Sicurezza WordPress: guida completa
Sito compromesso, comparso in blacklist su Google, pieno di pagine spam mai create o con un attacco brute force in corso su wp-login: gli attacchi a WordPress non avvisano prima di colpire, e spesso il primo segnale è un avviso del browser o un calo improvviso di traffico. Nella maggior parte dei casi il problema non è WordPress in sé, ma temi o plugin non aggiornati, password deboli o l’assenza di controlli di base che avrebbero impedito l’attacco. Riconoscere subito i segnali giusti permette di intervenire prima che il danno si aggravi.
Hai fretta? Vai dritto alla guida che ti serve: Sito WordPress hackerato: cosa fare subito · Rimuovere malware da WordPress: guida completa · WordPress in blacklist Google: come uscirne · Trovare e rimuovere una backdoor da WordPress
Come orientarti tra i problemi di sicurezza WordPress
| Sintomo osservato | Area da approfondire | Guida consigliata |
|---|---|---|
| Il sito mostra pagine che non hai creato o reindirizza verso siti sconosciuti | Infezione malware attiva | Rimuovere malware da WordPress: guida completa |
| Google mostra un avviso “sito ingannevole” o il sito è sparito dai risultati | Blacklist di Google | WordPress in blacklist Google: come uscirne |
| Arrivano decine di tentativi di accesso falliti su wp-login | Attacco brute force in corso | Proteggere wp-login da attacchi brute force |
| Il malware ricompare anche dopo aver pulito il sito | Backdoor nascosta ancora attiva | Trovare e rimuovere una backdoor da WordPress |
| Il browser mostra “connessione non sicura” o errori di certificato | Configurazione SSL/HTTPS non corretta | SSL e HTTPS su WordPress: configurazione e problemi |
| Il form di contatto genera decine di email spam al giorno | Spam automatizzato sul form | Spam dal form di contatto WordPress: come bloccarlo |
| Il sito non ha mai avuto problemi, ma vuoi prevenire prima che succeda | Messa in sicurezza generale (hardening) | Hardening WordPress: la checklist di sicurezza completa |
Perché la sicurezza di WordPress va presa sul serio
WordPress è il CMS più usato al mondo, e proprio per questo è anche il bersaglio più frequente di attacchi automatizzati: bot che scansionano continuamente il web cercando plugin vulnerabili, password deboli o configurazioni di default mai cambiate. Non serve essere un sito “importante” per essere presi di mira — la maggior parte degli attacchi non sceglie il bersaglio, sfrutta semplicemente ogni installazione WordPress raggiungibile con una falla nota.
Il danno di un attacco spesso va oltre il sito in sé: una blacklist di Google può azzerare il traffico organico per settimane anche dopo aver ripulito il sito, e una backdoor non trovata durante la pulizia permette all’attaccante di rientrare pochi giorni dopo, vanificando l’intervento. È per questo che sicurezza WordPress non significa solo “reagire quando succede qualcosa”, ma anche mantenere nel tempo pratiche di base — aggiornamenti, password solide, controlli di accesso — che riducono drasticamente la probabilità di essere colpiti.
Il segnale da monitorare: variazioni non spiegate nel sito o nel traffico
Il segnale più affidabile di un problema di sicurezza raramente è evidente subito: file modificati in orari insoliti, un calo improvviso di traffico organico, nuovi utenti amministratori mai creati da te, o email che iniziano a finire in spam senza motivo apparente sono tutti indizi di una possibile compromissione, anche quando il sito sembra funzionare normalmente in superficie. Nei casi che seguo, il tempo che intercorre tra l’attacco vero e proprio e il momento in cui il proprietario del sito se ne accorge è spesso di diverse settimane, proprio perché il sito continua ad apparire “normale” a un primo sguardo.
Quando il fai-da-te ha un limite
Ripulire un sito hackerato richiede di trovare e rimuovere ogni traccia dell’attacco, non solo i sintomi più visibili: un file infetto lasciato indietro o una backdoor non individuata permettono all’attaccante di rientrare anche dopo una pulizia apparentemente riuscita, vanificando lo sforzo fatto. Allo stesso modo, uscire dalla blacklist di Google richiede prima la certezza che il sito sia davvero pulito, altrimenti la richiesta di revisione viene respinta e si perde tempo prezioso mentre il sito resta segnalato come pericoloso. Non è un lavoro impossibile da fare da soli, ma richiede di sapere esattamente dove cercare, cosa che con un attacco già in corso non sempre c’è il tempo di imparare.
Tutte le guide su Sicurezza WordPress
Il tuo sito WordPress è stato hackerato o sospetti un problema di sicurezza? Contatta un esperto: ricevi una valutazione diretta e un intervento mirato.
Domande frequenti sulla sicurezza WordPress
Quanto tempo serve per ripulire un sito WordPress hackerato? Dipende dall’estensione dell’infezione: un malware circoscritto si rimuove spesso in poche ore, mentre un attacco con backdoor multiple o file compromessi in profondità può richiedere più tempo per essere sicuri di aver eliminato ogni traccia, non solo i sintomi visibili.
Se esco dalla blacklist di Google il traffico torna subito? Non sempre immediatamente: dopo la richiesta di revisione, Google impiega alcuni giorni per verificare che il sito sia davvero pulito e rimuovere l’avviso. Il traffico organico può impiegare ulteriore tempo a recuperare i livelli precedenti.
Un sito piccolo o poco visitato può essere comunque attaccato? Sì, anzi è spesso più a rischio: la maggior parte degli attacchi non sceglie il bersaglio in base all’importanza del sito, ma scansiona automaticamente migliaia di installazioni WordPress cercando vulnerabilità note, indipendentemente dal traffico.
Cambiare solo la password basta dopo un attacco? Quasi mai: se l’attaccante ha lasciato una backdoor nel codice, può rientrare anche con la password cambiata. Serve prima verificare ed eliminare ogni file sospetto, non solo modificare le credenziali di accesso.
Il certificato SSL protegge davvero il sito dagli attacchi? SSL protegge la connessione tra utente e sito (i dati trasmessi), non impedisce direttamente un attacco al codice o al database di WordPress. È una misura necessaria ma non sufficiente da sola contro malware o backdoor.
Vale la pena fare hardening anche se il sito non ha mai avuto problemi? Sì: la maggior parte delle misure di hardening richiede poco tempo da applicare e riduce in modo significativo la probabilità di essere presi di mira dagli attacchi automatizzati più comuni, che sfruttano configurazioni di default mai cambiate.
Posso ripulire da solo un sito hackerato seguendo una guida? Per infezioni semplici sì, ma il rischio principale è non individuare tutte le tracce dell’attacco: una backdoor dimenticata rende inutile l’intera pulizia, perché permette all’attaccante di rientrare a distanza di giorni o settimane.
