Google Ads segnala software dannoso su WordPress: come risolvere
Cosa fare quando Google Ads blocca annunci per software dannoso, destinazione non sicura o sito compromesso su WordPress.
Quando Google Ads segnala “software dannoso”, “destinazione non sicura” o “sito compromesso” su un sito WordPress, la campagna si ferma ma il problema non nasce dentro Google Ads. Nella maggior parte dei casi Ads sta reagendo a segnali raccolti dal sito: redirect, script sospetti, risorse infette, pagine spam o comportamento diverso da mobile e desktop.
Il rischio è trattarlo come un problema pubblicitario e chiedere subito la revisione. Se il sito è ancora compromesso, la revisione viene respinta.
Risposta rapida
Se Google Ads blocca un sito WordPress per software dannoso, prima di chiedere la revisione bisogna verificare Safe Browsing, Search Console, redirect, script esterni, file infetti, database e pagine spam indicizzate. Una bonifica corretta rimuove malware e backdoor, chiude il vettore di ingresso, verifica che il sito non mostri più comportamenti pericolosi e solo dopo prepara la richiesta di revisione.
Perché Ads blocca il sito
Le cause più frequenti sono:
- redirect verso domini spam o phishing;
- JavaScript iniettato da plugin, tema o database;
- file PHP malevoli nel sito;
- pagine spam indicizzate sotto il dominio;
- risorse esterne compromesse caricate dalla landing;
- contenuti diversi mostrati a Googlebot, mobile o utenti normali;
- avviso Safe Browsing collegato al dominio.
Il fatto che tu non veda nulla non significa che non ci sia infezione. Molti malware evitano gli utenti loggati o mostrano il payload solo a visite provenienti da Google. Se il sito reindirizza altrove, vedi anche cosa fare con un redirect spam su WordPress e quando passare alla rimozione malware WordPress.
Controlli da fare prima della revisione
Prima di inviare la richiesta a Google, bisogna verificare:
- se Search Console segnala problemi di sicurezza;
- se Google Safe Browsing vede il dominio come pericoloso;
- se la landing Ads reindirizza da mobile;
- se il sorgente carica script da domini sconosciuti;
- se ci sono pagine strane con ricerca
site:dominio.it; - se WordPress ha admin non riconosciuti;
- se plugin e tema sono aggiornabili e legittimi.
Questi controlli non sostituiscono l'accesso a file e database, ma aiutano a capire se il blocco è probabilmente legato a malware reale.
Perché non basta cambiare landing
Cambiare URL della landing può aggirare temporaneamente il sintomo, ma se il dominio o l'installazione WordPress sono compromessi, Google può bloccare di nuovo gli annunci. Peggio: se Ads rileva tentativi ripetuti di aggirare le policy, la situazione dell'account può peggiorare.
La strada corretta è ripulire il sito e rendere verificabile la correzione. Il blocco di Ads è spesso solo un sintomo: se il dominio è anche su una blacklist, guarda come ottenere la rimozione dalla blacklist di Google.
Sequenza di bonifica
Una sequenza prudente è:
- salvare file e database;
- verificare segnali pubblici e Search Console;
- analizzare file, database, utenti, plugin e tema;
- rimuovere codice malevolo, backdoor e pagine spam;
- aggiornare o sostituire componenti vulnerabili;
- ruotare credenziali;
- verificare da desktop, mobile e referrer Google;
- chiedere revisione solo dopo il controllo finale.
Come può aiutare WPsec.it
Gestiamo questi casi con bonifica malware WordPress e pagina dedicata Google Ads blocca sito WordPress per malware. L'obiettivo non è solo sbloccare gli annunci, ma evitare che il sito torni a essere segnalato.
Se vuoi approfondire prima da solo, leggi la guida alla rimozione malware WordPress e cosa fare quando il sito WordPress è hackerato. Se invece preferisci una verifica veloce senza impegno, puoi richiedere un audit gratuito: controlliamo i segnali pubblici del dominio e ti diciamo se c'è un'infezione reale dietro il blocco di Ads.
FAQ
Google Ads ha disapprovato l'annuncio per software dannoso ma il sito mi sembra a posto: cosa significa?
Quasi sempre c'è un'infezione che tu non vedi. Molti malware mostrano il payload solo a visite da Google, da mobile o a utenti non loggati, restando invisibili all'amministratore che naviga da desktop e con sessione attiva. Verifica i segnali pubblici (Safe Browsing, Search Console) e i redirect prima di concludere che sia un falso positivo.
Posso semplicemente cambiare la landing page per sbloccare gli annunci?
No, è controproducente. Cambiare URL aggira il sintomo ma non rimuove l'infezione: se il dominio o l'installazione WordPress sono compromessi, Google può ribloccare gli annunci. Peggio, se Ads rileva tentativi ripetuti di aggirare le policy, l'intero account rischia sanzioni. Va ripulito il sito e resa verificabile la correzione, poi si chiede la revisione.
Quanto tempo serve per sbloccare gli annunci dopo la bonifica?
La revisione di Google Ads richiede in genere alcuni giorni dopo l'invio. Il tempo critico è prima: la bonifica deve essere completa e verificabile, altrimenti la revisione viene respinta e si riparte da capo. Conviene chiedere la revisione solo dopo aver controllato il sito da desktop, mobile e con referrer Google, confermando che non mostra più comportamenti pericolosi.
Devo chiedere la revisione a Google Ads o a Search Console?
Spesso a entrambi, ma in ordine. Se Search Console segnala problemi di sicurezza, vanno risolti e va chiesta lì la revisione del dominio: è il segnale che alimenta anche Ads. Solo dopo che Safe Browsing e Search Console sono puliti ha senso chiedere la revisione dell'annuncio dentro Google Ads, altrimenti il blocco si ripresenta.
Come faccio a sapere se il sito è davvero infetto e non un errore di Google?
Controlla i segnali concreti: avvisi in Search Console, stato su Safe Browsing, redirect da mobile, script caricati da domini sconosciuti nel sorgente e pagine spam con site:tuodominio.it. Se uno di questi è positivo, l'infezione è reale. In caso di dubbio puoi richiedere un audit gratuito e analizzare file e database, non solo i segnali pubblici.
Scritto dal team WPsec.it
Team WPsec.it
Bonifica malware, hardening, performance e manutenzione WordPress.
Continua a leggere
Articoli correlati.
WordPress hackerato: guida al recupero del sito in 11 fasi
Recuperare un sito WordPress hackerato in 11 fasi: dalla conferma alla bonifica, dalla chiusura del vettore all'hardening finale. Sequenza operativa con comandi e checklist.
Utenti admin sconosciuti WordPress: cosa fare subito
Trovato un admin WordPress che non hai creato? Verifica backdoor, utenti, log e database prima di rimuoverlo in sicurezza.
WordPress reindirizza a siti porno: cosa significa e come fermarlo
Perché un sito WordPress reindirizza verso siti porno, casinò o farmaci, dove si nasconde il redirect, il rischio reputazione e blacklist, e come fermarlo.