La maggior parte dei siti compromessi viene re-infettata entro settimane perché nessuno ha capito da dove è entrato l'attaccante. Noi cerchiamo il vettore, lo patchiamo, e poi puliamo.
Bonifica & Hardening da 299€ (intervento spot)
Il problema reale
Le bonifiche fatte male hanno tutte la stessa storia. Plugin di sicurezza che 'rimuove malware', sito apparentemente pulito, e dopo poche settimane stessi sintomi. Perché chi ha attaccato il sito sa ancora come entrare.
Pulizia automatica con plugin
Il plugin trova alcuni file sospetti e li rimuove. Il vettore d'attacco resta intatto: l'attaccante torna lo stesso giorno con un nuovo payload.
Ripristino del backup
Il backup ripristina il sito allo stato pre-compromissione, ma con la stessa vulnerabilità. Se la patch non viene applicata, la storia si ripete.
Pulizia visibile, persistenza nascosta
I file evidenti vengono rimossi, ma le backdoor in `wp-config.php`, in `wp_options` o in `.htaccess` restano. Riprendono a funzionare appena la pressione si abbassa.
Niente analisi del vettore
Senza leggere i log Apache/Nginx, senza confronto con il core ufficiale, è impossibile capire come l'attaccante è entrato. La bonifica è solo cosmesi.
Il nostro metodo
Una bonifica seria parte dall'analisi forense, non dalla rimozione. Identifichiamo come è entrato l'attaccante, patchiamo la vulnerabilità, e solo dopo ripuliamo. Senza questa sequenza, qualsiasi pulizia è temporanea.
I log Apache/Nginx degli ultimi 30-60 giorni ci dicono quando, da dove, e con quale richiesta l'attaccante è entrato. POST anomali su `xmlrpc.php`, scansioni mirate su plugin specifici, payload molto grandi: i pattern parlano.
Scarichiamo la stessa versione di WordPress da `wordpress.org` e diffiamo file per file. Tutto ciò che differisce in `wp-includes/` o `wp-admin/` è quasi certamente malevolo. Lo stesso vale per i plugin: confronto con la repository ufficiale o con il pacchetto del vendor.
Plugin vulnerabile? Aggiornato o sostituito. XML-RPC sfruttato? Disabilitato o ristretto agli IP che davvero lo usano. Tema 'nulled'? Rimosso e sostituito. La pulizia ha senso solo dopo che il vettore è chiuso.
Sostituzione del core con i file ufficiali, plugin reinstallati da source, `wp-config.php` ricostruito con SALT nuovi, `.htaccess` riscritto. Ogni passaggio reversibile, ogni modifica documentata.
Per i 30 giorni successivi monitoriamo modifiche file, log di accesso, alert blacklist. Se l'attaccante ritenta, lo vediamo prima che il sito sia di nuovo compromesso.
Come si svolge
Raccolta di sintomi, accessi, urgenza. Se il sito vende o raccoglie lead, la priorità sale. Stima dei tempi e proposta scritta prima di partire.
Backup completo file + database + log Apache/Nginx in cartella separata. Senza evidenze, impossibile capire cosa è successo. Niente sovrascritture finché non è tutto al sicuro.
Lettura dei log, confronto file con core ufficiale, ispezione `wp_options`/`wp_users`/`wp_posts` per trovare persistenza, identificazione del vettore d'ingresso.
Aggiornamento o rimozione del componente vulnerabile, applicazione di restrizioni mirate, rotazione delle credenziali compromesse.
Sostituzione del core, reinstallazione plugin/temi da source ufficiale, ricostruzione di `wp-config.php` e `.htaccess`, pulizia DB.
Headers di sicurezza, 2FA, file permission corretti, alert su modifiche file. 30 giorni di monitoraggio post-intervento per intercettare reinfezioni.
Cosa ricevi
Documento con timeline dell'attacco, vettore identificato, lista file modificati/rimossi/sostituiti, raccomandazioni operative.
Snapshot completo del sito compromesso a fini forensi e di confronto, archiviato in modo sicuro per 90 giorni.
Core, plugin e temi sostituiti, vulnerabilità chiuse, hardening minimo applicato. Sito di nuovo operativo con superficie d'attacco ridotta.
Alert sulle modifiche file, controllo blacklist, verifica indicizzazione. Se la reinfezione tenta di tornare, lo vediamo subito.
FAQ
Risposte concrete sulle modalità di lavoro, garanzie reali e limiti tecnici di questo servizio.
Pronto a partire?
Apri la chat con Bob o richiedi un'analisi tecnica iniziale. Ti diciamo se il caso ricade nel nostro intervento standard o se richiede approccio diverso.
Servizi correlati
Configurazioni difensive misurate sul contesto reale: permessi, login, headers HTTP, policy specifiche per stack e traffico.
Scopri il servizioStrategia 3-2-1 applicata, test mensile di ripristino, documentazione recovery. Avere backup non basta: serve sapere che funzionano.
Scopri il servizio