Hosting sospeso per malware WordPress: cosa fare prima di chiedere la riattivazione

Quando un hosting sospende un sito WordPress per malware, spam o abuso, il problema non è solo “farlo riaprire”. La sospensione è una misura di contenimento: il provider ha rilevato qualcosa che danneggia altri utenti, invia traffico sospetto, consuma risorse o viola policy di sicurezza.

Chiedere subito la riattivazione senza bonifica può portare a una seconda sospensione, spesso più rigida della prima.

Risposta rapida

Se l'hosting sospende WordPress per malware, spam o abuso, prima di chiedere la riattivazione bisogna leggere la segnalazione del provider, salvare file e database quando possibile, identificare file malevoli, backdoor, utenti sospetti e componenti vulnerabili, poi bonificare e preparare una risposta tecnica. Il ripristino ha senso solo quando il sito è stato verificato e il vettore di ingresso è stato chiuso.

Perché l'hosting sospende un sito

I motivi più frequenti sono:

• file PHP malevoli trovati da scanner del provider;
• invio email spam dal sito o dall'account hosting;
• pagine phishing pubblicate sotto il dominio;
• consumo anomalo di CPU, I/O o processi PHP;
• redirect verso siti pericolosi;
• script usati per attacchi verso terzi;
• segnalazioni da Google Safe Browsing, blacklist o abuse desk.

Il provider spesso indica uno o più path. Quell'elenco è utile, ma non va interpretato come lista completa del problema. Sono i file rilevati, non necessariamente tutti i file infetti.

Cosa fare nella prima ora

La prima cosa è conservare il messaggio del provider. Servono data, orario, path indicati, motivo della sospensione e condizioni per la riattivazione.

Poi bisogna capire se hai ancora accesso a:

• pannello hosting;
• file manager;
• FTP o SFTP;
• database;
• backup;
• log web o error log;
• Search Console.

Se l'accesso web è bloccato ma il pannello funziona, spesso si può ancora salvare una copia del sito. Se anche il pannello è bloccato, bisogna aprire ticket chiedendo almeno un accesso temporaneo per scaricare file e database.

Errore comune: cancellare solo i file segnalati

Cancellare i file indicati dal provider può far sparire l'alert immediato, ma non risolve la causa. Se una backdoor è ancora presente o un plugin vulnerabile resta attivo, il malware può ricomparire.

Una bonifica seria controlla anche:

• database e wp_options;
• utenti admin e ruoli;
• wp-config.php e .htaccess;
• plugin e temi non aggiornabili;
• cartelle uploads con file eseguibili;
• cron e attività programmate;
• credenziali hosting, FTP, WordPress e database.

Come comunicare con il provider

Il provider vuole sapere che il sito non tornerà online nello stesso stato. Una risposta utile non è “ho cancellato il file”, ma una sintesi tecnica:

• backup eseguito;
• file malevoli rimossi;
• database controllato;
• plugin vulnerabile aggiornato o rimosso;
• credenziali ruotate;
• hardening applicato;
• scansione finale completata.

Questo aumenta la probabilità di riattivazione e riduce il ping-pong con il supporto.

Quando serve intervento tecnico

Serve intervento se il sito è WooCommerce, se la sospensione riguarda phishing o spam, se non hai backup recenti, se il provider segnala molti file, o se il sito era già stato pulito in passato e il problema è tornato.

In questi casi WPsec lavora con percorso SOS Sito Hackerato: backup, diagnosi, bonifica, hardening, report e monitoraggio. La landing dedicata è hosting sospeso per malware WordPress.