€45/ora fissi Nessun contratto Risposta in 48h 20 anni di esperienza Stima scritta Backup prima di ogni intervento Senza sorprese
20 giugno 2026·3 min di lettura

Sito WordPress hackerato: cosa fare

Cosa fare subito, come capire cosa hanno toccato, come evitare che ricapiti.

sicurezzahackingwordpressemergenza

Un sito WordPress hackerato è un'urgenza. Non c'è tempo per tutorial lunghi. Qui trovi cosa fare nelle prime ore, come capire se il sito è compromesso davvero, e chi chiamare. Poi, dopo, i dettagli per evitare che succeda di nuovo.

Prima cosa: non toccare niente

Sembra ovvio ma non lo è. La prima reazione è aprire file, modificare configurazioni, cancellare plugin sospetti. Fermati. Fai uno screenshot della home page, un backup dei file e del database come stanno adesso. Anche se sono infetti. Ti servirà per capire cosa hanno cambiato e, se serve, per fare un ripristino pulito. Se non sai come fare un backup, usa un plugin come UpdraftPlus o fai il download del database da phpMyAdmin. Poi chiudi l'accesso al sito con .htaccess o mettilo in modalità manutenzione finché non hai chiaro cosa fare.

Come capire se WordPress è davvero hackerato

Segnali chiari: la home page mostra contenuti in cinese o russo, appaiono link a siti di phishing, gli utenti WordPress hanno amministratori che non hai creato, il sito reindirizza a domini esterni, plugin che non riconosci sono installati. Segnali meno chiari: lentezza improvvisa, pagine che caricano contenuti strani da database, email di spam che partono dal tuo dominio, Google che ti segnala come sito compromesso. Se vedi uno di questi segnali, il sito è compromesso. Non c'è 'forse'. C'è da intervenire.

Le prime 24 ore: cosa fare

Cambia tutte le password. WordPress admin, database, FTP, email dell'account amministratore, pannello hosting. Usa password lunghe e diverse per ogni account. Controlla gli utenti WordPress: elimina quelli che non hai creato tu, soprattutto quelli con ruolo administrator. Controlla i file del tema e dei plugin: cerca codice base64_decode, eval, file_get_contents da URL esterni, file .php strani in wp-content/uploads. Se non sai cosa guardare, fermati qui e chiama qualcuno che lo fa per lavoro. Un errore in questa fase può peggiorare la situazione.

Pulire il sito: due strade

Strada uno: ripristino da backup pulito. Se hai un backup di prima dell'hack, ripristini quello, aggiorni WordPress e i plugin all'ultima versione, cambi tutte le credenziali e metti sicurezza in più. Strada due: pulizia manuale. Vai file per file, confronti con versioni originali dei plugin, rimuovi file infetti, pulisci il database da record sospetti e redirect nascosti. La prima strada è più veloce e più sicura. La seconda serve quando il backup non c'è o è vecchio. In entrambi i casi, serve verificare che il sito sia pulito prima di riaprirlo. Google lo controlla e se torna in linea infetto, ti penalizza.

Come evitare che succeda di nuovo

WordPress è il CMS più attaccato al mondo. Non perché è insicuro di suo, ma perché è il più diffuso e ci sono più bot che provano a sfruttarlo. Le cose che funzionano davvero: non usare mai la password 'admin' come utente, disabilitare l'accesso XML-RPC se non lo usi, mettere un rate limit sul wp-login.php, usare HTTPS con redirect forzato, aggiornare WordPress e plugin entro una settimana dalla release, non installare plugin da fonti sconosciute. Le cose che non servono davvero: un plugin di sicurezza 'tutto in uno' che non configurato bene, un CDN se non hai altro problema oltre al DDoS, un firewall applicativo se i plugin sono già vulnerabili. La sicurezza WordPress è manutenzione costante, non un prodotto da comprare.

Quanto costa recuperare un WordPress hackerato

Dipende da quanto è grave e da quanto tempo è passato prima di accorgersene. Un sito con pochi file infetti, ripristinato da backup recente: 2-4 ore di lavoro. Un sito con backdoor sparse in tutto il codice, database compromesso, redirect nascosti: 6-12 ore. Un sito senza backup, con hacker che hanno modificato mesi di contenuti: può servire ricostruire. In termini economici: da 90€ a 540€, se il lavoro lo fa un freelance a tariffa oraria. Da 300€ a 3000€ se lo fa un'agenzia che ti vende un 'pacchetto di emergency recovery'. La differenza reale è quanto è pulito il lavoro, non il prezzo.

Hai bisogno di aiuto?

Se l'articolo ti ha fatto capire che il tuo sito ha lo stesso problema, scrivimi. Stima scritta entro 48 ore, €45/h fissi.

Contatti

Manda il task.

Descrivi cosa ti serve: stima oraria scritta entro 48 ore lavorative. Niente call obbligatorie, niente impegni.

Risposta entro 48 ore lavorative
Sede Verona, Italia · Remote
Tariffa €45/ora · fatturazione a 30 minuti
Modalità async-first · niente call obbligatorie, risparmiamo tempo entrambi