12 migliori plugin di sicurezza per WordPress a confronto (recensione 2021)

La sicurezza è un imperativo assoluto quando possiedi un blog, un sito per piccole imprese o un negozio di eCommerce. Dopo tutto, se il tuo sito viene violato, rischi di danneggiare la reputazione, perdendo file e database, compromettendo i piazzamenti SEO e consegnando i dati personali di clienti e visitatori agli hacker. 

Come per molte cose nella vita, prevenire è meglio che curare. Per fortuna, WordPress rende facile proteggere il tuo sito e prevenire l’hackeraggio.

Daremo uno sguardo approfondito a 12 dei migliori plugin di sicurezza per WordPress, li confronteremo in una varietà di aree e ti aiuteremo a prendere la decisione giusta per il tuo particolare sito. Inoltre, risponderemo ad alcune domande comuni sulla sicurezza di WordPress.

WordPress ha problemi di sicurezza?

WordPress potenzia oltre il 40% del web ed è il più popolare sistema di gestione dei contenuti (CMS). Sebbene la sua popolarità lo renda un bersaglio degli hacker, il software stesso non ha problemi di sicurezza.

Vedi, gli hacker raramente accedono ai siti web attraverso le vulnerabilità di WordPress. Invece, la maggior parte dei siti viene violata per problemi di sicurezza prevenibili come plugin e temi non aggiornati, password non sicure o scarso ambiente di hosting.

Sebbene nessun sistema di gestione dei contenuti sia sicuro al 100%, gli sviluppatori principali di WordPress lavorano molto duramente per renderlo il più sicuro possibile tramite ogni singolo aggiornamento. Inoltre, se segui alcune best practice di base, non dovresti avere nulla di cui preoccuparti.

Come posso migliorare la sicurezza di WordPress?

1. Scegli un fornitore di hosting di qualità. La sicurezza inizia dal tuo fornitore di hosting, quindi scegline uno con una buona reputazione. Cerca funzionalità come backup automatici, un certificato SSL, un firewall a livello di server e protezione da malware. Inoltre, prima di acquistare un piano, controlla le recensioni per problemi comuni relativi alla sicurezza. Consulta i fornitori di hosting WordPress consigliati da Jetpack.
2. Aggiorna regolarmente WordPress, temi e plugin. I nuovi rilasci spesso includono patch per le vulnerabilità della sicurezza, insieme a funzionalità e funzioni aggiuntive, quindi assicurati di aggiornare tutto il prima possibile.
3. Scegli temi e plugin affidabili. Installa solo temi e plugin che provengono da fonti affidabili e hanno eccellenti recensioni. Inoltre, mai acquistare versioni gratuite (dette anche “nulled”) di temi e plugin premium. Queste sono spesso piene di malware e vulnerabilità.
4. Crea nomi utente e password sicuri. Usa password univoche per il tuo sito WordPress, lunghe almeno 20 caratteri e che combinano lettere maiuscole, minuscole, numeri e simboli. In questo modo hacker e bot continuano a tirare a indovinare.
5. Imposta autorizzazioni utente adeguate. I ruoli utente di WordPress definiscono le azioni che possono essere compiute da ogni account sul tuo sito. Dai alle persone solo il ruolo minimo, necessario per poter svolgere il loro lavoro, e rimuovi qualsiasi account che non viene più usato.
6. Esegui backup automatici archiviati esternamente al sito. Imposta backup automatici che vengono effettuati, almeno, ogni 24 ore. Quindi, archivia questi backup in modo totalmente separato dal tuo fornitore di hosting, in modo che, se accade qualcosa al tuo server, il tuo backup non ne risente. 
7. Imposta la protezione dagli attacchi di forza bruta. Gli attacchi di forza bruta avvengono quando i bot calcolano centinaia di combinazioni di nome utente/password ogni minuto per farsi strada nel tuo sito. Un buono strumento, però, può bloccare gli indirizzi IP sospetti prima che ti raggiungano. 
8. Scansiona in cerca di malware. Anche se non puoi monitorare fisicamente il tuo sito alla ricerca di malware 24 ore su 24, 7 giorni su 7, scegli uno strumento o un plugin in grado di farlo. Conoscere il secondo in cui avviene qualcosa di sospetto consente di risolvere il problema e impedire che si diffonda.
9. Imposta l’autenticazione a due fattori. L’autenticazione a due fattori richiede una password e un dispositivo fisico per accedere al tuo sito. In genere, invia un codice univoco al tuo telefono, che devi inserire per accedere. Questo rende quasi impossibile per gli hacker ottenere un nome utente e una password.
10. Sbarazzati dei commenti spam. I commenti spam non sono solo fastidiosi; possono includere link a siti di phishing dannosi, ledendo quindi anche i visitatori del tuo sito web. Puoi sbarazzartene manualmente o installando un plugin che filtra in modo automatico i commenti ed elimina lo spam.

Necessito di un plugin di sicurezza WordPress?

Non hai necessariamente bisogno di un plugin di sicurezza WordPress per eseguire un sito sicuro. Molte best practice, come aggiornamenti regolari e password sicure, possono essere messe in atto senza averne uno. Tuttavia, i migliori plugin di sicurezza WordPress ti fanno fare un salto di qualità, aggiungendo un ulteriore livello di sicurezza e rendendo semplice aggiungere protezione avanzata senza il supporto di uno sviluppatore.

Inoltre, la sicurezza è un’area su cui non vuoi lesinare. Indipendentemente dal tipo di sito che gestisci, un attacco hacker potrebbe influire seriamente sul modo in cui visitatori, clienti e client percepiscono il tuo marchio. Puoi anche danneggiare i posizionamenti sui motori di ricerca (a Google non piacciono i siti non sicuri), diminuire il numero delle vendite e dei lead che ricevi e mettere a rischio informazioni come quelle relative alla carta di credito.

Quindi, benché un plugin di sicurezza WordPress non è necessariamente richiesto, è una buona idea utilizzarne uno per qualsiasi sito.

