Quando un sito WordPress viene infettato da malware, le conseguenze possono essere devastanti. Ecco tutto quello che devi sapere per identificare il problema e risolverlo rapidamente.
Il termine "malware" indica qualsiasi codice inserito nel tuo sito senza la tua autorizzazione e con l'intento di causare danni: rubare dati, reindirizzare il traffico, inviare spam o sfruttare le risorse del tuo server.
A differenza di un virus sul computer, il malware su WordPress si nasconde nei file PHP, nel database o nelle cartelle dei plugin e dei temi. Spesso è completamente invisibile: il sito sembra funzionare normalmente, ma nel frattempo sta inviando dati sensibili all'attaccante, mostrando contenuti diversi ai motori di ricerca o distribuendo link spam a tua insaputa.
La particolarità del malware WordPress è che può rimanere dormiente per settimane prima di attivarsi, rendendo difficile capire quando e come è avvenuta l'infezione.
Non sempre un'infezione è evidente. Ecco i segnali a cui prestare attenzione, anche quelli meno ovvi.
Se i tuoi visitatori vedono la schermata rossa "Sito ingannevole in vista" o "Questo sito potrebbe danneggiare il tuo computer", Google ha già rilevato il malware. Il tuo sito è stato inserito nella blacklist e stai perdendo tutto il traffico organico.
Script malevoli che girano in background consumano CPU e memoria del server. Se il tuo sito è passato da tempi di caricamento normali a diversi secondi senza modifiche da parte tua, potrebbe essere un segnale.
File con nomi casuali (tipo wp-tmp.php, class-db.php) nelle cartelle del sito, oppure codice offuscato (stringhe lunghe di caratteri illeggibili) all'interno di file esistenti come functions.php.
Molti provider monitorano il traffico e ti avvisano in caso di comportamenti anomali: invio massivo di email, consumo eccessivo di risorse o presenza di file pericolosi. Alcuni sospendono direttamente l'account.
Il malware reindirizza i visitatori verso siti di phishing, casinò online o pagine di download pericolose, spesso solo da mobile o solo la prima volta che un utente visita il sito.
Centinaia di pagine spam vengono create automaticamente sul tuo sito — spesso in giapponese o in caratteri cirillici — con link verso siti illeciti. Invisibili a te, ma ben visibili a Google.
Il malware installa punti di accesso nascosti che permettono all'attaccante di rientrare nel sito anche dopo una pulizia superficiale. Spesso sono file PHP camuffati o codice iniettato in plugin legittimi.
Nei siti e-commerce WordPress (WooCommerce), il malware intercetta i dati delle carte di credito durante il checkout e li invia all'attaccante. Estremamente pericoloso per le responsabilità legali.
Script nascosti che sfruttano il tuo server per inviare migliaia di email di phishing o spam. Il risultato: il tuo IP finisce in blacklist e le tue email legittime non vengono più consegnate.
Il malware sfrutta le risorse del tuo server per "minare" criptovalute. Il sito diventa estremamente lento, i costi dell'hosting aumentano e il provider potrebbe sospendere il tuo account.
Un antivirus non basta. Servono competenze specifiche per individuare ogni traccia di codice malevolo, anche quello più nascosto e sofisticato.
wp_options, wp_posts e wp_users. È qui che si nascondono redirect malevoli, utenti fantasma e codice JavaScript iniettato.