WordPress piratato
Reagire in fretta: contenere l’incidente prima di pulire
Quando sospetti una compromissione, l’obiettivo non è innanzitutto eliminare file a caso, ma limitare i danni: impedire all’attaccante di restare connesso, ridurre la propagazione (spam, reindirizzamenti, malware) e preservare prove minime per comprendere la vulnerabilità. Iniziate mettendo il sito in modalità manutenzione (o, in mancanza, limitando l’accesso tramite una password lato server/HTTP Auth) per evitare che i visitatori siano esposti a contenuti malevoli e che Google rilevi pagine infette.
Poi, cambiate immediatamente le password critiche: account amministratori WordPress, FTP/SFTP, database, hosting, e-mail legate al dominio. Fatelo da una postazione sicura (non il computer potenzialmente infetto) e privilegiate password uniche e lunghe. Se utilizzate chiavi API (servizi di e-mailing, gateway di pagamento, CDN), rigeneratele anche: un sito compromesso può esfiltrare token e usarli in seguito, anche dopo una pulizia.
Prima di qualsiasi modifica importante, effettuate un backup completo a freddo: file + database, così com’è al momento dell’incidente. Può essere utile per analizzare l’attacco, trovare il punto d’ingresso o dimostrare cosa è stato modificato. Conservate questo archivio fuori dal server (archiviazione locale cifrata o spazio cloud sicuro).
Diagnosticare: individuare i sintomi e delimitare l’attacco
Un sito compromesso non si manifesta sempre con una home page defacciata. I sintomi comuni sono più discreti: reindirizzamenti verso siti sospetti, pop-up, pagine di spam iniettate, creazione di utenti amministratori sconosciuti, aumento improvviso delle risorse del server, invio massivo di e-mail, oppure avvisi in Google Search Console. Nel back-office, controllate l’elenco degli account (in particolare gli amministratori), i plugin/temi installati di recente e le modifiche alle impostazioni (URL del sito, e-mail admin, chiavi di pagamento).
Sul server, ispezionate le date di modifica dei file, la presenza di file PHP anomali in uploads (dove non dovrebbe esserci codice eseguibile) e le attività pianificate sospette. Su WordPress, monitorate gli eventi ricorrenti (WP-Cron) che rilanciano l’infezione dopo la rimozione: alcuni malware si reinstallano tramite un’attività pianificata, una backdoor o un plugin nulled.
Se cercate una check-list dettagliata orientata alla riparazione, potete confrontare le vostre osservazioni con questa guida esterna: riparare un sito hackato: passaggi e buone pratiche. L’idea è confermare l’estensione: solo WordPress, oppure l’intero hosting (altri siti sullo stesso account), o persino la posta del dominio.
Mettere in sicurezza l’accesso: account, sessioni e permessi
Prima di eliminare qualsiasi cosa, bloccate l’accesso. Disconnettete tutte le sessioni attive reimpostando le password degli account admin e cambiando le chiavi di sicurezza WordPress (AUTH_KEY, SECURE_AUTH_KEY, ecc.) in wp-config.php. Questo invalida i cookie e forza la riconnessione.
Poi, applicate il principio del minimo privilegio: eliminate gli account sconosciuti, declassate gli account admin inutili e limitate gli accessi FTP/SFTP alle sole persone che ne hanno bisogno. Sul piano dei permessi, evitate diritti troppo permissivi (ad es. 777). In generale, 644 per i file e 755 per le cartelle sono sufficienti; wp-config.php merita spesso un trattamento più rigido a seconda dell’hosting.
Per saperne di più sui nostri servizi di manutenzione di siti WordPress
Per ridurre il rischio di attacco brute force già nella fase di ripristino, applicate una limitazione degli accessi e dei tentativi. Un tutorial interno può guidarvi passo dopo passo senza dipendere da un plugin “miracoloso”: implementare una limitazione dei tentativi di accesso.
Pulizia dei file: ripartire da un core WordPress sano
Il metodo più affidabile consiste nel ripartire dalle fonti ufficiali piuttosto che tentare di identificare manualmente ogni file malevolo. Scaricate una copia pulita di WordPress (stessa versione o ultima versione stabile), poi sostituite integralmente le cartelle wp-admin e wp-includes. Conservate solo wp-content (da verificare) e il vostro wp-config.php (da controllare). Questo elimina una grande parte delle iniezioni nel core.
In wp-content, la prudenza è massima: è lì che risiedono temi, plugin e upload, ed è spesso lì che si nascondono le backdoor. Eliminate tutti i plugin che non utilizzate. Per quelli che restano, reinstallateli da una fonte ufficiale (directory WordPress o editore riconosciuto) sovrascrivendo i file esistenti. Idem per il tema attivo: se utilizzate un tema premium, riscaricate l’archivio originale dal vostro account dell’editore.
