Configurazione sistematica di sicurezza per WordPress: file system protetto, modifica file disabilitata, xmlrpc bloccato, doppia verifica obbligatoria, firewall Cloudflare, scanner real-time. Sito blindato verso gli attacchi automatici.
L'hardening WordPress è la configurazione sistematica di tutte le impostazioni di sicurezza del sito su quattro livelli (applicazione, identità, rete, rilevamento) per chiudere le porte aperte di una installazione standard e ridurre drasticamente la superficie di attacco automatizzato.
Una installazione WordPress fresh ha configurazioni di default insicure: modifica file abilitata dall'admin, xmlrpc accessibile, REST API esposta a tutti, URL di login standard, nessuna doppia verifica, nessun limite ai tentativi di login.
Da Vicenza dal 2008 abbiamo hardenato oltre 300 installazioni WordPress. I siti post-hardening mostrano in genere un crollo netto degli attacchi rilevati a livello applicativo, perché il traffico ostile viene fermato prima al perimetro.
Hardening completo dopo un attacco di credential stuffing. Setup di doppia verifica obbligatoria, password manager aziendale, verifica password contro leak noti, scanner real-time. Nessun nuovo incidente nei 12 mesi successivi.
Hardening completo affiancato a 11 fix di vulnerabilità identificate in audit. Doppia verifica per amministratori, scanner real-time attivo. Stack stabile nei 12 mesi successivi senza incidenti rilevati.
Hardening dopo un tentativo di attacco sospettato. Il firewall Cloudflare blocca migliaia di richieste ostili al mese, lo scanner real-time intercetta minacce diverse ogni settimana. Nessuna compromissione.
Quattro livelli coordinati di protezione, nessuno è opzionale per un sito di lavoro.
wp-config, file system e codice.
Configurazione completa di wp-config.php (disabilitazione modifica file, salt rigenerati, force SSL admin), regole sul file system (.htaccess o nginx) per bloccare xmlrpc e tipi file pericolosi, prefisso database personalizzato, REST API limitata, URL di login custom, blocco enumerazione utenti.
Doppia verifica e password manager.
Doppia verifica obbligatoria per amministratori e redattori (TOTP via app autenticatore), password manager aziendale (Bitwarden o 1Password) per condividere credenziali in modo sicuro, verifica al go-live contro database di password compromesse, ruoli con minimo privilegio, blocco brute force con limitazione tentativi.
Cloudflare e rate limit.
Cloudflare con regole firewall gestite più regole personalizzate, limitazione richieste su login e endpoint critici, gestione bot per bloccare scraper e spam, header di sicurezza HTTP (Content Security Policy, HSTS, X-Frame-Options), DNSSEC e record CAA.
Scanner, registro accessi, alert.
Scanner real-time con threat intelligence per rilevare malware appena identificato, registro accessi WordPress (chi ha fatto cosa, quando), monitoraggio uptime con alert via Slack o email, piano di gestione incidenti documentato.
Sui tanti audit di siti italiani fatti negli anni vediamo sempre gli stessi pattern:
L'hardening completo riduce in modo netto gli attacchi rilevati a livello applicativo. La parte residua viene gestita dallo scanner real-time, dagli alert immediati e dal piano di risposta agli incidenti.
Risultati misurabili sui clienti dopo hardening:
Settimana 1.
Settimana 2.
Settimana 3.
Settimana 4.
Strumenti best-in-class, niente plugin obscuri o abbandonati:
WordPress 
Cloudflare 
WooCommerce 
GitHub WordPress Cloudflare WooCommerce GitHub Standard sui progetti completati:
Servizio su misura: il preventivo dipende dalla complessità dei requisiti, dalle integrazioni con sistemi terzi (CRM, gestionale, API esterne), dal volume di test richiesto e dal livello di SLA in manutenzione. Prima cosa che facciamo è una discovery call gratuita di 30-45 minuti per capire scope e contesto, poi mandiamo un preventivo scritto entro 48-72 ore. Niente listini standard.
Sì, sempre. È il singolo intervento che blocca il vettore di attacco più diffuso degli ultimi anni (credential stuffing su credenziali leakate). La imponiamo per amministratori ed editor in fase di onboarding, senza eccezioni.
Sì se hai competenze tecniche solide. Il piano di azione che produciamo è completo e indipendente. Per chi non è sviluppatore, una configurazione errata di wp-config.php può rompere il sito: in quel caso conviene farlo fare a noi.
Per la threat intelligence aggiornata sì. La versione free vede minacce con 30 giorni di ritardo, la premium in tempo reale. La differenza è significativa sui new threats.
Il piano free copre il CDN base e il DDoS generico. Per regole firewall gestite, image optimization e rate limit avanzato serve un piano a pagamento. Per la maggior parte delle PMI italiane il piano Pro è il sweet spot.
No, il backup è un servizio separato (vedi la pagina dedicata a backup e disaster recovery). Il pacchetto manutenzione completa lo include con strategia 3-2-1 testata.
L'hardening completo punta a un crollo netto degli attacchi rilevati a livello applicativo, ma nessun setup è al 100% sicuro (gli zero-day exploit esistono). Il piano di risposta agli incidenti è sempre pronto come secondo livello.
Il setup base è di 4 settimane. L'hardening completo, comprensivo di audit, monitoraggio e tuning, richiede 6-8 settimane. È implementabile su un sito già in produzione senza downtime.
Esperienza concreta su PMI italiane, e-commerce e B2B. Pattern consolidati di hardening per ogni stack, dai siti vetrina ai WooCommerce di taglia media.
Doppia verifica obbligatoria per amministratori ed editor, password manager aziendale, verifica password al go-live contro database di leak. Nessuna eccezione.
Cloudflare con regole gestite e personalizzate, gestione bot, rate limit. Scanner real-time con threat intelligence aggiornata, niente solo plugin gratis come unica difesa.
Le anomalie generano alert via Slack o email immediato. Piano di risposta agli incidenti documentato, restore pronto e testato. SLA per incidenti critici concordato in fase di onboarding.
Analisi preliminare gratuita + report sintetico via email entro 48h.
