Sicurezza WordPress per PMI italiane

Hai un sito WordPress che funziona, ma non hai mai pensato alla sicurezza? Normale. La maggior parte delle PMI italiane scopre di avere un problema solo quando il sito viene defacciato, i dati rubati o il server usato per inviare spam. Noi, da Meteora Web, lo vediamo ogni giorno: plugin non aggiornati da anni, password 'admin123', form senza protezione, backup inesistenti. Il problema non è tecnico: è culturale. E costa caro.

Un attacco a un e-commerce può significare giorni di fermo, perdita di fatturato, sanzioni GDPR. La sicurezza non è un extra: è il fondamento su cui costruire un'attività digitale che duri.

Perché la sicurezza WordPress è un problema di bilancio

Veniamo anche dalla contabilità: bilanci, partita doppia, IVA. Per questo ragioniamo sui numeri del cliente, non solo sul codice. Ogni ora di down di un sito vale decine o centinaia di euro in mancate vendite. Un data breach può costare migliaia di euro tra ripristino, consulenza legale e multe GDPR (fino al 4% del fatturato annuo). Un sito si misura in fatturato, non in complimenti. Se non porta contatti o vendite, è un costo. Se è vulnerabile, è un costo ancora più alto.

Abbiamo già parlato degli obblighi NIS2 e Cyber Resilience Act per le PMI: la normativa europea impone standard minimi di sicurezza anche per le piccole imprese. Non è solo buona pratica: diventerà obbligatorio.

I 5 buchi neri più comuni nelle PMI italiane

Li troviamo su quasi tutti i progetti che ereditiamo da altri sviluppatori. Eccoli, in ordine di frequenza.

1. Plugin e temi non aggiornati

Un plugin abbandonato da due anni è come una finestra spalancata. Gli aggiornamenti non sono capricci: chiudono vulnerabilità note e pubbliche. Esempio reale: un cliente usava un plugin per form che non riceveva aggiornamenti da 18 mesi. Qualsiasi malintenzionato poteva inviare query SQL direttamente dal form. Lo abbiamo sostituito con uno mantenuto attivamente e configurato gli aggiornamenti automatici per i plugin critici.

2. Credenziali deboli e utenti fantasma

Ancora oggi vediamo account admin con nome 'admin' e password banali. Peggio: ex collaboratori che hanno ancora accesso. Un singolo account compromesso basta per prendere il controllo del sito. La sicurezza nelle PMI italiane è sistematicamente sottovalutata. Lo vediamo ogni giorno.

3. Form senza protezione

Form di contatto, registrazione, checkout senza CAPTCHA né token CSRF. Sono il vettore preferito per attacchi di spam, injection e brute force. Abbiamo visto un modulo di login esposto a tentativi di accesso continui senza alcun limite.

4. Backup mai configurati

Il 90% dei nuovi clienti arriva da noi senza backup funzionante. Quando il sito viene hackerato o il server crasha, l'unica soluzione è ricostruire tutto da zero. Un backup giornaliero automatico su cloud (es. Google Drive, Dropbox) costa pochi euro al mese e salva l'attività.

5. Hosting economico e server non gestito

Un hosting da 5 euro al mese spesso non include firewall, scansione malware, aggiornamenti automatici del PHP o del server. Il risultato: prestazioni scadenti e sicurezza inesistente. Possedere il proprio stack batte affittarlo. Canoni a vita e dati in ostaggio non sono la scelta migliore. Quando possibile, consigliamo VPS con gestione proattiva.

Cosa fare oggi: checklist operativa in 10 passi

Non serve essere esperti. Segui questi passi, uno alla volta. Se ti blocchi, contattaci. Noi lo facciamo ogni giorno.

Passo 1: Cambia il prefisso delle tabelle e l'utente 'admin'

Usa uno script o un plugin per rinominare il prefisso da wp_ a qualcosa di unico. Crea un nuovo utente amministratore con username non scontato e cancella quello 'admin'.

