Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPB Cup
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Come trovare e rimuovere l’iniezione di link spam in WordPress

Immaginate questo: Una mattina state selezionando le analisi del vostro sito WordPress e vi sembra che ci sia qualcosa di off. Il traffico è diminuito e scoprite che il vostro sito è pieno di link di spam che vendono di tutto, da borse di marca false a prodotti farmaceutici discutibili. 😱

Lo abbiamo visto di persona sui siti web dei nostri clienti. Infatti, abbiamo aiutato un cliente il cui sito web si è trasformato in una notte in un caos pieno di spam.

Era in gioco l’intera reputazione della loro azienda, ma siamo riusciti a ripulirla, a metterla in sicurezza e a farla tornare normale e vi mostreremo esattamente come fare lo stesso.

La nostra copertura va dall’individuazione e risoluzione del problema alla protezione del sito per il futuro. Sia che stiate affrontando il problema da soli o che abbiate bisogno del tocco di un esperto, siamo qui per aiutarvi.

In questa guida completa, vi illustreremo tutto quello che c’è da sapere sulle iniezioni di link spam in WordPress.

Finding and removing spam links in WordPress

Gli hacker possono iniettare link di spam nel vostro sito WordPress quando ottengono un accesso non autorizzato ai vostri contenuti.

Pensate a questo fenomeno come a un graffito digitale, solo che, invece di essere brutto, può danneggiare seriamente la reputazione e le prestazioni del vostro sito.

Quando il vostro sito viene infettato, non si tratta solo di fastidiosi link di spam. Le classifiche dei motori di ricerca possono scendere, facendovi perdere traffico prezioso e potenziali clienti.

Abbiamo visto alcune aziende perdere migliaia di entrate perché Google ha temporaneamente messo in blacklist i loro siti compromessi.

La cosa peggiore? Molti di questi link sono invisibili ai normali visitatori, ma perfettamente visibili ai motori di ricerca. Potrebbero essere nascosti nel testo bianco, nascosti nel footer o mascherati da un codice intelligente. 🕵️

Capire come funzionano questi attacchi è il primo passo per proteggere il vostro sito. In questa guida vi mostreremo due modi per ripulire il vostro sito web. Potete utilizzare i link sottostanti per verificarli:

Iniziamo!

Metodo 1: Assumere un esperto di sicurezza WordPress (consigliato👍)

Prima di passare all’approccio fai-da-te, parliamo di chi siamo e del motivo per cui dovreste prendere in considerazione l’assunzione di un esperto di sicurezza WordPress.

Abbiamo lavorato in corso con clienti che hanno passato settimane a cercare di pulire il proprio sito da soli, per poi veder tornare i link di spam perché non avevano notato un codice maligno profondamente nascosto.

Perché l’aiuto professionale è importante

Eliminare i link di spam non è semplice come eliminare alcune righe di codice. Gli hacker sono intelligenti e spesso lasciano diverse backdoor che possono causare una nuova infezione.

Pensate al trattamento di una malattia: a volte è necessaria l’esperienza di un medico piuttosto che un semplice farmaco da banco.

⚠️ Attenzione: Il tentativo di pulire un sito violato senza le dovute conoscenze può causare la perdita di dati o peggiorare il problema.

Con il servizio di riparazione dei siti hackerati di WPBeginner, adottiamo un approccio completo al recupero del sito. Quando lavorate con noi, non ci limitiamo a rimuovere lo spam visibile, ma effettuiamo una pulizia profonda dell’intero sito.

Il nostro team cerca le backdoor nascoste, rafforza la sicurezza di WordPress e imposta il monitoraggio della sicurezza per prevenire attacchi futuri. Otterrete:

  • Pulizia del sito e rimozione del malware
  • Assistenza esperta in materia di sicurezza di WordPress
  • Backup del sito pulito

La parte migliore è che avrete anche una garanzia di 30 giorni e un rimborso completo se non saremo in grado di correggere il vostro sito web.

Se state seguendo la strada del fai-da-te, il vostro primo compito è quello di trovare tutti i link spam. Procediamo passo dopo passo.

Vi illustreremo il processo che utilizziamo per scoprire i contenuti dannosi nascosti. Esistono diversi modi per farlo, ma è consigliabile provare tutti questi approcci per non perdere nulla.

Opzione 1: Trovare i link di spam utilizzando Google Search Console

Google Search Console è la prima linea di difesa per individuare i link di spam. Si tratta di uno strumento gratuito di Google che consente ai proprietari dei siti di vedere come si comporta il loro sito web nei risultati della ricerca.

Fornisce tonnellate di informazioni e ha eccellenti strumenti diagnostici che aiutano a rilevare lo stato di salute del sito su Google Search. Se non l’avete ancora impostata, consultate il nostro tutorial completo su Google Search Console.