Ispezionate in particolare :
– La cartella uploads : presenza di .php, .phtml, .phar, o di file con nomi casuali.
– I file modificati di recente: functions.php, header.php, wp-config.php, .htaccess (o la configurazione Nginx).
– Le stringhe offuscate: base64_decode, eval, gzinflate, str_rot13, preg_replace con \/e, lunghe righe illeggibili.
Se volete confrontare la vostra procedura con un altro approccio di disinfezione (incentrato su hosting + WordPress), questa guida esterna può servire come punto di confronto: pulire e mettere in sicurezza un sito infetto.
Pulizia del database: rimuovere lo spam, le iniezioni e le backdoor
Una pulizia incompleta fallisce spesso a causa del database. Gli hacker vi iniettano link nei contenuti, script nei widget, o payload nelle opzioni. Iniziate verificando la tabella degli utenti: account sconosciuti, e-mail strane, ruoli admin sospetti. Poi, ispezionate :
– wp_options : valori contenenti JavaScript, iframe, link di spam, o dati serializzati anomali.
– Widget (opzioni theme_mods \/ widget_*) : alcuni malware vi si nascondono.
– Articoli/pagine: iniezioni di link nascosti (display:none) o reindirizzamenti condizionali.
Evitate le sostituzioni globali senza backup: una query sbagliata può rompere la serializzazione. Usate uno strumento compatibile con WordPress (WP-CLI search-replace con cautela) oppure esportate per analizzare. Se il vostro sito presenta errori di connessione durante l’intervento (cosa che succede quando si cambiano le credenziali DB), fate riferimento a questa guida interna per correggere correttamente la configurazione: correggere l’errore di connessione al database.
Verificare i punti d’ingresso: plugin vulnerabile, tema compromesso, credenziali trafugate
Pulire senza correggere la falla d’origine equivale a asciugare senza chiudere il rubinetto. Dopo una compromissione, cercate il punto d’ingresso più probabile:
– Plugin obsoleto o abbandonato (vulnerabilità nota, assenza di aggiornamenti).
– Tema scaricato da una fonte non affidabile, o nulled (spesso pieno di backdoor).
– Credenziali FTP/SFTP compromesse (riutilizzo della password, postazione infetta).
– Accesso admin WordPress esposto (password debole, assenza di 2FA, brute force).
– Configurazione server errata (permessi troppo ampi, esecuzione PHP in uploads, ecc.).
La questione del tema è critica: alcuni temi premium piratati contengono iniezioni invisibili. Per fare una scelta duratura (e capire i rischi), potete consultare questo confronto interno: scegliere tra tema su misura e tema premium.
Rafforzare WordPress: aggiornamenti, 2FA, regole server e igiene della sicurezza
Una volta stabilizzato e pulito il sito, rafforzatelo. Aggiornate WordPress, i temi e i plugin, poi eliminate definitivamente ciò che non è indispensabile. Attivate l’autenticazione a due fattori (2FA) per tutti gli account admin ed editor. Limitate l’accesso a /wp-admin (whitelist IP se possibile, o almeno protezione tramite HTTP Auth).
Lato server, rafforzate le regole:
– Disattivare l’esecuzione PHP in wp-content/uploads (regola .htaccess o equivalente Nginx).
– Forzare HTTPS, HSTS se pertinente.
– Aggiungere intestazioni di sicurezza (Content-Security-Policy secondo il contesto, X-Frame-Options, ecc.).
– Implementare un WAF (web application firewall) se il vostro traffico lo giustifica.
Pensate anche a eliminare le superfici inutili: XML-RPC se non utilizzato, account inattivi, endpoint esposti. Infine, attivate la registrazione (log) e monitorate: l’assenza di visibilità è un vantaggio per l’attaccante.
Controllare la reinfezione: scansioni, log e monitoraggio
Dopo la pulizia, verificate che il sito non si reinfetti. I segnali di reinfezione includono: ritorno dei file eliminati, comparsa di nuovi admin, attività cron sospette o reindirizzamenti che ricompaiono. Eseguite scansioni lato server e lato applicazione, ma tenete presente che una scansione non sostituisce una revisione manuale: alcuni malware sono progettati per sfuggire alle firme.
Per saperne di più sui nostri servizi di manutenzione di siti WordPress
Analizzate i log di accesso (HTTP) e i log di errore: cercate richieste verso file creati di recente, chiamate POST anomale o scansioni di URL tipiche degli exploit. Identificate l’IP, lo user-agent, la data/ora e collegate il tutto ai file modificati. Questa fase vi aiuta a capire come e a chiudere la porta.
