Individuare un sito Wordpress violato senza perdere tempo richiede un metodo collaudato, punti di controllo precisi e decisioni rapide. Questa guida operativa vi mostra come confermare l'intrusione, dare priorità ai rischi, preservare i vostri dati e le vostre posizioni SEO e quindi avviare una bonifica pulita.
1) Segnali di allarme immediati da non ignorare mai
Prima ancora di aprire una console di amministrazione, scansionate ciò che i visitatori vedono e ciò che i motori leggono. Questa scansione visiva e comportamentale richiede pochi minuti e spesso rivela più di 80% dei classici compromessi.
A cosa prestare subito attenzione: reindirizzamenti condizionati (a volte si attivano solo al primo caricamento, su mobile o per utenti non loggati), finestre pop-up iniettate, sovrapposizioni pubblicitarie che non appartengono alla vostra esperienza, aumento improvviso del tempo di caricamento su pagine semplici, avvisi del browser (Chrome/Firefox) su contenuti pericolosi, risultati anomali di Google (titoli in giapponese, contenuti farmaceutici, inserti non correlati alla vostra attività), messaggi Questa pagina sembra inviare spam a determinate webmail dopo aver cliccato sulle vostre newsletter o conferme di acquisto.
Per avere una rapida idea degli schemi più comuni, date un'occhiata ai seguenti diagrammi Segni comuni di hacking di WordPress. Se già spuntate due o tre voci, considerate la situazione come un probabile compromesso.
2) Indicatori tecnici di compromissione a livello di server
Le tracce raramente lasciano spazio a dubbi. Iniziate con l'osservare le metriche globali: picchi inaspettati di CPU/memoria, elevato IO su disco al di fuori dei backup, calo della disponibilità, esplosione del volume di e-mail in uscita, nuovi IP vietati dal firewall, file modificati di recente in massa in wp-content (soprattutto gli upload), cron sconosciuti, pianificazione di attività al minuto (minuziosamente) che non esistevano, uso anomalo della larghezza di banda in uscita (esfiltrazione).
Per quanto riguarda i log, moltiplicate gli angoli. Tenete d'occhio i 404 verso percorsi PHP sconosciuti, le chiamate ripetute a admin-ajax.php o wp-json da ASN dubbi, i POST di grandi dimensioni verso endpoint di moduli usati raramente, gli User-Agent esotici (curl, python-request) o vuoti, le richieste a wp-login.php a un ritmo costante (bruteforce discreto), le HEAD/OPTIONS insolite appena prima di POST dannosi, i reindirizzamenti 302/307 non previsti nel vostro stack.
Cercate la persistenza classica: file .php negli upload o nei wp-include, mu-plugin che non avete mai creato, backdoor nell'index.php di temi obsoleti, script .ico o .png che sono in realtà PHP, file denominati con il prefisso di un plugin legittimo, ma che si trovano nel posto sbagliato.
3) Rapida routine di controllo di 15 minuti
Per confermare o smentire l'intrusione senza indugio, adottare un protocollo standardizzato. Stilare un inventario: elenco degli account di amministratore attivi, email e ruoli di recupero (individuazione di un account admin2 recente), elenco di plugin e temi con le relative versioni (individuare quelli che non si aggiornano più), data dell'ultima modifica dei file critici (wp-config.php, .htaccess, index.php alla radice). Misurare la superficie di esposizione: directory elencate per errore (DirectoryIndex mancante), file di backup accessibili pubblicamente (.zip, .sql), endpoint REST che espongono troppe informazioni. Infine, ispezionare il front-end: codice sorgente per le pagine chiave, tag di script/iframe inaspettati e minificazione strana. Le anomalie combinate sono un segnale forte.
Ottenete un audit gratuito del vostro sito web
4) Controlli front-end: DOM, script e rete
Aprire DevTools del browser su una pagina tipica. Nella scheda Elements, cercate script inseriti alla fine del corpo, attributi onload/onmouseover sospetti, URL CDN sconosciuti, payload crittografati in base64 o hex. Nella scheda Rete, filtrate JS e Document: vedrete presto i caricamenti verso domini con un'ortografia fuorviante. Esaminate anche la tempistica: se un JS di terze parti allunga in modo sproporzionato il TTFB/DOMContentLoaded, potrebbe incapsulare un reindirizzamento condizionale o un'iniezione.
Punti specifici di attenzione: iframe 1px x 1px, parole chiave farmaceutiche/giapponesi nel DOM nascoste tramite CSS, Service Worker non previsto (i reindirizzamenti possono persistere), assenza o improvviso indebolimento del CSP/politica dei permessi, riscrittura dinamica dei link in uscita per monetizzare il traffico.