Una volta impostata, ecco cosa dovete fare esattamente.

Innanzitutto, accedi a Google Search Console e seleziona il tuo sito. Successivamente, navigare nella scheda “Sicurezza e azioni manuali” nella barra laterale sinistra.

Google Search Console security and manual actions

Qui bisogna cercare eventuali attenzioni su “link innaturali” o “contenuti spam”.

Tenete presente che se vedete “Nessun problema rilevato”, non significa necessariamente che il vostro sito web sia pulito. Potreste avere ancora dei link di spam che Google non ha ancora segnalato.

Successivamente, è necessario selezionare il report “Link” per identificare eventuali pattern sospetti.

Google Search Console Links reports

Dovrete cercare eventuali domini o testi di link sospetti che appaiono in questi report. Per sospetto intendiamo tutto ciò che proviene da un dominio che non riconoscete e che non potete verificare come credibile.

Opzione 2. Individuare i link spam con il controllo manuale del sito

Gli hacker sono creativi nel nascondere le loro tracce. Di recente abbiamo trovato dei link di spam nascosti nel sito di un cliente, utilizzando un testo invisibile che compariva solo quando si selezionava l’intera pagina.

I nascondigli più comuni sono i footer, i contenuti legittimi (soprattutto gli articoli meno recenti), le aree dei widget e i template.

A volte è possibile trovare link spam selezionando manualmente il codice sorgente del sito web.

💡 Suggerimento per i professionisti: Utilizzate la caratteristica “Visualizza sorgente” del browser per visualizzare il codice sorgente alla ricerca di link spam nascosti.

View page source

Prestate particolare attenzione a qualsiasi codice che sembri codificato o confuso: spesso è una segnalazione. 🚩

Un altro modo per individuare questi link è osservare i risultati della ricerca di Google per le pagine indicizzate del vostro sito web.

Se il vostro sito è stato effettivamente infettato dallo spam, quando guardate i risultati potreste vedere link con meta descrizioni strane, pagine con parole chiave farmaceutiche o caratteri in lingua straniera.

Locate links in Google SERPs

Il problema di trovare questi link spam sul vostro sito web è che la loro rimozione o eliminazione non sempre funziona. Inoltre, questo processo può richiedere molto tempo.

Individuare il codice dannoso che causa questi link di spam è più veloce ed efficace. Nella prossima sezione spiegheremo come fare.

Opzione 3. Individuare codice e link dannosi utilizzando gli scanner di sicurezza

Plugin di sicurezza come Sucuri o Wordfence possono effettuare una scansione attiva del sito e rilevare automaticamente i problemi.

Questi strumenti analizzano il sito alla ricerca di file core modificati, pattern di codice sospetti, firme di malware note e modifiche non autorizzate ai file.

Considerateli come le guardie di sicurezza del vostro sito, in costante pattugliamento alla ricerca di attività sospette. L’esecuzione di una scansione può aiutarvi a trovare backdoor nascoste che gli hacker potrebbero aver lasciato sul vostro sito.

A seconda del plugin di sicurezza di WordPress utilizzato, è sufficiente avviare una nuova scansione per cercare il codice dannoso.

Ad esempio, se si utilizza Wordfence, è necessario andare su Wordfence ” Scansione e fare clic sul pulsante “Avvia nuova scansione”.

Start new scan

Questi plugin sono davvero bravi a rilevare le modifiche ai file e a cercare codice sospetto e dannoso.

Al momento del rilevamento, vi mostreranno anche le azioni suggerite per correggere i problemi.

Per maggiori dettagli su questo processo, consultate la nostra guida per principianti su come scansionare il vostro sito WordPress alla ricerca di codice potenzialmente dannoso.

Una volta individuati i link di spam o il codice dannoso che li inietta, il passo successivo è rimuoverli.

Se si utilizza un plugin per la sicurezza di WordPress, questo può suggerire automaticamente le azioni da intraprendere per rimuovere questi link.

Security actions suggested by WordPress security plugin

Tuttavia, a volte la rimozione o l’eliminazione di questi file non funziona e il sito potrebbe continuare a mostrare link di spam.

Per una pulizia completa, è necessario utilizzare più strumenti e tecniche a seconda di come e dove sono stati inseriti il codice e i link dannosi.

Nei follower vedremo questi strumenti e come utilizzarli.

Passo 3. Pulizia del database mediante ricerca e sostituzione

Ora che sapete che il vostro sito web contiene link spam, il passo successivo è ripulirlo.

Non è detto che abbiate trovato ogni singolo caso di questi fastidiosi link di spam. Ma se sapete come sono fatti, è più facile rimuoverli di massa.

In questo caso, Search & Replace Everything si rivela utile.

