Hardening WordPress: checklist tecnica essenziale
Checklist pratica per ridurre la superficie d'attacco di WordPress: login, permessi, file, utenti, backup, headers, XML-RPC e hosting.
Hardening WordPress significa ridurre la superficie d'attacco. Non è un singolo plugin e non è una lista da applicare senza pensare. È un insieme di scelte tecniche adattate al sito reale.
Questa checklist copre i punti essenziali.
Login e utenti
Controlla prima gli accessi:
- rimuovi utenti admin non necessari;
- vieta account condivisi;
- attiva 2FA per amministratori;
- usa password manager;
- limita tentativi di login;
- disattiva utenti inattivi;
- verifica email associate agli admin.
Molte compromissioni partono da credenziali deboli o riutilizzate.
File e permessi
Permessi troppo larghi permettono a un attaccante di scrivere dove non dovrebbe. Baseline comune:
- cartelle a
755; - file a
644; wp-config.phppiù restrittivo dove possibile;- nessun PHP eseguibile in
uploads; - editor file disabilitato da Bacheca;
- temi e plugin inutili rimossi.
Il valore esatto dipende dall'hosting, ma 777 non è una soluzione.
Core, plugin e temi
Aggiorna, ma con metodo. Prima backup, poi test, poi deploy. Su siti complessi usa staging. Rimuovi plugin abbandonati e temi non usati.
Un plugin nulled annulla quasi ogni altra misura di hardening: non puoi fidarti del codice e non puoi aggiornarlo correttamente.
Configurazioni applicative
Valuta:
- disabilitazione XML-RPC se non serve;
- protezione REST API per endpoint sensibili;
- limitazione upload;
- controllo MIME type;
- SALT aggiornate dopo compromissione;
- cron verificati;
- debug disattivato in produzione.
Hosting e headers
WordPress vive dentro un ambiente. Controlla:
- versione PHP supportata;
- isolamento account;
- HTTPS valido;
- backup offsite;
- WAF o regole server-side;
- security headers ragionevoli;
- log accessibili;
- limiti risorse adeguati.
Gli headers non risolvono vulnerabilità PHP, ma riducono alcuni rischi lato browser.
Backup e recovery
Un hardening senza backup è incompleto. Servono backup offsite, retention adeguata e test di ripristino. Il backup deve essere recuperabile anche se l'hosting viene sospeso.
Per questo nei servizi WPsec.it includiamo backup su object storage con retention 90 giorni nei pacchetti coperti.
Priorità
Se devi partire da tre cose: aggiorna componenti vulnerabili, proteggi accessi admin e verifica backup. Poi costruisci il resto.
Per un intervento strutturato, vedi la pagina hardening WordPress.
Scritto dal team WPsec
Team WPsec.it
Bonifica malware, hardening, performance e manutenzione WordPress.
Continua a leggere
Articoli correlati.
Hardening WordPress essenziale: 12 mosse che servono davvero
Le configurazioni di hardening WordPress che, nei nostri interventi reali, riducono di più la superficie d'attacco. Niente lista da 50 punti: quello che usiamo davvero.
Wordfence basta davvero per proteggere WordPress?
Wordfence è utile, ma non sostituisce hardening, backup, aggiornamenti, controllo hosting e processo di manutenzione. Ecco quando basta e quando no.
Plugin nulled: perché sono il primo vettore di compromissione
I plugin e i temi 'nulled' sono la causa numero uno delle compromissioni WordPress che vediamo in agenzia. Perchè succede, come riconoscerli, perché non li tocchiamo.