Home >> SEO >> Il tuo sito è stato hackerato? La guida completa

Il tuo sito è stato hackerato? La guida completa

di Redazione 4Writing
scritto da Redazione 4Writing
come capire se un sito e stato hackerato
Shares

Come riconoscere i segnali di un attacco (prima che sia troppo tardi)

Un giorno apri il tuo sito e qualcosa non torna. È lento. Compare una pagina in cinese dove dovrebbe esserci la homepage. Google ti mostra un bel cartello rosso con la scritta “Questo sito potrebbe essere stato compromesso”. Oppure, semplicemente, un cliente ti scrive: “Guarda che il tuo sito mi reindirizza a un portale di scommesse, tutto ok?”.

Non va tutto ok. E probabilmente non sei neanche un caso isolato: secondo i dati riportati da Forbes, circa 30.000 siti web vengono compromessi ogni giorno nel mondo. Non è una questione di quanto sei grande o famoso: gli attacchi automatizzati scansionano la rete a tappeto, cercando la prima porta lasciata aperta.

La domanda non è “capiterà a me?”, ma “me ne accorgerò in tempo?”.

Questa guida serve esattamente a questo: darti una checklist pratica, dai segnali più evidenti a quelli più subdoli, per capire se il tuo sito è stato bucato e cosa fare nelle prime ore, quando ogni minuto conta davvero.

Partiamo dalle basi: cosa significa “sito hackerato”

Prima di metterci a caccia di sintomi, chiariamo un punto che genera confusione. “Hackerato” non vuol dire solo “qualcuno ha messo una schermata con un teschio sulla tua homepage”. Quella è solo la versione più rumorosa e, paradossalmente, la meno pericolosa. Nella maggior parte dei casi, chi entra nel tuo sito non ha nessun interesse a farti sapere che è lì dentro.

Secondo le principali aziende di sicurezza web, un sito compromesso viene tipicamente usato per:

  • reindirizzare il traffico verso pagine di spam, scommesse o farmaci illegali
  • rubare credenziali e dati di pagamento dei tuoi utenti
  • inviare email di phishing a nome del tuo dominio
  • ospitare malware che infetta chi visita il sito
  • sfruttare la reputazione del tuo dominio per migliorare il posizionamento SEO di altri siti (SEO spam)

Il paradosso è questo: più l’attaccante è bravo, meno te ne accorgi. Per settimane o mesi. Ed è qui che inizia il danno vero.

I segnali “a occhio”: quelli che vedi senza essere un tecnico

Questa è la prima linea di difesa. Sono i sintomi che chiunque può notare, anche senza aprire un pannello di amministrazione. Se ne trovi anche solo uno, è il momento di preoccuparsi sul serio.

Il sito è diventato improvvisamente lento (o non si apre proprio)

Un sito che fino a ieri caricava in due secondi e oggi ci mette venti, o peggio restituisce errori 500 a intermittenza, è spesso un sito sotto stress. Le cause possono essere innocenti (un picco di traffico, un aggiornamento andato male), ma tra le più frequenti c’è un attacco in corso: malware che consuma risorse del server, script che minano criptovalute in background, o un attacco DDoS che sta saturando la banda. Prima di concludere che sia “solo lentezza” vale la pena escludere l’ipotesi peggiore.

Reindirizzamenti strani verso altri siti

Questo è il classicone e un consulente seo lo becca al volo. Clicchi sul tuo sito dai risultati Google e ti ritrovi su una pagina di casinò online, farmaci generici o contenuti per adulti. Oppure il sito si apre regolarmente per te (perché sei già loggato) ma reindirizza gli utenti che arrivano da fuori. È una delle tecniche più usate perché monetizza subito: gli hacker prendono in prestito l’autorevolezza del tuo dominio per spingere altro traffico.

Comparsa di contenuti che non hai mai scritto

Apri una sezione del sito e trovi articoli in cinese, russo o arabo. Oppure pagine nuove con URL tipo /cheap-viagra-online o /best-casino-2026. Oppure nella homepage compaiono banner pubblicitari che non hai mai comprato. Tutte queste sono varianti dello stesso fenomeno: l’attaccante sta usando il tuo sito come bacheca. Per verificarlo in modo rapido, digita su Google site:tuodominio.it e scorri i risultati: se vedi URL o descrizioni che non riconosci, è un segnale serio.

Google ti segnala come sito pericoloso

Questo è il momento in cui il problema smette di essere privato. Quando Google rileva attività sospette su un sito, inizia a mostrare avvisi del tipo “Questo sito potrebbe essere stato compromesso” o, nei casi più gravi, la temuta schermata rossa a tutto schermo di Chrome “Il sito contiene malware”. Il risultato è un crollo del traffico praticamente immediato: un sito finito in blocklist perde fino al 95% delle visite.

Popup, pubblicità e download che non hai mai autorizzato

Se i visitatori ti segnalano popup aggressivi, finestre che si aprono da sole, o peggio download di file che partono senza consenso, il tuo sito sta attivamente infettando chi lo visita. A quel punto il danno non è più solo tuo: sei diventato il veicolo dell’attacco verso i tuoi utenti, con tutte le conseguenze legali del caso (ne parliamo più avanti).

