Sito WordPress hackerato? Come ripristinarlo

Come avviene l’hacking di un sito web

Come fanno gli hacker a violare un sito?

Ecco alcuni dei metodi più comuni con cui malintenzionati riescono a ottenere accesso:

• Hosting poco sicuro: configurazioni server deboli o mancanza di separazione tra siti ospitati.

• Credenziali di accesso compromesse: spesso ottenute tramite attacchi brute-force, credenziali rubate in altre violazioni o raccolte con phishing.

• WordPress, plugin o temi non aggiornati: le versioni obsolete contengono vulnerabilità note facilmente sfruttabili.

• Estensioni da fonti non affidabili: plugin o temi “nulled” (craccati) o non ufficiali che spesso nascondono malware e backdoor.

• Attacchi di injection: siti poco protetti permettono l’esecuzione di script malevoli per accedere al database, iniettare codice dannoso o compromettere il sistema.

Perché gli hacker attaccano i siti web

Molti pensano: “Il mio sito è piccolo, nessuno lo attaccherà”. Niente di più sbagliato!

La maggior parte degli attacchi non è mirata né personale: si tratta di attacchi automatizzati che scansionano il web alla ricerca di vulnerabilità.

Se il tuo sito è esposto, diventa un bersaglio.

Perché gli hacker lo fanno?

Le motivazioni possono essere diverse:

• Furto di dati: raccolta di email, password e informazioni dei clienti da rivendere o usare in altri attacchi.

• Installazione di malware: sfruttare il tuo sito per infettare i dispositivi dei visitatori.

• Reindirizzamento del traffico: mandare gli utenti verso siti fraudolenti o truffaldini.

• Uso illecito delle risorse del server: mining di criptovalute, invio di spam o attacchi DDoS.

• Phishing: creare pagine di login o pagamento fasulle per rubare credenziali.

• Richieste di riscatto: blocco del sito con richiesta di pagamento per ripristinarlo.

• Hacktivism: defacement (vandalizzazione del sito) per motivi politici o ideologici.

• Divertimento o test: attacchi per esercitarsi o sperimentare nuove tecniche.

Cosa succede quando un sito viene hackerato

Alcuni attacchi sono immediatamente evidenti: homepage modificata, contenuti spam, redirect verso altri siti o pagine che non hai mai creato.

Altri invece sono più subdoli:

• Sito non disponibile: schermata bianca (white screen of death) o errori generici.

• Avvisi di sicurezza: notifiche da browser, Google Search Console, Google Transparency Report, Norton Safe Web o dal provider di hosting.

• Cambiamenti nel traffico: improvvisi cali o picchi anomali, visite da Paesi insoliti.

• Nuovi utenti amministratori sospetti: account non autorizzati o privilegi elevati ad altri utenti.

• File sconosciuti: script o codice insolito nello spazio web o nei file del server.

• Attività sospette: accessi non autorizzati, modifiche a file o plugin registrate nei log.

Oltre ai problemi visibili, un sito hackerato può avere gravi conseguenze a lungo termine: perdita di fatturato, calo di traffico e posizionamento SEO, danni alla reputazione del brand, costi elevati per la bonifica e possibili implicazioni legali.

Fase 1: Controlla l’accesso

Come ripristinare un sito WordPress hackerato

Il primo passo per gestire un sito compromesso è capire a quale livello hai ancora accesso.

1. Prova ad accedere al pannello di controllo
   Tenta il login alla dashboard di WordPress, solitamente raggiungibile su tuosito.com/wp-admin.
   Se la schermata di login non appare o vieni reindirizzato altrove, sarà necessario passare subito al download e alla pulizia manuale dei file del sito. Se invece appare, prova con le tue credenziali abituali o utilizza la procedura di recupero password.

Se nessuno di questi passaggi funziona, puoi accedere direttamente al tuo database (ad esempio tramite phpMyAdmin) e controllare la tabella wp_users per verificare che il tuo account amministratore sia ancora presente.

Se il tuo account è ancora presente, puoi reimpostare la password direttamente dal database oppure creare un nuovo utente amministratore per riottenere l’accesso. In alternativa, puoi reimpostare la password anche tramite FTP o utilizzando WP-CLI.

2. Metti il sito in modalità manutenzione

Una volta ottenuto l’accesso al backend, è consigliabile rendere temporaneamente il sito non disponibile.
Questo passaggio ti permette di proteggere i visitatori e la reputazione del tuo sito mentre lavori per risolvere il problema.
Il modo migliore per farlo è attivare la modalità manutenzione.

Puoi usare un plugin per la modalità manutenzione (underConstruction) oppure configurare un semplice file HTML. Alcuni provider CDN, come Cloudflare, permettono anche di impostare una schermata di manutenzione temporanea.

Fase 2: Metti in sicurezza il sito

Ora è il momento di riprendere il controllo del tuo sito.

