{"id":1917,"date":"2026-04-04T14:42:00","date_gmt":"2026-04-04T14:42:00","guid":{"rendered":"https:\/\/studioimmens.com\/configurare-un-firewall-per-wordpress\/"},"modified":"2026-07-16T17:04:41","modified_gmt":"2026-07-16T15:04:41","slug":"configurare-un-firewall-per-wordpress","status":"publish","type":"post","link":"https:\/\/studioimmens.com\/en\/configurare-un-firewall-per-wordpress\/","title":{"rendered":"Configurare un firewall per WordPress"},"content":{"rendered":"<p>\ufeff<\/p>\n<h2>Cos&#8217;\u00e8 un firewall per WordPress e perch\u00e9 \u00e8 fondamentale<\/h2>\n<p>La sicurezza di un sito WordPress non \u00e8 un optional: con oltre 40.000 attacchi al giorno registrati su siti non protetti, disporre di un firewall rappresenta la prima linea di difesa contro minacce informatiche, tentativi di intrusione e attacchi DDoS. Un firewall per WordPress agisce come un filtro intelligente tra il traffico internet e il tuo sito, analizzando ogni richiesta in ingresso e bloccando quelle sospette prima che possano raggiungere il server e causare danni.<\/p>\n<p>Un Web Application Firewall (WAF) \u00e8 specificamente progettato per proteggere applicazioni web come WordPress. A differenza di un firewall di rete tradizionale che opera a livello di porta e protocollo, un WAF esamina il contenuto delle richieste HTTP\/HTTPS, identificando pattern dannosi come tentativi di SQL injection, cross-site scripting (XSS), brute force sul login e inclusioni di file remoti. Questa capacit\u00e0 di analisi a livello applicativo rende il WAF indispensabile per chiunque gestisca un sito WordPress, indipendentemente dalle dimensioni o dal traffico.<\/p>\n<h2>Tipologie di firewall per WordPress<\/h2>\n<p>Esistono tre grandi categorie di firewall per WordPress, ciascuna con caratteristiche, vantaggi e limiti specifici. La scelta dipende dalle esigenze tecniche, dal budget e dal livello di controllo che si desidera avere.<\/p>\n<h3>Firewall DNS-level (Cloudflare, Sucuri)<\/h3>\n<p>I firewall DNS-level operano a livello di rete, intercettando tutto il traffico diretto al tuo sito prima che raggiunga il server di hosting. Cloudflare e Sucuri sono i due nomi pi\u00f9 noti in questa categoria. Configurando i nameserver del tuo dominio verso questi servizi, tutto il traffico passa attraverso i loro server edge, dove viene analizzato e filtrato in tempo reale. Il vantaggio principale \u00e8 la capacit\u00e0 di assorbire attacchi DDoS di grandi dimensioni sfruttando una rete globale di datacenter. Inoltre, questi servizi offrono funzionalit\u00e0 aggiuntive come CDN (Content Delivery Network), ottimizzazione delle immagini e protezione da attacchi a livello di applicazione. Cloudflare offre un piano gratuito molto completo, mentre Sucuri \u00e8 a pagamento ma include anche la pulizia del sito in caso di infezione.<\/p>\n<h3>Firewall server-level (ModSecurity)<\/h3>\n<p>ModSecurity \u00e8 un firewall open-source a livello di server web (Apache, Nginx, IIS). Viene installato direttamente sul server e analizza il traffico prima che venga elaborato da WordPress. La configurazione avviene tramite regole OWASP (Open Web Application Security Project), un set di regole aggiornate che coprono le vulnerabilit\u00e0 pi\u00f9 comuni. Molti provider di hosting WordPress gestito includono ModSecurity con le regole OWASP gi\u00e0 preconfigurate. Il vantaggio di questa soluzione \u00e8 la trasparenza: l&#8217;utente finale non deve configurarlo, ma l&#8217;amministratore del server ha il pieno controllo sulle regole applicate. Lo svantaggio \u00e8 che pu\u00f2 essere complesso da configurare correttamente e, se mal regolato, potrebbe bloccare traffico legittimo.