I migliori plugin di sicurezza per WordPress

Diamo uno sguardo ai migliori plugin di sicurezza WordPress:

Puoi usare l’elenco mostrato sopra per scorrere rapidamente i plugin specifici e rivedere le loro funzionalità più importante, le opzioni dei prezzi e, soprattutto, come possono aiutarti a proteggere il tuo sito web.

1. Jetpack Security

A differenza di molti altri plugin, Jetpack Security è attento a molteplici attività: le funzionalità gratuite e a pagamento includono di tutto, dalla prevenzione degli attacchi di forza bruta al monitoraggio dei tempi di inattività, a backup, scansione antimalware, protezione antispam e altro ancora. Queste funzionalità si uniscono per creare un plugin di sicurezza WordPress olistico che sia semplice da usare per i principianti, ma abbastanza completo per il sito più grande. In più, come bonus, poiché le scansioni vengono eseguite sui server Jetpack, non rallenteranno il tuo sito web.

Inoltre, Jetpack viene creato e supportato dalle persone dietro WordPress.com, in particolare per WordPress. Il team di Jetpack conosce ogni aspetto di WordPress e capisce i problemi esatti che i proprietari di siti WordPress devono affrontare ogni giorno, che è esattamente ciò che lo rende il miglior plugin di sicurezza disponibile.

Funzionalità chiave di Jetpack Security:

• Backup automatizzati giornalieri e in tempo reale
• Scansioni antimalware giornaliere e in tempo reale
• Prevenzione dello spam automatizzata
• Un log attività dettagliato che mostra quello che accade sul tuo sito
• Monitoraggio dei tempi di inattività
• Protezione dagli attacchi di forza bruta
• Autenticazione a due fattori
• Un’app per dispositivi mobili che avvisa e accede a backup, risultati delle scansioni e log attività

Analizziamo alcune di queste funzionalità in modo un po’ più dettagliato.

Protezione dagli attacchi di forza bruta

Un attacco di forza bruta avviene quando gli hacker usano bot per calcolare combinazioni di nome utente e password fino a trovare quella corretta. Poiché usano grandi reti di computer, possono provare centinaia di password al secondo.

La funzionalità di protezione dagli attacchi di forza bruta di Jetpack blocca i tentativi di accesso indesiderati da IP dannosi prima che raggiungano il tuo sito.

Monitoraggio dei tempi di inattività

Il monitoraggio dei tempi di inattività di Jetpack visita il tuo sito web da più località nel mondo e invia un avviso immediato se il sito diventa inattivo. Perché questo è utile? Non puoi risolvere un problema se non sai di averlo. Se il tuo sito web diventa inattivo per un periodo di tempo prolungato, potresti perdere traffico, vendite e perfino posizionamenti nei motori di ricerca. Con il monitoraggio dei tempi di inattività, verrai subito a conoscenza dei problemi, cosi che tu possa risolverli il più velocemente possibile.

Autenticazione a due fattori

L’autenticazione a due fattori aggiunge un ulteriore livello di sicurezza alla pagina di accesso, richiedendo più dei soli nome utente e password. Quando accedi al tuo sito, Jetpack invia un codice al tuo telefono che dovrai inserire. Ciò vuol dire che, affinché un hacker possa entrare, dovrebbe conoscere il tuo nome utente e la tua password e avere fisicamente il tuo dispositivo mobile, una combinazione improbabile.

Backup automatizzati  

Se il tuo sito si blocca per qualsiasi motivo, un backup completo avrà un valore inestimabile. Immagina di perdere tutto il tuo duro lavoro, i soldi che hai investito e i dati dei tuoi clienti o dei visitatori. I backup di WordPress offrono tranquillità.

Non tutte le soluzioni di backup, però, vengono create uguali. I backup di Jetpack sono:

• Automatizzati, quindi non devi creare backup manualmente.
• Sicuri, quindi i tuoi backup sono protetti e sempre disponibili.
• Facili da impostare, cosa particolarmente utili se non hai familiarità con la gestione di codici o server.
• Rapidi da ripristinare, quindi puoi far funzionare il sito di nuovo il più rapidamente possibile.
• Disponibili in due formati: giornalieri e in tempo reale.

I backup giornalieri avvengono in modo automatico una volta al giorno e sono una soluzione ottimale per ristoranti, blog e altri siti web che non vengono aggiornati più di una volta ogni 24 ore.

I backup in tempo reale avvengono automaticamente mentre lavori, in modo che tu abbia un record aggiornato al minuto del tuo sito web: ogni modifica viene salvata mentre la apporti. Sono perfetti per negozi online, siti di membership, forum e qualsiasi sito web aggiornato regolarmente. 

Indipendentemente dall’opzione scelta, puoi essere certo che verrà effettuato il backup del tuo sito e che questo potrò essere ripristinato in pochi clic se ne hai bisogno.

Scansione antimalware automatizzata

Se un hacker accede al tuo sito web, può creare una “backdoor”, un tipo di malware che gli consente di accedere al tuo sito ogni volta che vuole rubare dati o inserire malware o virus a tua insaputa. Il malware compromette la tua reputazione e mette a rischio le tue informazioni e i dati dei tuoi clienti.

È qui che entra in gioco Jetpack Scan. Esegue scansioni antimalware giornaliere automatizzate del codice del tuo sito, controllando qualsiasi elemento sospetto. Nel momento in cui rileva una minaccia, riceverai una notifica e-mail con informazioni dettagliate sui file infetti.

Ancora meglio: Jetpack risolve automaticamente la maggior parte delle minacce conosciute. Quindi non solo verrai subito a conoscenza dei problemi, ma probabilmente non dovrai muovere un dito per risolverli.

Filtro antispam automatizzato

Lo spam si presenta spesso sotto forma di commenti irrilevanti che includono link a siti web poco affidabili. Con il software giusto, gli spammer possono lasciare milioni di commenti, che diventano rapidamente ingestibili.

