Sito WordPress hackerato e reindirizza a siti spam: guida completa per rimuovere malware e pulire il sito- Nestweb Agency

Sito WordPress hackerato e reindirizza a siti spam: guida completa per rimuovere malware e pulire il sito

30 Marzo 2026

Gabriele Verona

Un sito WordPress hackerato che reindirizza a siti spam è un’emergenza vera, e lo so perché l’ho visto succedere decine di volte. La buona notizia è che puoi risolvere il problema senza necessariamente perdere tutti i contenuti o ripartire da zero. Serve metodo, calma e una checklist precisa da seguire passo dopo passo.

Vuoi affidare il tuo progetto a dei professionisti?

Se hai le idee chiare ma ti serve un partner tecnico per l’esecuzione, ci siamo. Sviluppiamo Siti Web, Landing Page e strategie SEO orientate al ritorno sull’investimento. Niente chiacchiere, solo risultati misurabili.

Come capire se il tuo sito WordPress è stato hackerato

Prima di tutto, facciamo chiarezza: non sempre è evidente che il sito è compromesso. A volte i sintomi sono evidenti (redirect a casinò online o pagine spam), altre volte il malware lavora in silenzio, danneggiando la tua SEO senza che tu te ne accorga subito.

Il punto è questo: più velocemente ti accorgi del problema, meno danni subisci. Google può penalizzare il sito, gli utenti scappano, e il tuo posizionamento crolla. Quindi, impara a riconoscere i segnali.

Segnali più comuni di un sito WordPress compromesso

Ecco i campanelli d’allarme più frequenti che indicano un’infezione da malware:

Redirect automatici verso siti spam: apri il tuo sito e vieni reindirizzato a pagine di casinò online, pillole miracolose, siti per adulti o truffe varie. Questo è il sintomo più classico e più fastidioso.

Popup pubblicitari che non hai mai inserito: improvvisamente compaiono banner, popup o pubblicità aggressive che non hai installato tu. Spesso si attivano solo per alcuni utenti o da determinati browser.

Sito WordPress hackerato e reindirizza a siti spam: guida completa per rimuovere malware e pulire il sito- Nestweb Agency
Sito WordPress hackerato e reindirizza a siti spam: guida completa per rimuovere malware e pulire il sito- Nestweb Agency

Pagine spam indicizzate su Google: fai una ricerca “site:tuosito.it” e scopri decine (a volte centinaia) di pagine spam che non hai mai creato. Titoli strani in inglese, link a farmaci, contenuti porno. Un disastro per la SEO.

Avvisi di Google o del browser: il messaggio “Questo sito potrebbe essere compromesso” o “Il sito contiene malware” compare quando qualcuno cerca di visitare il tuo sito. È Google Safe Browsing che sta proteggendo gli utenti da te (sì, è brutto).

Nuovi utenti amministratori sconosciuti: controlli la lista degli utenti WordPress e trovi account admin che non hai mai creato. Spesso con nomi tipo “admin2”, “support”, “service” o peggio ancora nomi casuali.

Il sito è lento o si blocca: le performance crollano improvvisamente senza motivo apparente. Il malware può consumare risorse del server o generare traffico fasullo.

File strani nel server: se accedi via FTP o dal pannello hosting, trovi file con nomi sospetti (tipo “x.php”, “cache.php”, “wp-config-backup.php”) in cartelle dove non dovrebbero esserci.

Se riconosci anche solo uno di questi segnali, è il momento di agire subito.

Perché un sito WordPress viene hackerato (le cause più comuni)

Ora, facciamo un passo indietro. Capire come è successo ti aiuta a prevenire che ricapiti. Nella maggior parte dei casi, non è colpa di WordPress in sé (che è un software solido e costantemente aggiornato), ma di come lo usi.

Plugin o temi non aggiornati

Questa è in assoluto la causa numero uno. I plugin vulnerabili sono la porta d’ingresso preferita dagli hacker. Ogni giorno vengono scoperte nuove falle di sicurezza, e se non aggiorni i tuoi plugin, lasci quella porta spalancata.

Anche i temi, specialmente quelli comprati su marketplace o scaricati gratis, possono contenere vulnerabilità. E fidati, gli hacker conoscono benissimo quali plugin o temi sono più facili da bucare.