# Esempio con WP-CLI
wp user create nuovoadmin email@dominio.it --role=administrator
wp user delete admin --reassign=nuovoadmin

Passo 2: Aggiorna tutto e rimuovi ciò che non usi

Vai in Aggiornamenti e aggiorna core, plugin e temi. Poi scansiona la lista dei plugin: se non lo usi da mesi, disinstallalo. Ogni plugin in più è una superficie d'attacco.

wp plugin update --all
wp theme update --all
wp plugin delete nome-plugin

Passo 3: Installa un plugin di sicurezza

Wordfence, Sucuri Security o Solid Security. Configura il firewall, la scansione malware e le notifiche via email. Non serve comprare la versione premium per iniziare.

Passo 4: Attiva la doppia autenticazione (2FA)

Nella nostra guida sull'autenticazione moderna spieghiamo come passare alle passwordless. Intanto, abilita il 2FA via app (Google Authenticator) per tutti gli utenti con ruolo amministratore e editor.

Passo 5: Imposta backup automatici

Usa UpdraftPlus (gratuito) o BackupBuddy. Configura backup giornalieri di database e file, inviati su Google Drive, Dropbox o S3. Prova il ripristino almeno una volta al mese.

# Con WP-CLI, puoi lanciare un backup manuale
wp db export backup.sql
wp plugin install updraftplus --activate

Passo 6: Forza HTTPS e redirect

Se non hai SSL, ottienine uno gratuito con Let's Encrypt (molti hosting lo offrono automaticamente). Poi imposta il redirect da HTTP a HTTPS in .htaccess.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

Passo 7: Limita i tentativi di login

Con un plugin come Limit Login Attempts Reloaded o inserendo regole nel file .htaccess di WordPress.

# Blocca IP dopo 5 tentativi falliti (esempio)
# Usa un plugin per gestirlo più facilmente

Passo 8: Disabilita XML-RPC se non lo usi

Se non usi app mobile o servizi esterni che chiamano XML-RPC, disabilitalo. Aggiungi al file .htaccess o usa un plugin.

# Disabilita XML-RPC

Order Deny,Allow
Deny from all

Passo 9: Proteggi wp-config.php e .htaccess

Sposta wp-config.php una directory sopra la root se possibile. Blocca l'accesso a file sensibili con .htaccess.

Order Allow,Deny
Deny from all


Order Allow,Deny
Deny from all

Passo 10: Controlla i permessi dei file

I file devono essere 644, le directory 755. Non lasciare mai 777.

find /path/to/wordpress -type f -exec chmod 644 {} \;
find /path/to/wordpress -type d -exec chmod 755 {} \;

Errori da evitare (li abbiamo visti sui server dei clienti)

• Un cliente aveva la password di amministrazione 'sciacca2020!' – facilmente indovinabile da chi conosce la città. Cambiala in qualcosa come B8k!z9&mPq2.
• Un altro lasciava il debug WordPress attivo in produzione: define('WP_DEBUG', true) nel wp-config. Ogni errore diventava pubblico.
• Su un server si era rotto il rinnovo automatico dei certificati SSL; l'abbiamo risolto e automatizzato senza far andare offline il cliente. Da allora controlliamo manualmente ogni mese.

La SEO è sostanza, non trucchi. Un sito insicuro viene penalizzato da Google: certificato HTTPS non valido, tempi di caricamento lenti a causa di malware, contenuti oscurati. La sicurezza è un fattore di ranking.

In sintesi — cosa fare adesso

1. Esegui un audit di vulnerabilità con WPScan: wpscan --url http://tuosito.it --api-token YOUR_TOKEN. Se non hai WPScan, usa la scansione integrata in Wordfence.
2. Verifica che i backup siano funzionanti: fai un ripristino di prova su un ambiente di staging. Non fidarti delle email di conferma.
3. Attiva le notifiche per aggiornamenti di sicurezza: iscriviti al canale WordPress Security News o usa un servizio come Sucuri SiteCheck per monitoraggi periodici.

La sicurezza è un processo, non un prodotto. Noi da Meteora Web offriamo audit e manutenzione continua per PMI italiane, dal dominio al fatturato, un unico interlocutore. Perché il divario digitale è anche geografico: lavoriamo per colmarlo, partendo dalla Sicilia.