Scoprire di avere un sito WordPress hackerato non è mai piacevole, ma la buona notizia è che nella maggior parte dei casi si può recuperare. La chiave è agire con metodo e senza panico: identificare la compromissione, contenere i danni, bonificare il sito e poi rafforzarlo per evitare che accada di nuovo. In questa guida d’emergenza ti spieghiamo passo dopo passo cosa fare, dal primo sospetto fino al ripristino completo.
Come capire se il tuo sito è stato compromesso
Un sito violato spesso mostra segnali abbastanza chiari. Imparare a riconoscerli ti permette di intervenire prima che la situazione peggiori. Ecco i sintomi più comuni:
- Redirect strani: i visitatori vengono reindirizzati verso pagine sconosciute, siti di scommesse, farmacie online o portali truffaldini.
- Contenuti spam: compaiono articoli, link o pop-up che non hai mai pubblicato, spesso con testi in lingue diverse o riferimenti a prodotti sospetti.
- Avvisi di Google o del browser: il classico messaggio “Questo sito potrebbe danneggiare il tuo computer”, oppure segnalazioni nella Search Console.
- File sconosciuti: presenza di file PHP con nomi casuali nelle cartelle del sito, codice offuscato all’interno di file legittimi.
- Rallentamenti improvvisi e picchi di traffico anomali, dovuti a script malevoli che usano il server per inviare spam o attacchi.
- Accessi che non funzionano o nuovi utenti amministratori che non hai creato.
Cosa fare subito: contenere il danno
Appena hai la conferma o anche solo il forte sospetto di una compromissione, è importante agire rapidamente. I primi minuti contano per limitare i danni a visitatori e reputazione.
1. Metti il sito in manutenzione
Attiva una modalità di manutenzione o metti il sito offline temporaneamente. Eviti così che i visitatori vengano infettati, che Google indicizzi pagine spam e che il malware continui a propagarsi mentre lavori.
2. Cambia tutte le password
Modifica immediatamente le password degli utenti amministratori di WordPress, dell’accesso FTP/SFTP, del pannello di hosting e del database. Usa password lunghe e complesse: spesso l’attacco è partito proprio da credenziali deboli o rubate.
3. Fai un backup dello stato attuale
Prima di toccare qualsiasi cosa, salva una copia completa del sito infetto (file e database). Sembra controintuitivo, ma questo backup serve come “prova” per analizzare cosa è successo, capire da dove è entrato l’attaccante ed eventualmente recuperare contenuti legittimi che non hai altrove.
La bonifica del sito
Una volta messo in sicurezza l’ambiente, si passa alla pulizia vera e propria. È la fase più delicata, perché va eliminato tutto il codice malevolo senza compromettere il funzionamento del sito.
- Scansione malware: utilizza un plugin di sicurezza affidabile o strumenti lato server per individuare file infetti, codice iniettato e backdoor nascoste.
- Rimozione di file e codice infetto: elimina i file estranei e ripulisci quelli legittimi dal codice iniettato. Attenzione alle backdoor, spesso nascoste in più punti per garantire all’attaccante un nuovo accesso.
- Ripristino da un backup pulito: se disponi di una copia di sicurezza precedente all’attacco e sicuramente sana, ripristinarla è spesso la via più rapida e affidabile.
- Aggiornamento di core, plugin e temi: porta tutto all’ultima versione. Molte intrusioni sfruttano vulnerabilità note di componenti non aggiornati.
- Rimozione di utenti e plugin sospetti: elimina account amministratore non autorizzati e disinstalla plugin o temi che non riconosci o che non usi più.
- Controllo dei file e del database “nascosti”: ispeziona i file .htaccess e wp-config.php (vettori classici di redirect e backdoor) e, nel database, la tabella wp_options e i processi pianificati (cron) alla ricerca di voci o codice iniettati.
- Rigenerazione delle chiavi di sicurezza: sostituisci le secret keys/salt in wp-config.php per invalidare tutte le sessioni attive e disconnettere eventuali intrusi ancora loggati.
Al termine, verifica che il sito funzioni correttamente e che i sintomi iniziali (redirect, spam, avvisi) siano spariti, anche da pagine secondarie e non solo dalla home.
Hardening: evitare di ricapitarci
Bonificare il sito senza rafforzarlo significa rischiare di essere violati di nuovo a breve. Dopo la pulizia, dedica tempo a queste misure preventive:
- Password forti e uniche per ogni accesso, gestite con un password manager.
- Autenticazione a due fattori (2FA) sugli account amministratore: aggiunge una barriera anche se la password viene compromessa.
- Permessi corretti dei file (tipicamente 644 per i file e 755 per le cartelle) e protezione dei file di configurazione sensibili.
- Plugin di sicurezza per il monitoraggio continuo, il firewall applicativo e il blocco dei tentativi di accesso ripetuti.
- Aggiornamenti regolari di core, plugin e temi, idealmente programmati e verificati.
- Backup automatici e frequenti, conservati in un luogo separato dal sito.
Richiesta di riesame a Google
Se il sito era stato segnalato come pericoloso, dopo la bonifica accedi alla Search Console e invia una richiesta di riesame. Google verificherà che il malware sia stato rimosso e, una volta approvata la richiesta, eliminerà gli avvisi di sicurezza, restituendo fiducia ai tuoi visitatori e ripristinando la normale visibilità nei risultati di ricerca.
Quando rivolgersi a un professionista
Pulire un sito WordPress compromesso richiede esperienza, soprattutto quando le backdoor sono ben nascoste o l’infezione coinvolge il database e più componenti. Se non sei sicuro di aver rimosso tutto il codice malevolo, o se il sito viene re-infettato poco dopo la pulizia, è il momento di affidarsi a chi lo fa di mestiere. Un intervento professionale di assistenza WordPress garantisce una bonifica completa, l’analisi delle cause dell’attacco e un piano di protezione su misura, così puoi tornare a lavorare in sicurezza e con la mente serena.