Password deboli o attacchi brute force

Se la tua password di admin è “admin123” o il nome del tuo sito, hai un problema serio. Gli attacchi brute force sono automatizzati: script che provano migliaia di combinazioni username/password finché non trovano quella giusta.

WordPress di default non limita i tentativi di login, quindi senza protezioni aggiuntive sei vulnerabile. Bastano pochi minuti a un bot ben configurato per entrare.

Plugin piratati o nulled

Scaricare plugin o temi premium da siti di terze parti (i cosiddetti “nulled”) è una pessima idea. Spesso contengono malware già integrato nel codice, progettato per creare backdoor, rubare dati o iniettare spam.

Te lo dico chiaramente: il risparmio di 50 euro su un plugin premium non vale il disastro di un sito hackerato. Mai.

Hosting compromesso o malware server

A volte il problema non è il tuo sito, ma l’intero server su cui è ospitato. Se usi hosting condivisi economici, potresti trovarti sullo stesso server di centinaia di altri siti, alcuni dei quali infetti.

Il malware può propagarsi da un sito all’altro. Oppure, in casi più rari, è il server stesso ad essere stato compromesso. In questi casi, anche reinstallare WordPress da zero potrebbe non bastare.

Cosa fare subito se il sito WordPress è hackerato

Ok, panico controllato. Ora ti spiego cosa fare immediatamente, prima ancora di iniziare a cercare e rimuovere il malware. Questa è la fase di contenimento: l’obiettivo è limitare i danni e prepararti alla pulizia.

Metti il sito in modalità manutenzione: se possibile, attiva la modalità manutenzione per evitare che gli utenti vedano contenuti compromessi o vengano reindirizzati. Alcuni hosting permettono di farlo dal pannello di controllo.

Cambia tutte le password immediatamente: e intendo proprio tutte. Password admin WordPress, password FTP, password database MySQL, password hosting, password email associate al dominio. Usa password complesse, lunghe almeno 16 caratteri con lettere maiuscole, minuscole, numeri e simboli.

Fai un backup completo del sito così com’è: sembra controintuitivo fare backup di un sito infetto, ma è fondamentale. Ti serve per analizzare il malware, capire cosa è successo e avere una copia di sicurezza nel caso qualcosa vada storto durante la pulizia. Scarica tutti i file via FTP ed esporta il database.

Schema sitemap per architettura del sito - Nestweb Agency
Schema sitemap per architettura del sito – Nestweb Agency

Controlla gli accessi recenti: vai in WordPress > Utenti e verifica se ci sono account sconosciuti. Elimina tutti gli utenti admin che non riconosci. Controlla anche i log di accesso del server, se il tuo hosting te li fornisce.

Avvisa il tuo hosting: molti provider hanno team di supporto che possono aiutarti, soprattutto se il problema riguarda il server. Possono anche isolare temporaneamente il tuo sito per evitare che infetti altri.

Fatto tutto questo, sei pronto per iniziare la pulizia vera e propria.

Come rimuovere malware da WordPress passo dopo passo

Questa è la parte centrale, quella che richiede attenzione e metodo. Non esiste una soluzione unica che funziona sempre, perché ogni infezione è diversa. Ma c’è una procedura standard da seguire che copre la stragrande maggioranza dei casi.

Scansionare il sito con strumenti di sicurezza

Il primo passo è identificare i file infetti. Per farlo, usa strumenti di scansione malware. I più affidabili sono:

Wordfence Security: è un plugin gratuito (con versione premium) che scansiona file, database e traffico. Ti dice esattamente quali file sono stati modificati, dove si trova codice sospetto e quali vulnerabilità hai. La scansione può richiedere anche 30-40 minuti su siti grandi, ma ne vale la pena.

Sucuri Security: altro plugin ottimo, con scanner integrato e firewall. La versione gratuita è già molto potente. Sucuri ti mostra modifiche ai file core, backdoor nascoste e file sospetti.

Scanner fornito dall’hosting: molti hosting (Siteground, Kinsta, WP Engine) hanno scanner malware integrati nel pannello di controllo. Usali sempre, perché possono rilevare minacce a livello server che i plugin non vedono.

Dopo la scansione, segna tutti i file segnalati come infetti ma non eliminarli ancora. Prima devi capire cosa sono e dove si trovano.

