Home / torna al blog
Dashboard di sicurezza per sito WordPress bucato, SEO spam, redirect strani e checklist di recovery

Sito WordPress bucato: sintomi, rischi SEO e cosa fare subito

Tempo di lettura: 6 min

Un sito WordPress bucato non e solo un problema tecnico. Puo diventare un problema SEO, commerciale, legale e reputazionale.

Molti titolari se ne accorgono tardi: una pagina strana su Google, un redirect verso siti spam, un avviso del browser, un calo improvviso di traffico organico, email che finiscono in spam, ordini che non arrivano o Search Console che segnala contenuti compromessi.

Il punto e questo: quando un sito viene compromesso, il danno non e sempre visibile nella homepage. Spesso il sito sembra normale ai clienti, mentre Googlebot, gli utenti da mobile o alcune query di ricerca vedono pagine spam, link malevoli o redirect nascosti.

Segnali che il tuo WordPress potrebbe essere stato bucato

I sintomi piu evidenti sono quelli che tutti notano: sito offline, pagine modificate, popup strani. Ma gli attacchi piu fastidiosi sono spesso silenziosi.

  • Redirect verso siti sconosciuti, soprattutto da mobile o da Google.
  • Pagine spam indicizzate con testi su farmaci, casino, crypto o contenuti adult.
  • Risultati Google con title e description non tuoi.
  • Nuovi utenti admin che nessuno ha creato.
  • Plugin o temi installati senza autorizzazione.
  • File modificati in wp-content, wp-includes o nel tema.
  • File PHP dentro cartelle dove dovrebbero esserci solo immagini.
  • Avvisi in Search Console su pagine compromesse o contenuti dannosi.
  • Picchi anomali di traffico, CPU o richieste al server.
  • Email del dominio finite in blacklist.
  • Checkout, form o area login che si comportano in modo strano.

Se vedi anche solo uno di questi segnali, non aspettare "per vedere se passa". Un sito compromesso tende a peggiorare: gli attaccanti creano backdoor, nuovi accessi e file nascosti proprio per rientrare dopo una pulizia superficiale.

Il rischio SEO: pagine spam, cloaking e perdita di fiducia

Uno dei danni piu sottovalutati e quello SEO. Un attacco puo generare migliaia di URL spam dentro il sito, spesso collegate da sitemap nascoste o link interni invisibili agli utenti normali.

Google puo trovare:

  • pagine spam indicizzate sotto il tuo dominio;
  • redirect malevoli verso domini esterni;
  • contenuti diversi per utenti e crawler;
  • file infetti che caricano script da terze parti;
  • link in uscita verso network sospetti;
  • pagine importanti modificate con canonical o noindex sbagliati.

Il risultato puo essere un crollo di fiducia, una perdita di ranking, avvisi di sicurezza nei risultati di ricerca e settimane di lavoro per ripulire indice, sitemap, cache e reputazione del dominio.

Cosa NON fare quando scopri il problema

La reazione istintiva e "aggiorniamo tutto e cancelliamo i file strani". A volte funziona, spesso no.

Prima di intervenire, evita questi errori:

  • non cancellare log e file senza averne una copia;
  • non ripristinare un backup a caso senza sapere se e pulito;
  • non aggiornare plugin e tema prima di aver salvato evidenze utili;
  • non limitarti a cambiare password WordPress;
  • non lasciare attivo il checkout se sospetti furto dati o codice malevolo;
  • non chiedere la revisione a Google prima di aver ripulito davvero il sito.

La pulizia deve essere ordinata. Se elimini le tracce, diventa piu difficile capire come sono entrati e chiudere la porta.

Checklist immediata: cosa fare subito

Il primo obiettivo e contenere il danno, preservare le prove e recuperare il controllo.