Jetpack Anti-spam filtra automaticamente commenti, pingback e invii di moduli di contatto per spam noto, facendoti risparmiare ore di tempo. Se sei preoccupato che i commenti reali vengano contrassegnati come spam, puoi esaminarli e ripristinare tutto ciò che desideri o semplicemente impostare Jetpack per eliminare i commenti peggiori in modo da non doverli mai vedere. 

App Jetpack per dispositivi mobili

Gli hacker non si fermano solo perché non sei al computer. Con l’app Jetpack per dispositivi mobili, puoi controllare l’attività del sito, ripristinare un backup e visualizzare i risultati della scansione antimalware, indipendentemente da dove ti trovi. 

Inoltre, per la massima tranquillità, riceverai avvisi immediati se il tuo sito web non funziona o se viene rilevato un malware. Scopri qualcosa che non va? Puoi trovare una soluzione alla maggior parte delle minacce conosciute con un clic, direttamente dall’app.

Facile da usare:

Jetpack è progettato in modo che qualsiasi proprietario di siti web possa usarlo, indipendentemente dal livello delle sue conoscenze tecniche. Tutte le funzionalità possono essere attivate in pochi clic, senza che siano necessarie conoscenze relative ai codici o sviluppatori.

Supporto e documentazione:

Jetpack è gestito e supportato da esperti di WordPress che si preoccupano davvero per te, per il tuo sito e per la tua attività: vengono appropriatamente chiamati Happiness Engineer. Un piano gratuito include supporto e-mail di alta qualità e i piani a pagamento offrono un’attenzione più rapida e prioritaria, per ottenere l’aiuto di cui hai bisogno proprio quando lo necessiti.

È presente anche un’ampia documentazione che ti guida attraverso l’impostazione e la risoluzione dei problemi.

Opzioni di prezzi e piani:

• Jetpack Free include il monitoraggio dei tempi di inattività, la protezione dagli attacchi di forza bruta e un log attività con gli ultimi 20 eventi gratis.
• Jetpack Security giornaliera include tutte le funzionalità, insieme a backup e scansioni di sicurezza giornalieri e un log attività di 30 giorni a partire da $ 11,97 al mese.
• Jetpack Security in tempo reale include tutte le funzionalità, insieme a backup e scansioni di sicurezza in tempo reale e un log attività di un anno a partire da $ 33,57 al mese.
• Puoi anche acquistare alcune funzionalità singolarmente, come Jetpack Backup, Jetpack Scan e Jetpack Anti-spam a partire da $ 4,77 al mese.

Ottimo per: 

Blog, negozi di eCommerce e siti web di qualsiasi dimensione. Jetpack Security è il plugin di sicurezza WordPress più completo e migliore che può essere usato praticamente in qualsiasi scenario. 

2. Wordfence

Wordfence è un firewall per applicazioni web che offre anche alcune funzionalità aggiuntive come la scansione antimalware. Poiché il firewall è un firewall per endpoint, si integra in modo approfondito con WordPress, non può essere aggirato e non può far trapelare dati. Questo lo rende molto più sicuro delle alternative cloud.

Dopo aver impostato Wordfence, riceverai notifiche e-mail in caso venga rilevato qualche problema come un plugin obsoleto, una parte di codice dannoso o un virus. 

Tuttavia, Wordfence è noto per rallentare il tuo sito, poiché aggiunge molte tabelle di database pesanti e mette a dura prova il tuo server durante le scansioni antimalware.

Funzionalità principali di Wordfence:

• Un firewall per applicazioni web
• Uno scanner di sicurezza
• Protezione in caso di password trapelata
• Autenticazione a due fattori
• Blocco manuale e blocco per Paese
• Ripristino automatizzato dei file

Diamo un’occhiata più da vicino ad alcune di queste funzionalità.

Firewall per applicazioni web

Il firewall è sicuramente la funzionalità più potente di Wordfence. Sfrutta i dati raccolti dagli oltre quattro milioni di siti web che protegge per comprendere il modo in cui gli hacker attaccano, qual è l’aspetto hanno gli attacchi e da dove provengono. Aggiorna regolarmente le regole del firewall e l’elenco di indirizzi IP dannosi che blocca per una protezione costante.

Scanner di sicurezza

Lo scanner di sicurezza controlla il tuo sito alla ricerca di malware, URL errati, spam, reindirizzamenti dannosi e code injection. Segnala anche eventuali modifiche apportate ai file principali di WordPress, alle vulnerabilità di sicurezza note e ai plugin obsoleti. 

Blocco manuale e blocco per Paese

I piani Premium forniscono l’accesso a queste funzionalità, che in sostanza aggiungono solo ulteriore potenza al firewall. Con il blocco manuale, puoi scegliere di bloccare intere reti dannose o qualsiasi attività umana o eseguita da robot che desideri. Con il blocco per Paese, puoi bloccare tutto il traffico proveniente da uno specifico Paese, il che può essere particolarmente utile durante un attacco. Ricordati che il blocco per Paese a lungo termine non è raccomandato per scopi SEO.

Ripristino automatizzato dei file

Se Wordfence rileva che un file principale di WordPress è stato modificato in modo non piacevole, puoi riportare il file al suo stato originale con un solo clic. È importante notare, tuttavia, che questa operazione è diversa dalla rimozione del malware o dal ripristino di un sito violato, che dovrai pagare $ 490 aggiuntivi a Wordfence.

Facile da usare:

Mentre Wordfence può essere usato da chi non ha conoscenze tecniche, il pannello delle impostazioni può sopraffare ed essere complicato. Tutte le funzionalità vengono contemporaneamente elencate e può essere difficile capire ciò di cui ha bisogno il tuo sito. Per impostazione predefinita, Wordfence invia anche tanti avvisi e-mail, molti dei quali non richiedono alcuna risposta da parte del proprietario del sito, e può essere difficile per i principianti capire cosa deve essere fatto con ciascuno di essi.

Supporto e documentazione:

Wordfence fornisce supporto gratuito tramite i forum di WordPress e supporto premium tramite un sistema di gestione dei ticket online. Dispone anche di un database della documentazione che fornisce dettagli sull’impostazione e sulla risoluzione dei problemi del plugin.

