Il sito e stato hackerato: cosa fare subito — articolo

> Il sito e stato hackerato: cosa fare subito

Quick note con i passi immediati da seguire quando il sito mostra contenuti sospetti, redirect strani o e stato compromesso.

Luigi Iadicola
~5 min lettura
#Sicurezza #Diagnosi #Emergenza
Il sito e stato hackerato: cosa fare subito

Niente panico, ma agisci adesso

Redirect verso siti sconosciuti, pagine in lingue che non c entrano nulla, avvisi di Google che segnalano malware, clienti che ricevono email strane dal tuo dominio, un banner rosso nel browser che dice "Questo sito potrebbe essere pericoloso". Se stai vedendo uno di questi sintomi, il sito e probabilmente compromesso. Ogni minuto che il sito resta online in questo stato fa danni: ai tuoi visitatori, alla tua reputazione e al tuo posizionamento su Google.

Non importa come e successo — quello lo analizzerai dopo. Adesso serve contenere il danno e ripristinare. Ecco cosa fare, nell ordine giusto, passo dopo passo.

Passo 1: metti il sito offline immediatamente

Sostituisci il sito con una pagina di manutenzione statica — un singolo file HTML che dice "Sito in manutenzione, torneremo presto". Questo ferma il danno in tre modi: impedisce che i visitatori vengano infettati o reindirizzati, ferma il peggioramento della reputazione su Google e blocca l attaccante dall usare il sito per distribuire malware o spam.

Se hai accesso al pannello hosting, puoi attivare una "maintenance page" con un click. Se hai accesso SSH, rinomina la cartella del sito e metti al suo posto una cartella con il solo file index.html di manutenzione. Meglio un sito offline per qualche ora che un sito che distribuisce malware ai tuoi clienti.

Passo 2: cambia tutte le password — tutte

Non solo quella dell admin del sito. Tutte le credenziali associate al progetto:

  • Pannello di controllo dell hosting (cPanel, Plesk, pannello del provider)
  • Accesso FTP e SFTP
  • Database MySQL/MariaDB (utente dell applicazione e utente root)
  • Pannello admin del CMS (WordPress, gestionale, qualsiasi backend)
  • Email associate al dominio
  • Accesso SSH (meglio: disabilita l accesso con password e usa solo chiavi SSH)
  • Account di servizi terzi collegati (SMTP, CDN, analytics)

Usa password lunghe (almeno 20 caratteri) e uniche, generate da un password manager come Bitwarden o 1Password. Se l attaccante ha ancora le vecchie credenziali, ogni altra operazione e inutile.

Passo 3: identifica il punto di ingresso

Capire come sono entrati e fondamentale per impedire che succeda di nuovo. Le verifiche da fare:

  • File modificati di recente: find /var/www/sito -type f -mtime -7 -name "*.php" mostra tutti i file PHP modificati negli ultimi 7 giorni. File sospetti nelle cartelle di upload (wp-content/uploads/, public/uploads/) sono un segnale classico
  • File con nomi sospetti: cerca file come shell.php, c99.php, wp-config-backup.php o file con nomi casuali nelle cartelle di upload. Usa find . -name "*.php" -path "*/uploads/*" per trovarli
  • Utenti admin nel database: controlla la tabella degli utenti del CMS. Utenti admin che non riconosci sono stati creati dall attaccante
  • Log del server: i file di access log e error log contengono tracce dell attacco. Cerca richieste POST verso file sospetti, accessi a URL anomali, e pattern di richieste automatizzate
  • Cron job: verifica che non siano stati aggiunti cron job malevoli che scaricano e rieseguono il malware periodicamente. Controlla con crontab -l e nelle cartelle /etc/cron.*

Passo 4: ripristina da un backup pulito

Se hai un backup recente verificato antecedente alla compromissione, ripristinalo. E il modo piu sicuro per eliminare qualsiasi codice malevolo, inclusi eventuali backdoor nascoste che una pulizia manuale potrebbe non individuare.

Se non hai backup (o non sai quando e avvenuta la compromissione), dovrai pulire manualmente: analizzare ogni file PHP sospetto, confrontare i file del CMS con la versione originale, controllare il database per contenuti iniettati. E un lavoro lungo, meticoloso e rischioso — se non hai esperienza specifica, e il momento di chiamare un professionista.

Passo 5: aggiorna tutto e chiudi le falle

La vulnerabilita che ha permesso l accesso e quasi certamente in un componente non aggiornato. Dopo il ripristino:

  • Aggiorna PHP all ultima versione stabile supportata
  • Aggiorna il CMS e tutti i plugin/temi all ultima versione
  • Rimuovi plugin e temi inutilizzati: ogni componente presente e una potenziale superficie di attacco
  • Verifica i permessi dei file: cartelle a 755, file a 644, file di configurazione a 600. Mai 777 su nulla
  • Implementa un WAF (Web Application Firewall): servizi come Cloudflare (gratuito nel piano base) filtrano il traffico malevolo prima che raggiunga il server

Passo 6: chiedi la revisione a Google

Se il sito e stato segnalato come pericoloso nei risultati di ricerca o nel browser, usa Google Search Console per richiedere una revisione dopo la pulizia. Google verifichera che il malware sia stato rimosso e rimuovera l avviso. Il processo richiede di solito 24-72 ore. Nel frattempo il sito funziona ma con il banner di avviso che scoraggia i visitatori — motivo in piu per agire rapidamente.

Dopo la crisi: investire nella prevenzione

Una volta risolto il problema immediato, investi nella prevenzione per non trovarti nella stessa situazione:

  • Backup automatici giornalieri conservati su storage esterno al server
  • Aggiornamenti automatici almeno per le patch di sicurezza
  • Monitoring attivo: servizi come UptimeRobot (gratuito) che ti avvisano se il sito va offline, e file integrity monitoring che segnala modifiche sospette ai file
  • 2FA su tutti gli account admin per rendere inutili le password rubate
  • Audit di sicurezza periodico: una volta ogni 6 mesi, verificare aggiornamenti, permessi, configurazioni e log

Costa molto meno prevenire che ripulire. Un setup di sicurezza base richiede poche ore di configurazione e un costo mensile trascurabile. Ripulire un sito compromesso richiede giorni di lavoro e il danno reputazionale puo durare mesi.

altri articoli