Quanto costa rimuovere malware da WordPress?

Il costo per rimuovere malware da WordPress dipende da una cosa che molti preventivi ignorano: non tutti i siti infetti sono uguali. Un redirect spam appena comparso su un sito vetrina non ha lo stesso rischio di un WooCommerce compromesso da settimane, con ordini, utenti, gateway di pagamento e pagine spam già indicizzate.

Un prezzo serio deve coprire almeno tre attività: diagnosi, pulizia e prevenzione. Se manca una di queste parti, stai pagando una rimozione parziale.

Fasce di prezzo realistiche

Per un sito WordPress standard, un intervento di bonifica parte spesso da 250-300 euro più IVA. Questa fascia ha senso quando:

• il sito è piccolo;
• gli accessi hosting sono disponibili;
• non ci sono customizzazioni critiche;
• il malware è circoscritto;
• il database non è pieno di spam;
• non serve ricostruire parti del sito.

Il costo sale quando ci sono molte installazioni nello stesso hosting, un WooCommerce attivo, codice custom, plugin premium senza licenza, backup assenti o una compromissione vecchia.

Perché una scansione non basta

Una scansione può trovare file sospetti, ma non spiega come sono arrivati. La differenza tra scansione e bonifica tecnica è questa: la bonifica cerca la root cause. Se non trovi il vettore d'ingresso, il sito può reinfettarsi.

Le cause frequenti sono plugin vulnerabili, temi nulled, credenziali compromesse, permessi sbagliati, vecchie versioni PHP, upload PHP eseguibili o admin creati senza controllo.

Cosa dovrebbe includere il prezzo

Un intervento professionale dovrebbe includere:

• backup pre-intervento;
• copia staging quando il sito è critico;
• analisi file, database, utenti e configurazioni;
• rimozione malware e backdoor;
• sostituzione core e plugin dove possibile;
• hardening minimo;
• verifica blacklist e redirect;
• report finale;
• monitoraggio post-intervento.

In WPsec.it la rimozione malware WordPress parte da 249 euro in promo e include backup, staging quando serve, root cause, hardening e garanzia commerciale 30 giorni.

Il costo nascosto del prezzo troppo basso

Il vero rischio non è pagare 50 euro in più. Il rischio è pagare due volte perché il sito torna infetto. Una pulizia economica che cancella solo i file più evidenti può lasciare:

• backdoor in uploads;
• opzioni malevole in wp_options;
• utenti admin nascosti;
• cron job sospetti;
• plugin vulnerabili ancora attivi;
• regole .htaccess manipolate.

Quando succede, perdi tempo, indicizzazione, fiducia dei clienti e talvolta anche accesso all'hosting.

Come valutare un preventivo

Chiedi sempre se il fornitore lavora su backup, se verifica la root cause, se controlla il database, se mette in sicurezza dopo la pulizia e se consegna un report. Se la risposta è vaga, il prezzo basso non è un vantaggio.

Se il sito è già in blacklist o reindirizza verso spam, apri un briefing: più informazioni raccogli nella prima ora, meno rischi nella fase di ripristino.