⚡ Sito WordPress Hackerato: Cosa Fare e Come Prevenire

Il tuo sito reindirizza a pagine sospette. Oppure Google mostra “Questo sito potrebbe essere compromesso”. O ancora, trovi utenti admin che non hai creato tu.

Respira. È grave, ma si risolve.

Azioni Immediate (Primi 30 Minuti)

1. Metti il sito offline

Dal pannello hosting, attiva la modalità manutenzione o blocca temporaneamente l’accesso. Ogni minuto che il sito resta online:

• I tuoi visitatori rischiano malware
• Google penalizza il tuo ranking
• Il danno potenziale cresce

2. Cambia TUTTE le password

• Password admin WordPress
• Password database MySQL
• Password FTP/SFTP
• Password pannello hosting

Usa password forti: minimo 16 caratteri, lettere, numeri, simboli.

3. Documenta quello che vedi

Screenshot delle anomalie. Serviranno per capire il tipo di attacco e verificare che la pulizia sia completa.

4. Contatta il tuo hosting

Molti hosting offrono assistenza per siti compromessi. Potrebbero avere backup recenti puliti.

Come Capire Se Sei Stato Hackerato

Segnali evidenti:

• Redirect a siti esterni (spesso contenuti per adulti o farmaceutici)
• Pagine o articoli che non hai creato
• Utenti amministratori sconosciuti
• File PHP sospetti nelle cartelle
• Avvisi Google Search Console
• Avvisi del browser “Sito non sicuro”

Segnali meno evidenti:

• Sito improvvisamente lentissimo
• Email che partono dal tuo server (spam)
• Link nascosti nel codice
• Traffico anomalo nelle statistiche

Come Si Pulisce un Sito Hackerato

Opzione 1: Ripristino da Backup

Se hai un backup pulito recente (meno di 7 giorni), è la via più veloce.

Passi:

1. Ripristina il backup
2. Aggiorna immediatamente WordPress, temi e plugin
3. Cambia tutte le password
4. Installa plugin di sicurezza

Costo: Gratuito se hai backup
Tempo: 1-2 ore

Opzione 2: Pulizia Manuale

Se non hai backup o è troppo vecchio.

Passi:

1. Scansione con Wordfence o Sucuri
2. Rimozione file infetti
3. Pulizia database
4. Verifica tutti gli utenti
5. Reinstallazione core WordPress
6. Aggiornamento tutto

Costo: 150-500€ se fatto da professionista
Tempo: 4-8 ore

Opzione 3: Servizio Professionale

Aziende specializzate come Sucuri offrono pulizia garantita.

Costo: 200-500€
Tempo: 24-48 ore
Vantaggio: Garanzia e monitoraggio incluso

Perché WordPress Viene Hackerato

Numeri che fanno riflettere:

• 43% dei siti web usa WordPress (fonte: W3Techs)
• È il bersaglio numero 1 per gli hacker
• 90% degli hack deriva da plugin o temi non aggiornati
• 8% da password deboli

Il problema non è WordPress in sé. È l’ecosistema:

• 60.000+ plugin, molti abbandonati o mal sviluppati
• Utenti che non aggiornano per paura di rompere qualcosa
• Hosting economici senza protezioni adeguate

Come Prevenire Futuri Attacchi

Livello Base (Gratis)

• Aggiornamenti immediati di WordPress, temi, plugin
• Password forti e uniche
• Rimuovi plugin e temi non utilizzati
• Backup settimanali automatici
• Plugin sicurezza gratuito (Wordfence)

Livello Intermedio (100-200€/anno)

• Hosting di qualità con firewall
• Plugin sicurezza premium
• Monitoraggio uptime
• Backup giornalieri offsite
• Autenticazione a due fattori

Livello Avanzato (300-600€/anno)

• Web Application Firewall (Sucuri, Cloudflare Pro)
• Monitoraggio 24/7 con alert
• Scansioni malware automatiche
• Hardening professionale
• Supporto prioritario

L’Alternativa: Siti Impossibili da Hackerare

I siti statici (come quelli che realizzo io) non hanno:

Non c’è niente da hackerare perché non c’è codice lato server, non c’è database, non c’è area di login.

Per Chi Ha Senso Cambiare?

Il sito statico è perfetto per:

• Siti aziendali e vetrina
• Portfolio professionali
• Blog
• Landing page

Resta su WordPress se hai:

• E-commerce con carrello
• Area utenti con login
• Funzionalità dinamiche complesse