{"id":167078,"date":"2025-07-21T09:00:00","date_gmt":"2025-07-21T09:00:00","guid":{"rendered":"https:\/\/gtechgroup.it\/blog\/ripulire-sito-wordpress-hackerato-sucuri\/"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T22:00:00","slug":"ripulire-sito-wordpress-hackerato-sucuri","status":"publish","type":"post","link":"https:\/\/gtechgroup.it\/blog\/ripulire-sito-wordpress-hackerato-sucuri\/","title":{"rendered":"Come Ripulire un Sito WordPress Hackerato con Sucuri"},"content":{"rendered":"<article>\n<h1>Come Ripulire un Sito WordPress Hackerato con Sucuri<\/h1>\n<p>Scoprire che il proprio sito WordPress &#232; stato hackerato &#232; un&#8217;esperienza stressante. Redirect malevoli, pagine di spam, avvisi del browser, blacklist di Google: le conseguenze possono essere devastanti per il business e la reputazione. Sucuri Security offre strumenti specifici per gestire il post-hack, dalla diagnosi alla pulizia fino al ripristino completo della sicurezza. In questa guida ti accompagniamo attraverso l&#8217;intero processo di recupero.<\/p>\n<h2>Riconoscere i Segnali di Compromissione<\/h2>\n<p>Prima di poter ripulire un sito, devi sapere riconoscere i segnali di un&#8217;infezione. Spesso il malware &#232; progettato per rimanere nascosto il pi&#249; a lungo possibile, quindi i segnali possono essere sottili:<\/p>\n<ul>\n<li><strong>Redirect sospetti<\/strong>: i visitatori vengono reindirizzati verso siti di spam, farmacia, gambling o phishing. Spesso il redirect colpisce solo i visitatori provenienti dai motori di ricerca o con determinati user agent<\/li>\n<li><strong>Contenuto spam iniettato<\/strong>: pagine o link a contenuti spam appaiono nel sito, spesso visibili solo ai motori di ricerca (SEO spam \/ Japanese keyword hack)<\/li>\n<li><strong>Avviso del browser<\/strong>: Chrome, Firefox o Safari mostrano un avviso &ldquo;Sito ingannevole&rdquo; o &ldquo;Questo sito potrebbe danneggiare il tuo computer&rdquo;<\/li>\n<li><strong>Blacklist di Google<\/strong>: il sito viene rimosso dai risultati di ricerca o contrassegnato con un avviso<\/li>\n<li><strong>Email di spam<\/strong>: il server inizia a inviare grandi volumi di email spam, causando il blacklisting dell&#8217;IP<\/li>\n<li><strong>Rallentamento anomalo<\/strong>: il sito diventa molto lento perch&#233; le risorse del server vengono utilizzate dal malware (mining di criptovalute, attacchi ad altri siti)<\/li>\n<li><strong>Utenti amministratori sconosciuti<\/strong>: nuovi account con privilegi di amministratore compaiono nella lista utenti<\/li>\n<li><strong>File sconosciuti<\/strong>: file PHP con nomi casuali appaiono nelle directory del sito<\/li>\n<\/ul>\n<h2>Fase 1: Non Farti Prendere dal Panico<\/h2>\n<p>La prima regola quando scopri un&#8217;infezione &#232; mantenere la calma e procedere con metodo. Azioni affrettate come cancellare file a caso o reinstallare WordPress senza un&#8217;analisi possono peggiorare la situazione, distruggere prove utili per l&#8217;indagine forense o lasciare attive le backdoor che permetteranno al malware di tornare.