Caso studio: Analisi della superficie WordPress di siti con plugin di sicurezza popolari

20 Gennaio 2026 / ITALSERVER / Commenti disabilitati su Caso studio: Analisi della superficie WordPress di siti con plugin di sicurezza popolari

Introduzione La sicurezza di un sito WordPress non si misura solo dalla presenza di plugin popolari o firewall: una parte fondamentale è quanto la superficie...

Introduzione

La sicurezza di un sito WordPress non si misura solo dalla presenza di plugin popolari o firewall: una parte fondamentale è quanto la superficie esposta dall’esterno è ridotta.

Il nostro Lean Bunker Security Checker analizza in modo passivo le superfici WordPress esposte, file sensibili, headers di sicurezza e configurazioni critiche, senza compromettere il sito e senza eseguire attacchi.

In questo caso studio abbiamo analizzato tre siti WordPress con plugin di sicurezza noti:

  1. Wordfence.com

  2. SolidWP.com

  3. TeamUpdraft / All-in-One Security

L’obiettivo è capire quali aree rimangono esposte e come la riduzione della superficie varia tra siti diversi.

1. Wordfence.com

Punteggio complessivo: 76/100

Risultati principali

Sicurezza generale

  • ✅ HTTPS attivo

  • ✅ HSTS configurato

Protezione WordPress

  • ❌ REST API non completamente ridotta

  • ✅ XML-RPC disabilitato

  • ✅ Enumerazione utenti bloccata

  • ✅ Directory listing disabilitato

File sensibili

  • ✅ Nessun file sensibile esposto

  • ✅ Tutti i file core, backup e config correttamente protetti

  • ✅ PHP execution bloccata ovunque

HTTP Headers

  • ✅ X-Content-Type-Options: nosniff

  • ✅ X-Frame-Options impostato

  • ✅ X-XSS-Protection presente

  • ✅ Referrer-Policy impostato

  • ⚠️ Permissions-Policy presente

  • ⚠️ Content-Security-Policy presente

  • ⚠️ COEP / COOP / CORP presenti ma non completi

Analisi

Wordfence.com mostra una ottima protezione dei file sensibili e un corretto hardening di base.
La REST API è visibile dall’esterno, ma filtrata dal plugin, motivo per cui il punteggio non arriva a 100.

Il sito dimostra che anche plugin famosi non eliminano completamente la superficie esterna, ma la gestiscono con sicurezza runtime.

2. SolidWP.com

Punteggio complessivo: 50/100

Risultati principali

Sicurezza generale

  • ✅ HTTPS attivo

  • ⚠️ HSTS configurato (non al massimo)

Protezione WordPress

  • ❌ REST API non protetta

  • ✅ XML-RPC disabilitato

  • ✅ Enumerazione utenti bloccata

  • ✅ Directory listing disabilitato

File sensibili

  • ❌ wp-admin/install.php esposto

  • ❌ wp-admin/upgrade.php esposto

  • ✅ Tutti gli altri file core e sensibili protetti

  • ✅ PHP execution bloccata

HTTP Headers

  • ⚠️ X-Content-Type-Options: nosniff

  • ⚠️ X-Frame-Options impostato

  • ⚠️ X-XSS-Protection presente

  • ⚠️ Referrer-Policy impostato

  • ⚠️ Permissions-Policy, Content-Security-Policy, COEP/COOP/CORP presenti ma permissivi

Analisi

Il punteggio più basso riflette endpoint core WordPress ancora visibili (install.php e upgrade.php) e headers non completamente hardening.

Questo non significa che SolidWP sia insicuro: indica che alcune superfici sono accessibili, coerente con una filosofia che privilegia compatibilità e funzionalità.

3. TeamUpdraft / All-in-One Security

Punteggio complessivo: 73/100

Risultati principali

Sicurezza generale

  • ✅ HTTPS attivo

  • ✅ HSTS configurato

Protezione WordPress

  • ❌ REST API non protetta

  • ✅ XML-RPC disabilitato

  • ✅ Enumerazione utenti bloccata

  • ✅ Directory listing disabilitato

File sensibili

  • ✅ Nessun file sensibile esposto

  • ✅ PHP execution bloccata ovunque

HTTP Headers

  • ✅ X-Content-Type-Options: nosniff

  • ✅ X-Frame-Options impostato

  • ✅ X-XSS-Protection presente

  • ✅ Referrer-Policy impostato

  • ⚠️ Permissions-Policy e Content-Security-Policy presenti ma permissivi

  • ⚠️ COEP / COOP / CORP presenti ma non completi

Analisi

TeamUpdraft mostra ottima protezione dei file sensibili e headers correttamente configurati.
Come negli altri casi, la REST API è visibile ma filtrata, limitando il punteggio complessivo.

Il risultato è coerente con una protezione reale e compatibile con la funzionalità di plugin complessi.

Confronto tra i tre siti

Sito Punteggio REST API File esposti Headers avanzati
Wordfence.com 76/100 Visibile ma filtrata Nessuno Presenza parziale COEP/COOP/CORP
SolidWP.com 50/100 Visibile wp-admin/install.php & upgrade.php Presenza soft headers avanzati
TeamUpdraft 73/100 Visibile Nessuno Headers presenti ma permissivi

Osservazioni principali

  1. La REST API è il discriminante più comune tra i punteggi: visibile → punteggio ridotto.

  2. File core e install.php/upgrade.php possono abbassare il punteggio anche se non critici.

  3. Headers avanzati (COEP/COOP/CORP) raramente sono configurati in modo completo su siti reali.

  4. Il checker non penalizza file realmente protetti o plugin attivi: segnala solo la superficie visibile.

Conclusioni del caso studio

  • Il Lean Bunker Security Checker misura la superficie esposta, non la sicurezza complessiva dei plugin.

  • Anche siti con plugin di sicurezza popolari non raggiungono 100/100, perché alcune aree devono rimanere visibili per funzionalità e compatibilità.

  • Il punteggio riflette scelte architetturali, non vulnerabilità dirette.

  • Questo modello è utile per capire dove un sito potrebbe ridurre la superficie esterna, offrendo un livello di analisi complementare rispetto ai plugin classici.

Messaggio chiave per utenti e sviluppatori

“Il nostro punteggio non è un giudizio morale sulla sicurezza dei plugin.
Mostra quanto la superficie WordPress è ridotta dall’esterno. Anche siti molto protetti mostrano superfici esposte per funzionamento e compatibilità. Il nostro approccio permette agli utenti di capire dove intervenire senza compromettere funzionalità o affidabilità.”

Posted in

ITALSERVER