Un sito WordPress infettato da malware o hackerato è una situazione più comune di quanto si pensi. I sintomi possono essere diversi: rallentamenti, contenuti sospetti, redirect indesiderati, comparsa di popup pubblicitari o, nei casi peggiori, la rimozione dalle ricerche di Google.
Se ti trovi in questa condizione, non farti prendere dal panico: seguendo alcuni passaggi è possibile ripulire il sito e riportarlo a funzionare correttamente.
1. Esegui subito un backup completo
Prima di qualsiasi intervento, effettua un backup di tutti i file del sito e del database. Questo passaggio è fondamentale per evitare di perdere dati durante la pulizia.
2. Aggiorna WordPress, plugin e temi
Spesso gli attacchi sfruttano versioni non aggiornate.
Aggiorna WordPress all’ultima release.
Aggiorna tutti i plugin e i temi.
Elimina plugin o temi non utilizzati.
3. Scansiona il sito con un plugin di sicurezza
Installa e utilizza strumenti come Wordfence, iThemes Security o Sucuri Security per eseguire una scansione approfondita e individuare file sospetti.
4. Controlla i file di sistema
Alcuni file vengono modificati per inserire codice malevolo. In particolare verifica:
wp-config.php.htaccessindex.phpcartella
/wp-content/uploads
Rimuovi eventuali righe sospette o file che non riconosci.
5. Ripristina da un backup sano (se disponibile)
Se hai un backup precedente all’infezione, puoi ripristinarlo e poi aggiornare tutto il sistema. Questa è spesso la soluzione più veloce e sicura.
6. Reimposta tutte le password
Cambia immediatamente le credenziali di:
WordPress admin
Database
FTP / hosting
Account collegati
7. Rimuovi l’infezione da Google Search Console
Se Google ha segnalato il sito come infetto, una volta pulito potrai richiedere la revisione di sicurezza dalla Google Search Console per rimuovere l’avviso.
8. Prevenire nuovi attacchi
Per evitare che il problema si ripresenti:
Mantieni sempre aggiornati WordPress, plugin e temi.
Usa un plugin di sicurezza con firewall attivo.
Attiva i backup automatici giornalieri.
Utilizza password forti e, se possibile, l’autenticazione a due fattori.
Conclusione
Ripulire un sito WordPress infettato richiede tempo e attenzione, ma seguendo i passaggi giusti è possibile recuperare il controllo e garantire sicurezza agli utenti.
Ricorda: la prevenzione è la miglior difesa. Un sito aggiornato, protetto e monitorato riduce al minimo i rischi e ti permette di lavorare in tranquillità.