Rimuovere malware da WordPress: guida completa
Cos’è il malware su WordPress e come si manifesta
Con “malware” su WordPress si intende qualsiasi codice estraneo, inserito senza autorizzazione, che altera il comportamento del sito a vantaggio di chi lo ha piazzato: reindirizzamenti verso siti esterni, contenuto pubblicitario o link nascosti, pagine di phishing, o un accesso nascosto lasciato per rientrare in futuro. Le manifestazioni sono diverse tra loro, e riconoscere quale stai affrontando indirizza subito verso il tipo di intervento corretto.
Segnali visibili: redirect, contenuto iniettato, blacklist
Il malware più facile da notare è quello che altera visibilmente l’esperienza dei visitatori: un sito che reindirizza automaticamente verso pagine esterne, un contenuto pubblicitario o link non richiesti che compaiono nelle pagine, o — nel caso più grave — un avviso di Google che segnala il sito come pericoloso prima ancora che il visitatore riesca a caricarlo. Se il problema riguarda specificamente questo ultimo scenario, la guida “WordPress in blacklist Google: come uscirne” tratta nel dettaglio come leggere la segnalazione e richiedere la revisione dopo la pulizia.
Segnali nascosti: una backdoor senza sintomi visibili immediati
Un tipo di malware più insidioso non altera nulla di visibile: si tratta di codice pensato apposta per restare nascosto e garantire un accesso futuro, senza dare alcun segnale evidente ai visitatori o persino a chi gestisce il sito, finché non viene effettivamente sfruttato. Se sospetti proprio questo scenario — un accesso nascosto piuttosto che un’alterazione visibile del sito — la guida “Trovare e rimuovere una backdoor da WordPress” ne tratta nel dettaglio l’individuazione tramite confronto con i file originali.
La causa di fondo comune a quasi tutti i casi
Indipendentemente dal tipo di manifestazione, la causa che permette l’infezione iniziale è quasi sempre la stessa: un plugin o un tema non aggiornato con una vulnerabilità nota, oppure credenziali di accesso deboli o già compromesse altrove. Pulire il sito senza affrontare anche questa causa di fondo lascia aperta la stessa porta che ha permesso l’infezione la prima volta.
Come capire il tipo di malware e la sua estensione
Prima di iniziare la pulizia, conviene capire con quale tipo di infezione hai a che fare, perché la diagnosi cambia in base a se il malware è visibile normalmente o si nasconde da chi visita il sito con un browser comune.
Malware visibile o invisibile a una visita normale
Alcuni tipi di infezione — in particolare lo spam SEO iniettato — sono progettati per mostrarsi solo ai motori di ricerca (tramite il riconoscimento del loro user-agent), restando invisibili a chi visita il sito con un browser normale: aprire il sito tu stesso non basta a escludere questo tipo di problema, perché è pensato apposta per non farsi notare in quel modo.
Usare uno scanner per una prima stima
Uno strumento come Sucuri SiteCheck (utilizzabile online inserendo solo l’indirizzo del sito, senza bisogno di installare nulla) o la scansione di un plugin di sicurezza come Wordfence offre una prima stima rapida del tipo di infezione rilevata, utile per orientare il resto della diagnosi anche prima di intervenire manualmente sui file.
| Sintomo osservabile | Tipo di malware probabile | Riferimento |
|---|---|---|
| Redirect automatico verso siti esterni all’apertura del sito | Script di reindirizzamento malevolo | Sezione “Il processo completo di pulizia” di questa guida |
| Google mostra un avviso di sicurezza prima di caricare il sito | Malware già rilevato da Google Safe Browsing | Guida “WordPress in blacklist Google: come uscirne” |
| Il sito appare normale al browser ma perde posizionamento con contenuti estranei nei risultati di ricerca | Spam SEO/cloaking, visibile solo ai motori di ricerca | Sezione “Variante: malware SEO invisibile” di questa guida |
| Nessun sintomo visibile, ma un file .php sospetto trovato nella cartella uploads | Backdoor, pensata per restare nascosta | Guida “Trovare e rimuovere una backdoor da WordPress” |
| Un utente amministratore sconosciuto comparso di recente | Accesso non autorizzato già avvenuto, con account creato per rientrare | Guida “Trovare e rimuovere una backdoor da WordPress” |
Il processo completo di pulizia: dalla diagnosi alla verifica finale
Indipendentemente dal tipo specifico di malware, il processo generale segue sempre la stessa logica: isolare il sito, individuare e rimuovere ogni traccia del codice malevolo, e chiudere la falla che ha permesso l’infezione.
Mettere il sito in modalità manutenzione e isolare l’accesso
Prima di iniziare la pulizia, attiva una modalità di manutenzione per evitare che i visitatori (o i motori di ricerca) continuino a interagire con un sito ancora compromesso durante l’intervento, e cambia subito la password dell’utente amministratore e delle credenziali FTP/SFTP, per ridurre il rischio che chi ha compromesso il sito intervenga nuovamente mentre stai lavorando.
