Come riconoscere e rimuovere malware da un sito WordPress infetto

Scoprire che il tuo sito WordPress è stato infettato da malware è una delle esperienze più stressanti per un proprietario di siti web. Pagine reindirizzate verso siti sospetti, avvisi di Google che bloccano i visitatori, contenuti spam inseriti a tua insaputa: sono tutti segnali di una compromissione da malware. In questa guida ti spiego come riconoscere un’infezione malware su WordPress, come rimuoverla manualmente o con strumenti dedicati, e come proteggerti per evitare che succeda di nuovo.

Come capire se il tuo sito WordPress ha un malware

Il malware su WordPress non è sempre evidente. Alcuni tipi di infezione sono progettati per restare nascosti il più a lungo possibile. Ecco i segnali più comuni che indicano una compromissione:

• Redirect sospetti: i visitatori vengono reindirizzati verso siti di phishing, farmaci, casinò o pagine pubblicitarie. Spesso il redirect colpisce solo i visitatori da mobile o da Google, rendendo difficile la rilevazione dal tuo computer.
• Avviso “Sito ingannevole” di Google: il browser mostra una schermata rossa che avvisa gli utenti prima di accedere al tuo sito. Questo significa che Google ha già rilevato il malware.
• Contenuto spam nelle pagine: link nascosti o testo invisibile (stesso colore dello sfondo) inseriti nelle tue pagine per scopi SEO spam (noto come SEO poisoning).
• Nuovi utenti admin sconosciuti: account amministratore che non hai creato tu, spesso con nomi generici.
• File sconosciuti nel server: file PHP con nomi casuali nelle cartelle wp-content/uploads/, wp-includes/ o nella root del sito.
• Email in uscita massiva: il server invia spam, causando il blacklisting del tuo IP e il blocco delle email legittime.
• Calo improvviso di traffico: se Google ha identificato il malware, il sito viene penalizzato o rimosso dai risultati di ricerca.
• Sito estremamente lento: il malware spesso esegue operazioni in background (mining di criptovalute, invio spam, attacchi ad altri siti) che consumano le risorse del server e rallentano drasticamente il sito.

Se noti anche solo uno di questi segnali, agisci subito: più tempo passa, più il danno si estende.

Scansione del sito con Wordfence

Il primo passo per confermare e identificare l’infezione è una scansione completa. Wordfence è lo strumento più efficace per questo:

1. Se riesci ad accedere al pannello WordPress, installa Wordfence e vai in Wordfence → Scan.
2. Clicca “Start New Scan” e attendi il completamento.
3. Lo scanner confronta ogni file del core, dei plugin e dei temi con le versioni originali nel repository WordPress, identificando file modificati o aggiunti.
4. Esamina i risultati: i file segnalati come “Modified” contengono codice alterato, quelli “Unknown” sono file che non dovrebbero esistere.

Se non riesci ad accedere al pannello, usa scanner esterni come Sucuri SiteCheck che analizzano il sito dall’esterno, oppure accedi via FTP per cercare manualmente i file sospetti. In alternativa, se hai accesso SSH, puoi cercare file PHP sospetti nella cartella uploads con il comando find wp-content/uploads/ -name “*.php” e file modificati di recente con find . -name “*.php” -mtime -7 per identificare i file alterati negli ultimi 7 giorni.

Rimozione manuale del malware: procedura passo passo

Se vuoi procedere alla rimozione manuale, segui questa procedura sistematica. Prima di iniziare, assicurati di avere un backup completo del sito infetto (sì, anche quello infetto serve come riferimento).

1. Sostituisci il core di WordPress

Scarica una copia pulita di WordPress dal sito ufficiale e sostituisci le cartelle wp-admin/ e wp-includes/ via FTP. Non toccare wp-content/ e wp-config.php.

2. Controlla wp-config.php

Apri il file e cerca codice sospetto: righe con eval(), base64_decode(), str_rot13() o lunghe stringhe di caratteri incomprensibili. Confrontalo con il file wp-config-sample.php per identificare aggiunte estranee.