Per un altro approccio strutturato (che include verifiche e hardening), questa guida esterna è utile: guida alla pulizia e alla messa in sicurezza dopo un’intrusione.
Ripristinare la fiducia: Search Console, blacklist e comunicazione
Se Google o un antivirus del browser ha segnalato il vostro sito, dovete gestire l’aspetto reputazionale. Una volta terminata la pulizia, richiedete un riesame in Google Search Console se è stata applicata un’azione di sicurezza. Verificate anche che le pagine di spam siano state eliminate e che restituiscano codici HTTP appropriati (410 in caso di eliminazione definitiva, 301 in caso di sostituzione legittima). Controllate la sitemap, gli URL indicizzati e l’assenza di reindirizzamenti nascosti.
Se il vostro sito raccoglie dati (moduli, account, pagamenti), valutate l’impatto GDPR: a seconda del caso, potrebbe essere necessaria una notifica. Informate i vostri utenti in modo fattuale: cosa è successo, cosa è stato fatto e cosa devono fare (cambio password, attenzione alle e-mail, ecc.).
In alcuni casi, l’infezione include un virus lato browser o script che si iniettano in modo condizionale. Per comprendere gli scenari frequenti di disinfezione e di rimessa online, potete leggere questo resoconto di esperienza esterno: pulizia e disinfezione dopo infezione.
Prevenire invece di subire: manutenzione, test e disciplina di messa in produzione
La maggior parte delle compromissioni WordPress sfrutta vulnerabilità note su componenti non mantenuti. La prevenzione si basa su una routine: aggiornamenti gestiti, backup verificati, sorveglianza e controllo qualità prima del rilascio. Il punto chiave è evitare gli aggiornamenti alla cieca in produzione: testate prima su un ambiente di staging, validate le compatibilità, poi distribuite.
Per rendere più affidabile il vostro processo, questa guida interna spiega come evitare che un nuovo plugin diventi un rischio: testare un plugin prima dell’installazione in produzione.
Infine, non dimenticate l’impatto SEO: un sito instabile, infetto, lento o reindirizzato perde rapidamente visibilità, talvolta in modo duraturo. Questa risorsa interna dettaglia le conseguenze concrete: gli effetti di una mancanza di manutenzione sul posizionamento.
Quando rivolgersi a un professionista: risparmiare tempo ed evitare di dimenticare una backdoor
Alcune infezioni sono semplici, altre no: malware polimorfo, accesso al server compromesso, reinfezione quotidiana o fuga di dati. Se vi manca tempo, se il sito è critico (e-commerce, generazione di lead, prenotazione), o se non siete sicuri della causa principale, un intervento specializzato può evitare giorni di tentativi a vuoto. Un fornitore competente deve proporre: identificazione del punto d’ingresso, rimozione delle backdoor, hardening e raccomandazioni concrete per evitare recidive.
A titolo di esempio, ecco una pagina esterna che descrive un intervento rapido di disinfezione: intervento di pulizia d’urgenza. Qualunque sia il fornitore, esigete un elenco chiaro delle azioni svolte e delle misure preventive implementate.
Piano d’azione riepilogativo (check-list operativa)
1) Mettere il sito in manutenzione e salvare lo stato attuale (file + DB) fuori dal server.
2) Cambiare tutte le password (WP, FTP/SFTP, DB, hosting, e-mail) e rigenerare le chiavi/i token.
3) Sostituire il core di WordPress con una versione pulita, reinstallare plugin/temi da fonti affidabili.
4) Verificare wp-content (uploads, mu-plugins, cache), eliminare qualsiasi file eseguibile sospetto.
5) Pulire il database (users, options, contenuti), rimuovere iniezioni e account sconosciuti.
6) Identificare e correggere la falla d’origine (vulnerabilità, credenziali, config server).
7) Mettere in sicurezza: 2FA, limitazione dei tentativi, restrizioni d’accesso, regole anti-esecuzione in uploads, WAF se utile.
8) Controllare la reinfezione tramite scansioni + log, poi gestire la reputazione (Search Console, indicizzazione).
9) Implementare una routine di manutenzione: aggiornamenti testati, backup verificati, monitoring.
Implementare una manutenzione continua per evitare la recidiva
Dopo un incidente, la migliore sicurezza è la regolarità: aggiornamenti pianificati, sorveglianza, backup testati e verifiche d’integrità. Se volete esternalizzare questo carico e stabilizzare il vostro sito nel lungo termine, potete consultare le nostre offerte di manutenzione.
