Google Ads segnala software dannoso su WordPress: come risolvere

Quando Google Ads segnala “software dannoso”, “destinazione non sicura” o “sito compromesso” su un sito WordPress, la campagna si ferma ma il problema non nasce dentro Google Ads. Nella maggior parte dei casi Ads sta reagendo a segnali raccolti dal sito: redirect, script sospetti, risorse infette, pagine spam o comportamento diverso da mobile e desktop.

Il rischio è trattarlo come un problema pubblicitario e chiedere subito la revisione. Se il sito è ancora compromesso, la revisione viene respinta.

Risposta rapida

Se Google Ads blocca un sito WordPress per software dannoso, prima di chiedere la revisione bisogna verificare Safe Browsing, Search Console, redirect, script esterni, file infetti, database e pagine spam indicizzate. Una bonifica corretta rimuove malware e backdoor, chiude il vettore di ingresso, verifica che il sito non mostri più comportamenti pericolosi e solo dopo prepara la richiesta di revisione.

Perché Ads blocca il sito

Le cause più frequenti sono:

• redirect verso domini spam o phishing;
• JavaScript iniettato da plugin, tema o database;
• file PHP malevoli nel sito;
• pagine spam indicizzate sotto il dominio;
• risorse esterne compromesse caricate dalla landing;
• contenuti diversi mostrati a Googlebot, mobile o utenti normali;
• avviso Safe Browsing collegato al dominio.

Il fatto che tu non veda nulla non significa che non ci sia infezione. Molti malware evitano gli utenti loggati o mostrano il payload solo a visite provenienti da Google.

Controlli da fare prima della revisione

Prima di inviare la richiesta a Google, bisogna verificare:

• se Search Console segnala problemi di sicurezza;
• se Google Safe Browsing vede il dominio come pericoloso;
• se la landing Ads reindirizza da mobile;
• se il sorgente carica script da domini sconosciuti;
• se ci sono pagine strane con ricerca site:dominio.it;
• se WordPress ha admin non riconosciuti;
• se plugin e tema sono aggiornabili e legittimi.

Questi controlli non sostituiscono l'accesso a file e database, ma aiutano a capire se il blocco è probabilmente legato a malware reale.

Perché non basta cambiare landing

Cambiare URL della landing può aggirare temporaneamente il sintomo, ma se il dominio o l'installazione WordPress sono compromessi, Google può bloccare di nuovo gli annunci. Peggio: se Ads rileva tentativi ripetuti di aggirare le policy, la situazione dell'account può peggiorare.

La strada corretta è ripulire il sito e rendere verificabile la correzione.

Sequenza di bonifica

Una sequenza prudente è:

1. salvare file e database;
2. verificare segnali pubblici e Search Console;
3. analizzare file, database, utenti, plugin e tema;
4. rimuovere codice malevolo, backdoor e pagine spam;
5. aggiornare o sostituire componenti vulnerabili;
6. ruotare credenziali;
7. verificare da desktop, mobile e referrer Google;
8. chiedere revisione solo dopo il controllo finale.

Come può aiutare WPsec

WPsec gestisce questi casi con bonifica malware WordPress e pagina dedicata Google Ads blocca sito WordPress per malware. L'obiettivo non è solo sbloccare gli annunci, ma evitare che il sito torni a essere segnalato.