Sito WordPress Hackerato: Cosa Fare Subito (Guida 2026)
Lettura 9 min · AstraLoop Studio
Apri il tuo sito e al posto della home compare una pagina in cinese. Oppure Google ti segnala "questo sito può danneggiare il tuo computer". Oppure un cliente ti scrive che dal tuo dominio partono email di spam. Comunque sia, il verdetto è chiaro: il tuo sito WordPress è stato hackerato. E il primo istinto, cancellare tutto e ricominciare, è quasi sempre l'errore più costoso. Perdi le prove, non capisci come sono entrati e nel giro di due settimane ti ritrovi bucato di nuovo dalla stessa porta.
Questa guida ti dà la procedura d'emergenza nell'ordine giusto, senza tecnicismi inutili, e ti spiega la causa radice che nel 2025 ha spalancato la maggior parte di questi attacchi. Perché il vero problema non è ripulire il sito una volta. È capire perché è successo e chiudere quella falla per sempre.

Prima cosa: mantieni la calma e non peggiorare la situazione
Un sito compromesso genera panico, e il panico fa prendere decisioni sbagliate. Prima di toccare qualsiasi cosa, tieni a mente tre regole.
- Non cancellare nulla nelle prime ore. File infetti, log e account sospetti sono le prove che ti diranno come sono entrati. Se azzeri tutto subito, riparti alla cieca.
- Non pagare eventuali richieste di riscatto senza prima valutare la situazione con qualcuno che se ne intende. Molti "ransom" su WordPress sono bluff: il sito è recuperabile da backup.
- Non limitarti a cambiare la password dell'admin sperando che basti. Se l'attaccante ha già una backdoor nei file, cambiare la password non lo caccia fuori.
Serve un metodo. Ed è esattamente quello che manca quando si improvvisa: la fretta di "rimettere il sito online" prima di aver capito cosa è successo è la ragione per cui tanti siti vengono riattaccati nel giro di pochi giorni. Un intervento fatto bene fa parte di un discorso più ampio di audit di sicurezza informatica del tuo sito, non di un pronto soccorso una tantum.
La procedura d'emergenza passo passo
1. Metti il sito in manutenzione (o offline)
Se il sito serve pagine di spam, reindirizza gli utenti su siti truffa o distribuisce malware, ogni minuto online danneggia i tuoi visitatori e la tua reputazione. Attiva una pagina di manutenzione o, meglio ancora, chiedi all'hosting di mettere il sito temporaneamente offline. Non è una vergogna, è contenimento. Google penalizza molto più un sito che distribuisce malware per giorni che un sito momentaneamente non raggiungibile.
2. Cambia tutte le password, non solo quella di WordPress
Le credenziali compromesse sono raramente una sola. Cambia, in questo ordine:
- Password del pannello hosting (cPanel, Plesk o area cliente)
- Utenti amministratori di WordPress (e controlla se ne sono comparsi di nuovi che non hai creato tu)
- Utente e password del database (aggiornando poi
wp-config.php) - Account FTP/SFTP
- Le chiavi segrete (SALT) in
wp-config.php: rigenerarle invalida tutte le sessioni attive, buttando fuori chiunque fosse loggato
Attiva l'autenticazione a due fattori (2FA) su hosting e WordPress mentre ci sei. Molte intrusioni partono da un semplice attacco a forza bruta sulla password dell'admin, e il 2FA lo rende inutile.
3. Fai una copia forense dello stato attuale
Prima di ripulire, scarica una copia completa di file e database così come sono adesso, infetti. Ti servirà per l'analisi (capire da dove sono entrati) e, se l'attacco ha comportato una violazione di dati personali, come documentazione. Nomina la cartella in modo chiaro, per esempio sito-compromesso-2026-07-05, e tienila separata dai backup puliti.
4. Individua e rimuovi il malware
Qui si separa il fai-da-te dal lavoro serio. Gli strumenti da cui partire sono tre.
- Confronto con i file originali: i file del core di WordPress e dei plugin o temi ufficiali sono scaricabili puliti. Qualsiasi differenza nel core è sospetta al 99%.
- Ricerca di codice offuscato: stringhe come
eval(base64_decode(,gzinflate, file.phpcon nomi casuali dentrowp-content/uploads(dove non dovrebbe mai esserci PHP eseguibile). - Plugin di scansione (Wordfence, Sucuri, MalCare) per un primo passaggio automatico.
Un avvertimento onesto: i plugin di scansione trovano il malware ovvio, ma le backdoor ben nascoste sopravvivono. Se dopo la pulizia il sito si re-infetta, significa che una backdoor è rimasta. È il motivo per cui, oltre una certa soglia, conviene un intervento manuale fatto da chi legge il codice, non solo un tool automatico che passa lo scanner e dichiara "pulito".
5. Ripristina da un backup pulito (se ce l'hai)
Se hai un backup precedente all'infezione e sei ragionevolmente certo della data, ripristinarlo è spesso la via più rapida e sicura. Attenzione a due cose: individua quando è iniziata l'infezione (un backup di ieri potrebbe essere già infetto) e, se ripristini, applica subito tutti gli aggiornamenti, altrimenti riporti in vita anche la vulnerabilità che ha causato tutto.
