WordPress reindirizza a siti porno o spam: cosa significa

Se WordPress reindirizza a siti porno, casinò, farmaci, download sospetti o pagine phishing, va trattato come un segnale di compromissione. Non è quasi mai un problema di cache o di browser: qualcuno ha inserito codice, una regola o un payload che decide quando mandare l'utente fuori dal sito.

Il comportamento più insidioso è il redirect condizionato. Tu apri il sito da amministratore e sembra tutto normale, mentre un visitatore da mobile o da Google viene mandato altrove. È una tecnica usata per non farsi notare dal proprietario e continuare a sfruttare traffico e reputazione del dominio.

Risposta rapida

Un redirect spam WordPress è un reindirizzamento malevolo verso domini esterni, spesso visibile solo da mobile, da Google o a utenti non loggati. Può trovarsi in .htaccess, wp-config.php, tema, plugin, mu-plugin, database o file PHP nascosti in uploads. La priorità è fare una copia del sito, riprodurre il redirect, trovare la sorgente, rimuovere backdoor e chiudere il vettore di ingresso. Cancellare solo lo script visibile può far tornare il problema dopo poche ore.

Perché succede

Le cause più comuni sono plugin vulnerabili, temi nulled, credenziali FTP rubate, vecchie versioni PHP, permessi troppo larghi o backdoor lasciate da un'infezione precedente. Il redirect è solo il sintomo: il problema vero è il punto da cui l'attaccante può riscrivere il payload.

Esempi tipici:

• redirect solo da smartphone;
• redirect solo cliccando il risultato da Google;
• redirect solo alla prima visita, poi sparisce per cookie;
• redirect verso domini adult, gambling, pharma o fake CAPTCHA;
• Search Console che mostra URL mai creati dal proprietario;
• Google Ads che segnala destinazione non sicura.

Dove si nasconde il redirect

Il primo posto da controllare è .htaccess, ma fermarsi lì è un errore. Molti malware moderni usano più punti di persistenza.

I punti frequenti sono:

• wp-config.php, spesso con codice offuscato in fondo al file;
• functions.php del tema attivo o del child theme;
• file PHP dentro wp-content/uploads;
• mu-plugin caricati automaticamente;
• opzioni serializzate in wp_options;
• script inseriti da builder visuali, widget o menu;
• cron WordPress che riscrive il payload;
• plugin vulnerabili che vengono reinfettati dopo la pulizia.

Per questo una scansione singola può non bastare. Se il database contiene il codice che riscrive il redirect, il file pulito oggi torna infetto domani.

Cosa non fare

Non installare cinque plugin di sicurezza uno sopra l'altro. Non cancellare file a caso. Non ripristinare un backup senza capire se contiene già la vulnerabilità. Non chiedere subito la revisione Google se il redirect è ancora attivo.

Queste azioni possono peggiorare la situazione perché cancellano evidenze, creano falsi positivi e lasciano il vettore aperto.

La sequenza corretta è più prudente: copia completa, riproduzione del sintomo, analisi file e database, chiusura del vettore, pulizia, hardening, verifica da percorsi diversi.

Quando diventa urgente

Il caso è urgente se il sito vende, riceve lead, ha campagne Ads attive o mostra avvisi Google. È urgente anche se il redirect porta a pagine phishing o contenuti adult: oltre al danno reputazionale, il dominio può finire in blacklist e perdere fiducia nei risultati di ricerca.

Se il sito è WooCommerce, il rischio aumenta: durante l'infezione potrebbero essere coinvolti checkout, script di pagamento, utenti cliente o pagine prodotto indicizzate.

Come lo gestisce WPsec

Nel percorso bonifica malware WordPress partiamo da backup, analisi di file e database, verifica redirect da mobile/referrer, controllo utenti, plugin e tema, poi chiudiamo il vettore di ingresso. Dopo la pulizia facciamo hardening e monitoraggio post-intervento.

Se non sai se il redirect è reale, parti dal check-up gratuito o dalla pagina dedicata a WordPress redirect spam da mobile.