<\/p>\n<p>Prima di qualsiasi intervento:<\/p>\n<ol>\n<li><strong>Documenta tutto<\/strong>: screenshot degli avvisi, URL dei redirect, orari in cui hai notato il problema<\/li>\n<li><strong>Fai un backup completo dello stato attuale<\/strong>: inclusi i file infetti. Questo backup sar&#224; fondamentale per l&#8217;analisi forense<\/li>\n<li><strong>Non cancellare nulla<\/strong> finch&#233; non hai compreso l&#8217;entit&#224; dell&#8217;infezione<\/li>\n<li><strong>Verifica se hai un backup pulito recente<\/strong>: sapere l&#8217;ultimo stato sicuro del sito aiuta a determinare quando &#232; avvenuta l&#8217;infezione<\/li>\n<\/ol>\n<h2>Fase 2: Diagnosi con Sucuri<\/h2>\n<p>Sucuri offre diversi strumenti per diagnosticare un&#8217;infezione:<\/p>\n<h3>Scansione SiteCheck<\/h3>\n<p>Lancia una scansione completa dalla dashboard di Sucuri (<strong>Sucuri Security &gt; Dashboard &gt; Scan Site<\/strong>). La scansione remota SiteCheck verificher&#224; la presenza di malware visibile dall&#8217;esterno, redirect malevoli, iframe sospetti e inclusione in blocklist. I risultati ti daranno un primo quadro dell&#8217;infezione.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/gtechgroup.it\/blog\/wp-content\/uploads\/2026\/05\/su-01-dashboard.png\" alt=\"Scansione Sucuri SiteCheck che mostra i risultati dell&#8217;analisi di un sito compromesso\" \/><\/p>\n<h3>Verifica dell&#8217;Integrit&#224; dei File<\/h3>\n<p>La scansione di integrit&#224; dei file confronter&#224; i file core di WordPress con le versioni originali, evidenziando file modificati, aggiunti o mancanti. Presta particolare attenzione ai file aggiunti nelle directory <code>wp-admin\/<\/code>, <code>wp-includes\/<\/code> e alla root del sito: sono quasi certamente backdoor.<\/p>\n<h3>Audit Log<\/h3>\n<p>Consulta i log di audit per ricostruire la cronologia dell&#8217;attacco. Cerca eventi sospetti come login da IP sconosciuti, creazione di utenti, installazione di plugin, modifiche ai file. La cronologia ti aiuter&#224; a capire quando e come l&#8217;attaccante ha ottenuto accesso.<\/p>\n<h2>Fase 3: Mettere il Sito in Manutenzione<\/h2>\n<p>Se il sito sta attivamente distribuendo malware o redirect, considera di metterlo temporaneamente in manutenzione per proteggere i visitatori e prevenire ulteriori danni alla reputazione. Puoi farlo aggiungendo una pagina di manutenzione statica o, nei casi pi&#249; gravi, sospendendo temporaneamente il sito dal pannello hosting.<\/p>\n<p>Se il sito &#232; stato blacklistato da Google, i visitatori vedranno gi&#224; un avviso e il traffico sar&#224; praticamente azzerato. In questo caso, la priorit&#224; &#232; procedere rapidamente con la pulizia per poter richiedere la rimozione dalla blacklist il prima possibile.<\/p>\n<h2>Fase 4: Pulizia con gli Strumenti Post-Hack di Sucuri<\/h2>\n<p>Vai su <strong>Sucuri Security &gt; Post-Hack<\/strong> per accedere agli strumenti di pulizia. Le opzioni disponibili sono:<\/p>\n<h3>Reset Secret Keys<\/h3>\n<p>Questa funzione rigenera le chiavi di sicurezza (<code>AUTH_KEY<\/code>, <code>SECURE_AUTH_KEY<\/code>, <code>LOGGED_IN_KEY<\/code>, <code>NONCE_KEY<\/code> e le rispettive SALT) nel file <code>wp-config.php<\/code>. Questa operazione invalida immediatamente tutte le sessioni attive, forzando il logout di tutti gli utenti, incluso l&#8217;attaccante che potrebbe avere una sessione aperta. Eseguila per prima.<\/p>\n<h3>Reset User Passwords<\/h3>\n<p>Forza il cambio password per tutti gli utenti del sito. &#200; essenziale perch&#233; l&#8217;attaccante potrebbe aver ottenuto accesso attraverso credenziali compromesse. Tutti gli utenti dovranno impostare una nuova password al prossimo login.