6. Aggiorna tutto e rigenera il sito
Core WordPress, tutti i plugin, tutti i temi. Elimina i plugin e i temi che non usi: ogni pezzo di codice inattivo è comunque una potenziale porta d'ingresso. Un tema disattivato ma presente può essere sfruttato esattamente come uno attivo.

7. Ripulisci la reputazione online
Dopo la bonifica, il lavoro non è finito. Devi far sapere al mondo che il sito è di nuovo pulito.
- Google Search Console: richiedi una revisione per rimuovere l'eventuale avviso "questo sito potrebbe essere compromesso".
- Blacklist: verifica se il dominio è finito in liste nere (Google Safe Browsing, blacklist antispam) e chiedi la rimozione.
- Email: se il sito ha inviato spam, il tuo dominio potrebbe avere problemi di consegna. Controlla la configurazione dei record di autenticazione: SPF, DKIM e DMARC impostati bene riducono il rischio che le tue email finiscano dritte nello spam.
La causa radice: perché il tuo sito è stato bucato
Ripulire senza capire la causa è come svuotare una barca con un secchio senza tappare il buco. E il buco, statisticamente, è quasi sempre lo stesso.
Nel 2025 sono state scoperte 11.334 nuove vulnerabilità in WordPress, con un aumento del 42% rispetto all'anno precedente. Ma il dato che dovrebbe farti riflettere è un altro: il 97% di queste falle non era nel cuore di WordPress, bensì in plugin e temi di terze parti. Il core di WordPress è mediamente solido e viene aggiornato in fretta. Il problema sei tu che installi il plugin gratuito di dubbia provenienza, o quello che non aggiorni da due anni, o il tema "premium" scaricato da un sito pirata con la backdoor già inclusa.
A questo si aggiunge la scala dell'attacco automatizzato. I siti WordPress vengono sondati in media ogni 32 minuti da bot che cercano vulnerabilità note, e nel 2025 le botnet potenziate dall'AI sono cresciute del 45%. Non serve che qualcuno prenda di mira te di persona: è un rastrellamento industriale. Se hai un plugin vulnerabile, prima o poi un bot lo trova. Abbiamo approfondito il tema nella guida dedicata alle vulnerabilità dei plugin WordPress, che vale la pena leggere se gestisci diversi siti.
Le porte d'ingresso più comuni
| Causa | Come si manifesta | Prevenzione |
|---|---|---|
| Plugin o tema vulnerabile e non aggiornato | Backdoor, iniezione di spam, redirect | Aggiornamenti tempestivi, rimozione dell'inutilizzato |
| Plugin o tema "nulled" (piratato) | Malware preinstallato nel codice | Solo fonti ufficiali, mai crack |
| Password deboli e niente 2FA | Attacco a forza bruta sull'admin | Password robuste, 2FA, limite tentativi |
| Hosting condiviso mal isolato | Contagio da un altro sito sullo stesso server | Hosting di qualità, isolamento dei siti |
| PHP e software server obsoleti | Sfruttamento di falle note del server | Versioni aggiornate, hardening del server |
La lezione è netta: nella stragrande maggioranza dei casi il tuo sito non è stato bucato per una tecnica sofisticata, ma per una manutenzione mancata. Ed è una buona notizia, perché significa che è prevenibile.
Il tuo sito è stato bucato o sospetti che qualcosa non vada? Richiedici un'analisi: individuiamo la causa radice, ripuliamo il sito e ti diciamo come non ricascarci.
Non sei solo un sito bucato: potresti avere anche un problema di dati
C'è un aspetto che i titolari sottovalutano. Se sul sito ci sono dati di clienti (account, ordini, moduli di contatto, iscritti alla newsletter) e l'attaccante ha potuto accedervi, sei di fronte a una potenziale violazione di dati personali ai sensi del GDPR. In quel caso non basta ripulire i file: potrebbe scattare l'obbligo di notifica al Garante Privacy entro 72 ore dalla scoperta. Non è un dettaglio formale, sono i tempi che fanno la differenza tra un incidente gestito e una sanzione.
Ne parliamo in dettaglio nella guida su cosa fare nelle 72 ore dopo un data breach e in quella su cos'è un data breach secondo il GDPR. Il punto per te oggi è semplice: un sito hackerato con dati di clienti non è solo un problema tecnico, è anche una questione di conformità che va valutata subito.
Come non ritrovarti qui tra sei mesi
La differenza tra chi viene bucato una volta e chi diventa un cliente abituale degli attaccanti è tutta nella prevenzione. Ecco l'essenziale, in ordine di importanza.
- Aggiornamenti costanti. Core, plugin e temi. È noioso ma è la cosa più efficace che esista. Attiva gli aggiornamenti automatici almeno per quelli di sicurezza.