5) File e punti di persistenza ad alto rischio
Mirate agli hub di configurazione: wp-config.php (chiavi e DB costanti, aggiunta di include o evals), .htaccess (regole di Rewrite su misura per reindirizzare determinate condizioni), index.php alla radice (inclusioni condizionali), directory wp-content/mu-plugins (esecuzione automatica al caricamento), uploads (le webshell sono mimetizzate lì). Una semplice differenza temporale parla da sola: se wp-config.php è stato modificato senza motivo, sospendete le connessioni in entrata e salvate la prova (copia con data e ora) prima di intraprendere qualsiasi azione.
6) Database, opzioni e utenti
Al di là dei file, una compromissione duratura spesso coinvolge la base: creazione di utenti amministratori discreti, modifica dell'indirizzo e-mail dell'account amministratore esistente, iniezione di opzioni autocaricate nella tabella delle opzioni per eseguire codice a ogni richiesta, aggiunta di pagine orfane per lo spam SEO, dirottamento di widget o menu. Controllate anche i campi home e siteurl se notate reindirizzamenti globali, nonché la presenza di script nel contenuto dei post (tag script, iframe, shortcode sconosciuti). Infine, controllate la tabella delle attività pianificate (cron) per verificare l'esecuzione minuto per minuto di funzioni con nomi innocui.
7) Spam SEO: parole chiave esotiche, redirect e URL fantasma
Il Japanese keyword hack, il pharma hack e le doorway pages restano tra i più devastanti per l'immagine e la SEO. Tre i sintomi: le SERP mostrano snippet con termini stranieri, si scoprono centinaia di pagine indicizzate sconosciute, il traffico organico diventa distorto (con conseguente frequenza di rimbalzo anomala). Iniziate a cercare site:yourdomain.tld in navigazione privata e confrontate i titoli con la vostra struttura ad albero reale. Quindi ispezionate i permalink: se la struttura è stata alterata, le riscritture possono mascherare una directory dannosa.
Per saperne di più suIniezione massiccia di URL e i meccanismi di generazione delle pagine fantasma, questa risorsa fornisce indizi concreti per l'audit. Allo stesso tempo, se avete bisogno di rivedere rapidamente la struttura degli URL dopo un incidente, potete affidarvi ai metodi diottimizzare i permalink per ristabilire percorsi puliti e ridurre il rischio di reindicizzazione di pagine indesiderate.
8) Estensioni, temi e filiera
Un gran numero di incidenti è causato da un componente vulnerabile. Indicazioni tipiche: un'estensione abbandonata, un aggiornamento di sicurezza pubblicato ma non applicato, un tema nullo, il deposito di file al di fuori della directory del componente o una filiazione dubbia (fork non verificati). Stabilite la cronologia: quando è apparso il comportamento anomalo e cosa è stato aggiornato/installato poco prima? La correlazione temporale è il vostro miglior alleato. Se individuate un probabile punto di accesso, date priorità alla neutralizzazione: disattivazione, sostituzione, quindi analisi delle tracce (registri, file eliminati, attività pianificate).
9) Phishing, cloni e reindirizzamenti selettivi
Alcuni aggressori non modificano il contenuto principale, ma aggiungono pagine di phishing e reindirizzano solo profili specifici (traffico mobile, referer specifico, IP sconosciuto). Per individuare questi scenari, testate le vostre pagine su reti (4G/5G, VPN), dispositivi e browser diversi e confrontate i percorsi di reindirizzamento. Questo approccio, unito ad alcune buone pratiche di riconoscere una pagina con trappole esplosiveQuesta nuova funzione identifica le trappole che sono invisibili agli amministratori connessi.
10) Differenziare i guasti, i bug e i compromessi.
Non tutti i bug sono attacchi. Ecco tre semplici criteri per distinguerli: riproducibilità (un bug è generalmente riproducibile indipendentemente dall'IP, un hacker può nascondersi dietro le condizioni), temporalità (un bug appare dopo un aggiornamento interno noto; una compromissione può emergere senza alcun cambiamento da parte del team), persistenza (una volta svuotata la cache, un bug spesso scompare; una compromissione riemerge da sola tramite task/CRON). Effettuate un controllo incrociato di questi criteri prima di attivare un piano di incidenti completo, ma se c'è un dubbio sostanziale, trattatelo come un incidente di sicurezza.
11) Politica delle prove: conservare, isolare, analizzare
Non appena si sospetta un'intrusione, creare istantanee: backup dei file e del database, copia dei log di accesso/errore, elenco dei processi attivi, esportazione di account e ruoli. Lavorate su una copia per l'analisi, tenete la produzione sotto stretta sorveglianza ed evitate di annunciare pubblicamente l'incidente prima di aver bloccato le vie di esfiltrazione. Conservate le prove nel caso in cui dobbiate contattare l'host, segnalare un abuso o se è necessaria un'indagine più formale.