Le password non funzionano più

Provi ad accedere al pannello admin con le credenziali che usi da anni e il sistema le rifiuta. Prima di dare la colpa al CAPS LOCK, considera l’ipotesi più sgradevole: qualcuno è entrato prima di te e le ha cambiate. È una tecnica classica per mantenere il controllo del sito anche dopo essere stato scoperto.

I segnali tecnici: quelli che vedi solo se vai a cercarli

Qui entriamo nella seconda linea. Sono sintomi che richiedono di aprire qualche pannello, ma non serve essere sistemisti. Bastano curiosità e cinque minuti.

Utenti amministratori che non hai mai creato

Entra nel pannello del tuo CMS (WordPress, Joomla, Drupal, Shopify, quello che sia) e controlla la lista degli utenti con privilegi di amministratore. Se trovi nomi che non riconosci, indirizzi email strani o account creati a orari improbabili, hai trovato una backdoor umana. È una delle prime cose che un attaccante fa una volta dentro: crearsi un profilo amministratore stabile per tornare quando vuole (Mistersito, 2026).

File modificati o creati senza che tu lo sapessi

Collegati via FTP o dal file manager dell’hosting e dai un’occhiata alle date di modifica dei file principali. Se vedi file del tema o del core modificati ieri notte quando tu non hai toccato niente da due settimane, qualcosa non torna. Attenzione soprattutto a:

  • file con nomi casuali tipo wp-conf2.php, xmlrpc-backup.php, temp_123.php
  • file in directory dove normalmente non dovrebbero esserci (ad esempio PHP dentro /wp-content/uploads/)
  • file .htaccess con regole di reindirizzamento che non hai scritto tu

Il 91% delle vulnerabilità WordPress risiede nei plugin, e le backdoor vengono quasi sempre piazzate lì dentro.

I log del server raccontano storie strane

I log dell’hosting (accessibili di solito da cPanel o Plesk, sezione “Metriche” o “Statistiche”) sono una miniera d’oro. Cerca:

  • accessi amministrativi da IP geograficamente impossibili (tu sei a Milano ma qualcuno ha fatto login da Hanoi alle 3 di notte)
  • centinaia di tentativi di login falliti in sequenza (segno di un attacco brute force, riuscito o meno)
  • richieste POST anomale verso file PHP sconosciuti

Come segnala WPBeginner (2025), i log mostrano anche errori che non appaiono nella dashboard del CMS e che possono rivelare un attacco in corso.

La Search Console di Google urla aiuto

Se hai collegato il sito a Google Search Console, controlla la sezione “Sicurezza e azioni manuali”. Se Google ha rilevato malware, hacked content o contenuti ingannevoli, qui lo trovi scritto nero su bianco, con tanto di URL specifici coinvolti. È spesso il primo campanello d’allarme ufficiale, e ignorarlo è un lusso che non puoi permetterti.

Cali di traffico organico improvvisi e inspiegabili

Apri Google Analytics o Search Console e vedi che il traffico organico è crollato del 40% da un giorno all’altro, senza aggiornamenti algoritmici recenti, senza modifiche al sito, senza motivi apparenti. Prima di incolpare Google, verifica la sicurezza: un calo così netto è spesso il sintomo di una penalizzazione automatica per SEO spam o per contenuti dannosi.

Gli strumenti che ti danno una risposta in 30 secondi

Se i sintomi sopra ti hanno messo la pulce nell’orecchio, ecco gli strumenti che ti permettono di avere una seconda opinione, subito e senza spendere un euro.

Allerto.io

Allerto è una piattaforma di monitoraggio continuo della sicurezza dei siti web, progettata per rilevare in modo automatico anomalie, vulnerabilità e segnali di compromissione. Funziona come un sistema di sorveglianza attivo 24/7 che analizza le pagine pubbliche di un sito (senza richiedere accesso al server) individuando problemi come contenuti malevoli, link sospetti, attacchi hacker, certificati SSL in scadenza o errori tecnici. In caso di criticità, invia alert immediati con indicazioni operative su cosa è successo e come intervenire, permettendo così una gestione tempestiva dei rischi e una maggiore protezione della presenza online

Sucuri SiteCheck

Vai su sitecheck.sucuri.net, incolli il tuo dominio, premi invio. In una ventina di secondi ti dice se il sito contiene malware noto, se è in blocklist di qualche autorità di sicurezza (Google Safe Browsing, Norton, McAfee, PhishTank), se ha software obsoleto e se ci sono iframe o script sospetti. È la prima cosa da fare (Sucuri, 2025). Limite da conoscere: analizza solo quello che è visibile dall’esterno, non può scandagliare il server.

Google Safe Browsing Transparency Report

L’indirizzo è transparencyreport.google.com/safe-browsing/search. Ti dice esattamente come Google vede il tuo sito in questo momento: se è considerato sicuro, se distribuisce malware, se è stato segnalato per phishing. È il giudice di pace, perché è lo stesso database che Chrome usa per decidere se mostrare l’avviso rosso ai tuoi visitatori.