<\/p>\n<h3>Firewall applicativo (Wordfence, iThemes Security, SecuPress)<\/h3>\n<p>I firewall applicativi sono plugin WordPress che si installano direttamente nel sito. Wordfence \u00e8 il pi\u00f9 popolare, con oltre 4 milioni di installazioni attive. Funziona creando un livello di protezione all&#8217;interno del codice di WordPress, analizzando ogni richiesta PHP prima che venga eseguita. Wordfence include un firewall basato su regole (con aggiornamenti continui), uno scanner di malware, protezione da brute force, e un modulo di live traffic che mostra tutte le richieste in tempo reale. Il grande vantaggio \u00e8 la facilit\u00e0 di installazione e gestione: si attiva come un normale plugin dal pannello di amministrazione. Tuttavia, poich\u00e9 il codice viene eseguito sul tuo server, pu\u00f2 consumare risorse significative, specialmente su siti con traffico elevato.<\/p>\n<h2>Configurare Cloudflare WAF per WordPress<\/h2>\n<p>Cloudflare \u00e8 probabilmente la scelta pi\u00f9 diffusa per la protezione di siti WordPress, grazie al generoso piano gratuito e alla facilit\u00e0 di configurazione. Vediamo i passaggi principali per impostare correttamente il WAF di Cloudflare.<\/p>\n<h3>Security Level<\/h3>\n<p>Dal pannello di controllo Cloudflare, nella sezione Security &gt; Settings, trovi l&#8217;impostazione Security Level. Puoi scegliere tra Essentially Off, Low, Medium, High, e I&#8217;m Under Attack. Per la maggior parte dei siti WordPress, Medium \u00e8 il valore consigliato: mostra una challenge (CAPTCHA) ai visitatori con IP sospetti. In caso di attacco DDoS in corso, puoi alzare temporaneamente a I&#8217;m Under Attack, che mostra una pagina JavaScript challenge a tutti i visitatori prima di permettere l&#8217;accesso.<\/p>\n<h3>Rate Limiting<\/h3>\n<p>Il rate limiting di Cloudflare (disponibile nei piani Pro e superiori, o con regole personalizzate in alcuni piani gratuiti) permette di bloccare automaticamente gli IP che effettuano un numero eccessivo di richieste in un breve periodo. Questo \u00e8 particolarmente utile contro gli attacchi di brute force sulla pagina di login di WordPress. Una configurazione tipica prevede il blocco per 10 minuti degli IP che superano le 20 richieste in 5 secondi verso wp-login.php o \/xmlrpc.php.<\/p>\n<h3>Bot Fight Mode<\/h3>\n<p>Attivabile dalla sezione Security &gt; Bots, la modalit\u00e0 Bot Fight Mode identifica e blocca automaticamente i bot malintenzionati, consentendo il passaggio solo ai bot legittimi come Googlebot e Bingbot. Questa funzionalit\u00e0 \u00e8 particolarmente efficace per ridurre lo spam e il traffico non umano che consuma risorse del server. Per i siti WooCommerce, per\u00f2, valuta attentamente l&#8217;attivazione perch\u00e9 potrebbe interferire con alcuni servizi di terze parti come i crawler dei prezzi.<\/p>\n<h3>OWASP ModSecurity Rules<\/h3>\n<p>I piani Cloudflare Pro e superiori includono l&#8217;OWASP Core Rule Set, un insieme di regole che proteggono dalle vulnerabilit\u00e0 pi\u00f9 comuni delle applicazioni web. Puoi attivarle dalla sezione Security &gt; WAF &gt; Managed Rules. \u00c8 consigliabile iniziare con la modalit\u00e0 &#8220;Simulate&#8221; per una settimana, monitorando i log per verificare che non vengano bloccate richieste legittime, prima di passare alla modalit\u00e0 &#8220;Block&#8221;.<\/p>\n<h2>Configurare Wordfence Firewall<\/h2>\n<p>Wordfence rimane il plugin firewall pi\u00f9 completo per WordPress. Ecco come configurarlo al meglio per la protezione del tuo sito.<\/p>\n<h3>Learning Mode iniziale<\/h3>\n<p>Dopo l&#8217;installazione, Wordfence entra automaticamente in Learning Mode per circa una settimana. In questa fase, il firewall non blocca alcuna richiesta, ma impara il comportamento normale del tuo sito e dei tuoi visitatori. Trascorso il periodo di apprendimento (o prima, se il sito ha gi\u00e0 traffico consolidato), Wordfence passa automaticamente alla modalit\u00e0 &#8220;Enabled and Protecting&#8221;. \u00c8 fondamentale non disabilitare questa fase, perch\u00e9 consente al firewall di creare una baseline di traffico legittimo.