Ottenete un audit gratuito del vostro sito web
12) Lista di controllo per la rilevazione approfondita
Superficie web
Controllare il contenuto della home page e delle pagine strategiche in navigazione privata, monitorare i reindirizzamenti per regione/dispositivo, ispezionare il codice sorgente alla ricerca di script esterni sospetti, confrontare i contenuti in cache (CDN) con la versione originale, verificare la conformità delle intestazioni di sicurezza (CSP, HSTS, X-Frame-Options).
File e integrità
Confronta le versioni del kernel e delle estensioni con quelle ufficiali, elenca i file modificati di recente, cerca modelli di backdoor (eval, base64_decode, gzuncompress concatenato, anonymous create_function), rileva i file PHP mascherati (estensioni eseguibili .ico/.png), ispeziona i mu-plugin e i must-use che caricano codice opaco.
Base e utenti
Controlla i ruoli recenti, controlla le e-mail e i token di recupero, esamina le opzioni autocaricate create di recente, rintraccia le iniezioni nei post/pagine tramite shortcode esotici, individua le attività pianificate con nomi innocui ma molto frequenti.
Registri e rete
Analizzare gli schemi di attacco (picchi su wp-login, REST, XML-RPC), filtrare per IP, referer e user-agent, cercare 500/502 correlati a POST, identificare catene di reindirizzamento condizionale per dispositivo/UA.
13) Indicatori e reputazione SEO
Oltre alle pagine anomale, tenete d'occhio la Search Console: avvisi su URL sospetti, aumento improvviso di soft 404, calo di copertura, parole chiave non coerenti con il vostro settore. Controllate anche le blacklist di posta elettronica se inviate newsletter: una compromissione può dirottare i vostri moduli per diffondere spam. Se ristrutturate i vostri contenuti dopo la pulizia, questi buone pratiche di tassonomia contribuirà a ristabilire un'indicizzazione coerente e a chiudere la porta alla categorizzazione parassitaria.
14) Scenari comuni e come individuarli rapidamente
Iniezione furtiva con un tema figlio
Il codice inserito in functions.php del tema child aggiunge script di terze parti solo per i non amministratori. Test: navigazione privata, dispositivo diverso, rete diversa, dump della cache CDN. Suggerimento forte: script esterni alla fine del corpo.
Backdoor tramite upload
Un file immagine php in upload che risponde a un parametro GET ed esegue comandi. Suggerimento: file .php recenti in upload, 200/POST su questo percorso, richieste frequenti da un singolo IP.
Spam SEO con sitemap parallele
Creazione di una sitemap clandestina che punta a pagine fantasma. Suggerimento: presenza di un file sitemap-XYZ.xml non generato dal vostro strumento, strane sottomissioni di indicizzazione.
Reindirizzamento mirato
Script che reindirizzano solo su mobile. Indizio: disparità di comportamento tra desktop e mobile, reindirizzamenti 302 sporadici, script offuscati condizionati dall'agente utente.
15) Proteggere i vostri moduli e le vostre udienze durante l'indagine
Se sospettate una compromissione, limitate temporaneamente l'invio di messaggi in uscita, imponete ovunque reCAPTCHA/turnstile, sospendete i webhook verso servizi di terze parti, archiviate i lead ma non inviateli automaticamente ai vostri CRM finché l'integrità non sarà confermata. Quando tutto è stato ripulito, riprendete un'integrazione sana basata suaggiungere un modulo di iscrizione che rispettano le migliori pratiche antiabuso e la conformità al RGPD.
16) Dopo la conferma: contenimento, eradicazione, ripristino
Non appena la compromissione è confermata, isolare (modalità di manutenzione del front-end, blocco della modifica dall'esterno, rotazione delle password), salvare lo stato per la forensics, ripulire (file, database, account, attività), aggiornare, quindi ripristinare da un'istantanea sana, se necessario. Per una tabella di marcia operativa passo-passo che copre l'intero ciclo (contenimento, ripristino, hardening), seguite questa guida Guida completa alla bonifica. Non dimenticare di modificare tutti i segreti (SFTP/SSH, DB, chiavi, token) prima di tornare online.
17) Tempra e monitoraggio continuo per prevenire le recidive
Un buon rilevamento dipende da una buona osservabilità. Implementate il monitoraggio dell'integrità dei file (hash), avvisi sulla creazione di admin/CRON, un WAF applicativo, backup immutabili off-server, aggiornamenti automatici (almeno quelli di sicurezza), una politica di minimizzazione dei privilegi, 2FA per tutti gli account ad alto rischio, intestazioni di sicurezza rigorose (CSP, HSTS), revisione trimestrale delle estensioni. Documentate la vostra architettura (chi fa cosa, dove sono i log, come si ripristina). Maggiore è la visibilità, più rapido è il tempo di rilevamento.