Si tratta di un potente plugin per la ricerca di database di WordPress, in grado di effettuare ricerche nell’intero database di WordPress per trovare il testo corrispondente.

È sufficiente installare e attivare Cerca e sostituisci tutto e poi andare alla pagina Strumenti ” WP Search & Replace.

Finding suspicious links or text in your WordPress database

È necessario inserire il link o il testo sospetto trovato in precedenza nel campo “Cerca”.

Successivamente, selezionare le tabelle del database da esaminare.

A questo punto, basta fare clic sul pulsante “Anteprima di ricerca e sostituzione” per eseguire la ricerca.

Il plugin cercherà il termine inserito nel database di WordPress e mostrerà un’anteprima dei risultati.

Preview search results

Il plugin mostra quindi dove appaiono questi link. Possono trovarsi all’interno di pagine o post, commenti o altre aree del sito web.

È anche possibile ripulire i link sospetti utilizzando Cerca e sostituisci tutto. Individuate il testo esatto utilizzato per inserire il pannello di inserimento e sostituitelo con una stringa vuota.

Search and replace spam links

ℹ️ Per maggiori dettagli, potete consultare il nostro tutorial su come eseguire ricerche e sostituzioni in WordPress.

Se non riuscite a individuare i link di spam nel database di WordPress, è molto probabile che i link siano stati aggiunti ai file del tema o del plugin di WordPress.

Oggi, la maggior parte dei temi e dei plugin moderni di WordPress contiene diversi file e sarebbe difficile controllare manualmente ognuno di essi.

Se si utilizzano solo alcuni plugin, la soluzione più semplice è eliminarli. È possibile farlo andando su Plugin ” Plugin installati. Nel menu a discesa “Azioni di massa”, selezionate “Elimina” e poi “Applica”.

🚨 A ttenzione: Se uno dei plugin installati è responsabile di funzionalità essenziali o di elementi di design del sito web (come un sistema di ordini o un footer personalizzato), non consigliamo questo approccio.

Potrebbe interrompere ulteriormente le operazioni del vostro sito e farvi perdere dati importanti. In questo caso, consigliamo sempre di assumere esperti di sicurezza WordPress per gestire il problema dello spam.

delete all plugins

Dopodiché, è possibile scaricare nuove copie di questi plugin e installarli sul proprio sito web. Per maggiori dettagli, consultate il nostro tutorial su come disinstallare correttamente un plugin di WordPress.

Successivamente, dovrete fare lo stesso per il vostro tema WordPress. Tuttavia, tenete presente che quando eliminate il vostro tema WordPress attuale, potreste perdere le impostazioni del tema e dovrete configurarlo di nuovo come prima.

Per prima cosa, è necessario installare un tema predefinito di WordPress. Per le istruzioni, consultate il nostro tutorial su come installare un tema di WordPress.

I temi predefiniti di WordPress sono temi ufficiali di WordPress. Di solito hanno nomi basati sull’anno di versione, come Twenty Twenty-Five, Twenty Twenty-Four e così via.

⚠️ Nota importante: se è già stato installato un tema predefinito, non è possibile utilizzarlo perché potrebbe essere interessato. È necessario installare un nuovo tema predefinito.

Una volta installato un nuovo tema predefinito, è necessario attivarlo.

Activate default theme

Dopo aver attivato il tema predefinito, WordPress vi permetterà di eliminare eventuali temi inattivi.

È possibile fare clic sul tema precedente ed eliminarlo dal sito web.

Delete theme from your website

Dopo aver eliminato il tema, è necessario scaricarne una nuova copia dalla fonte e installarla.

La sostituzione dei file dei temi e dei plugin con copie nuove garantisce l’elaborazione in corso di codice pulito ed elimina i file modificati che potrebbero contenere malware.

Passo 5. Pulire i file critici

La vostra installazione di WordPress ha diversi file critici che gli hacker amano prendere di mira. Il file .htaccess è particolarmente vulnerabile agli attacchi di reindirizzamento.

Fortunatamente, WordPress può rigenerare il file .htaccess da solo. È quindi sufficiente collegarsi al sito web con un client FTP ed eliminare il file .htaccess, che si trova nella cartella principale del sito web.

Delete .htaccess file

Se volete verificare che il file .htaccess sia stato rigenerato correttamente, consultate la nostra guida su come correggere il file .htaccess di WordPress.

Il file wp-config.php è un altro file critico di WordPress che gli hacker prendono comunemente di mira.

È possibile scaricare una copia del file wp-config.php esistente come backup sul computer tramite FTP.

Download wp-config.php file to your computer for editing

Quindi, dovrete andare su WordPress.org e scaricare una nuova copia di WordPress sul vostro computer.

Decomprimete il file e al suo interno troverete il file wp-config-sample.php.