Opzioni di prezzi e piani:

• Wordfence Free include il firewall per applicazioni web di base, lo scanner antimalware e la protezione dagli attacchi di forza bruta gratis.
• Wordfence Premium aggiunge funzionalità come aggiornamenti del firewall in tempo reale, controlli dell’elenco degli IP da bloccare e blocco per Paese per $ 99 all’anno.

Ottimo per: 

Piccoli siti web che cercano specificamente un firewall e non hanno bisogno di proteggere dati importanti come le informazioni sulla carta di credito. Sebbene Wordfence includa funzionalità aggiuntive, non è il plugin di sicurezza per WordPress più completo in questo elenco. Il firewall per applicazioni web è ciò che lo contraddistingue.

3. iThemes Security

iThemes Security è un plugin freemium che si focalizza maggiormente sulla protezione avanzata del tuo sito, aggiungendo livelli di protezione, rispetto all’identificazione e alla risoluzione degli hackeraggi. Lo fa attraverso misure di sicurezza come l’impostazione di autorizzazioni dei file corrette, l’applicazione di password complesse e la modifica degli URL di accesso. 

Funzionalità principali di iThemes Security:

• Protezione dagli attacchi di forza bruta
• Modifica del file e rilevamento dell’errore 404
• Backup dei database
• Occultamento della pagina di accesso e di amministrazione
• Protezione con password complessa
• Autenticazione a due fattori

Di seguito sono presenti maggiori dettagli su alcune di queste funzionalità:

Protezione dagli attacchi di forza bruta

Blocca le persone quando tentano di accedere più volte e non riescono. In questo modo i bot continuano a tirare a indovinare la combinazione di password e nome utente migliaia di volte in un breve lasso di tempo.

Backup dei database

Genera automaticamente backup del tuo database, che ti vengono poi inviati tramite e-mail. Qui viene incluso solo il database, non i tuoi file, gli elementi multimediali, i plugin o i temi.

Occultamento della pagina di accesso

Per impostazione predefinita, tutti i siti WordPress utilizzano l’URL/wp-admin per la pagina di accesso e della bacheca. Questa opzione, ovviamente, rende molto facile per gli hacker trovare quella pagina, dal momento che è sempre la stessa. La modifica dell’URL in qualcosa di differente, che iThemes Security ti consente di fare senza codice personalizzato, aggiunge un ulteriore livello di protezione.

Facile da usare:

Come Wordfence, la bacheca delle impostazioni di iThemes può essere impegnativa per i principianti e per gli utenti che non hanno conoscenze tecniche. Esistono molte piccole impostazioni che possono essere attivate o disattivate ed è difficile sapere quali sono adatte al tuo sito.

Supporto e documentazione:

La versione gratuita di iThemes Security viene eseguita tramite i forum di WordPress.org. La versione premium include un sistema di supporto con ticket. È inoltre disponibile un’ampia documentazione.

Opzioni di prezzi e piani:

• iThemes Security Free include misure di protezione avanzata, backup del database, protezione dagli attacchi di forza bruta e protezione dalle modifiche ai file (tra le altre funzionalità) gratis.
• iThemes Blogger (Premium) aggiunge scansioni antimalware pianificate, autenticazione a due fattori e reCAPTCHA (tra le altre funzionalità) e costa $ 80 all’anno per sito. 

Ottimo per: 

Protezione dell’accesso e protezione avanzata del sito. Sebbene siano incluse tante altre funzionalità, molti degli altri plugin di sicurezza per WordPress le gestiscono in modo migliore, in una modalità più semplice per gli utenti.

4. Sucuri

Sucuri è una soluzione di sicurezza di WordPress basata su cloud, il che significa che funziona completamente sui propri server, prevenendo i ritardi dei tuoi. Non è stato creato appositamente per WordPress e funziona con qualsiasi piattaforma o sistema di gestione dei contenuti. Sebbene offra firewall per applicazioni web e strumenti per la scansione antimalware, i suoi servizi di pulizia sono davvero brillanti. 

È importante sottolineare il fatto che Sucuri separa molto chiaramente le sue funzionalità gratuite e premium. Il plugin gratuito offre la scansione antimalware e la protezione avanzata di WordPress, mentre la versione premium include il firewall per applicazioni web e i servizi di pulizia dell’hacheraggio.

Funzionalità principali di Sucuri:

• Scansione antimalware
• Monitoraggio dello stato dell’elenco degli elementi da bloccare
• Un firewall per applicazioni web
• Mitigazione del DDoS (Distributed Denial of Service)
• Prevenzione degli attacchi di forza bruta
• Servizi di pulizia del sito web

Esaminiamo alcune di queste funzionalità ancora più da vicino.

Monitoraggio dello stato dell’elenco degli elementi da bloccare

Sucuri esegue il tuo URL attraverso una molteplicità di servizi per controllare se sei nell’elenco degli elementi da bloccare. Inoltre, poiché i siti presenti nell’elenco degli elementi da bloccare perdono una quantità significativa di traffico, questa opzione può essere un enorme vantaggio.

Mitigazione del DDoS (Distributed Denial of Service)

Gli attacchi DDoS sono tentativi dannosi di interrompere il traffico di un server sovraccaricandolo con un flusso di traffico fasullo. Questo in sostanza impedisce a visitatori e clienti normali e legittimi di accedere al tuo sito web. La funzione di mitigazione del DDoS di Sucuri blocca questi attacchi.

Servizi di pulizia del sito web

Il team di esperti di Sucuri è disponibile per riparare e ripristinare il tuo sito dopo un attacco. Rimuove il codice dannoso dai file e dal database, invia richieste di rimozione dell’elenco degli elementi da bloccare e ripristina lo spam del SEO (come le injection dei link).

Facile da usare:

La configurazione della versione premium di Sucuri può diventare un po’ complicata per i non sviluppatori, poiché, per usare i server di Sucuri, devi modificare le impostazioni DNS del tuo dominio. Impostare il plugin gratuito di WordPress è molto più semplice per i non sviluppatori.