  1. Fai una copia completa di file, database, log, configurazioni e lista plugin.
  2. Metti in sicurezza gli accessi: WordPress, hosting, FTP/SFTP, database, email, pannello DNS, CDN.
  3. Cambia password e chiavi, inclusi utenti admin, hosting, FTP, database e API.
  4. Verifica gli utenti admin e rimuovi quelli non riconosciuti.
  5. Controlla plugin e temi: versioni vecchie, plugin abbandonati, temi nulled, file modificati.
  6. Analizza file e database per malware, backdoor, script offuscati e redirect nascosti.
  7. Controlla Search Console: pagine indicizzate, problemi di sicurezza, sitemap e URL spam.
  8. Ripulisci o ripristina da un backup pulito, ma solo dopo aver capito il punto di ingresso.
  9. Aggiorna e rinforza WordPress, plugin, tema, permessi, WAF e backup.
  10. Monitora per almeno alcune settimane: log, nuove pagine indicizzate, redirect e file modificati.

Come capire da dove sono entrati

Non basta rimuovere il malware: devi capire la causa.

I punti di ingresso piu frequenti sono:

  • plugin vulnerabili o non aggiornati;
  • tema vecchio o scaricato da fonti non affidabili;
  • password deboli o riutilizzate;
  • utente admin compromesso;
  • FTP non sicuro o credenziali rubate;
  • permessi file troppo larghi;
  • hosting condiviso compromesso;
  • vecchie installazioni WordPress dimenticate in sottocartelle;
  • plugin premium abbandonati o "nulled".

Se il punto di ingresso resta aperto, il sito verra bucato di nuovo. Magari non domani, ma succedera.

Recovery SEO dopo un WordPress hackerato

Quando il danno ha toccato Google, serve una pulizia anche lato SEO.

  • Esporta le URL sospette da Search Console.
  • Controlla sitemap, robots.txt, canonical e meta robots.
  • Verifica se esistono pagine spam ancora raggiungibili.
  • Rimuovi o metti in 404/410 le URL create dall'attacco.
  • Rigenera sitemap pulite.
  • Chiedi nuova scansione delle pagine importanti.
  • Se Google segnala sicurezza, richiedi revisione solo dopo la bonifica.
  • Monitora query strane, pagine indicizzate e nuovi backlink sospetti.

Il recupero non e sempre istantaneo. Google deve riscansionare, rimuovere segnali sporchi e rivalutare il sito. Prima intervieni, meno tempo perdi.

Come prevenire il prossimo attacco

La sicurezza WordPress non e un plugin installato una volta. E una manutenzione continua.

  • Aggiorna core, plugin e temi.
  • Rimuovi plugin inutili o abbandonati.
  • Usa password forti e 2FA sugli account critici.
  • Disabilita l'editor file da amministrazione.
  • Usa SFTP, non FTP in chiaro.
  • Configura permessi file corretti.
  • Tieni backup automatici e testati.
  • Attiva log e monitoraggio file.
  • Valuta WAF e protezione login.
  • Controlla periodicamente Search Console.

Se il sito genera lead, ordini o fatturato, la manutenzione di sicurezza non e un costo tecnico: e continuita operativa.

Fonti utili

Per impostare checklist e priorita abbiamo considerato la documentazione ufficiale WordPress su cosa fare quando un sito e stato hackerato, la guida WordPress sull'hardening e le linee guida Google Search Central sui siti compromessi.

FAQ

Come capisco se WordPress e stato hackerato?

Controlla Search Console, utenti admin, plugin installati, file modificati, redirect strani, pagine indicizzate anomale e log server. Spesso la homepage resta normale mentre Google vede spam.

Posso risolvere aggiornando WordPress?

Aggiornare e necessario, ma non basta. Prima devi capire come sono entrati, rimuovere backdoor, cambiare credenziali e verificare database, file e accessi.

Devo ripristinare un backup?

Solo se sai che il backup e pulito. Ripristinare un backup gia compromesso o troppo vecchio puo riportare online lo stesso problema.

Il sito bucato puo far perdere posizionamenti SEO?

Si. Pagine spam, redirect malevoli, blacklist e avvisi di sicurezza possono danneggiare traffico organico, fiducia e conversioni.

BitHub puo aiutare nella bonifica?

Possiamo analizzare sito, log, Search Console, plugin, file e database, poi preparare un piano di bonifica, hardening e monitoraggio.

Hai il dubbio che il tuo WordPress sia compromesso?

Meglio verificarlo subito che scoprirlo dopo settimane di indicizzazione spam. Possiamo controllare segnali visibili e invisibili e dirti quali interventi sono prioritari.

Richiedi un controllo sicurezza WordPress