Un sito WordPress hackerato è un’emergenza vera, non qualcosa che puoi rimandare a domani. Se hai notato comportamenti strani, redirect improvvisi o avvisi di malware da Google, significa che qualcuno ha già messo le mani sul tuo sito e sta facendo danni in questo momento. La buona notizia è che puoi ripristinare tutto in modo sicuro se agisci subito con i passaggi giusti.
Come capire subito se il tuo sito WordPress è stato hackerato
Prima di tutto, devi essere sicuro che si tratti davvero di un attacco e non di un semplice malfunzionamento tecnico.
Ecco i segnali più comuni che ti dicono immediatamente che qualcosa non va:
Il sito reindirizza a pagine sconosciute — apri il tuo dominio e finisci su siti di spam, casinò online o contenuti per adulti. È uno dei segni più evidenti di compromissione.
Non riesci più ad accedere alla dashboard — hai provato a fare login su /wp-admin ma le tue credenziali non funzionano più, oppure vieni bloccato completamente.
Google o il browser mostrano un avviso di sicurezza — messaggi tipo “Il sito contiene malware” o “Sito ingannevole” compaiono prima ancora che si carichi la pagina.
Compaiono file o cartelle che non hai mai creato — se guardi via FTP o cPanel e trovi directory strane con nomi casuali tipo “wp-content/uploads/cache2023x”, è probabile che siano stati iniettati da un attaccante.
Le prestazioni del sito sono crollate improvvisamente — caricamenti lentissimi, consumi anomali di risorse server, picchi di traffico inspiegabili.
Ricevi email di spam dal tuo dominio — il tuo server è stato usato per mandare email automatiche a liste spam senza che tu ne sappia niente.
Se anche solo due di questi segnali sono presenti, fidati: il tuo sito è compromesso e devi agire ora.
Cosa fare ORA se il sito WordPress è compromesso
Okay, hai capito che c’è un problema. Ora la priorità è limitare i danni prima di passare alla pulizia vera e propria.
Metti il sito in modalità manutenzione
Non lasciare il sito accessibile mentre è infetto. Usa un plugin come WP Maintenance Mode oppure crea manualmente un file .maintenance nella root di WordPress. Questo blocca l’accesso pubblico ma ti permette di lavorare sul backend.
Fai subito un backup completo, anche se è infetto
Sì, anche se il sito è compromesso. Scarica tutti i file via FTP e fai un dump completo del database. Questo backup ti serve come rete di sicurezza nel caso qualcosa vada storto durante la pulizia, non per ripristinarlo così com’è.
Cambia immediatamente tutte le password
Parti da quelle più critiche: accesso FTP, database MySQL, pannello hosting, utenti admin WordPress. Se l’attaccante ha ancora accesso, qualsiasi cosa tu faccia sarà inutile perché può rientrare quando vuole.
Isola il sito dall’esterno
Se hai accesso al firewall del server o a strumenti come Cloudflare, limita temporaneamente l’accesso solo al tuo IP. Così nessun altro può interagire con il sito mentre lo stai ripulendo.
Questi passaggi non risolvono il problema, ma ti danno il controllo della situazione e ti permettono di lavorare senza peggiorare le cose.
Quali sono i rischi se non rimuovi malware o virus oggi
Lasciare un sito WordPress hackerato online anche solo per qualche giorno può avere conseguenze pesanti, e non sto esagerando.
Google inserisce il tuo dominio nella blacklist
Una volta che Google rileva malware o phishing sul tuo sito, mostra un avviso rosso a tutti i visitatori. Questo significa crollo immediato del traffico organico e perdita totale di fiducia. Rimuovere l’avviso può richiedere giorni o settimane anche dopo aver ripulito tutto.
Perdi posizionamenti SEO accumulati nel tempo
Google non ama i siti compromessi. Se l’attacco dura troppo, il tuo dominio può perdere autorevolezza e ranking su parole chiave per cui eri posizionato da mesi o anni. Recuperare quelle posizioni richiede tempo e lavoro extra.
I tuoi visitatori vengono infettati o truffati
Se il malware distribuisce virus ai visitatori o li reindirizza a pagine truffa, non solo danneggi la loro esperienza, ma rischi anche azioni legali o segnalazioni formali contro il tuo dominio.
Il server può essere usato per attaccare altri siti
Gli hacker usano spesso siti WordPress compromessi come “zombie” per lanciare attacchi DDoS ad altri server o mandare milioni di email spam. Questo può portare alla sospensione immediata dell’hosting da parte del provider.
Perdi dati sensibili o informazioni dei clienti
Se gestisci un e-commerce o raccolgi dati utenti, un attacco può esporre password, email, indirizzi e dati di pagamento. Questo oltre a essere un problema legale enorme (GDPR), distrugge la reputazione del tuo brand.
