WPsec.itSicurezza WordPress
Tutti gli articoli
Bonifica malwareAggiornato il 5 min di letturaTeam WPsec.it

WordPress pharma hack: come riconoscerlo e rimuoverlo

Il pharma hack usa il tuo dominio per posizionare pagine spam su farmaci e contenuti truffa. Ecco sintomi, controlli e priorità di bonifica.

Condividi
WordPress pharma hack: come riconoscerlo e rimuoverlo

Risposta rapida

Il pharma hack è spam SEO: una compromissione che inietta nel tuo dominio pagine e keyword di farmaci (viagra, cialis) visibili soprattutto a Googlebot, non a te. Il sito sembra normale ma su Google compaiono URL spam. Va trattato come attacco con backdoor, non come problema di indicizzazione: prima chiudi la causa, poi pulisci e ripulisci la reputazione.

Il pharma hack è una compromissione SEO: gli attaccanti usano il tuo dominio per creare o nascondere pagine che parlano di farmaci, integratori, casinò, prestiti o prodotti falsi. Lo scopo non è sempre bloccare il sito. Spesso è sfruttare la reputazione del dominio per posizionare spam su Google.

Il problema è subdolo perché il sito può sembrare normale agli occhi del proprietario.

Segnali tipici

I segnali più comuni sono:

  • risultati Google con titoli strani;
  • pagine in lingue non usate dal sito;
  • descrizioni con nomi di farmaci;
  • slug generati automaticamente;
  • picchi di URL indicizzati;
  • avvisi Search Console su pagine non create da te;
  • traffico organico anomalo verso URL inesistenti.

La ricerca site:tuodominio.it è spesso sufficiente per capire se qualcosa non torna.

Dove si trova lo spam

Il pharma hack può vivere nel database, nei file o in entrambi. A volte le pagine non esistono davvero come contenuti WordPress: vengono generate dinamicamente da una backdoor quando arriva Googlebot o un visitatore specifico.

Punti da controllare:

  • wp_posts e wp_postmeta;
  • wp_options;
  • file PHP in plugin o tema;
  • file in uploads;
  • rewrite .htaccess;
  • cron WordPress;
  • utenti admin sospetti.

Perché è dannoso anche se il sito funziona

Il danno principale è SEO e reputazionale. Google può associare il dominio a contenuti spam, ridurre visibilità, mostrare titoli alterati o segnalare il sito come compromesso. Per un'azienda, questo impatta lead, credibilità e campagne advertising.

In alcuni casi il pharma hack convive con altre backdoor. Quindi non va trattato come semplice problema di indicizzazione.

Pulizia corretta

La sequenza corretta è:

  1. backup e copia delle evidenze;
  2. identificazione di URL e pattern spam;
  3. analisi file e database;
  4. rimozione backdoor;
  5. pulizia contenuti e opzioni;
  6. hardening e aggiornamenti;
  7. richiesta di revisione o deindicizzazione quando serve.

Il punto più importante è chiudere la causa. Senza questo passaggio, le pagine spam ricompaiono. Lo stesso schema vale per altri attacchi SEO come il redirect spam: se resta una backdoor, il payload si rigenera. Per la procedura completa vedi la guida alla rimozione malware WordPress, oppure delega tutto al nostro servizio di bonifica malware, che lavora su staging prima del live.

Cosa comunicare a Google

Dopo la pulizia, Search Console diventa centrale. Devi inviare sitemap corretta, chiedere rimozione temporanea degli URL quando opportuno, correggere errori 404 in modo controllato e richiedere revisione se c'è un avviso di sicurezza. Se il dominio è finito in una lista di siti pericolosi, segui anche la procedura per la rimozione dalla blacklist di Google.

Per casi complessi conviene trattare il pharma hack come sito WordPress hackerato, non come semplice problema SEO.

Non sei sicuro che il sito sia compromesso? Il nostro audit gratuito controlla pagine indicizzate, pattern spam e segnali di backdoor, e ti dice subito se serve una bonifica.

Domande frequenti

Come faccio a sapere se ho il pharma hack sul sito WordPress?

Cerca su Google site:tuodominio.it viagra oppure site:tuodominio.it cialis: se compaiono pagine che non hai mai creato, sei colpito. Controlla anche i titoli nei risultati e gli avvisi in Search Console su pagine indicizzate sconosciute. Il sito può sembrare normale per te, perché lo spam è spesso visibile solo a Googlebot.

Perché vedo pagine di viagra e cialis nel mio sito WordPress?

Perché un attaccante ha iniettato spam SEO per sfruttare la reputazione del tuo dominio e posizionare prodotti farmaceutici falsi su Google. Spesso non sono contenuti reali: una backdoor li genera dinamicamente quando rileva Googlebot. Controlla wp_posts, wp_options, il file .htaccess e i file PHP in uploads per trovare il punto di iniezione.

Il pharma hack si vede solo su Google e non aprendo il sito: è normale?

Sì, è la tecnica tipica. Il codice mostra lo spam farmaci solo a Googlebot o ai visitatori che arrivano dalla ricerca, mentre a te che navighi da admin il sito appare pulito. Questo cloaking serve a ritardare la scoperta. Per verificare, simula Googlebot con curl -A "Googlebot" https://example.com/url-sospetto e confronta la risposta.

Ho cancellato le pagine spam ma tornano: come le elimino davvero?

Tornano perché hai rimosso il sintomo, non la backdoor che le rigenera. Devi trovare tutti i punti di persistenza: file PHP nascosti, hook nel database, cron WordPress e regole in .htaccess. Solo chiudendo il vettore di ingresso lo spam non riappare. Vedi la guida alla rimozione malware WordPress per la procedura completa.

Quanto danneggia la SEO il pharma hack e come recupero le posizioni?

Può ridurre visibilità, alterare i titoli nei risultati e far segnalare il dominio come compromesso. Dopo la bonifica invia una sitemap corretta in Search Console, richiedi la rimozione degli URL spam e, se compare un avviso, una revisione di sicurezza. Se sei finito in lista nera, segui la rimozione dalla blacklist di Google. Il recupero richiede da giorni a qualche settimana.

Pubblicato il - aggiornato il

Condividi

Scritto dal team WPsec.it

Team WPsec.it

Bonifica malware, hardening, performance e manutenzione WordPress.

Continua a leggere

Articoli correlati.