Sito WordPress hackerato: come capirlo e cosa fare subito

Se sospetti che un sito WordPress sia stato hackerato, il primo rischio non è solo il danno già fatto. Il rischio vero è perdere tempo sulle ipotesi sbagliate: plugin lento, cache rotta, hosting instabile, DNS impazzito. Può anche essere. Ma se ci sono redirect strani, file modificati, utenti sconosciuti, CPU anomala o mail spam, devi trattarlo come compromissione finché non dimostri il contrario.

Se hai bisogno di intervento immediato, passa da SOS. Se vuoi una bonifica completa per WordPress, Magento, PrestaShop o Joomla, trovi la pagina dedicata qui: Pulizia sito hackerato.

TL;DR

• Se WordPress mostra segnali strani, non aggiornare tutto a caso.
• Prima conferma i sintomi: redirect, admin sconosciuti, file PHP anomali, processi o mail sospette.
• Fai contenimento e preserva evidenze minime.
• Poi bonifica file, utenti, cron, plugin, tema e vettore probabile.
• Dopo la pulizia serve hardening, altrimenti il problema torna.

I segnali che vediamo più spesso

Quando un sito WordPress è compromesso, di solito i sintomi reali sono pochi e ricorrenti:

• redirect verso pagine spam, casinò, phishing o contenuti estranei
• lentezza improvvisa senza relazione evidente con traffico o deploy
• utenti admin nuovi o privilegi cambiati
• file PHP in cartelle dove non dovrebbero esistere
• pagine giapponesi o spam indicizzate da Google
• mail in uscita anomale dal server
• antivirus, browser o hosting che segnalano malware
• wp-cron.php o processi PHP che restano attivi troppo a lungo

Il punto importante è questo: un sito compromesso non si presenta sempre come sito “bucato”. Spesso si presenta come sito lento, sito sporco, sito instabile.

Cosa fare subito nelle prime 2 ore

1. Non fare deploy, update o restore impulsivi

La reazione peggiore è aprire WordPress e aggiornare tutti i plugin sperando che passi. Se c'è una webshell o un utente admin abusivo, hai solo perso tempo e alterato il contesto.

2. Verifica se il sintomo è reale e ripetibile

Controlla almeno questi elementi:

• il problema è visibile da più IP o solo da te?
• il redirect avviene sempre o solo da traffico organico?
• esistono utenti admin che non riconosci?
• ci sono file recenti in wp-content/uploads/, mu-plugins/, themes/ o plugins/?
• il server sta inviando mail o consumando CPU in modo anomalo?

3. Cambia subito le credenziali critiche se c'è accesso abusivo attivo

Se trovi utenti admin non riconosciuti o accessi recenti anomali:

• cambia password admin WordPress
• cambia password database applicativo
• rigenera chiavi o accessi SSH se il server è coinvolto
• invalida sessioni persistenti, token e accessi pannello hosting

Questo non pulisce il sito. Riduce solo la finestra di danno.

4. Salva uno stato di lavoro prima di ripulire

Se possibile conserva:

• elenco file modificati di recente
• access log e error log web server
• utenti WordPress attivi
• plugin e tema installati
• cron e task sospetti

Se cancelli tutto subito, perdi la possibilità di capire da dove è entrato il problema.

Come capire se il problema è nel sito o nel server

Questa distinzione conta molto.

Il problema è probabilmente applicativo se:

• il solo sito WordPress è compromesso
• altri virtual host sul server sembrano puliti
• i file sospetti sono in wp-content/
• l'origine sembra plugin, tema o upload

Il problema è probabilmente più ampio se:

• più siti sullo stesso nodo mostrano sintomi simili
• il server invia spam o ha processi sconosciuti
• vedi shell o binari sospetti fuori da WordPress
• log e utenze di sistema risultano alterati

Se tocchi il server intero, la bonifica WordPress non basta. Devi lavorare come incident response su infrastruttura Linux.

Errori che peggiorano la situazione

Cancellare file a occhio

Se non sai distinguere un dropper da un file applicativo legittimo, fai danni. In WordPress il rischio è doppio: rompi il sito e lasci aperto il vettore reale.

Ripristinare da backup senza verificare il punto d'ingresso

Il backup ti riporta online. Non ti rende sicuro. Se il vettore è ancora lì, il sito si ricompromette.

Lasciare plugin e temi inutilizzati

Molte compromissioni passano da plugin dismessi, vecchi builder, estensioni premium crackate o temi abbandonati. Se non li rimuovi, non hai chiuso nulla.

Trattare la lentezza come puro tema performance

Se WordPress rallenta all'improvviso, prima leggi WordPress lento all'improvviso? Potrebbe essere malware, non performance. È un caso molto più comune di quanto sembri.

Sequenza minima di bonifica che ha senso

1. Conferma il perimetro del problema.
2. Riduci accessi e danno attivo.
3. Identifica utenti, file, cron e componenti sospetti.
4. Confronta core, plugin e tema con versioni pulite.
5. Ripulisci o sostituisci le parti compromesse.
6. Verifica database, utenti e configurazioni sensibili.
7. Aggiorna, riduci superficie d'attacco, rafforza accessi e backup.

Se vuoi una guida più specifica sulla pulizia, passa a Come pulire un sito WordPress infetto senza peggiorare la situazione.

Quando questa guida non basta

Questa guida non basta se:

• hai più siti coinvolti sullo stesso nodo
• il server invia spam o ospita processi sconosciuti
• il provider ha rilevato malware sistemico
• il sito gestisce ordini, pagamenti o dati sensibili
• non hai certezza di cosa sia stato toccato

In questi casi non ti serve solo “sistemare WordPress”. Ti serve contenimento, bonifica e hardening end-to-end. Parti da Pulizia sito hackerato o da SOS.