<\/p>\n<h3>Bloccare IP e paesi<\/h3>\n<p>Dalla sezione Wordfence &gt; Firewall &gt; Blocking, puoi bloccare manualmente indirizzi IP specifici, intere gamme di IP, o paesi interi. Il blocco per paese \u00e8 particolarmente utile se il tuo sito opera in un mercato geograficamente limitato: se vendi solo in Italia, puoi tranquillamente bloccare il traffico proveniente da paesi a rischio come Cina, Russia o Ucraina. Wordfence si basa sul database GeoIP per identificare la provenienza delle richieste. Attenzione per\u00f2: alcuni visitatori legittimi potrebbero utilizzare VPN che mascherano la loro posizione reale.<\/p>\n<h3>Rate Limiting integrato<\/h3>\n<h3>Bloccare i bad bot con .htaccess<\/h3>\n<p>I bot malevoli consumano banda e risorse del server. Puoi bloccarli a livello di server Apache aggiungendo regole nel file .htaccess situato nella root del tuo WordPress. Ecco un esempio di regola per bloccare bot dannosi noti tramite user-agent:<\/p>\n<p><code>RewriteEngine On<br \/>RewriteCond %{HTTP_USER_AGENT} (SemrushBot|AhrefsBot|MJ12bot|DotBot|BLEXBot) [NC]<br \/>RewriteRule .* - [F,L]<\/code><\/p>\n<p>Questa regola blocca l&#8217;accesso ai bot indesiderati restituendo un errore 403 Forbidden. Puoi estendere la lista con gli user-agent dei bot che trovi nei log del tuo server. Ricorda di testare sempre le modifiche al .htaccess per evitare di bloccare i motori di ricerca legittimi.<\/p>\n<h3>Protezione XML-RPC<\/h3>\n<p>XML-RPC \u00e8 un protocollo legacy di WordPress utilizzato per le connessioni remote, ma \u00e8 anche un vettore di attacco molto sfruttato per gli attacchi di brute force amplificati (un singolo messaggio XML-RPC pu\u00f2 contenere centinaia di tentativi di login). Se non utilizzi app mobili o servizi che richiedono XML-RPC (come Jetpack o l&#8217;app di WordPress), puoi disabilitarlo completamente aggiungendo questa regola al .htaccess:<\/p>\n<p><code># Blocca XML-RPC<br \/>&lt;Files xmlrpc.php&gt;<br \/>Require all denied<br \/>&lt;\/Files&gt;<\/code><\/p>\n<h3>Hotlink protection<\/h3>\n<p>L&#8217;hotlinking si verifica quando altri siti web collegano direttamente le immagini ospitate sul tuo server, consumando la tua banda senza generarti traffico. Puoi prevenirlo con questa regola .htaccess:<\/p>\n<p><code>RewriteEngine On<br \/>RewriteCond %{HTTP_REFERER} !^$<br \/>RewriteCond %{HTTP_REFERER} !^https?:\/\/(www.)?iltuodominio.com [NC]<br \/>RewriteRule .(jpg|jpeg|png|gif|webp)$ - [NC,F,L]<\/code><\/p>\n<p>Sostituisci &#8220;iltuodominio.com&#8221; con il tuo dominio effettivo. In questo modo, solo le pagine del tuo sito potranno visualizzare le tue immagini.<\/p>\n<h2>Configurare il firewall a livello di server con .htaccess e .conf<\/h2>\n<p>Oltre a Cloudflare e Wordfence, puoi implementare regole di firewall direttamente a livello server. Su server Apache, il file .htaccess offre un controllo granulare. Su server Nginx, si modificano i file di configurazione del sito (tipicamente in \/etc\/nginx\/conf.d\/ o \/etc\/nginx\/sites-available\/).<\/p>\n<h2>Testare l&#8217;efficacia del firewall<\/h2>\n<p>Una volta configurato il firewall, \u00e8 essenziale verificarne l&#8217;efficacia. Ecco alcuni metodi pratici:<\/p>\n<p><strong>Test di penetrazione con strumenti online:<\/strong> utilizza servizi come Qualys SSL Labs, SecurityHeaders.com o Pentest-Tools.com per verificare la superficie di attacco del tuo sito. Questi strumenti simulano attacchi comuni e ti mostrano se il firewall li blocca correttamente.<\/p>\n<p><strong>Analisi dei log di Wordfence:<\/strong> Wordfence Live Traffic mostra in tempo reale tutte le richieste al sito e indica quelle bloccate dal firewall. \u00c8 uno strumento prezioso per capire se le regole stanno funzionando e se ci sono falsi positivi da correggere.