WordPress lento all'improvviso? Potrebbe essere malware, non performance
Quando WordPress rallenta senza una causa credibile, la domanda corretta non è solo come velocizzarlo. Devi prima escludere che il sito sia compromesso.
Quando un sito WordPress diventa lento, la maggior parte delle persone pensa subito a cache, hosting, database o plugin pesanti. È normale. Il problema è che in una parte non trascurabile dei casi la lentezza è solo il sintomo più visibile di una compromissione.
Un file malevolo che fa richieste esterne, una webshell che genera processi PHP, un cron abusivo, un plugin compromesso che inietta codice o un redirect loader possono degradare performance in modo netto. Se parti con il tuning senza escludere il malware, rischi di ottimizzare un sito già bucato.
Se hai già segnali evidenti di compromissione, vai a Sito WordPress hackerato: come capirlo e cosa fare subito o alla pagina Pulizia sito hackerato.
TL;DR
- WordPress lento non significa automaticamente problema di performance.
- Se la lentezza è improvvisa, anomala o intermittente, va esclusa una compromissione.
- Sintomi come CPU alta, processi PHP strani, mail in spam e redirect casuali spostano il focus dalla performance alla sicurezza.
- Prima capisci se il sito è pulito. Poi fai tuning.
I casi in cui la lentezza puzza di compromissione
1. La lentezza è iniziata senza deploy o cambi di traffico
Se ieri il sito era normale e oggi è ingestibile, senza update, campagne, picchi o modifiche strutturali, la domanda corretta è: cosa sta girando in più?
2. Il TTFB sale ma non trovi query o plugin chiaramente colpevoli
Se analisi applicativa, cache e database non spiegano il degrado, potrebbe esserci codice non legittimo in esecuzione. È comune in dropper PHP, shell leggere e moduli che fanno richieste outbound.
3. Il server consuma CPU o I/O in orari strani
Quando il nodo macina risorse di notte o in fasce in cui il traffico è basso, controlla prima attività non prevista. Il classico caso è un cron o uno script che non ha nulla a che vedere con il rendering delle pagine.
4. Il sito è lento insieme ad altri sintomi minori
Per esempio:
- admin non riconosciuti
- file nuovi in upload
- mail in spam
- pagine spam indicizzate
- redirect intermittenti
- log web rumorosi da endpoint strani
Presi da soli sembrano rumore. Insieme raccontano quasi sempre altro.
Come distinguere malware da problema puro di performance
Guardi solo la cache? Stai partendo dal posto sbagliato
Se il sito è compromesso, la cache può persino mascherare il problema. Devi guardare il comportamento di processo, file e log, non solo il tempo risposta finale.
Segnali che fanno pensare a problema di performance puro
- degrado graduale, non improvviso
- traffico aumentato realmente
- query lente ripetibili e misurabili
- worker PHP saturi in relazione al carico
- nessun altro segnale di manipolazione o spam
Segnali che fanno pensare a compromissione
- degradazione improvvisa e intermittente
- processi PHP inconsueti o duraturi
- file sospetti in aree scrivibili
- chiamate outbound strane
- picchi CPU senza correlazione con traffico reale
- anomalie email, redirect o indicizzazione spam
Se il caso rientra nel primo gruppo, allora vai su Sito lento: 5 cause server-side e come risolverle e poi approfondisci con PHP-FPM sizing o MySQL slow queries.
Cosa controllare prima di parlare di tuning
1. File modificati di recente
Cerca file PHP comparsi in cartelle dove normalmente hai immagini, cache o upload. Su WordPress è un pattern ricorrente.
2. Utenti e privilegi
Verifica utenti admin, account applicativi, accessi pannello e modifiche recenti. Un admin aggiunto silenziosamente può spiegare molto più di un benchmark lento.
3. Cron e task ripetitivi
Cron WordPress, cron di sistema, task custom o richieste verso endpoint strani possono drenare risorse in modo importante.
4. Mail e traffico outbound
Se il server invia spam o contatta host esterni in modo anomalo, non hai un problema di performance. Hai un problema di fiducia e di sicurezza.
Errori classici
Fare tuning PHP-FPM su un sito infetto
Aumenti i worker, consumi più RAM e dai più spazio al codice malevolo per girare. È il contrario di ciò che serve.
Spostare il sito su un hosting più forte senza bonifica
Se migri un sito compromesso, hai solo cambiato server. Non hai cambiato problema.
Dire al cliente che è “colpa del traffico” senza prove
Se poi escono pagine spam o una blacklist, hai perso sia tempo sia credibilità.
La sequenza che ha senso
- Escludi o conferma compromissione.
- Solo dopo misuri PHP, MySQL, cache e web server.
- Se il sito è infetto, bonifica prima.
- Poi fai tuning sul sistema pulito.
Quando chiamare un sistemista invece di continuare a tentativi
Se WordPress è lento, hai anche uno solo tra redirect, spam, admin strani, file sospetti o processi anomali, non continuare a cambiare plugin a caso. Serve diagnosi strutturata.
In quel caso la strada corretta è:
- SOS se il sito è già in crisi
- Pulizia sito hackerato se il problema punta a malware o compromissione
- Performance Tuning solo dopo aver escluso il lato security
Pronto a smettere di occuparti dei server?
Audit scritto, zero impegni, report PDF con assessment della tua situazione.
Altri playbook collegati.
Guide che completano questo scenario operativo e ti aiutano a chiudere il cerchio tra diagnosi, prevenzione e continuità.
Come pulire un sito WordPress infetto senza peggiorare la situazione
Pulire WordPress non significa cancellare file a caso. Devi contenere, capire cosa è stato toccato, bonificare e chiudere il vettore prima di tornare online.
Hardening Linux 2026 per web agency: baseline seria per server di produzione
L'hardening non è una checklist cosmetica. È la baseline che decide quanto un server è facile da compromettere e quanto sei veloce a reagire quando succede qualcosa.
Joomla compromesso: checklist rapida di analisi e recovery
Joomla compromesso non va trattato come semplice errore CMS. Serve una checklist rapida per capire perimetro, accessi, file alterati e recovery sensato.