Ripristinare i file core di WordPress

I file core di WordPress (quelli nella cartella principale come wp-admin, wp-includes) non dovrebbero mai essere modificati. Se Wordfence o Sucuri ti segnalano modifiche a file core, la soluzione più pulita è sostituirli con copie originali.

Vai su wordpress.org, scarica la stessa versione di WordPress che stai usando, ed estrai i file sul tuo computer. Poi, via FTP, sovrascrivi le cartelle wp-admin e wp-includes con quelle pulite appena scaricate.

Attenzione: non sovrascrivere la cartella wp-content, perché contiene plugin, temi e upload. Quella la pulisci manualmente.

Controllare plugin e temi infetti

Ora arriva la parte delicata: verificare ogni singolo plugin e tema. Il malware spesso si nasconde qui, modificando file legittimi o aggiungendo file fasulli.

Ecco come procedere:

Disattiva tutti i plugin: vai in WordPress > Plugin e disattiva tutto. Se il sito smette di dare problemi (es. il redirect sparisce), significa che il malware è in un plugin.

Riattiva i plugin uno alla volta: riattivali uno per uno, controllando ogni volta se il problema si ripresenta. Quando lo trovi, elimina quel plugin completamente e reinstallalo da zero scaricandolo dal repository ufficiale.

Controlla i temi: anche se usi solo un tema attivo, controlla tutti i temi installati. Cancella quelli che non usi. Per il tema attivo, confronta i file con la versione originale scaricata dal sito ufficiale. Usa strumenti come WinMerge o Notepad++ per vedere le differenze.

Se trovi codice strano (stringhe lunghe di caratteri incomprensibili, eval(), base64_decode(), gzinflate()), è quasi certamente malware. Elimina quel codice o sostituisci l’intero file.

Eliminare file sospetti nel server

Accedi al server via FTP (usa FileZilla o simili) e cerca file che non dovrebbero esserci. I più comuni:

File PHP con nomi generici nella root del sito (es. “x.php”, “error.php”, “cache.php”).

File nascosti (che iniziano con un punto, tipo “.htaccess.bak” o “.config.php”).

File nella cartella wp-content/uploads che non sono immagini (tipo file .php nella cartella degli upload, cosa che non dovrebbe mai succedere).

File con date di modifica recenti e sospette: se vedi file modificati il giorno esatto in cui è iniziato il problema, probabilmente sono quelli.

Eliminali senza pietà. Se hai dubbi, cerca il nome del file su Google: spesso sono malware noti e trovi conferme immediate.

Dove si nasconde il malware nei siti WordPress hackerati

Ti ho già dato qualche indicazione, ma ora entriamo nel dettaglio tecnico. Sapere esattamente dove guardare ti fa risparmiare ore di tentativi casuali.

File .htaccess modificato

Il file .htaccess è uno dei preferiti dagli hacker per inserire redirect. Si trova nella cartella principale del sito (root) ed è un file di configurazione del server Apache.

Aprilo con un editor di testo e cerca righe sospette, soprattutto:

  • Codice che contiene “RewriteRule” seguito da URL esterni strani.
  • Blocchi di codice incomprensibili o codificati in base64.
  • Redirect condizionali (es. “reindirizza solo se vieni da Google”).

La soluzione più sicura è cancellare completamente il file .htaccess e lasciare che WordPress ne generi uno nuovo. Vai in Impostazioni > Permalink e clicca su “Salva modifiche”: WordPress riscrive l’htaccess pulito.

Codice malevolo in footer.php o functions.php

Il file functions.php del tema è un altro punto critico. Gli hacker ci iniettano codice PHP che viene eseguito su ogni pagina del sito. Stesso discorso per footer.php o header.php.

Apri questi file (li trovi in wp-content/themes/nome-tema/) e cerca:

  • Righe aggiunte all’inizio o alla fine del file.
  • Funzioni con nomi strani tipo “wp_vcd_plugin()” o simili.
  • Codice offuscato con eval(), base64_decode() o gzuncompress().

Se trovi qualcosa, confronta il file con la versione pulita del tema (scaricala dal sito ufficiale). Elimina le righe aggiunte dal malware, oppure sostituisci l’intero file.