18) URL, reindirizzamenti e pulizia strutturale
Dopo un incidente, armonizzare le regole di riscrittura ed eliminare i percorsi parassiti; riconvalidare la struttura dei permalink, ricostruire le sitemap, svuotare la cache del CDN e forzare una reindicizzazione pulita delle pagine principali. Procedure perottimizzare i permalink può essere usato per riprendere il controllo della retinatura interna e limitare l'indicizzazione delle pagine residue.
Ottenete un audit gratuito del vostro sito web
19) Casi settoriali e aree specifiche di attacco
Alcuni verticali sono più mirati (immobiliare, e-commerce, istruzione) perché concentrano dati personali e traffico qualificato. Ad esempio, i cataloghi immobiliari e le pagine di raccolta attirano spam SEO, scrapping e dirottamento di moduli. Se state costruendo o rilanciando un portale aziendale, ispiratevi a metodi solidi per garantire che il vostro sito sia il più efficace possibile. presenza online per le agenzie immobiliari che incorpora i requisiti di sicurezza e osservabilità fin dalla fase di progettazione.
20) Scenari utente: quando il problema non proviene da voi
A volte l'utente finale vede un avviso non perché il vostro hosting è compromesso, ma perché il suo dispositivo è infetto, il suo DNS è avvelenato o un plugin del browser sta iniettando annunci. Verifica rapida: testate da diverse reti e dispositivi, utilizzate un profilo di browser pulito, confrontate con un rendering curl o con un servizio di acquisizione indipendente. Se il sospetto riguarda l'utente, spiegare come convalidare l'integrità della pagina e, se necessario, guidare l'utente verso risorse per evitare le insidie e controllare l'integrità della pagina. riconoscere una pagina con trappole esplosive.
21) Comunicazione di crisi e reputazione
La trasparenza deve essere gestita con sensibilità: informate rapidamente i vostri utenti se i dati sono stati esposti, descrivete le misure adottate e le raccomandazioni (ripristino della password, verifica delle transazioni) e fornite un punto di contatto. Documentate l'intera cronologia: rilevamento, contenimento, eliminazione, ripristino, hardening. Questa documentazione sarà utile in occasione di un successivo audit e ridurrà i tempi di risposta in caso di incidente futuro.
22) Casi di studio: scorciatoie diagnostiche che fanno risparmiare ore di lavoro
Confrontate il rendering come amministratore loggato rispetto a un visitatore anonimo; fate un test di notte e nei fine settimana (alcuni malware si attivano nelle ore non di punta); passate attraverso un browser con un ad-blocker e un altro senza; verificate un'esportazione HTML piatta di una pagina chiave (per controllare il codice generato prima di JS). Infine, tenete d'occhio l'output delle e-mail: un aumento improvviso è spesso il risultato di un form hijacking.
23) Prevenire la regressione SEO post-incidente
Oltre a ripulire, rassicurate i motori: richiedete una revisione se è stato emesso un avviso di sicurezza, rimuovete gli URL fantasma dall'indice, pulite i reindirizzamenti 410/301, aggiornate le sitemap, ricostruite le maglie interne, controllate le faccette e le tassonomie. La revisione della struttura editoriale e della coerenza dell'architettura dell'informazione rafforza anche la resilienza di fronte a tentativi di sfruttamento di pagine o archivi orfani; un richiamo alla buone pratiche di tassonomia è rilevante in questa fase.
24) Quando delegare l'audit e le pulizie
Se gli indizi si moltiplicano, la criticità aziendale è elevata o manca la visibilità del server, delegate l'analisi e la correzione a un team specializzato. Un punto di vista esterno fornisce strumenti di indagine, un metodo collaudato e tempi di risoluzione più brevi, consentendovi di concentrarvi sulla comunicazione e sulla continuità operativa. Potete richiedere un Audit tecnico gratuito per dare priorità alle azioni e ottenere un piano di trattamento immediato.
25) Risorse aggiuntive e sintesi
Il miglior rilevamento è quello proattivo: registri centralizzati, avvisi su comportamenti anomali, integrità dei file, aggiornamenti di sicurezza, backup testati, segmentazione degli accessi, hardening dei moduli e monitoraggio delle vulnerabilità dei componenti. In caso di dubbio, ripercorrete l'elenco di Segni comuni di hacking di WordPress. E ricordate: non fermatevi al sintomo più visibile. Gli aggressori cercano la persistenza. Controllate le attività pianificate, i punti di ingresso, la base e i reindirizzamenti.
Applicando questo metodo, potrete ridurre i tempi di rilevamento, limitare l'impatto sul vostro pubblico e sulle vostre referenze e tornare in pista con tranquillità. Una volta che l'attacco è stato contenuto e ripulito, non dimenticate di industrializzare le vostre routine di sicurezza e monitoraggio per trasformare l'incidente in una leva per il miglioramento continuo.
