifica malware, hardening, performance e manutenzione WordPress.
Continua a leggere
Articoli correlati.
Plugin nulled WordPress: cosa rischi davvero a usarli
Usare plugin o temi nulled su WordPress espone il sito a backdoor, spam in uscita, blacklist Google, hosting sospeso e perdita di dati WooCommerce. Una guida pratica sui rischi reali e su come uscirne.
Hardening WordPress essenziale: 12 mosse che servono davvero
Le configurazioni di hardening WordPress che, nei nostri interventi reali, riducono di più la superficie d'attacco. Niente lista da 50 punti: quello che usiamo davvero.
Ninja Forms File Upload: exploit attivo, patch e checklist
Ninja Forms File Upload è vulnerabile fino alla 3.3.26: versioni colpite, patch 3.3.27 e checklist per ridurre il rischio subito.