3. Contatta il tuo provider di hosting

Il tuo hosting deve essere il primo punto di riferimento e il tuo alleato più importante in caso di attacco hacker.
Ad esempio, su iltuospazioweb.it puoi contare su funzionalità avanzate di sicurezza grazie all’integrazione con Patchman: il sistema monitora costantemente i siti ospitati, rilevando automaticamente vulnerabilità note e applicando patch di sicurezza non appena disponibili, prima che possano essere sfruttate da eventuali attacchi.

In caso di necessità, il nostro team è sempre a disposizione per offrire supporto diretto.

Anche se utilizzi un altro provider, contatta subito l’assistenza.

In particolare, su hosting condiviso l’attacco potrebbe provenire da un altro sito sullo stesso server, con il rischio che il problema si ripresenti.

Il tuo provider può inoltre offrirti supporto per il ripristino, informarti su eventuali restrizioni temporanee dell’account e fornirti dettagli sull’attacco tramite i log di accesso e di errore.

Qualora non ricevessi l’assistenza necessaria, puoi rivolgerti a un webmaster specializzato che offre servizi di supporto e sicurezza per siti web.

4. Effettua un backup dello stato attuale

Salva una copia completa del sito, anche se compromesso.
Questo ti permette di:

• conservare i contenuti più recenti;

• analizzare l’origine dell’attacco;

• ripristinare il sito se qualcosa va storto durante il recupero.

Esegui il backup sia dei file del sito che del database, tramite pannello di controllo dell’hosting, SFTP o un plugin di backup.

Alcuni provider gestiti, come  IlTuoSpazioWeb.it, è disponibile JetBackup all’interno del cPanel, con fino a 10 punti di ripristino automatici.

Poiché le offerte possono variare da un provider all’altro, è sempre consigliabile verificare o chiedere se il piano hosting scelto include un servizio di backup automatico.

5. Ripristina da un backup pulito (se disponibile)

Se avevi configurato una soluzione di backup automatico, ripristinare una copia pulita è spesso il metodo più rapido per sistemare un sito hackerato.

Assicurati che il backup sia anteriore all’attacco. Se possibile, caricalo prima su un ambiente di staging per fare test prima di ripristinarlo online.

Attenzione: il ripristino non elimina la vulnerabilità originale. Dovrai comunque indagare su come è avvenuto l’attacco per evitare nuove infezioni.

Fase 3: Blocca ogni accesso non autorizzato

In questa fase chiuderemo tutti i punti d’ingresso comuni agli hacker.

6. Controlla tutti gli account utente

Gli hacker che ottengono l’accesso a un sito spesso creano un proprio account amministratore, nascosto tra gli altri utenti.

Vai nel menu Utenti di WordPress (o direttamente nel database) e:

• cerca nomi utente sconosciuti, soprattutto con privilegi amministrativi;

• elimina o degrada gli account sospetti;

• documenta tutte le modifiche e controlla anche gli altri accessi: hosting, FTP, email, CDN e strumenti di terze parti.

7. Cambia tutte le password

Proteggi gli account rimanenti cambiando subito le password.

In WordPress puoi reimpostare le password di tutti gli utenti e imporre credenziali sicure con plugin come Emergency Password Reset e Password Policy Manager.

Implementa anche la verifica a più fattori (MFA), così ogni login richiederà una conferma via email o SMS.

Estendi questo processo a tutti gli account associati al sito (hosting, email, FTP, ecc.).

Per una sicurezza maggiore:

• reimposta anche username e password del database e aggiorna il file wp-config.php;

• sostituisci le chiavi di sicurezza (SALTs) in wp-config.php.
  Puoi generarne di nuove tramite il WordPress SALT generator ufficiale, incollarle al posto delle vecchie e salvare il file.
  Questo forzerà il logout di tutti gli utenti (inclusi eventuali hacker). Il plugin Emergency Password Reset può farlo automaticamente.

8. Aggiorna tutto il software

L’attacco potrebbe essere avvenuto tramite file obsoleti o vulnerabili.
Inoltre, gli hacker spesso modificano i file core per facilitare future infezioni.

Aggiorna quindi WordPress, tutti i plugin e tutti i temi all’ultima versione disponibile.
Se non riesci ad accedere alla dashboard o l’aggiornamento automatico non funziona, scarica i file aggiornati da WordPress.org e caricali manualmente via FTP.

Hai bisogno di aiuto? Contatta un esperto

Se questi passaggi ti sembrano troppo complessi o non riesci a risolvere il problema, è il momento di affidarti a un professionista.

Un webmaster esperto può aiutarti a ripristinare il tuo sito hackerato, rimuovere virus e malware, mettere in sicurezza l’infrastruttura e monitorare eventuali minacce residue.

In alcuni casi, può essere opportuno considerare anche il trasferimento del sito verso un servizio di web hosting più sicuro e performante, che offra strumenti avanzati di backup e protezione automatica.

Non aspettare che la situazione peggiori: intervenire subito è fondamentale per limitare i danni e tutelare la tua presenza online.