Guida avanzata per rimuovere malware da un sito WordPress infetto
14/07/25
6 minuti

Guida avanzata per rimuovere malware da un sito WordPress infetto

Tabella dei contenuti
Come prepararsi alla rimozione del malware: backup e ambiente di sicurezza Come identificare il malware nel sito WordPress (file, plugin, temi, database) Come rimuovere il malware da WordPress (pulizia avanzata manuale + strumenti mirati) Come mettere in sicurezza WordPress dopo la rimozione del malware

Un sito WordPress infettato da malware può diventare un disastro in pochi minuti: traffico azzerato, penalizzazioni su Google, dati compromessi, clienti che vedono pagine spam o contenuti indesiderati.

E no: non basta installare un plugin qualsiasi e cliccare “Scansiona”.

Rimuovere un’infezione in modo completo e professionale richiede:

  • Analisi tecnica dei file compromessi
  • Identificazione delle backdoor PHP, dei codici offuscati e delle iniezioni di codice nel database
  • Pulizia mirata e ripristino dei file originali
  • Prevenzione per evitare nuovi attacchi

In questa guida avanzata ti spiego come procedere passo dopo passo, anche utilizzando strumenti professionali (non solo plugin), per ripulire completamente il tuo sito WordPress da qualsiasi forma di malware.

Come prepararsi alla rimozione del malware: backup e ambiente di sicurezza

Prima di iniziare a eliminare malware, è fondamentale lavorare in sicurezza. Qualsiasi intervento errato può aggravare il problema o causare la perdita definitiva del sito.

Ecco cosa fare prima di toccare i file infetti:

Effettua un backup completo del sito (file + database)

Anche se il sito è compromesso, è essenziale fare una copia di tutto, per poter tornare indietro in caso di errori.

Puoi farlo via:

  • FTP/SFTP: scarica l’intera cartella del sito (public_html o simili)
  • phpMyAdmin: esporta il database .sql
  • Strumento hosting: alcuni pannelli come cPanel, Plesk o Site Tools di SiteGround offrono backup manuali rapidi

Salva i backup in locale (non sul server), in una cartella nominata chiaramente (es. backup_sito_infetto_2025-06-03)

Crea un ambiente di lavoro locale o staging

Per evitare di compromettere ulteriormente il sito live, è consigliabile:

  • Clonare il sito su una versione in locale con strumenti come Local, DevKinsta o MAMP
  • Oppure usare un ambiente di staging fornito dal tuo hosting

Così potrai:

Fare analisi e modifiche in sicurezza
Testare la rimozione del malware
Verificare che tutto funzioni prima del deploy finale

Disattiva temporaneamente il sito (opzionale)

Se il sito mostra spam, link a contenuti per adulti o phishing, disattivalo temporaneamente per non danneggiare la reputazione SEO.

Puoi farlo:

  • Con un file maintenance.html
  • O impostando una regola .htaccess per bloccare l’accesso pubblico (escluso il tuo IP)

Come identificare il malware nel sito WordPress (file, plugin, temi, database)

L’infezione può annidarsi ovunque: file PHP modificati, plugin compromessi, codice offuscato in functions.php, o persino query SQL nascoste nel database. Per rimuoverlo, devi prima individuare con precisione cosa è stato compromesso.

Ecco le tecniche di analisi più efficaci:

Scansione con strumenti professionali (non plugin generici)

Evita i plugin automatici da repository che promettono “clean-up” con un click. Usa strumenti verificati e adatti a esperti:

  • Wordfence (versione Premium) – Esegue una scansione approfondita e rileva file infetti con alta precisione
  • MalCare (versione a pagamento) – Rileva anche backdoor e codice offuscato avanzato
  • WPScan (da terminale) – Perfetto se lavori su VPS o ambiente locale. Scansiona vulnerabilità note.

Usa questi strumenti solo come supporto: non ti liberano dal controllo manuale

Confronta i file core con una versione pulita di WordPress

Scarica una versione originale di WordPress dallo sito ufficiale, ed esegui un confronto diretto (diff) con la tua installazione.

Verifica in particolare:

  • /wp-includes/
  • /wp-admin/
  • index.php, wp-config.php, .htaccess

Se trovi file non presenti nella versione originale o righe sospette (es. eval(base64_decode(...)), gzinflate, str_rot13, ecc.), sono probabili malware o backdoor.

Analizza i file dei temi e plugin personalizzati

I malware spesso si annidano nei temi attivi o plugin non aggiornati. Controlla:

  • File functions.php con codice inserito in fondo o inizio
  • Plugin che non riconosci o non hai installato
  • Temi piratati o scaricati da fonti non ufficiali

Attenzione anche alle varianti:
i malware spesso usano nomi simili a plugin famosi: es. wp-login-fake.php, woocommerce-core-x.php.

Esamina il database

Apri phpMyAdmin e cerca nei contenuti del database:

  • Codici HTML o JavaScript sospetti nei campi wp_posts, wp_options, wp_users
  • Redirezionamenti o iframe malevoli
  • Payload offuscati in wp_options > siteurl o in active_plugins

Utilizza anche query come:

SELECT * FROM wp_posts WHERE post_content LIKE '%<script%';
SELECT * FROM wp_options WHERE option_value LIKE '%base64%';

Come rimuovere il malware da WordPress (pulizia avanzata manuale + strumenti mirati)

Una volta individuate le porzioni di codice infetto, è il momento di agire con decisione ma in sicurezza. Qui non si tratta di “disinstallare un plugin” ma di bonificare il sistema, pezzo per pezzo.