VirusTotal

Su virustotal.com puoi incollare l’URL e ottenere il verdetto incrociato di decine di motori antivirus contemporaneamente. Utile soprattutto quando SiteCheck dice “tutto pulito” ma tu continui ad avere sospetti: se anche uno su settanta scanner segnala qualcosa, vale la pena indagare.

I segnali invisibili: quando il nemico è silenzioso

Qui c’è la parte più sgradevole della storia. Alcune compromissioni non mostrano assolutamente nulla. Per settimane. Mesi. L’attaccante installa una backdoor, raccoglie dati, usa il tuo server come relay per inviare spam, e intanto il sito continua a funzionare perfettamente.

Lo scopri solo quando succede una di queste cose: ricevi una notifica dal Garante della Privacy, un cliente ti segnala email sospette inviate dal tuo dominio, il tuo hosting ti sospende l’account per abuso, o la tua reputazione IP finisce in blacklist anti-spam.

Come ti difendi da un nemico che non fa rumore? Con il monitoraggio proattivo:

  • backup automatici regolari e confrontabili: se il peso totale dei file del sito aumenta del 30% senza motivo, qualcosa è stato aggiunto
  • plugin o servizi di file integrity monitoring (Wordfence per WordPress, oppure soluzioni server-side come il Sucuri Platform o Patchstack)
  • alert automatici su accessi admin e creazione di nuovi utenti
  • scansioni programmate almeno settimanali

Cosa fare nei primi 60 minuti dopo aver confermato il sospetto

Hai incrociato due o più segnali. Sucuri SiteCheck ti conferma l’infezione. Il sito è compromesso. Ora?

La tentazione di aprire FTP e “ripulire a mano” è forte ma sbagliata. La sequenza corretta è questa:

  • Non cancellare nulla, subito. Prima di tutto fai un backup dello stato attuale (sì, anche se è infetto). Ti servirà per capire come è entrato l’attaccante e per eventuali obblighi legali.
  • Metti il sito offline o in manutenzione. Sembra controintuitivo perché perdi visibilità, ma un sito compromesso online distribuisce malware ai tuoi visitatori e ti espone a responsabilità legali. Meglio un giorno di manutenzione che una class action.
  • Cambia tutte le password, da un dispositivo pulito. Admin del CMS, database, FTP, hosting, email collegate. Tutte diverse, tutte complesse. E da un computer di cui ti fidi al 100%.
  • Documenta tutto con timestamp. Ora della scoperta, primo segnale notato, screenshot di pagine anomale, notifiche ricevute. Ti servirà per l’analisi forense e, se raccogli dati personali, per la notifica al Garante.
  • Contatta l’hosting. Spesso sono loro a vedere per primi il problema sugli altri siti dello stesso server, e hanno log e strumenti che tu non hai.
  • Se gestisci dati personali, valuta la notifica al Garante entro 72 ore. Lo prescrive il GDPR (Regolamento UE 2016/679, art. 33). Non è opzionale.
  • Fai pulire il sito da professionisti. Sì, si può fare da soli. No, non è una buona idea se non hai competenze di programmazione PHP/JavaScript e esperienza con malware. Le backdoor sono progettate per sopravvivere a una pulizia superficiale, e una rimozione incompleta significa essere reinfettati in pochi giorni.

Perché proprio tu? Lo spoiler: non è personale

Chiudo con una riflessione che serve a ridimensionare un po’ di sensi di colpa. La stragrande maggioranza degli attacchi a siti web non è mirata. Non c’è un hacker con la felpa nera che ha deciso che il tuo sito dell’idraulica è l’obiettivo della sua vita.

Ci sono bot automatici che scansionano miliardi di indirizzi in cerca di vulnerabilità note: plugin WordPress non aggiornati, versioni vecchie di PHP, password deboli, file di configurazione esposti. Quando trovano una porta aperta, entrano. Il tuo sito è stato scelto statisticamente, non editorialmente.

La buona notizia è che questa stessa logica vale al contrario: basta chiudere le porte più ovvie per uscire dal radar del 95% degli attacchi. Aggiornamenti costanti, password lunghe e uniche, autenticazione a due fattori, backup automatici, un plugin di sicurezza serio, un hosting che non sia il più economico che hai trovato su un comparatore. Non serve essere Fort Knox: basta non essere il più facile del quartiere.

E soprattutto: sapere cosa guardare. Perché un sito compromesso scoperto in giornata è un problema di qualche ora. Uno scoperto dopo tre mesi è un problema che ti cambia l’anno.

Shares
0
FacebookTwitter

Post Correlati

Come scegliere un consulente SEO a Bari: cosa...

Migliori agenzie SEO e GEO in Italia nel...

Piano editoriale GEO: esempi per migliorare la presenza...

Lascia un commento

Salva i miei dati nel browser per la prossima volta che commenterò.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Shares