WordPress in blacklist Google: come uscirne
Cos’è la blacklist di Google e perché un sito WordPress vi finisce
Quando un sito viene inserito nella “blacklist” di Google (più precisamente, segnalato da Google Safe Browsing), i visitatori che provano a raggiungerlo da Chrome o da altri browser che usano lo stesso sistema vedono una schermata di avviso a piena pagina prima ancora di caricare il sito, e nei risultati di ricerca può comparire la dicitura “Questo sito potrebbe danneggiare il tuo computer” o “Il sito potrebbe contenere software dannoso”. Non è una penalizzazione nel posizionamento in senso stretto: è un avviso di sicurezza diretto ai visitatori, che comunque riduce drasticamente le visite finché non viene rimosso.
Malware rilevato sul sito
La causa più comune è la presenza effettiva di codice malevolo sul sito — spesso una backdoor o uno script iniettato tramite una vulnerabilità di un plugin o tema obsoleto — che Google ha rilevato durante una scansione automatica delle pagine, magari perché il codice tenta di scaricare file dannosi sui dispositivi dei visitatori o li reindirizza verso siti esterni pericolosi.
Contenuto rilevato come phishing
Una causa distinta, ma altrettanto legata a una compromissione del sito, riguarda la creazione di pagine false pensate per rubare credenziali o dati di pagamento (una finta pagina di login, un finto modulo di pagamento): Google le classifica come phishing indipendentemente dal fatto che il resto del sito sia legittimo, perché anche una singola pagina di questo tipo è sufficiente per l’inserimento in blacklist.
Segnalazione errata
Un caso più raro, ma da citare, riguarda i falsi positivi: un sito legittimo, senza alcun codice malevolo, può essere segnalato per errore, magari per un contenuto ambiguo rilevato dagli algoritmi automatici di scansione o per un problema temporaneo su un servizio esterno richiamato dal sito (uno script di terze parti compromesso, non il sito stesso).
Come capire cosa Google ha rilevato esattamente
Prima di iniziare a pulire il sito alla cieca, Google stesso fornisce dettagli specifici su cosa ha rilevato e dove, tramite Search Console.
Verificare la sezione Problemi di sicurezza in Search Console
Se hai già una proprietà verificata su Google Search Console per il tuo dominio, apri la sezione “Sicurezza e azioni manuali → Problemi di sicurezza”: qui Google elenca il tipo di minaccia rilevata (malware, contenuto ingannevole, software indesiderato) e, spesso, esempi di URL specifici del sito coinvolti nella segnalazione, un punto di partenza molto più mirato di una ricerca generica su tutto il sito.
Controllare l’avviso mostrato ai visitatori
Se non hai ancora accesso a Search Console verificato, prova ad aprire il sito da un browser che mostra l’avviso di sicurezza (o chiedi a qualcun altro di farlo, se il tuo browser non lo mostra): il testo dell’avviso stesso a volte specifica se si tratta di malware o di contenuto ingannevole, un’indicazione utile anche prima di verificare Search Console.
| Sintomo osservabile | Causa probabile |
|---|---|
| Search Console segnala “Malware rilevato” su URL specifici | Codice malevolo iniettato in quelle pagine, spesso tramite una vulnerabilità sfruttata |
| Search Console segnala “Contenuto ingannevole” o “Phishing” | Pagina falsa creata sul sito per rubare credenziali o dati di pagamento |
| L’avviso ai visitatori parla di download automatici o reindirizzamenti sospetti | Script malevolo che tenta azioni dannose direttamente dal browser del visitatore |
| Nessuna traccia di codice estraneo trovata dopo un controllo approfondito | Possibile falso positivo, o minaccia legata a uno script esterno richiamato dal sito |
| Il sito è già stato oggetto di un’altra compromissione nota (es. backdoor trovata in passato) | Riutilizzo della stessa falla non ancora chiusa completamente |
Uscire dalla blacklist: pulire il sito e richiedere la revisione
Per il caso più comune — malware effettivamente presente — il percorso corretto prevede tre fasi distinte: trovare e rimuovere il codice malevolo, verificare che il sito sia davvero pulito, e solo dopo richiedere formalmente la revisione a Google.