Ogni ora che passa con il sito compromesso aumenta il danno. Non è una questione di “quando avrò tempo”, ma di intervenire adesso.
Ripristino tecnico: rimuovere malware e virus da WordPress
Qui entriamo nel vivo della pulizia. Se hai competenze tecniche puoi farlo manualmente, altrimenti ti consiglio di affidarti a chi sa esattamente dove cercare.
Scansiona tutti i file WordPress
Confronta i file del tuo sito con quelli di un’installazione pulita di WordPress della stessa versione. Cerca file modificati, codice iniettato in wp-config.php, functions.php dei temi, o script nascosti in cartelle tipo /wp-content/uploads/.
Controlla il database
Malware avanzati si nascondono anche nelle tabelle MySQL. Cerca stringhe sospette nelle tabelle wp_posts, wp_options e wp_users. Spesso trovi codice JavaScript offuscato o iframe nascosti dentro i contenuti.
Rimuovi plugin e temi non aggiornati o sconosciuti
Elimina tutto ciò che non riconosci o che non hai installato tu. Anche temi e plugin legittimi ma vecchi di anni possono contenere vulnerabilità sfruttate dagli attaccanti.
Resetta tutte le chiavi di sicurezza
Vai su wp-config.php e rigenera le chiavi AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY e NONCE_KEY usando il generatore ufficiale di WordPress. Questo invalida tutte le sessioni attive e butta fuori chiunque sia loggato senza permesso.
Controlla file .htaccess e index.php
Questi due file sono bersagli comuni. Verifica che non contengano redirect strani o codice aggiuntivo rispetto alla configurazione standard WordPress.
Se durante la scansione trovi decine di file infetti distribuiti in tutto il sito, spesso conviene reinstallare WordPress da zero mantenendo solo database (pulito) e contenuti media verificati.
Strumenti e scanner consigliati per pulizia malware WordPress
Non devi fare tutto a mano. Esistono strumenti professionali che accelerano la scansione e ti aiutano a identificare codice dannoso.
Wordfence Security — plugin WordPress gratuito con scanner integrato che confronta file locali con repository ufficiale. Ottimo per identificare modifiche sospette.
Sucuri SiteCheck — scanner online gratuito che analizza il sito dall’esterno e rileva malware noti, blacklist attive e problemi di sicurezza visibili.
MalCare — plugin premium con pulizia automatica malware. Costa, ma se non hai competenze tecniche può risolvere la maggior parte delle infezioni in automatico.
iThemes Security — oltre a protezione preventiva, include funzioni di scansione e hardening post-attacco.
VirusTotal — se hai file sospetti scaricati dal server, caricali su VirusTotal per farli analizzare da decine di antivirus contemporaneamente.
Usa almeno due strumenti diversi per la scansione, perché nessuno è infallibile al 100%. Quello che uno scanner non trova, l’altro potrebbe intercettarlo.
Dopo l’attacco: hardening e prevenzione per non essere hackerato di nuovo
Hai pulito tutto, il sito funziona di nuovo. Perfetto. Ma se non metti in sicurezza adesso, tra qualche settimana ti ritrovi da capo.
Aggiorna WordPress, temi e plugin all’ultima versione
La maggior parte degli attacchi WordPress sfrutta vulnerabilità note e già corrette. Se usi versioni vecchie, è come lasciare la porta di casa aperta.
Abilita autenticazione a due fattori (2FA)
Anche se l’attaccante scopre la tua password, senza il codice del telefono non entra. Plugin come WP 2FA o Google Authenticator sono gratuiti e si configurano in cinque minuti.
Limita i tentativi di login
Usa plugin come Limit Login Attempts Reloaded per bloccare IP che provano accessi ripetuti. Gli attacchi brute force si fermano subito così.
Nascondi la versione WordPress e disabilita l’editor di file
Rimuovi il meta tag con la versione di WP e aggiungi nel wp-config.php la riga define('DISALLOW_FILE_EDIT', true); per impedire modifiche ai file direttamente dalla dashboard.
Usa un firewall applicativo (WAF)
Servizi come Cloudflare o Sucuri Firewall filtrano il traffico prima che arrivi al tuo server, bloccando richieste sospette e bot malevoli.
Fai backup automatici giornalieri
Un backup recente e pulito ti permette di ripristinare tutto in pochi minuti se succede di nuovo. Usa plugin come UpdraftPlus o BackWPup e salva i file su cloud esterno (Google Drive, Dropbox, ecc.).