Malware nella cartella uploads

Tecnicamente, la cartella wp-content/uploads dovrebbe contenere solo immagini, PDF e file media. Se trovi file .php lì dentro, è malware al 99%.

Gli hacker caricano script PHP nella cartella uploads perché WordPress di solito non blocca il caricamento di file in quella directory. Poi accedono a quegli script tramite URL diretto (es. tuosito.it/wp-content/uploads/2024/01/backdoor.php) e da lì possono controllare tutto il sito.

Scansiona la cartella uploads alla ricerca di file .php, .js sospetti o file con nomi tipo “cache”, “error”, “config”. Eliminali tutti.

Script nascosti nel database

Qui diventa più complesso, ma devi controllare anche il database MySQL. Il malware può inserire script nel database, soprattutto nella tabella wp_options (che contiene le impostazioni di WordPress).

Accedi al database tramite phpMyAdmin (dal pannello hosting) e cerca:

  • Nella tabella wp_options, righe con option_name strani tipo “widget_text” o “cron” che contengono codice Javascript o PHP.
  • Nella tabella wp_posts, post o pagine spam che non hai mai creato.
  • Nella tabella wp_users, utenti admin sconosciuti.

Elimina tutto ciò che non riconosci. Se non sei pratico di database, fatti aiutare da uno sviluppatore: un errore qui può mandare in crash il sito.

Perché il sito WordPress reindirizza a siti spam

Ora ti spiego perché succede questo problema specifico, che è uno dei più comuni e più fastidiosi.

Il redirect spam funziona così: il malware inietta un pezzo di codice (JavaScript o PHP) che controlla alcune condizioni e poi reindirizza l’utente verso un sito esterno. Le condizioni possono essere:

Redirect solo per utenti non loggati: se sei loggato come admin, il sito funziona normalmente. Ma appena esci o apri il sito in incognito, parte il redirect. Questo serve a nascondere il problema al proprietario del sito.

Redirect solo da motori di ricerca: il malware controlla il referrer (da dove arrivi). Se arrivi da Google, vieni reindirizzato. Se digiti l’URL direttamente, il sito funziona. In questo modo, Google indicizza le pagine spam, ma tu proprietario non ti accorgi subito del problema.

Redirect casuale: una percentuale di visitatori (es. 20%) viene reindirizzata, gli altri no. Serve sempre a rendere il malware meno evidente.

Il codice può trovarsi in:

  • File .htaccess (redirect lato server).
  • File JavaScript iniettato in header o footer.
  • Codice PHP nel tema o in un plugin compromesso.
  • Script nel database (opzioni o widget).

E qui sta il punto: devi trovare dove si nasconde quel codice. Usa i passaggi che ti ho spiegato prima, soprattutto la scansione con Wordfence e il controllo manuale dei file più esposti.

Come rimuovere redirect spam dal sito WordPress

Ricapitoliamo tutto in una checklist operativa. Se segui questi passaggi nell’ordine, risolvi il problema nella maggior parte dei casi:

Pulizia file core: reinstalla wp-admin e wp-includes con copie pulite scaricate da wordpress.org.

Disattiva e reinstalla i plugin: disattiva tutti i plugin, riattivali uno alla volta controllando se il redirect si ripresenta. Quando lo trovi, eliminalo e reinstallalo da zero.

Controlla e sostituisci i file del tema: scarica la versione pulita del tema e confronta i file. Sostituisci quelli modificati, soprattutto functions.php, header.php, footer.php.

Pulisci il database: vai in phpMyAdmin e cerca nella tabella wp_options righe sospette. Elimina script nascosti, widget strani e opzioni che non riconosci.

Elimina utenti admin sconosciuti: vai in WordPress > Utenti ed elimina tutti gli account che non hai creato tu.

Controlla e pulisci .htaccess: apri il file .htaccess, cerca redirect sospetti e, se hai dubbi, cancella tutto e rigenera il file da Impostazioni > Permalink.

Scansiona con Wordfence o Sucuri: fai una nuova scansione completa per verificare che non ci siano più file infetti.

Reinstalla WordPress se necessario: se proprio non trovi il malware, l’ultima opzione è reinstallare WordPress completamente (senza perdere database e upload). WordPress ha una funzione nativa per farlo.

