Sito WordPress hackerato: cosa fare nella prima ora
La prima ora dopo una compromissione decide quanto sarà difficile recuperare il sito. Ecco cosa fare, cosa evitare e quali dati raccogliere.
Quando scopri che un sito WordPress è hackerato, la prima ora è decisiva. Non perché si risolva tutto in sessanta minuti, ma perché le azioni iniziali possono preservare prove, ridurre danni e rendere il recupero molto più semplice.
La regola è una: non improvvisare.
1. Documenta i sintomi
Prima di toccare il sito, annota cosa vedi:
- redirect strani;
- avvisi Google;
- email dell'hosting;
- pagine spam;
- login admin impossibile;
- utenti sconosciuti;
- file recenti sospetti;
- invio email anomalo.
Fai screenshot e salva URL. Questi dettagli aiutano a capire il tipo di attacco.
2. Non cancellare file a caso
Eliminare il primo file sospetto può sembrare risolutivo, ma spesso cancella indizi utili. Se non capisci la catena di ingresso, non puoi prevenire la reinfezione.
Meglio creare una copia completa di file e database. Anche se il sito è infetto, quella copia è utile per analisi e confronto.
3. Recupera gli accessi giusti
Per intervenire servono quasi sempre:
- admin WordPress;
- pannello hosting;
- FTP o SSH;
- database o phpMyAdmin;
- Search Console;
- Cloudflare o DNS se presenti.
Se gli accessi non sono disponibili, l'intervento rallenta. Se sospetti credenziali rubate, non ruotarle prima di aver creato una copia, a meno che l'attaccante sia ancora attivo.
4. Valuta se mettere offline
Non tutti i casi richiedono manutenzione immediata. Se il sito serve malware, phishing o redirect pericolosi, il contenimento è prioritario. Se invece il problema è SEO spam non visibile agli utenti, si può lavorare con più controllo.
Per WooCommerce, ogni decisione va pesata: spegnere il sito ferma gli ordini, ma lasciarlo compromesso può esporre clienti e reputazione.
5. Crea una staging di lavoro
Quando possibile, è meglio lavorare su staging o copia isolata. Così puoi analizzare, pulire e testare senza modificare l'unica istanza live.
WPsec.it usa questo approccio nei casi di sito WordPress hackerato: staging quando serve, bonifica, root cause, hardening e ritorno live controllato.
6. Prepara una timeline
Scrivi gli eventi recenti: aggiornamenti, nuove installazioni, accessi condivisi, modifiche al tema, migrazioni, problemi hosting. Spesso la causa si trova in una modifica avvenuta pochi giorni prima.
Una timeline pulita fa risparmiare ore. E in un incidente, le ore contano.
Scritto dal team WPsec
Team WPsec.it
Bonifica malware, hardening, performance e manutenzione WordPress.
Continua a leggere
Articoli correlati.
Bonifica malware WordPress: il metodo che usiamo davvero
Come affrontiamo concretamente una bonifica WordPress: dall'analisi iniziale al congelamento, dal confronto file alla sostituzione del core, fino al post-intervento. Senza scorciatoie.
Staging WordPress per bonifica malware: perché lavorare su copia
Per siti compromessi, lavorare su staging riduce rischio, preserva evidenze e permette test prima del ritorno live.
Quanto costa rimuovere malware da WordPress?
Prezzi realistici, variabili tecniche e differenza tra scansione automatica, bonifica manuale, staging, hardening e monitoraggio post-intervento.