<\/p>\n<h3>Reset Installed Plugins<\/h3>\n<p>Questa funzione reinstalla tutti i plugin dalla versione originale nel repository WordPress.org, sovrascrivendo eventuali file modificati o infetti. &#200; un&#8217;operazione drastica ma efficace: se il malware ha modificato i file dei plugin, la reinstallazione li ripristina allo stato pulito. I plugin premium non presenti nel repository dovranno essere reinstallati manualmente.<\/p>\n<h3>Available Plugin and Theme Updates<\/h3>\n<p>Aggiorna tutti i plugin e temi all&#8217;ultima versione. Le vulnerabilit&#224; nei plugin obsoleti sono il vettore d&#8217;ingresso pi&#249; comune: aggiornare &#232; fondamentale per chiudere la falla attraverso cui l&#8217;attaccante &#232; entrato.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/gtechgroup.it\/blog\/wp-content\/uploads\/2026\/05\/su-02-settings.png\" alt=\"Strumenti post-hack di Sucuri Security per la pulizia del sito compromesso\" \/><\/p>\n<h2>Fase 5: Pulizia Manuale Approfondita<\/h2>\n<p>Gli strumenti automatici di Sucuri coprono la maggior parte dei casi, ma per infezioni complesse pu&#242; essere necessaria una pulizia manuale. Ecco i passaggi:<\/p>\n<h3>Verificare i file core di WordPress<\/h3>\n<p>Scarica una copia pulita di WordPress dalla stessa versione installata sul tuo sito. Confronta i file uno per uno con quelli sul server. Qualsiasi differenza nei file core (eccetto <code>wp-config.php<\/code> e <code>.htaccess<\/code>) indica una modifica malevola. Sostituisci i file modificati con le versioni originali.<\/p>\n<h3>Controllare la directory uploads<\/h3>\n<p>Cerca file PHP nella directory <code>wp-content\/uploads\/<\/code>. Non dovrebbero esserci file PHP in questa directory: ogni file PHP trovato qui &#232; quasi certamente una backdoor. Rimuovi questi file e applica la misura di hardening per bloccare l&#8217;esecuzione PHP nella directory uploads.<\/p>\n<h3>Verificare il file .htaccess<\/h3>\n<p>Il file <code>.htaccess<\/code> nella root e nelle sottodirectory viene spesso modificato per inserire redirect malevoli. Confronta il contenuto con quello che dovrebbe essere (le regole standard di WordPress pi&#249; eventuali regole dei tuoi plugin). Rimuovi qualsiasi regola sospetta.<\/p>\n<h3>Controllare il database<\/h3>\n<p>Alcuni malware iniettano codice nel database, nei contenuti dei post, nelle opzioni o nei widget. Cerca nel database stringhe sospette come <code>eval(<\/code>, <code>base64_decode(<\/code>, <code>&lt;script<\/code> in posizioni dove non dovrebbero esserci (tabelle <code>wp_options<\/code>, <code>wp_posts<\/code>, <code>wp_comments<\/code>).<\/p>\n<h3>Verificare il crontab<\/h3>\n<p>Gli attaccanti spesso aggiungono cron job malevoli per rigenerare il malware dopo la pulizia. Controlla sia il cron di WordPress (<code>wp_options<\/code>, chiave <code>cron<\/code>) sia il crontab del sistema operativo.<\/p>\n<h2>Fase 6: Rafforzare la Sicurezza Post-Pulizia<\/h2>\n<p>Dopo la pulizia, &#232; fondamentale rafforzare la sicurezza per prevenire una reinfezione:<\/p>\n<ol>\n<li><strong>Aggiorna tutto<\/strong>: WordPress, tutti i plugin, tutti i temi all&#8217;ultima versione<\/li>\n<li><strong>Rimuovi plugin e temi inutilizzati<\/strong>: ogni componente non attivo &#232; una potenziale vulnerabilit&#224;<\/li>\n<li><strong>Cambia tutte le password<\/strong>: WordPress, FTP, database, hosting panel, email<\/li>\n<li><strong>Applica tutte le misure di hardening<\/strong> di Sucuri<\/li>\n<li><strong>Abilita il 