Successivamente, dovrete caricare il file wp-config-sample.php sul vostro sito web tramite FTP.

Upload wp-config-sample.php file

Una volta caricato, è possibile rinominarlo come wp-config.php.

Tuttavia, il file wp-config non funzionerà, poiché non contiene alcune informazioni importanti necessarie per connettersi al database di WordPress. Queste includono:

  • Nome del database
  • Nome utente e password del database
  • Host del database
  • Prefisso della tabella del database

È possibile copiare queste informazioni dal vecchio file wp-config scaricato in precedenza come backup. Una volta aggiunte le informazioni, è necessario salvare e caricare le modifiche.

Per maggiori dettagli, consultate il nostro tutorial che spiega come modificare il file wp-config.php in WordPress.

Fase 6. Messa in sicurezza del sito dopo la pulizia

Ora che il vostro sito è pulito, assicuriamoci che lo rimanga! 🛡️ La sicurezza non è una cosa da fare una volta sola: è un processo continuo che richiede attenzione e manutenzione.

Modificate tutte le vostre password

La prima operazione di sicurezza consiste nel modificare ogni singola password associata al sito.

Questi includono gli account di amministrazione di WordPress, le credenziali FTP, le password dei database, l’accesso al pannello di controllo dell’host e qualsiasi account email collegato al sito web.

💡 Suggerimento: utilizzate un gestore di password per generare e memorizzare password forti e uniche. Consigliamo 1Password per le sue caratteristiche di sicurezza e facilità d’uso.

Configurazione del firewall e dei plugin di sicurezza

L’uso di un firewall e di un buon plugin di sicurezza è come avere un team di sicurezza professionale per il vostro sito web.

Si consiglia di utilizzare questi strumenti:

Pubblicazioni correlate: I migliori plugin firewall per WordPress a confronto

Impostazione di backup automatici

Una volta che il sito è pulito, il passo successivo è assicurarsi di non perdere mai più il lavoro svolto. Un normale backup può salvarvi da grossi grattacapi se il vostro sito viene violato, si blocca o subisce una perdita accidentale di dati.

Per impostare backup automatici per il vostro sito WordPress, vi consigliamo di utilizzare Duplicator. È un plugin potente e facile da usare che consente di creare backup completi e di archiviarli in modo sicuro.

Duplicator

Perché consigliamo Duplicator:

Utilizziamo Duplicator su molti dei nostri siti web e abbiamo scoperto che è la soluzione di backup di WordPress più affidabile sul mercato. Con Duplicator, potete:

  • Automatizzare i backup programmati – Impostare e dimenticare. Duplicator esegue automaticamente il backup del sito a intervalli normali.
  • ☁️ Archivia i backup nel cloud: salva i tuoi backup su Google Drive, Dropbox, Amazon S3 e altro ancora.
  • 🔄 Ripristino in 1 clic – Recuperate rapidamente il vostro sito con un solo clic se qualcosa va storto.

Per saperne di più, selezionate la nostra recensione dettagliata di Duplicator. Se invece cercate delle alternative, potete consultare la nostra selezione dei migliori plugin per il backup di WordPress.

Riprendete il controllo della sicurezza del vostro sito web

Affrontare le iniezioni di link spam può sembrare difficile, ma ricordate che non siete soli. Sia che decidiate di affrontare il problema da soli o di affidarvi a degli esperti, l’importante è indirizzare il problema in modo rapido e completo.

Ma ricordate che prevenire è sempre meglio che limitare i danni. Impostando misure di sicurezza adeguate e rimanendo vigili, è possibile ridurre significativamente il rischio di attacchi futuri.

Consideratelo un investimento per il futuro del vostro sito, che vi ripagherà in termini di tranquillità e di entrate protette.

Non lasciate che gli hacker tengano in ostaggio il vostro sito: agite oggi stesso! 💪

Risorse bonus: Sicurezza di WordPress

Mantenere la sicurezza del vostro sito WordPress è essenziale per la crescita della vostra attività. Qui abbiamo raccolto alcune risorse utili che potete seguire per migliorare la sicurezza del vostro sito web:

Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.

Disclosure: Our content is reader-supported. This means if you click on some of our links, then we may earn a commission. See how WPBeginner is funded, why it matters, and how you can support us. Here's our editorial process.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

The Ultimate WordPress Toolkit

Get FREE access to our toolkit - a collection of WordPress related products and resources that every professional should have!

Reader Interactions

Comments

  1. Congratulations, you have the opportunity to be the first commenter on this article.
    Have a question or suggestion? Please leave a comment to start the discussion.

Leave A Reply

Thanks for choosing to leave a comment. Please keep in mind that all comments are moderated according to our comment policy, and your email address will NOT be published. Please Do NOT use keywords in the name field. Let's have a personal and meaningful conversation.