3. Pulisci wp-content/uploads/

La cartella uploads dovrebbe contenere solo immagini, PDF e file media. Cerca file .php al suo interno: non dovrebbero esserci. Se ne trovi, eliminali. Il malware spesso si nasconde qui perché molti plugin di sicurezza non scansionano a fondo la cartella uploads.

4. Reinstalla plugin e temi

Non basta aggiornare: elimina completamente le cartelle dei plugin e dei temi e reinstallali da zero dal repository WordPress o dal sito dello sviluppatore. Il malware inserisce spesso backdoor nei file dei plugin che sopravvivono agli aggiornamenti normali. Per i plugin premium, scarica la versione più recente dal sito originale con la tua licenza.

5. Controlla il database

Accedi a phpMyAdmin e cerca nella tabella wp_options valori sospetti, in particolare nelle opzioni siteurl e home (devono corrispondere al tuo dominio). Controlla anche la tabella wp_users per utenti admin sconosciuti.

Cambia tutte le credenziali

Dopo la pulizia dei file, cambia immediatamente tutte le credenziali:

• Password admin WordPress: tutti gli utenti con ruolo amministratore.
• Password database: cambiala dal pannello hosting e aggiorna wp-config.php.
• Password FTP/SFTP: gli attaccanti potrebbero averla intercettata.
• Salt e chiavi di sicurezza: rigenera le chiavi in wp-config.php utilizzando il generatore ufficiale WordPress. Questo invalida tutte le sessioni attive, disconnettendo eventuali sessioni dell’attaccante.
• Password del pannello hosting: se l’attaccante ha avuto accesso al pannello, nessuna altra misura è sufficiente senza cambiare anche questa.

Richiesta di revisione a Google

Se Google ha segnalato il tuo sito come pericoloso, dopo la pulizia devi richiedere una revisione di sicurezza:

1. Accedi a Google Search Console.
2. Vai nella sezione Sicurezza e azioni manuali → Problemi di sicurezza.
3. Verifica che i problemi siano stati effettivamente risolti.
4. Clicca su “Richiedi una revisione” e descrivi brevemente le azioni intraprese.

Google esaminerà il sito entro 24-72 ore. Se la pulizia è stata completa, l’avviso verrà rimosso. Nel frattempo, il sito resta accessibile ma con l’avviso di sicurezza attivo nel browser. Se il tuo sito è finito anche nelle blacklist di altri servizi (Norton, McAfee, Kaspersky), dovrai richiedere la rimozione separatamente da ciascuno di essi.

Prevenire future infezioni

Dopo aver rimosso il malware, è fondamentale rafforzare le difese per evitare che succeda di nuovo:

• Aggiorna tutto regolarmente: la maggior parte delle infezioni sfrutta vulnerabilità in plugin e temi non aggiornati.
• Installa un firewall applicativo: Wordfence o Sucuri bloccano gli attacchi prima che raggiungano WordPress.
• Attiva il 2FA su tutti gli account amministratore.
• Limita i tentativi di login per bloccare gli attacchi brute force.
• Backup automatici giornalieri: se succede ancora, puoi ripristinare in pochi minuti anziché ricominciare da zero.
• Monitora il sito: configura scansioni automatiche settimanali con Wordfence e attiva le notifiche email per qualsiasi anomalia.
• Rimuovi plugin e temi inutilizzati: ogni componente installato è una potenziale superficie di attacco, anche se disattivato. Tieni solo ciò che usi realmente.
• Verifica i permessi dei file: le cartelle dovrebbero avere permesso 755 e i file 644. Il file wp-config.php dovrebbe avere permesso 400 o 440.

Il tuo sito è infetto e non sai come pulirlo? Interveniamo noi

Rimuovere malware da WordPress richiede esperienza e meticolosità: una backdoor dimenticata significa una reinfezione nel giro di giorni. Se il tuo sito è stato compromesso e vuoi la certezza di una pulizia completa e professionale, il team di SoccorsoWP è specializzato esattamente in questo. Rimuoviamo il malware, chiudiamo le falle di sicurezza e mettiamo in piedi le protezioni per evitare che accada di nuovo. Apri un ticket e ripristina il tuo sito in sicurezza.