Individuare e rimuovere ogni file malevolo
Confronta i file del sito (core, tema, plugin) con copie pulite scaricate dalla fonte ufficiale, cercando in particolare file estranei nella cartella wp-content/uploads, codice offuscato in file che normalmente non ne contengono, e qualsiasi differenza rispetto ai file originali. Questo è lo stesso processo descritto nel dettaglio nella guida sulla backdoor, applicabile qui indipendentemente dal tipo specifico di sintomo che ti ha portato a sospettare un’infezione.
Chiudere la falla, aggiornare tutto, verificare
Aggiorna core, tema e tutti i plugin all’ultima versione disponibile, rigenera le chiavi segrete di WordPress in wp-config.php, ed elimina eventuali utenti amministratori non riconosciuti. Solo dopo aver completato questi passaggi, disattiva la modalità di manutenzione e verifica il sito da più fonti (browser normale, uno scanner di sicurezza, e — se sospetti spam SEO — anche simulando la visita di un motore di ricerca).
Variante: malware SEO invisibile (cloaking)
Se sospetti spam SEO iniettato ma il sito appare pulito a una visita normale, il codice malevolo probabilmente riconosce lo user-agent del visitatore e mostra contenuto diverso ai crawler dei motori di ricerca rispetto a quello mostrato a un browser normale — una tecnica nota come cloaking. Per verificarlo, puoi usare uno strumento che permette di vedere una pagina “come la vede Google” (disponibile in alcuni strumenti SEO, o simulando manualmente lo user-agent di un crawler tramite le impostazioni sviluppatore del browser): se il contenuto mostrato in questo modo differisce da quello visibile normalmente, con link o testo estranei, hai confermato il cloaking. La rimozione segue lo stesso processo generale di ricerca del codice malevolo, ma con un’attenzione particolare ai punti del codice che verificano lo user-agent della richiesta, spesso il punto esatto in cui si nasconde questo tipo di iniezione.
Prevenire una nuova infezione
Una volta pulito il sito, la parte più importante è impedire che la stessa falla venga sfruttata di nuovo: mantieni sempre aggiornati core, temi e plugin, rimuovi quelli non più utilizzati invece di lasciarli disattivati (restano comunque una superficie di attacco), usa password uniche e complesse per ogni utente amministratore, e valuta l’attivazione di una protezione contro i tentativi di accesso ripetuti, descritta nella guida “Proteggere wp-login da attacchi brute force”. Un backup automatico configurato correttamente, come descritto nella guida dedicata, resta inoltre la rete di sicurezza più efficace se dovesse succedere di nuovo.
Non riesci a risolvere? Intervento tecnico a distanza
Se non riesci a individuare con certezza il tipo di malware presente, se il confronto con i file originali non è praticabile per te, o se il sito continua a mostrare segnali di infezione anche dopo un primo tentativo di pulizia, continuare a intervenire senza una diagnosi completa rischia di lasciare aperta la stessa falla che ha permesso l’infezione iniziale. In questi casi è possibile richiedere una verifica diretta e completa dell’accesso al sito: si individua il tipo esatto di infezione, si rimuove ogni traccia del codice malevolo e si chiude la falla d’origine.
Domande frequenti sulla rimozione di malware da WordPress
Come faccio a sapere se il mio sito ha davvero un malware? I segnali più comuni sono redirect verso siti esterni, contenuto pubblicitario non richiesto, un avviso di sicurezza di Google, o una perdita di posizionamento accompagnata da contenuti estranei nei risultati di ricerca: se noti anche solo uno di questi, conviene fare una verifica approfondita.
Uno scanner online è sufficiente per essere sicuro che il sito sia pulito? È un buon primo controllo, ma non sempre rileva infezioni nuove o scritte su misura per il tuo sito: il confronto diretto con i file originali resta il metodo più affidabile per una conferma completa.
Devo per forza rifare tutto il sito da zero se trovo un malware? No, nella maggior parte dei casi la pulizia mirata (rimozione dei file malevoli, aggiornamento di core/tema/plugin, cambio credenziali) risolve il problema senza bisogno di ricostruire il sito, a meno che l’infezione non sia diffusa in modo così esteso da rendere impraticabile individuare ogni file coinvolto.
Il malware può tornare dopo averlo rimosso? Sì, se la falla di origine (un plugin obsoleto, una password debole) non viene chiusa: la pulizia dei file va sempre accompagnata dagli aggiornamenti e dal cambio credenziali per essere davvero risolutiva.
Un backup recente mi protegge comunque, anche se il sito viene infettato? Sì, ma solo se il backup risale a prima dell’infezione: un ripristino da un backup già compromesso reintroduce lo stesso malware, quindi verifica sempre la data del backup rispetto a quando sospetti sia iniziato il problema.
Vuoi risolverlo con un intervento diretto? Se non sei sicuro del tipo di malware presente o la pulizia fatta finora non ha risolto il problema, è possibile richiedere una verifica diretta e completa dell’accesso al sito, fino alla conferma che sia davvero pulito. → Richiedi assistenza specializzata.