Supporto e documentazione:

Il supporto per la versione gratuita è offerto tramite i forum di supporto WordPress, mentre la versione premium utilizza un sistema di gestione dei ticket. È inoltre disponibile un’ampia base di conoscenze per rispondere alle domande più comuni.

Opzioni di prezzi e piani:

• Sucuri Free include la scansione antimalware, il monitoraggio dell’elenco degli elementi da bloccare e la protezione avanzata di WordPress gratis.
• Sucuri Basic aggiunge un firewall per applicazioni web e servizi di pulizia a $ 199 all’anno. Tuttavia, non esiste un tempo di risposta garantito per la pulizia e le scansioni antimalware vengono eseguite ogni 12 ore.
• Sucuri Pro costa $ 299,99 all’anno e include tutto ciò che è presente nel piano Basic, ma aumenta la frequenza delle scansioni antimalware a sei ore.
• Sucuri Business aumenta la frequenza delle scansioni antimalware a 30 minuti e garantisce un tempo di risposta agli attacchi di sei ore. Questi vantaggi sono forniti a una tariffa annuale di $ 499,99.

Ottimo per: 

Protezione avanzata e pulizia di un sito web dopo che è stato violato. Poiché la versione gratuita del plugin non include funzionalità essenziali come un firewall, è meglio attenersi alla versione premium o scegliere un’altra opzione di plugin.

5. All in One WP Security and Firewall

Il plugin All in One WP Security and Firewall è una soluzione WordPress totalmente gratuita e completa, come suggerisce il nome. Divide le sue funzionalità in categorie in base al loro livello di sicurezza (e alla probabilità che possano bloccare qualche elemento sul tuo sito), quindi tutti possono usarlo, indipendentemente dal livello delle conoscenze tecniche. 

Tuttavia, tutte le funzionalità sono incentrate sulla protezione del tuo sito dagli attacchi piuttosto che sulla scansione antimalware e sulla pulizia di un sito violato.

Funzionalità principali di All in One WP Security and Firewall:

• Protezione avanzata dell’account utente
• Sicurezza della pagina di accesso
• Backup dei database
• Sicurezza del file system
• Funzionalità elenco degli elementi da bloccare
• Un firewall
• Uno scanner di sicurezza
• Protezione dagli attacchi di forza bruta

Di seguito vengono elencate alcune informazioni in più su alcune di queste funzionalità:

Sicurezza della pagina di accesso

Il plugin blocca gli utenti dopo un determinato numero di tentativi di accesso, forza la disconnessione dopo un periodo di tempo impostato, aggiunge reCAPTCHA alla pagina di accesso e registra ogni accesso e ogni disconnessione. Tutto questo aiuta a proteggere il tuo sito sia dagli hacker che dai bot.

Sicurezza del file system

All in One WP Security and Firewall controlla i tuoi file e le tue cartelle per problemi di autorizzazione e ti consente di risolverli con un solo clic. Ti permette inoltre di impedire a hacker e bot di visualizzare file che possono essere facilmente compromessi (come readme.html, license.txt) e di disabilitare la modifica dei file.

Scanner di sicurezza

Lo scanner di sicurezza verifica la presenza di modifiche nei file confrontandoli con i file WordPress principali predefiniti. Questo strumento non risolve i problemi al posto tuo te o esegue la scansione antimalware.

Facile da usare:

Poiché le funzionalità sono divise in base al livello di sicurezza, separando quelle che potrebbero danneggiare il tuo sito da quelle che non lo farebbero, è un plugin facile da usare per i principianti. Dispone inoltre di un misuratore di potenza della sicurezza che ti offre una rapida panoramica del punto in cui ti trovi in un dato momento.

Supporto e documentazione:

Il supporto è disponibile solo tramite i forum di WordPress.org e la documentazione è limitata ad alcune funzionalità.

Opzioni di prezzi e piani:

Esiste solo una versione di questo plugin, la versione gratuita, che include tutte le funzionalità.

Ottimo per: 

Principianti e siti web di base. È facile iniziare a lavorare in tempi relativamente brevi, senza danneggiare il tuo sito. Tuttavia, poiché non esiste una versione premium di questo plugin, mancano funzionalità preziose come la scansione e la rimozione dei malware. Questa potrebbe essere una buona soluzione per i blog che parlano di hobby, che non vogliono investire molto nella sicurezza del loro sito web.

6. Defender Pro

Defender Pro è stato creato da WPMU DEV, una società di sviluppo WordPress che progetta soluzioni per qualsiasi cosa, dalla sicurezza e il consenso esplicito a quiz e analisi. Può essere acquistato separatamente o come parte di una suite di strumenti per siti web.

Funzionalità principali di Defender Pro:

• Scansioni di sicurezza
• Protezione di accesso
• Autenticazione a due fattori
• Monitoraggio dell’elenco degli elementi da bloccare
• Ripristino e riparazione dei file modificati

Facile da usare:

Defender Pro include una configurazione guidata facile da usare, ideale per i principianti.

Supporto e documentazione:

WPMU Dev offre supporto via chat, insieme a forum, e-mail e documentazione dettagliata.

Opzioni di prezzi e piani:

• Defender Pro costa solo $ 60 all’anno per le funzionalità sopra elencate.
• Il pacchetto Security and Backups aggiunge ulteriori prodotti, come strumenti di backup e migrazione, a $ 90 all’anno.
• WPMU Dev Membership è la suite completa di strumenti, inclusi consensi espliciti, analisi, ecc., e costa $ 190 all’anno.

Ottimo per: 

Siti che desiderano acquistare la suite di strumenti completa anziché solo quella relativa alla sicurezza. Sebbene Defender Pro sia una buona opzione di sicurezza, manca di funzionalità chiave come un firewall e la prevenzione dello spam. Tuttavia, se inclusi nella suite completa di strumenti WPMU Dev, sono un bel bonus. 