2FA<\/strong> per tutti gli account amministratore<\/li>\n<li><strong>Configura le notifiche<\/strong> di Sucuri per rilevare immediatamente eventuali nuovi tentativi<\/li>\n<li><strong>Considera il Sucuri Firewall (WAF)<\/strong> per una protezione proattiva<\/li>\n<\/ol>\n<h2>Fase 7: Richiedere la Rimozione dalla Blacklist<\/h2>\n<p>Se il sito era stato blacklistato, dopo la pulizia devi richiedere una revisione:<\/p>\n<ul>\n<li><strong>Google Safe Browsing<\/strong>: tramite Google Search Console, vai su Sicurezza &gt; Problemi di sicurezza e clicca &ldquo;Richiedi una revisione&rdquo;<\/li>\n<li><strong>Norton Safe Web<\/strong>: visita safeweb.norton.com e richiedi una rivalutazione del sito<\/li>\n<li><strong>McAfee SiteAdvisor<\/strong>: usa il modulo di contestazione sul sito McAfee<\/li>\n<li><strong>Sucuri Labs<\/strong>: se il sito &#232; nella blocklist Sucuri, lancia una nuova scansione SiteCheck e lo stato verr&#224; aggiornato automaticamente<\/li>\n<\/ul>\n<p>La rimozione dalla blacklist di Google richiede tipicamente 1-3 giorni lavorativi. Durante questo periodo, monitora attentamente il sito per assicurarti che l&#8217;infezione non si ripresenti.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/gtechgroup.it\/blog\/wp-content\/uploads\/2026\/05\/su-03-logins.png\" alt=\"Audit log di Sucuri che mostra la cronologia degli eventi durante un incidente di sicurezza\" \/><\/p>\n<h2>Servizio di Pulizia Professionale Sucuri<\/h2>\n<p>Se la pulizia fai-da-te ti sembra troppo complessa o rischiosa, Sucuri offre un servizio professionale di rimozione malware incluso nei piani a pagamento (Platform plans). Il team di sicurezza di Sucuri si occupa di:<\/p>\n<ul>\n<li>Analisi completa dell&#8217;infezione<\/li>\n<li>Rimozione di tutto il malware e le backdoor<\/li>\n<li>Verifica dell&#8217;integrit&#224; di tutti i file<\/li>\n<li>Pulizia del database<\/li>\n<li>Richiesta di rimozione dalle blacklist<\/li>\n<li>Report dettagliato dell&#8217;incidente<\/li>\n<\/ul>\n<p>Il servizio ha un SLA di 12 ore per il piano Business e 30 ore per il piano Basic. Per siti critici o e-commerce, il servizio professionale &#232; spesso la scelta pi&#249; saggia: la velocit&#224; di intervento pu&#242; fare la differenza tra poche ore di downtime e giorni di perdite.<\/p>\n<h2>Prevenire Future Compromissioni<\/h2>\n<p>La pulizia &#232; solo met&#224; del lavoro. Per evitare che il problema si ripresenti, implementa una strategia di sicurezza completa:<\/p>\n<ul>\n<li>Backup automatici giornalieri con conservazione di almeno 30 giorni<\/li>\n<li>Aggiornamenti automatici per le minor release di sicurezza<\/li>\n<li>Scansioni regolari con Sucuri<\/li>\n<li>Monitoraggio continuo dei login e delle attivit&#224;<\/li>\n<li>Formazione degli utenti sulle pratiche di sicurezza base<\/li>\n<li>Revisione periodica dei plugin installati e rimozione di quelli non necessari<\/li>\n<\/ul>\n<h2>Conclusioni<\/h2>\n<p>Ripulire un sito WordPress hackerato &#232; un processo complesso che richiede metodo, pazienza e gli strumenti giusti. Sucuri Security fornisce tutto il necessario per diagnosticare, pulire e ripristinare un sito compromesso. Tuttavia, la prevenzione &#232; sempre preferibile alla cura: investi nella sicurezza prima che sia troppo tardi.<\/p>\n<p>Se il tuo sito &#232; stato hackerato e hai bisogno di assistenza immediata, <a href=\"https:\/\/gtechgroup.it\/contatti\/\">contatta G Tech Group<\/a>: interveniamo rapidamente per ripulire il sito e ripristinare la tua presenza online.