La sicurezza WordPress non è un’attività una tantum, ma un processo continuo. Dedica mezz’ora al mese per verificare aggiornamenti e log di sicurezza.
Quanto tempo ci vuole per pulire un sito hackerato?
Dipende dalla gravità dell’attacco e da quanto è complesso il sito.
Infezione superficiale con pochi file compromessi — se l’attacco è recente e limitato, la pulizia può richiedere 2-4 ore tra scansione, rimozione malware e reset sicurezza.
Infezione diffusa con database compromesso — se il malware si è propagato in decine di file e tabelle MySQL, servono 1-2 giorni di lavoro tecnico per identificare tutto e pulire senza perdere dati.
Attacco persistente con backdoor nascoste — nei casi peggiori, dove l’attaccante ha lasciato backdoor multiple e accessi nascosti, può volerci 3-5 giorni per essere certi di aver rimosso tutto e ricostruito la sicurezza.
Se lavori con un professionista o un servizio specializzato, i tempi si riducono notevolmente perché hanno già procedure consolidate e strumenti automatizzati.
La variabile più importante non è quanto tempo ci vuole, ma quanto velocemente cominci. Ogni ora di ritardo aumenta il rischio di danni permanenti.
Posso ripristinare il mio sito WordPress da backup se è stato hackerato?
Sì, ma con attenzione. Non è automatico che un backup risolva tutto.
Se il backup è precedente all’attacco e sai esattamente quando è avvenuta la compromissione, allora ripristinare può essere la soluzione più veloce. Perdi le modifiche fatte dopo quella data, ma riparti da una base pulita.
Se non sai quando è iniziato l’attacco, rischi di ripristinare un backup già infetto. Il malware potrebbe essere rimasto dormiente per settimane prima di attivarsi, quindi anche backup vecchi di un mese potrebbero essere compromessi.
Se il backup include il database, controlla prima che non contenga codice dannoso nelle tabelle. Ripristinare un database infetto riporta indietro anche il malware.
Il mio consiglio? Usa il backup come riferimento per confrontare file e identificare cosa è stato modificato, ma non ripristinarlo alla cieca. Pulisci il sito attuale e poi reintegra solo i contenuti sicuri dal backup (tipo immagini e testi verificati).
E naturalmente, cambia tutte le password anche dopo il ripristino, perché se l’attaccante le conosceva prima, le conosce ancora.
Il mio sito è stato inserito nei warning di Google: come rimuovere la blacklist?
Questo è uno degli effetti collaterali peggiori di un attacco, ma si può risolvere.
Pulisci completamente il sito prima di chiedere la revisione
Google non rimuove l’avviso se il malware è ancora presente. Assicurati che la scansione con Wordfence o Sucuri dia esito negativo prima di procedere.
Accedi a Google Search Console e richiedi la revisione
Vai nella sezione “Problemi di sicurezza” e clicca su “Richiedi revisione”. Google ti chiederà di spiegare cosa hai fatto per risolvere il problema. Sii specifico: “Rimosso malware da file X, pulito database, aggiornato plugin vulnerabili, implementato 2FA”.
Attendi la revisione (può richiedere 3-5 giorni)
Google non risponde immediatamente. Nei casi semplici la revisione avviene in 72 ore, ma se l’infezione era grave possono servire anche 7-10 giorni.
Controlla anche Safe Browsing di Google
Oltre a Search Console, verifica lo stato su transparencyreport.google.com/safe-browsing. Se il tuo dominio compare lì, significa che l’avviso è attivo anche per gli utenti che non arrivano da ricerca organica.
Rimuovi avvisi anche da altri browser
Firefox e altri browser usano liste diverse. Controlla Microsoft Defender SmartScreen se i tuoi visitatori usano Edge o IE.
Una volta rimosso l’avviso, monitora il sito per almeno 2-3 settimane per assicurarti che non ci siano reinfezioni. Se Google rileva di nuovo malware dopo la revisione, la penalizzazione sarà più dura.
Checklist: cosa fare dopo un attacco WordPress
✅ Backup completo immediato (anche se infetto, come rete di sicurezza)
✅ Scansione malware con almeno 2 strumenti diversi
✅ Reset di tutte le password (FTP, database, admin, utenti)
✅ Aggiornamento forzato di WordPress, temi e plugin
✅ Attivazione 2FA e limitazione tentativi login
✅ Richiesta revisione Google Search Console (dopo pulizia completa)
Il tuo sito WordPress è stato compromesso e non sai da dove iniziare?
Ti aiutiamo a ripristinare tutto in poche ore: rimozione malware completa, messa in sicurezza del server e protezione permanente contro futuri attacchi. Contattaci ora per un intervento urgente e torna online in sicurezza oggi stesso.