7. Bulletproof Security

Bulletproof Security è un plugin freemium di WordPress rivolto specificamente agli sviluppatori. È completo e consente di apportare molti ritocchi al back-end, ma è difficile da usare per i principianti.

Funzionalità chiave di Bulletproof Security:

• Scanner antimalware
• Cartelle di plugin nascoste
• Sicurezza e monitoraggio dell’accesso
• Disconnessione in caso di sessione inattiva
• Scadenza dei cookie di autenticazione
• Log di sicurezza
• Una molteplicità di altre funzionalità di sicurezza avanzate

Facile da usare:

Ancora una volta, questo non è un plugin progettato per i principianti. Sebbene fornisca una configurazione guidata, la modifica o il ritocco delle impostazioni diventa molto complicato e il tuo sito potrebbe essere danneggiato. 

Supporto e documentazione:

Il supporto per il plugin gratuito viene fornito tramite i forum di WordPress.org. Il supporto premium viene fornito tramite uno speciale forum di supporto. Sono disponibili documentazione limitata e video tutorial.  

Opzioni di prezzi e piani:

• BulletProof Security Free offre molte delle funzionalità sopra elencate senza costi aggiuntivi.
• BulletProof Security Pro include installazioni illimitate e funzionalità avanzate (come backup e monitoraggio del database, un firewall del plugin e ripristino automatico dei file del sito web) a $ 69,95.

Ottimo per: 

Sviluppatori e utenti avanzati che desiderano personalizzare personalmente tutti gli aspetti della sicurezza del proprio sito web.

8. Security Ninja

Sebbene Security Ninja sia una soluzione di sicurezza relativamente completa, la sua “pretesa di notorietà” è legata agli oltre 50 controlli di sicurezza integrati. Questi test coprono tutto, da temi e plugin aggiornati alle versioni di WordPress, all’accessibilità dei file e ai prefissi delle tabelle del database. 

Funzionalità principali di Security Ninja:

• Un firewall per applicazioni web
• Scansione antimalware
• Protezione del modulo dell’accesso
• Scansioni delle vulnerabilità dei plugin
• Registrazione eventi

Facile da usare:

Questo plugin è relativamente facile da usare, ma richiede un po’ di lavoro. Non risolve automaticamente i problemi che riscontra. Al contrario, sei completamente responsabile del tuo sito e delle correzioni di sicurezza. Questo, ovviamente, può essere un vantaggio per coloro che sanno cosa stanno facendo, ma può anche essere una difficoltà per i principianti. Se la dovessi scegliere, la versione Pro, tuttavia, risolve automaticamente circa 30 problemi.

Supporto e documentazione:

Il supporto per la versione gratuita viene fornito tramite i forum di WordPress.org, mentre la versione Pro include un sistema di gestione dei ticket di supporto. È disponibile una documentazione dettagliata.

Opzioni di prezzi e piani:

• Security Ninja Free include gli oltre 50 controlli di sicurezza sopra menzionati gratis.
• Security Ninja Starter aggiunge un firewall, uno scanner antimalware, uno strumento per la correzione automatico e molto altro a $ 49 all’anno per sito. Se desideri coprire più di un singolo sito, puoi acquistare il piano Plus (tre siti) a $ 129 all’anno o il piano Pro (cinque siti) a $ 199 all’anno. Ogni piano dispone anche dell’opzione per una licenza a vita a un costo premium. 

Ottimo per: 

Siti che vogliono un quadro molto chiaro di dove si trovano, insieme a quelli che hanno almeno una conoscenza di livello medio di WordPress e della sicurezza.

9. SecuPress

SecuPress racchiude molte funzionalità di sicurezza in un unico plugin senza sovraccaricare il tuo sito. Sia la versione gratuita che quella premium sono facili da usare per persone con tutti i livelli di conoscenza tecnica. Una delle migliori funzionalità è quella relativa al rapporto sulla sicurezza, che ti consente di sapere dove si trova il tuo sito e fornisce raccomandazioni chiare per migliorare.

Funzionalità principali di SecuPress:

• Uno scanner per l’integrità del sito
• Limite dei tentativi di accesso
• Funzionalità di protezione avanzata di WordPress
• Autenticazione a due fattori
• Scansione antimalware
• Backup di database e file

Facile da usare:

SecuPress ha un’interfaccia semplice che è facile da navigare per i proprietari di siti con qualsiasi livello di conoscenze tecniche. Classifica le funzionalità in base al loro scopo e spiega qual è la funzione di ognuna in loco.

Supporto e documentazione:

La versione gratuita include il supporto tramite i forum di WordPress, mentre la versione premium include un sistema di gestione dei ticket. 

Opzioni di prezzi e piani:

• SecuPress Free include lo scanner per l’integrità, molte funzionalità per la protezione avanzata e limita i tentativi di accesso (tra le altre funzionalità) gratis.
• SecuPress Pro aggiunge l’autenticazione a due fattori, la scansione antimalware e backup, tra le altre funzionalità avanzate, a $ 69,99 all’anno.

Ottimo per: 

Piccole imprese, in particolare quelle che possono investire dei soldi in un plugin di sicurezza per WordPress. Poiché la versione gratuita non include le funzionalità più preziose come la scansione antimalware, si consiglia di acquistare la versione premium.

10. Astra Security

Astra Security è uno strumento di sicurezza premium che si descrive come una “suite di sicurezza completa per una protezione totale, senza problemi”. È importante notare che, sebbene protegga i siti WordPress, non è stato creato specificamente per WordPress e funziona per qualsiasi tipo di sito. Dal momento che non è incentrato su WordPress, potresti perdere preziose funzionalità specifiche della piattaforma.

Funzionalità principali di Astra Security:

• Un firewall per siti web
• Scansione e pulizia del malware
• Monitoraggio dell’elenco degli elementi da bloccare
• Protezione dai bot dannosi
• Blocco per IP e per Paese

Facile da usare:

Astra Security è facile da impostare e relativamente semplice da configurare. Per il supporto, è anche disponibile un team premium dedicato.