<\/p>\n<p><strong>Monitoraggio con Cloudflare Analytics:<\/strong> se utilizzi Cloudflare, la sezione Analytics &gt; Security Metrics mostra il numero di richieste bloccate, le challenge superate e le minacce identificate. Puoi vedere l&#8217;andamento giornaliero e settimanale per valutare l&#8217;efficacia della protezione.<\/p>\n<h2>Conclusioni<\/h2>\n<p>Configurare un firewall per WordPress \u00e8 un passo fondamentale per la sicurezza del tuo sito. La scelta tra firewall DNS-level, server-level o applicativo dipende dalle tue esigenze specifiche, ma la combinazione di pi\u00f9 livelli (ad esempio Cloudflare + Wordfence + regole .htaccess) offre la protezione pi\u00f9 completa. Ricorda che la sicurezza non \u00e8 un&#8217;azione una tantum, ma un processo continuo: mantieni aggiornate le regole, monitora i log e adatta la configurazione alle minacce emergenti. Un firewall configurato correttamente ti permette di dormire sonni tranquilli, sapendo che il tuo sito \u00e8 protetto da attacchi e intrusioni.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ufeff Cos&#8217;\u00e8 un firewall per WordPress e perch\u00e9 \u00e8 fondamentale La sicurezza di un sito WordPress non \u00e8 un optional: con oltre 40.000 attacchi al giorno registrati su siti non protetti, disporre di un firewall rappresenta la prima linea di difesa contro minacce informatiche, tentativi di intrusione e attacchi DDoS. Un firewall per WordPress agisce [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":2081,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_gspb_post_css":"","ai_primary_source":"Studio Immens Blog","visibility_scope":"both","ai_summary":"Guida completa alla configurazione di un firewall per WordPress che copre le tre tipologie principali: DNS-level (Cloudflare, Sucuri), server-level (ModSecurity) e applicativo (Wordfence). Vengono spiegate nel dettaglio le configurazioni di Cloudflare WAF, Wordfence Firewall e le regole .htaccess per bloccare bot malevoli, proteggere XML-RPC e prevenire hotlinking. L'articolo include anche metodi per testare l'efficacia del firewall e sottolinea l'importanza della sicurezza come processo continuo per proteggere il sito da attacchi e intrusioni.","ai_intent":"informative","ai_related_resources":"","ai_priority":5,"ai_entity_type":"Article","ai_is_based_on":"https:\/\/blog.studioimmens.com\/configurare-un-firewall-per-wordpress\/","ai_citations":"","ai_mentions":"","ai_speakable_selector":"","ai_chunk_hints":"firewall WordPress, Wordfence, Cloudflare WAF","footnotes":""},"categories":[40],"tags":[],"ai_visibility":[],"class_list":["post-1917","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sviluppo-web"],"blocksy_meta":[],"_links":{"self":[{"href":"https:\/\/studioimmens.com\/en\/wp-json\/wp\/v2\/posts\/1917","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/studioimmens.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/studioimmens.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/studioimmens.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/studioimmens.com\/en\/wp-json\/wp\/v2\/comments?post=1917"}],"version-history":[{"count":1,"href":"https:\/\/studioimmens.com\/en\/wp-json\/wp\/v2\/posts\/1917\/revisions"}],"predecessor-version":[{"id":2208,"href":"https:\/\/studioimmens.com\/en\/wp-json\/wp\/v2\/posts\/1917\/revisions\/2208"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/studioimmens.com\/en\/wp-json\/wp\/v2\/media\/2081"}],"wp:attachment":[{"href":"https:\/\/studioimmens.com\/en\/wp-json\/wp\/v2\/media?parent=1917"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/studioimmens.com\/en\/wp-json\/wp\/v2\/categories?post=1917"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/studioimmens.com\/en\/wp-json\/wp\/v2\/tags?post=1917"},{"taxonomy":"ai_visibility","embeddable":true,"href":"https:\/\/studioimmens.com\/en\/wp-json\/wp\/v2\/ai_visibility?post=1917"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}