Questi passaggi coprono oltre il 95% dei casi di redirect spam. Se dopo tutto questo il problema persiste, probabilmente il malware è a livello server e devi coinvolgere il supporto hosting.

Come evitare che il sito WordPress venga hackerato di nuovo

Pulire il sito è solo metà del lavoro. L’altra metà è proteggerlo per evitare che ricapiti. E fidati, se non metti in sicurezza il sito, verrà hackerato di nuovo. È questione di tempo.

Aggiornare WordPress, plugin e temi

Questo è il punto fondamentale, quello che previene l’80% degli attacchi. Aggiorna sempre tutto: WordPress core, plugin, temi. Non appena esce un aggiornamento, installalo.

Le vulnerabilità scoperte vengono subito sfruttate dagli hacker. Se rimandi l’aggiornamento di un plugin per settimane, stai letteralmente lasciando la porta aperta. Usa gli aggiornamenti automatici dove possibile.

Installare un firewall WordPress

Un firewall applicativo (WAF) blocca attacchi prima che raggiungano WordPress. I migliori sono:

Wordfence: include firewall, scanner malware, blocco attacchi brute force e protezione in tempo reale.

Sucuri Firewall: versione premium, molto potente. Filtra il traffico prima che arrivi al server.

Cloudflare: non è specifico per WordPress ma offre protezione DDoS, firewall e CDN. Gratis per uso base.

Installa almeno uno di questi strumenti e configuralo correttamente. Non basta installare il plugin: devi attivare il firewall e le protezioni.

Usare autenticazione a due fattori

L’autenticazione a due fattori (2FA) rende praticamente impossibile l’accesso non autorizzato anche se la password viene scoperta. Installa un plugin come Two Factor Authentication o Google Authenticator.

Ogni volta che tu (o chiunque altro) provi a fare login, serve un codice temporaneo generato da un’app sullo smartphone. Anche con la password giusta, senza quel codice non entri.

Backup automatici

I backup non prevengono gli attacchi, ma ti salvano quando succedono. Se hai un backup pulito recente, puoi ripristinare il sito in pochi minuti invece di passare ore a pulire il malware.

Usa plugin come UpdraftPlus, BackupBuddy o i sistemi di backup forniti dal tuo hosting. Imposta backup giornalieri automatici, salvati su cloud (Google Drive, Dropbox, AWS).

E soprattutto: testa i backup ogni tanto. Un backup che non funziona quando serve è inutile.

Google segnala “Questo sito potrebbe essere compromesso”: cosa fare?

Se Google mostra questo avviso, significa che il tuo sito è stato inserito nella blacklist di Google Safe Browsing. Succede quando Google rileva malware, phishing o contenuti dannosi sul sito.

Ecco cosa devi fare:

Pulisci completamente il sito: usa tutti i passaggi che ti ho spiegato prima. Google non rimuoverà l’avviso finché il malware è ancora presente.

Accedi a Google Search Console: vai nella sezione “Sicurezza e azioni manuali”. Se c’è un avviso di sicurezza, Google ti spiega esattamente cosa ha trovato (malware, redirect, phishing).

Richiedi una revisione del sito: dopo aver pulito tutto, clicca su “Richiedi revisione” in Search Console. Spiega brevemente cosa hai fatto per risolvere il problema. Google di solito risponde entro 48-72 ore.

Controlla anche Safe Browsing Status: vai su google.com/safebrowsing/report e inserisci il tuo URL. Ti dice se il sito è ancora segnalato.

Una volta che Google verifica che il sito è pulito, rimuove l’avviso e il traffico torna normale. Ma attenzione: se il malware ritorna, Google ti penalizza più duramente la seconda volta.

Posso pulire un sito WordPress hackerato senza perdere i contenuti?

Sì, nella maggior parte dei casi puoi salvare tutto: articoli, pagine, immagini, commenti. Il malware infetta file e database, ma raramente distrugge i contenuti.

La differenza sta nel metodo che usi:

Pulizia manuale: segui la procedura che ti ho spiegato nell’articolo. Rimuovi i file infetti, pulisci il database, reinstalli plugin e temi. I contenuti rimangono intatti.

Ripristino da backup: se hai un backup pulito recente (fatto prima dell’infezione), puoi ripristinarlo. Perdi solo le modifiche fatte dopo quella data. È la soluzione più veloce se il sito è gravemente compromesso.