Supporto e documentazione:

Il livello di supporto che ottieni dipende dal piano che acquisti. Il supporto viene fornito via chat 24 ore su 24, 7 giorni su 7 e sono disponibili per iniziare a lavorare la documentazione e una knowledge base.

Opzioni di prezzi e piani:

• Il Pro Plan include un firewall, pulizia di malware entro 12 ore, uno scanner antimalware, protezione da bot dannosi e supporto bronzo (tra le altre funzionalità) a $ 228 all’anno.
• L’Advanced Plan aggiunge oltre 300 test di sicurezza, pulizia di malware entro otto ore, prevenzione dello spam e supporto argento (tra le altre funzionalità) a $ 468 all’anno.
• Il Business Plan aggiunge la pulizia di malware entro sei ore, oltre 500 test di sicurezza e il supporto oro (tra le altre funzionalità) a $ 1428 all’anno. 

Ottimo per: 

Aziende più grandi, in particolare quelle con più siti su differenti piattaforme. Poiché questa è un’opzione più costosa e non è stata creata specificamente per WordPress, molto probabilmente non è la scelta migliore per la maggior parte dei blog e delle aziende WordPress. 

11. WPScan

WPScan è un plugin freemium a funzionalità singola che si concentra nello specifico sul test della sicurezza del tuo sito. Sebbene sia l’unico plugin a funzionalità singola presente in questo elenco, è incluso perché eccelle nel suo operato e offre qualcosa che la maggior parte degli altri plugin non ha. Contiene un ampio database di vulnerabilità a cui fa riferimento durante la scansione.

Funzionalità principali di WPScan:

• Scansiona oltre 21.000 vulnerabilità di sicurezza note in WordPress, plugin e temi
• Controlla i file debug.log, i file di backup wp-config.php e i file database esportati che potrebbero comportare rischi per la sicurezza
• Cerca password deboli
• Verifica se XML-RPC e le chiavi segrete predefinite sono attivate o in uso

Facile da usare:

Il plugin è molto facile da impostare. Tutto quello che devi fare è registrarti per una chiave API sul sito web, aggiungere quella chiave al plugin installato e scegliere tra le impostazioni di base.

Supporto e documentazione:

Il supporto viene fornito tramite i forum di WordPress e sono disponibili istruzioni di base.

Opzioni di prezzi e piani:

Il prezzo si basa sul numero di richieste API di cui hai bisogno al giorno. WPScan effettua una richiesta API per WordPress di base, una per ogni tema installato e una per ogni plugin che usi. Quindi, se hai dieci plugin installati e un tema, sarebbero 12 richieste API al giorno.

• Il piano Free include 25 richieste API. Per la stragrande maggioranza dei siti è possibile usare questa opzione.
• Il piano Starter include 75 richieste API e costa € 5 al mese.
• Il piano Professional include 300 richieste API e costa € 25 al mese.

Ottimo per: 

Qualsiasi sito che desideri monitorare le vulnerabilità della sicurezza e non usa un plugin di sicurezza che includa questa funzionalità. Tuttavia, è importante notare che questo non è un pacchetto di sicurezza completo e dovrebbe essere utilizzato in aggiunta a qualche altro strumento.

12. Shield Security

Shield Security usa una strategia semplice: iniziare con la prevenzione, quindi fornisce anche una soluzione se un sito viene violato. Inoltre, poiché i bot sono responsabili della maggior parte dei problemi di sicurezza, Shield Security si dedica specificamente a impedire loro di raggiungere il tuo sito. Offrono anche funzionalità che proteggono i comuni plugin di WordPress come Yoast, Gravity Forms, Advanced Custom Fields, Contact Form 7 ed Elementor.

Funzionalità principali di Shield Security:

• Un motore di rilevamento antibot
• Uno scanner antimalware e delle vulnerabilità
• Rilevamento dello spam
• Autenticazione a due fattori
• Un firewall per applicazioni web

Facile da usare:

È relativamente semplice iniziare a lavorare, ma fornisce molte informazioni e impostazioni che possono sopraffare i principianti.

Supporto e documentazione:

Il supporto gratuito viene fornito tramite i forum di WordPress.org. Il supporto premium è offerto tramite un sistema di gestione dei ticket. È inoltre disponibile un’ampia documentazione, insieme a corsi online.

Opzioni di prezzi e piani:

• ShieldFREE include il rilevamento dei bot, l’autenticazione a due fattori e un firewall (tra le altre funzionalità) gratis.
• ShieldPRO aggiunge uno scanner antimalware, uno scanner delle vulnerabilità e la prevenzione dello spam (tra le altre funzionalità) a $ 79 all’anno.

Ottimo per: 

Proprietari di siti web con una comprensione discreta della sicurezza, che possono investire dei soldi in un plugin premium. Poiché la versione gratuita non include uno scanner antimalware, è meglio acquistare la versione pro.

Conclusione finale: qual è il miglior plugin di sicurezza per WordPress? 

Sebbene WordPress sia molto sicuro, è sempre una buona idea aggiungere un’ulteriore protezione per proteggere il tuo duro lavoro e le informazioni dei visitatori. I siti possono puntare a qualsiasi dimensione, ma l’importanza di una sicurezza aggiuntiva cresce insieme alla popolarità e al volume di contenuti di un sito. 

Il modo più semplice per aumentare la sicurezza è attraverso un plugin affidabile. Scegliere il miglior plugin di sicurezza per WordPress per il tuo sito, però, può diventare complicato perché esistono tante opzioni diverse. I proprietari dei siti dovrebbero prendere in considerazione le funzionalità di prevenzione e pulizia disponibili, insieme ai costi e alle conoscenze tecniche richieste. 

Supportato da un team di esperti di WordPress, Jetpack è la scelta migliore per la sicurezza dei siti web WordPress. Bilancia solide funzionalità di prevenzione e risoluzione e costi ragionevoli, impostazione semplice e supporto superiore. 