Individuare e rimuovere il codice malevolo
Usa gli URL specifici indicati da Search Console come punto di partenza per la ricerca del codice malevolo, confrontando i file coinvolti con copie pulite di core, tema e plugin scaricate dalla fonte ufficiale, ed elimina qualsiasi file estraneo o modificato in modo sospetto. Se non hai già seguito questo tipo di controllo, il processo dettagliato è lo stesso descritto nella guida “Trovare e rimuovere una backdoor da WordPress”, applicabile qui perché la causa di fondo è spesso identica.
Verificare che il sito sia davvero pulito
Prima di richiedere la revisione, esegui una scansione con uno strumento di sicurezza dedicato (Wordfence, Sucuri SiteCheck) per conferma, aggiorna core, tema e tutti i plugin all’ultima versione, e cambia tutte le password amministrative, come indicato nella sezione di follow-up alla rimozione di una backdoor: richiedere la revisione con il sito ancora compromesso comporta quasi certamente un rifiuto e allunga i tempi complessivi.
Richiedere la revisione da Search Console
Torna nella sezione “Problemi di sicurezza” di Search Console e clicca su “Richiedi una revisione”: ti verrà chiesto di descrivere brevemente cosa è stato trovato e quali interventi sono stati fatti per risolverlo. Sii specifico (quali file erano coinvolti, quali aggiornamenti sono stati applicati) piuttosto che generico, perché la revisione è effettuata da un operatore che verifica concretamente lo stato attuale del sito prima di rimuovere l’avviso.
Sospetti un falso positivo
Se hai eseguito un controllo approfondito senza trovare alcuna traccia di codice malevolo, e Search Console non indica URL specifici coinvolti, è possibile che la segnalazione dipenda da uno script di terze parti richiamato dal tuo sito (una pubblicità esterna, un widget di un servizio compromesso altrove) piuttosto che dal codice del sito stesso. In questo caso, verifica ogni script esterno caricato dal sito e rimuovi temporaneamente quelli meno indispensabili prima di richiedere comunque la revisione, spiegando nella richiesta che non hai trovato codice malevolo diretto e le verifiche effettuate.
Non riesci a risolvere? Intervento tecnico a distanza
Se non riesci a individuare il codice malevolo segnalato da Google, se non sei sicuro che il sito sia davvero pulito prima di richiedere la revisione, o se la richiesta di revisione viene respinta nonostante la pulizia effettuata, continuare a inviare richieste senza una diagnosi certa allunga inutilmente il tempo in cui il sito resta segnalato. In questi casi è possibile richiedere una verifica diretta e completa dell’accesso al sito: si individua e rimuove ogni traccia di compromissione, si prepara una richiesta di revisione accurata e si verifica che il sito esca effettivamente dalla blacklist.
Domande frequenti su WordPress in blacklist Google
Quanto tempo impiega Google a rimuovere l’avviso dopo la richiesta di revisione? Di solito da qualche ora ad alcuni giorni, ma il tempo può variare: una richiesta con una descrizione dettagliata degli interventi fatti tende a essere valutata più rapidamente di una generica.
Perdo posizionamento nei risultati di ricerca a causa della blacklist? L’avviso di sicurezza in sé scoraggia i visitatori dal cliccare, riducendo il traffico effettivo, ma non è la stessa cosa di una penalizzazione manuale per contenuti di bassa qualità: una volta risolto il problema e approvata la revisione, il sito torna a essere mostrato normalmente.
Posso richiedere la revisione più volte se viene respinta? Sì, ma ogni richiesta respinta richiede di individuare cosa non è stato effettivamente risolto prima di riprovare: inviare la stessa richiesta senza nuovi interventi concreti probabilmente porta allo stesso rifiuto.
Serve per forza avere Search Console configurato per risolvere il problema? Search Console è il canale ufficiale per vedere i dettagli della segnalazione e richiedere la revisione: senza una proprietà verificata, puoi comunque pulire il sito, ma non hai visibilità sui dettagli specifici né un modo diretto di segnalare a Google che il problema è risolto.
Il problema può ripresentarsi dopo essere uscito dalla blacklist? Sì, se la falla che ha permesso la compromissione iniziale non viene chiusa (aggiornamenti mancanti, password deboli non cambiate): per questo la fase di pulizia completa, non solo la rimozione dei file trovati, è importante prima di richiedere la revisione.
Vuoi risolverlo con un intervento diretto? Se non riesci a individuare il problema segnalato da Google o la richiesta di revisione è già stata respinta, è possibile richiedere una verifica diretta e completa dell’accesso al sito, fino all’uscita effettiva dalla blacklist. → Richiedi assistenza tecnica.