<\/p>\n<div style=\"border:2px solid #0a0a0f; border-radius:8px; padding:20px; margin-top:30px; background:#f9f9f9;\">\n<h3>Continua a Leggere: Serie Sicurezza WordPress<\/h3>\n<ul>\n<li><a href=\"\/blog\/installare-configurare-sucuri-security-wordpress\/\">Come Installare e Configurare Sucuri Security su WordPress<\/a><\/li>\n<li><a href=\"\/blog\/sucuri-scansione-malware-monitoraggio-integrita-file\/\">Sucuri: Scansione Malware e Monitoraggio Integrit&#224; File<\/a><\/li>\n<li><a href=\"\/blog\/sucuri-firewall-waf-proteggere-sito-attacchi\/\">Sucuri Firewall (WAF): Proteggere il Sito dagli Attacchi<\/a><\/li>\n<li><a href=\"\/blog\/audit-sicurezza-wordpress-sucuri-checklist\/\">Audit di Sicurezza WordPress con Sucuri: Checklist Completa<\/a><\/li>\n<li><a href=\"\/blog\/risolvere-problemi-comuni-sucuri-security-troubleshooting\/\">Risolvere i Problemi Comuni di Sucuri Security: Troubleshooting<\/a><\/li>\n<\/ul>\n<p>Scopri anche la nostra <a href=\"\/blog\/wordfence-guida-completa-sicurezza-wordpress\/\">Guida Completa a Wordfence<\/a> per un confronto approfondito con un&#8217;altra soluzione di sicurezza leader.<\/p>\n<\/div>\n<\/article>\n<h3>Migliora il Tuo Sito WordPress<\/h3>\n<p>Scopri le nostre guide complete sugli altri plugin essenziali per WordPress:<\/p>\n<ul>\n<li><a href=\"https:\/\/gtechgroup.it\/blog\/come-installare-elementor-wordpress-guida-principianti\/\">Come Installare Elementor su WordPress<\/a><\/li>\n<li><a href=\"https:\/\/gtechgroup.it\/blog\/wp-rocket-installare-configurare-wordpress\/\">Come Installare e Configurare WP Rocket<\/a><\/li>\n<li><a href=\"https:\/\/gtechgroup.it\/blog\/come-installare-configurare-seopress-wordpress-guida\/\">Come Installare e Configurare SEOPress<\/a><\/li>\n<li><a href=\"https:\/\/gtechgroup.it\/blog\/installare-attivare-updraftplus-wordpress\/\">Come Installare e Configurare UpdraftPlus<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Come Ripulire un Sito WordPress Hackerato con Sucuri Scoprire che il proprio sito WordPress &#232; stato hackerato &#232; un&#8217;esperienza stressante. Redirect malevoli, pagine di spam,&hellip;<\/p>\n","protected":false},"author":0,"featured_media":167022,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"Ripulire Sito WordPress Hackerato con Sucuri | Guida","_seopress_titles_desc":"Come ripulire un sito WordPress hackerato con Sucuri. Rimozione malware, pulizia database e ripristino.","_seopress_robots_index":"","footnotes":""},"categories":[1],"tags":[3472,1767,3127,3473,3460,492],"class_list":["post-167078","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-senza-categoria","tag-hackerato","tag-malware","tag-recupero","tag-ripulire","tag-sucuri","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/posts\/167078","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/comments?post=167078"}],"version-history":[{"count":0,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/posts\/167078\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/media\/167022"}],"wp:attachment":[{"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/media?parent=167078"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/categories?post=167078"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/tags?post=167078"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}