Se stai solo cercando uno strumento per la scansione di sicurezza e non desideri tutte le altre funzionalità e funzioni, WPScan è un’ottima scelta. Non solo è completamente gratuito, ma eccelle anche nell’identificazione delle vulnerabilità di sicurezza per aiutarti a proteggere in modo avanzato e bloccare il tuo sito WordPress.

In alternativa, se sei uno sviluppatore alla ricerca di un’opzione avanzata e personalizzabile, potresti prendere in considerazione BulletProof Security. Ti consente di ritoccare praticamente tutto ciò che è presente nel back-end in modo da poter fornire funzionalità di sicurezza uniche e complete per tutti i siti dei tuoi clienti.

Domande frequenti sulla sicurezza di WordPress

I plugin di WordPress possono contenere virus?

Sì, i plugin di WordPress non sicuri possono contenere virus. Poiché WordPress è open source, chiunque può modificare e usare il suo codice per creare nuovi plugin. Questo è incredibilmente vantaggioso perché significa che esiste una soluzione per quasi tutte le esigenze, ma vuol dire anche che gli sviluppatori sgradevoli possono trarre benefici dal sistema.

Tutto ciò di cui hai bisogno, però, è un po’ di diligenza quando selezioni i plugin. Installali sempre da fonti attendibili (come il repository di WordPress.org) e controlla accuratamente le recensioni per eventuali accenni di problemi. Soprattutto, non installare mai versioni nulled (o gratuite) di plugin premium. Queste sono spesso piene di malware e vulnerabilità. 

WordPress può essere violato?

Sì, WordPress, come qualsiasi altro sistema di gestione dei contenuti, può essere violato. La maggior parte degli attacchi, però, avviene attraverso metodi completamente prevenibili. Se metti in atto alcune best practice, come la scelta di un fornitore di hosting di alta qualità, l’impostazione di password sicure, l’aggiornamento del software e l’installazione di un plugin di sicurezza per WordPress, non c’è motivo per cui il tuo sito sia più vulnerabile di qualsiasi altro. 

Quali tipi di siti hanno maggiori probabilità di essere violati?

Anche se può sembrare che gli hacker prendano di mira solo siti web di grandi dimensioni con molto traffico, non è proprio così. La realtà è che le piccole imprese e i blog hanno la stessa probabilità di essere violati, ma spesso hanno meno misure di sicurezza in atto.

La maggior parte degli hacker non prende di mira siti specifici. Al contrario, utilizzano bot automatizzati per eseguire ricerche sul web, alla ricerca di facili opportunità. Inoltre, i bot automatizzati non discriminano.

Il mio sito web ha bisogno di un firewall?

Un buon firewall è consigliato per qualsiasi sito web, in quanto funge da scudo tra il tuo sito e tutto il traffico in entrata. Un firewall dovrebbe essere incluso con qualsiasi piano di hosting scelto, che protegge il tuo sito a livello di server, ma dovresti anche installare un firewall per applicazioni web per proteggere il tuo sito web da attacchi specifici ai sistemi di gestione dei contenuti.

Pensa a un firewall come a una guardia che sta alla porta del tuo sito web. Monitora ogni visitatore e bot che si ferma, identifica i caratteri sospetti (come indirizzi IP errati, botnet e traffico verso pagine nascoste) e li blocca prima ancora che abbiano la possibilità di attaccare. Il modo migliore e più semplice per aggiungere un firewall al tuo sito WordPress è con un plugin.

WordPress è sicuro per i siti di eCommerce?

Quando si tratta di sicurezza di WooCommerce, è opportuno essere vigili. Dopotutto, sei responsabile della protezione dei dati dei clienti, oltre quella dei file e del database del tuo sito. Tuttavia, WordPress è una scelta eccellente e sicura per un negozio online.

Essendo il sistema di gestione dei contenuti più popolare, può essere un bersaglio per gli hacker. Tuttavia, ha una miriade di misure di sicurezza integrate che manterranno sicuro il tuo sito. Inoltre, mettendo in atto alcune best practice, come password complesse, un fornitore di hosting di qualità e un ottimo plugin di sicurezza per WordPress, sarai pronto ad avere successo. 

Come posso controllare la sicurezza di WordPress?

Il miglior punto di partenza è con uno strumento di scansione antimalware. Questo eseguirà la scansione del tuo sito web in cerca di qualsiasi codice sospetto e ti avviserà se trova qualcosa. Alcuni risolvono anche automaticamente eventuali problemi che trovano.

Di seguito vengono elencati alcuni altri modi per controllare la sicurezza di WordPress:

• Assicurati che il tuo certificato SSL funzioni. Un certificato SSL protegge i dati trasmessi sul tuo sito, come il pagamento e le informazioni di contatto. Per assicurarti che il tuo funzioni, controlla semplicemente l’icona del lucchetto accanto al tuo URL nel tuo browser.
• Monitora i tempi di inattività. Se il tuo sito non funziona, potrebbe essere un’indicazione di un attacco. Installa uno strumento automatizzato che ti avviserà se il tuo sito web è inaccessibile, in modo da poter risolvere immediatamente i problemi.
• Assicurati che non siano presenti avvisi di sicurezza del browser. Se il tuo sito è stato violato, browser come Google Chrome e Safari mostreranno un avviso di sicurezza quando digiti il tuo URL. Potresti dover visitare il tuo sito web in una finestra di navigazione in incognito o privata per ottenere risultati più accurati.
• Controlla le notifiche in Google Search Console. Se disponi di un account Google Search Console, puoi accedere rapidamente al rapporto sui problemi di sicurezza, che ti consentirà di sapere se il tuo sito è stato violato o se sta seguendo pratiche non sicure.
• Segui le best practice sulla sicurezza. Il modo migliore per garantire che il tuo sito WordPress sia sicuro è implementare buone misure di sicurezza. Esegui i passaggi adeguati a proteggere in modo avanzato il tuo sito (usando una guida da una fonte affidabile come Jetpack) e ti sentirai sicuro di poter resistere agli hacker. 

---