Il tuo sito non è più tuo: qualcuno lo ha preso
I segnali: il sito mostra contenuti che non hai scritto (farmaci, gambling, contenuti per adulti). Google mostra un avviso "Questo sito potrebbe essere stato compromesso" nei risultati. Il sito redirect a un altro URL. Trovi utenti admin che non hai creato. I file PHP del sito sono stati modificati. Il traffico organico è crollato del 80% in una settimana. Se riconosci anche uno solo di questi segnali: il sito è stato hackerato. Le prime 2 ore sono critiche: più tempo passa, più il danno si espande. Ecco il protocollo di emergenza.
Le prime 2 ore: il protocollo
Minuto 0-15: isola e valuta
Metti il sito in manutenzione (LANGA Tools Ghost Mode o, se non riesci ad accedere all'admin, chiedi all'hosting di mettere il sito offline). Questo impedisce che i visitatori vengano esposti al contenuto malevolo e blocca l'ulteriore indicizzazione da parte di Google. Poi valuta l'entità del danno: quanti file sono stati modificati? Ci sono utenti admin sconosciuti? Il database è stato alterato? I backup sono integri?
Minuto 15-30: backup dello stato attuale (sì, del sito compromesso)
Prima di toccare qualsiasi cosa: fai un backup del sito così com'è. Sembra controintuitivo — perché salvare un sito hackerato? Perché potresti aver bisogno di analizzare il compromesso in futuro (capire come sono entrati, cosa hanno fatto, quali dati sono stati esposti). Se ripulisci senza salvare lo stato compromesso, perdi le prove. Backup su un dispositivo separato, NON sul server del sito.
Minuto 30-60: ripristina dal backup pulito
Se hai un backup recente pre-compromesso (LANGA Tools Backup giornaliero): ripristinalo. Questo è il modo più rapido e affidabile per rimuovere il malware. Il backup ripristina file e database allo stato pulito. Dopo il ripristino: verifica che il sito funzioni e che il contenuto malevolo sia sparito. Se non hai un backup pulito: la pulizia manuale è necessaria (molto più lunga e rischiosa — potresti non trovare tutto il malware).
Minuto 60-90: sicurezza post-ripristino
Il ripristino rimuove il malware ma non chiude la porta da cui sono entrati. Azioni immediate: cambia TUTTE le password (admin WordPress, database MySQL, FTP, hosting panel, email associata). Aggiorna TUTTO (WordPress core, tutti i plugin, il tema — le versioni non aggiornate sono la porta d'ingresso nel 56% dei casi). Rimuovi plugin e temi non utilizzati (ogni file non necessario è un potenziale punto di ingresso). Controlla gli utenti: rimuovi qualsiasi utente sconosciuto. Attiva 2FA su tutti gli account admin (LANGA Tools Security).
Minuto 90-120: notifica e monitoring
Search Console: se Google ha segnalato il sito come compromesso, vai su Sicurezza → "Richiedi una revisione" dopo la pulizia. Google revisiona il sito e, se pulito, rimuove l'avviso in 24-72 ore. Monitoring: attiva LANGA Tools Alert per uptime e sicurezza — se il malware ritorna (a volte c'è una backdoor nascosta nel database o in un file non ovvio), lo sai in minuti, non in settimane.
Se non hai un backup: pulizia manuale
La pulizia manuale è l'opzione quando non hai backup. Installa Wordfence (temporaneamente, per lo scanner) → scansione completa → identifica file modificati e malware. Confronta i file WordPress core con la versione ufficiale (wp-cli ha il comando core verify-checksums). Sostituisci i file core con copie fresche da wordpress.org. Per plugin e temi: cancella e reinstalla da fonte ufficiale. Per i file upload (wp-content/uploads): scansiona per file PHP (non dovrebbero esserci) e rimuovili. Il database: cerca contenuti spam inseriti (SELECT * FROM wp_posts WHERE post_content LIKE '%viagra%' o pattern simili). Questa operazione richiede 2-8 ore e non garantisce la rimozione completa del malware. Un professionista specializzato in sicurezza WordPress costa 200-500€ ma è più affidabile.
Domande frequenti
I dati dei miei clienti sono stati rubati?
Dipende dal tipo di hack. Spam injection e redirect malevoli tipicamente non accedono al database dei clienti. Ma se l'hacker ha avuto accesso admin, potenzialmente ha accesso a tutto. Per prudenza: notifica i clienti se gestisci dati personali (obbligo GDPR: notifica al Garante entro 72 ore se c'è stata violazione di dati personali). Consulta un legale specializzato in data breach se gestisci dati sensibili.
Quanto tempo serve per recuperare il posizionamento SEO?
Se il sito è stato pulito e la revisione Google è stata approvata: 2-4 settimane per la rimozione dell'avviso, 4-8 settimane per il recupero completo del posizionamento. Se il sito è stato hackerato per più di 30 giorni prima della scoperta: il recupero potrebbe essere parziale (60-80% del traffico pre-hack) perché Google ha già re-indicizzato le pagine con contenuto spam.
Per continuare a leggere,
accedi al tuo account.
Il tuo account LANGA ti connette a tutta la Galaxy.
Articoli completi su tutti i blog Galaxy.
Un solo login, accesso ovunque.
Guadagna Leghe e sblocca contenuti premium.