- Meno plugin, migliori. Ogni plugin è superficie d'attacco. Tieni solo quelli che usi davvero, scaricati da fonti ufficiali, mantenuti attivamente dallo sviluppatore.
- Backup automatici e testati. Un backup che non hai mai provato a ripristinare non è un backup, è una speranza. Verifica che funzioni.
- 2FA e password serie ovunque. Hosting, WordPress, FTP, database.
- Un firewall applicativo (WAF) che blocca i bot prima che raggiungano il sito.
- Monitoraggio che ti avvisa quando un file cambia senza che tu l'abbia toccato.
Se gestisci un e-commerce, la posta in gioco è più alta: dati di pagamento, ordini, l'intera continuità del business dipendono dal sito. Vale la pena leggere la guida specifica sulla sicurezza informatica per l'e-commerce, che affronta i rischi tipici dei negozi online.
Il salto di qualità: dall'emergenza all'audit
Ripulire un sito hackerato è la cura. L'audit è la prevenzione. Un security audit del sito web non si limita a passare lo scanner: verifica manualmente la configurazione, la superficie d'attacco, i permessi, la gestione degli accessi e ti restituisce una lista di priorità concrete. È la differenza tra "sembra a posto" e "sappiamo esattamente dov'erano i buchi e li abbiamo chiusi".
Per un'azienda strutturata il ragionamento va oltre il singolo sito, e rientra in un discorso di cyber security per le PMI, dove il sito è solo uno dei fronti. Secondo il Rapporto Clusit 2026 le PMI rappresentano il 72% dei bersagli degli attacchi in Italia, e lo sfruttamento delle vulnerabilità è cresciuto del 65% rispetto al 2024. Non è più un problema delle "grandi aziende": chi ha un sito, e dei dati, è un bersaglio.
In sintesi: la sequenza da ricordare
- Contieni: sito in manutenzione, niente panico, non cancellare le prove.
- Blinda gli accessi: cambia tutte le password, attiva il 2FA, rigenera le SALT.
- Fai una copia forense dello stato infetto.
- Pulisci: rimuovi malware e backdoor (manualmente se il sito si re-infetta).
- Ripristina da un backup pulito e aggiorna tutto.
- Recupera la reputazione: Search Console, blacklist, email.
- Valuta il GDPR se ci sono dati di clienti coinvolti.
- Chiudi la causa radice e passa alla prevenzione.
Un sito hackerato non è la fine del mondo, ma è un campanello d'allarme che non va zittito ripulendo e basta. Il problema vero è quasi sempre una manutenzione trascurata, ed è esattamente lì che si interviene per non ricascarci.
Domande frequenti
Quanto tempo ci vuole per ripulire un sito WordPress hackerato?
Dipende dalla gravità. Un'infezione superficiale con backup pulito disponibile si risolve in poche ore. Un sito con backdoor multiple e nessun backup affidabile può richiedere una o più giornate di lavoro manuale, perché ogni file va verificato per evitare che il malware ricompaia.
Posso ripulire il sito da solo o serve un professionista?
Se hai competenze tecniche, un backup pulito e l'infezione è recente e circoscritta, puoi provarci con plugin come Wordfence o Sucuri. Se il sito si re-infetta dopo la pulizia, se ci sono dati di clienti coinvolti o se non capisci come sono entrati, conviene rivolgersi a chi fa pulizia manuale e audit: gli scanner automatici lasciano spesso indietro le backdoor nascoste.
Come faccio a sapere se il mio sito WordPress è stato hackerato?
I segnali tipici sono reindirizzamenti a siti sconosciuti, pagine di spam che non hai creato, avvisi di Google o del browser, rallentamenti improvvisi, email di spam inviate dal tuo dominio, utenti amministratori che non riconosci, o file PHP con nomi casuali nella cartella uploads. Un plugin di sicurezza ti avvisa dei cambiamenti sospetti.
Cambiare la password dell'admin basta per rimettere in sicurezza il sito?
No. Se l'attaccante ha già installato una backdoor nei file, cambiare la password non lo caccia fuori: rientra quando vuole. Serve rimuovere il malware, rigenerare le chiavi SALT in wp-config.php, aggiornare tutto e chiudere la vulnerabilità che ha permesso l'ingresso.
Perché il mio sito continua a essere hackerato anche dopo la pulizia?
Quasi sempre per due motivi: è rimasta una backdoor nascosta che lo scanner non ha trovato, oppure non è stata chiusa la vulnerabilità originale (un plugin non aggiornato, un tema piratato). Ripulire senza eliminare la causa radice porta inevitabilmente a una nuova infezione.
Un sito WordPress hackerato può causare problemi legali con il GDPR?
Sì, se sul sito ci sono dati personali di clienti e l'attaccante ha potuto accedervi. In quel caso può scattare l'obbligo di notificare la violazione al Garante Privacy entro 72 ore dalla scoperta. È un aspetto da valutare subito, non solo dopo aver ripulito i file.
Vuoi capire dove sono le falle prima che le trovi un bot? Parlane con noi e valutiamo insieme un audit di sicurezza del tuo sito.