Reinstallazione WordPress: in casi estremi, puoi reinstallare WordPress da zero mantenendo il database (dove stanno articoli e pagine). Perdi configurazioni, plugin e temi, ma non i contenuti.

Il rischio maggiore è nella pulizia del database: se cancelli righe sbagliate, puoi perdere articoli o impostazioni. Per questo, fai sempre un backup completo prima di iniziare qualsiasi operazione.

Checklist: Pulizia sito WordPress hackerato

Cambia password (admin, FTP, database, hosting)
Fai backup completo del sito infetto
Scansiona con Wordfence o Sucuri per identificare file infetti
Reinstalla file core WordPress (wp-admin, wp-includes)
Controlla plugin e temi: disattiva, confronta, reinstalla
Pulisci database: elimina script in wp_options e utenti sconosciuti
Rimuovi file sospetti dal server (soprattutto .htaccess e cartella uploads)
Installa firewall e aggiorna tutto: plugin, temi, WordPress core
Richiedi revisione a Google se il sito è in blacklist

Hai un sito WordPress compromesso e la situazione ti sembra fuori controllo?

Non serve ripartire da zero o perdere mesi di lavoro. Possiamo intervenire rapidamente per ripulire il malware, eliminare i redirect spam e blindare il sito contro nuovi attacchi. Ti spieghiamo esattamente cosa è successo, come lo risolviamo e quali protezioni implementiamo per evitare che ricapiti Parliamone: ti spiego come funziona il nostro servizio di sicurezza e manutenzione WordPress.

Serve aiuto con il digitale?

Che serva creare un sito, gestire i social o campagne pubblicitarie, analizziamo insieme la soluzione giusta per la tua azienda.

Consulenza gratuita

Hai un'idea da realizzare nel mondo digitale ma non sai da dove partire?

Contattaci

Altri post recenti

2026

Creazione Siti Web per Ristoranti: come ricevere prenotazioni senza pagare commissioni a TheFork

Un ristorante può ricevere prenotazioni senza pagare commissioni utilizzando un sito web con sistema di…

Leggi di più
2026

Newsletter senza consenso: è legale iscrivere un utente automaticamente? Regole GDPR per non finire nello spam (o nei guai)

In Italia e nell’Unione Europea inviare newsletter promozionali senza consenso è illegale, secondo quanto stabilito…

Leggi di più
2026

Bandi marketing e digitalizzazione per imprese 2026: contributi per siti web, SEO e marketing digitale

Sì, i bandi per la digitalizzazione delle imprese nel 2026 esistono e coprono investimenti strategici…

Leggi di più
2026

Il tuo modulo contatti non ha la spunta privacy? Ecco quando è illegale (e come renderlo a norma GDPR)

Se il modulo contatti del tuo sito non ha una checkbox privacy, non è detto…

Leggi di più
2026

Conviene affidarsi a una web agency nel 2026? Quando ha senso (e quando no)

Affidarsi a una web agency conviene se hai bisogno di competenze integrate e un progetto…

Leggi di più
2026

Come creare una email professionale con dominio personalizzato (e abbandonare Gmail)

Avere una email professionale con dominio personalizzato significa passare da nome@gmail.com a info@tuaazienda.it. È una…

Leggi di più
2026

Gestire un sito WordPress da soli è difficile? Guida Elementor per chi non è tecnico

No, gestire un sito WordPress da soli non è difficile se il sito è costruito…

Leggi di più
2026

Pagamenti a rate su un ecommerce: come funziona il pagamento dilazionato nel 2026

Il pagamento a rate su un ecommerce permette ai clienti di acquistare subito un prodotto…

Leggi di più
2026

Sito multilingue: quanto costa tradurre un sito web per l’estero? (Plugin vs traduttore umano)

Tradurre un sito web costa da poche decine a diverse migliaia di euro, a seconda…

Leggi di più
2026

Contratto realizzazione sito web: le 5 clausole fondamentali per tutelarti con i clienti

Un contratto di realizzazione sito web ben fatto ti protegge da mancati pagamenti, richieste infinite…

Leggi di più
Copyright © 2026 – Tel. +39 370 363 2932gabriele@nestwebagency.comPrivacy PolicyCookie Policy

Richiedi informazioni