WordPress redirect spam: cosa fare quando il sito reindirizza altrove

Un redirect spam WordPress è uno dei sintomi più frequenti di compromissione. Il sito sembra aprirsi normalmente, ma alcuni visitatori vengono mandati verso farmaci, casinò, notifiche false, download sospetti o pagine phishing.

Il punto critico è che il redirect non appare sempre. A volte scatta solo da mobile, solo da Google, solo al primo accesso o solo per utenti non loggati. Per questo molti proprietari non lo vedono, mentre i clienti sì.

Dove può nascondersi il redirect

I redirect malevoli possono essere in più punti:

• file .htaccess;
• wp-config.php;
• functions.php del tema;
• plugin compromessi;
• file PHP in wp-content/uploads;
• database, soprattutto wp_options;
• widget, menu o builder visuali;
• script caricati da domini esterni.

Una bonifica fatta bene non si limita a cercare una stringa sospetta. Deve controllare file, database, utenti, log e plugin.

Cosa non fare subito

Non cancellare file a caso. Non installare dieci plugin di sicurezza uno sopra l'altro. Non ripristinare un backup senza sapere se è pulito. Queste azioni possono peggiorare il quadro, cancellare evidenze e lasciare la vulnerabilità originale ancora aperta.

La prima cosa utile è creare una copia completa di file e database. Poi si può lavorare su staging o su una copia isolata.

Controlli rapidi

Puoi fare alcune verifiche iniziali:

• apri il sito da mobile e da desktop;
• cerca su Google site:tuodominio.it;
• controlla Search Console per pagine strane;
• verifica se Google Safe Browsing segnala il dominio;
• cerca file PHP in wp-content/uploads;
• guarda se esistono admin sconosciuti;
• controlla modifiche recenti in plugin e tema.

Se trovi più segnali insieme, tratta il caso come compromissione reale.

Perché torna dopo la pulizia

Il redirect torna quando si rimuove il sintomo ma non il vettore. Esempio classico: cancelli lo script nel tema, ma lasci attivo un plugin vulnerabile che lo riscrive poche ore dopo.

Altre cause comuni sono password FTP rubate, temi nulled, vecchie versioni PHP, permessi troppo larghi e backdoor che ricreano il payload.

Quando chiedere intervento

Serve intervento tecnico quando il redirect è visibile ai clienti, quando Search Console mostra pagine spam, quando l'hosting manda avvisi o quando il sito vende online. In questi casi la priorità è contenere il danno e ripristinare fiducia.

WPsec.it gestisce questi casi nella bonifica malware WordPress, lavorando su backup, staging, root cause e hardening prima del ritorno live.