Ripristina i file core di WordPress

Questa è la mossa più sicura per rimuovere modifiche al core:

  • Elimina tutti i file e cartelle tranne:
    • /wp-content/
    • wp-config.php
    • .htaccess (opzionale)
  • Scarica una versione pulita di WordPress da wordpress.org
  • Caricala via FTP o SFTP

Non sovrascrivere, elimina e sostituisci. I malware spesso si camuffano con file simili a quelli legittimi.

Rimuovi file sospetti in /wp-content/

Questa cartella è il cuore dell’infezione. Segui questi step:

  • Elimina i plugin non utilizzati o sospetti
  • Controlla ogni tema, anche quelli non attivi
  • Analizza functions.php per righe inserite in testa o coda
  • Nella cartella /uploads/, elimina file .php (non dovrebbero mai esserci!)

Attenzione ai file con nomi random, come wp-content/uploads/2024/12/.cache.php o simili

Pulisci il database

Dopo aver identificato il codice dannoso, rimuovilo manualmente:

  • Elimina script, iframe e payload da wp_posts
  • Pulisci eventuali redirect da wp_options
  • Controlla anche wp_users per account falsi o admin non autorizzati

Se l’infezione è profonda, puoi esportare i contenuti sani e ricreare il database da zero.

Utilizza uno scanner avanzato per conferma

Dopo la pulizia manuale, esegui una seconda scansione con:

  • Wordfence (premium)
  • MalCare
  • WPScan (CLI)

Controlla che non ci siano più modifiche sospette rispetto all’installazione pulita.

Aggiorna tutto e cambia le credenziali

  • Aggiorna WordPress, tema e plugin
  • Cambia le password di:
    • Utenti admin
    • Database (e aggiorna wp-config.php)
    • FTP/SFTP
    • Hosting
  • Verifica che l’accesso a wp-admin sia ristretto con 2FA o CAPTCHA

Come mettere in sicurezza WordPress dopo la rimozione del malware

Ripulire un sito infetto non basta: se non correggi le vulnerabilità che hanno permesso l’attacco, rischi di essere infettato di nuovo in pochi giorni (o ore).

Ecco come blindare il tuo sito WordPress post-malware.

Aggiorna tutto (e mantieni aggiornato)

  • WordPress core
  • Tutti i plugin installati (anche quelli non attivi)
  • Il tema attivo e quelli inutilizzati

Se stai usando un tema o plugin non più aggiornato dal 2019, sostituiscilo subito. È un rischio grave.

Cambia tutte le password e le chiavi di sicurezza

  • Utenti admin
  • Password del database
  • Accesso FTP/SFTP
  • Accesso hosting
  • API keys o connessioni esterne
  • Cambia anche le chiavi di sicurezza in wp-config.php da WordPress.org secret-key generator

Configura un firewall (WAF)

Proteggi il sito da accessi malevoli con un Web Application Firewall serio:

  • Cloudflare (con regole personalizzate)
  • Wordfence Premium
  • Sucuri Firewall (a pagamento)

Questi sistemi bloccano automaticamente exploit noti, tentativi di SQL injection, XSS, brute force e molto altro.

Blocca le porte di ingresso comuni

  • Disabilita l’editor dei file da backend:
define('DISALLOW_FILE_EDIT', true);
  • Limita gli utenti admin al minimo indispensabile
  • Proteggi wp-login.php con limitazioni IP, CAPTCHA o 2FA
  • Usa un plugin di hardening, ma scegli solo soluzioni professionali (es. iThemes Security, se ben configurato)

Monitora il sito nel tempo

Installa strumenti di monitoraggio file e attività utente:

  • Wordfence (o simili) per notifiche in tempo reale
  • Audit log per modifiche non autorizzate
  • Cronjob con scansione periodica dei file

Controlla la reputazione SEO e rimuovi segnalazioni

  • Verifica la Search Console di Google: se il sito è stato penalizzato, invia una richiesta di revisione dopo la bonifica

Conclusione

Eliminare malware da un sito WordPress non è un’operazione da prendere alla leggera.
Serve metodo, competenza e attenzione ai dettagli.

Le infezioni possono annidarsi in ogni angolo del sito: nei file core, nei plugin, nei temi, nel database.
Una pulizia efficace richiede analisi manuale, strumenti professionali e misure preventive solide per evitare che il problema si ripresenti.

Se il tuo sito è stato compromesso e hai bisogno di:

  • un intervento tecnico per rimuovere il malware
  • un’analisi avanzata dei file compromessi
  • un supporto concreto per mettere in sicurezza WordPress

Assistenza professionale per siti WordPress infetti

Mi occupo di ripristino, pulizia e messa in sicurezza di siti WordPress compromessi da malware.
Interventi rapidi, mirati e senza scorciatoie.

Scopri il mio servizio di rimozione malware WordPress
👉 Sviluppo WordPress & Sicurezza a Genova – Giuliano Grippo

Hai bisogno di un sito web moderno e funzionale?
Richiedilo Ora!