Sicurezza WordPress: Da dove iniziare per proteggere il tuo sito
Il tuo sito WordPress è già stato attaccato?
Salta direttamente alla sezione ‘Il sito è già stato attaccato: da dove iniziare’ qui sotto — trovi i passi nell’ordine giusto e i link alle guide specifiche per ogni fase della bonifica.
La sicurezza di WordPress non dipende da chi ti ospita — dipende da chi la gestisce.
Questa distinzione conta più di qualsiasi plugin, piano hosting o certificato SSL. Puoi avere il miglior server del mondo e un sito compromesso in 24 ore. Puoi avere un hosting economico e un sito blindato da anni. La variabile che fa davvero la differenza è la consapevolezza: sapere quali attacchi esistono, come funzionano, e cosa fare per chiudere le porte prima che qualcuno le trovi aperte.
La maggior parte degli articoli sulla sicurezza WordPress è scritta da chi vuole venderti un hosting. Ti dicono che la sicurezza inizia dal server — e non è falso, l’hosting è un layer di protezione. Ma è un layer, non la soluzione. Ho bonificato siti su Kinsta, SiteGround e Aruba che erano stati compromessi lo stesso. Ho visto siti su hosting economici che non avevano mai avuto un problema, perché erano gestiti nel modo giusto.
Questa è una delle sezioni della guida WordPress ed è scritta da un punto di vista diverso: quello di chi interviene sui siti compromessi, non di chi vende l’infrastruttura. Ogni guida qui dentro nasce da casi reali — non da specifiche tecniche.
La sicurezza WordPress in numeri
I dati che seguono provengono dai report annuali di Wordfence, Patchstack e Sucuri — le tre organizzazioni di riferimento per la sicurezza WordPress a livello globale. I loro report vengono citati come fonti primarie nel settore e sono aggiornati annualmente.
| Dato | Fonte e contesto |
|---|---|
| 7.966 nuove vulnerabilità nell’ecosistema WordPress nel 2024 — 22 nuove ogni giorno | Patchstack, State of WordPress Security 2025 — +34% rispetto al 2023 |
| 96% delle vulnerabilità era nei plugin, 4% nei temi. Nel core WordPress solo 7 vulnerabilità in tutto il 2024 | Patchstack, State of WordPress Security 2025 — conferma la solidità del core rispetto all’ecosistema di terze parti |
| 35% delle vulnerabilità divulgate nel 2024 è rimasto senza patch al momento della pubblicazione | Wordfence, 2024 Annual WordPress Security Report (aprile 2025) — oltre 1 su 3 senza correzione disponibile |
| 43% delle vulnerabilità scoperte nel 2024 non richiedeva autenticazione per essere sfruttata | Patchstack, State of WordPress Security 2025 — esposte ad attacchi automatizzati senza credenziali |
| 55 miliardi di tentativi di attacco tramite password bloccati da Wordfence nel solo 2024 | Wordfence, 2024 Annual WordPress Security Report (aprile 2025) |
| 68% di aumento nelle vulnerabilità divulgate nel 2024 rispetto al 2023 | Wordfence, 2024 Annual WordPress Security Report (aprile 2025) |
| Più della metà degli sviluppatori contattati da Patchstack nel 2024 non ha rilasciato una patch prima della divulgazione pubblica | Patchstack, State of WordPress Security 2025 — segnale critico di immaturità nei processi di sicurezza |
| 1.176.701 siti infetti rilevati da Sucuri SiteCheck su 70,8 milioni di scansioni globali nel 2024 | Sucuri, SiteCheck Malware Trends Report 2024 — malware e redirect malevoli rappresentavano il 74,7% di tutte le infezioni |
| 14% dei siti infetti analizzati nel 2023 aveva malware che manometteva i file di Wordfence per restare nascosto | WeWatchYourWebsite, ricerca 2023 — citato in Patchstack State of WordPress Security 2025 come trend confermato in crescita nel 2024 |
| 1.614 plugin e temi rimossi dal repository WordPress.org nel 2024 per vulnerabilità di sicurezza | Patchstack, State of WordPress Security 2025 — la maggior parte restava comunque installata sui siti in produzione |
Cosa significano questi numeri nella pratica? Che la minaccia è strutturale, non episodica. Ventidue nuove vulnerabilità al giorno nell’ecosistema WordPress significa che anche un sito ben configurato oggi può diventare vulnerabile domani, per colpa di un plugin che installi la prossima settimana. Non è un motivo di panico — è un motivo per costruire una strategia di sicurezza che non dipenda dalla fortuna o dall’assenza di attacchi, ma dalla capacità di rilevarli e rispondervi rapidamente.
Perché WordPress viene attaccato così spesso?
WordPress alimenta oltre il 43% di tutti i siti web esistenti. Per un attaccante, questo significa che uno script automatizzato scritto una volta può essere usato contro milioni di bersagli potenziali. Non serve prendere di mira qualcuno in modo specifico — si scansiona la rete, si trovano le installazioni vulnerabili, si applica l’exploit. Il rapporto sforzo/risultato è così favorevole che nel 2024 Wordfence ha bloccato 55 miliardi di tentativi di attacco tramite password su siti WordPress. Non perché qualcuno ti abbia scelto — perché sei su una piattaforma abbastanza diffusa da renderti statisticamente interessante.
Il paradosso è che quella stessa popolarità è anche la sua difesa più forte. Il core di WordPress è sviluppato e monitorato da centinaia di sviluppatori in tutto il mondo — ogni vulnerabilità scoperta viene analizzata, discussa pubblicamente e patchata in tempi rapidi. Nel 2024 sono state scoperte solo 7 vulnerabilità nel core, nessuna abbastanza grave da costituire una minaccia diffusa (fonte: Patchstack). WordPress non è un bersaglio facile perché è mal fatto — è un bersaglio frequente perché è ovunque. La differenza è sostanziale.
Il punto d’ingresso è quasi sempre altrove. Ecco i tre vettori che vedo tornare su ogni sito compromesso che mi viene portato.
Plugin e temi non aggiornati
Il meccanismo è semplice e per questo efficace: uno sviluppatore scopre una vulnerabilità in un plugin, la corregge e rilascia un aggiornamento. Nel momento in cui l’aggiornamento è pubblico, la vulnerabilità è documentata — e tutti i siti che non hanno ancora aggiornato sono bersagli identificati. I bot iniziano a scansionare entro ore. Non serve un hacker: basta uno script automatizzato che cerca la versione vulnerabile e applica l’exploit già scritto da qualcun altro.
Nel 2024 sono state scoperte 7.966 nuove vulnerabilità nell’ecosistema WordPress — 22 nuove ogni giorno. Il 96% riguardava plugin, il 4% temi. Nessuna nel core. Ancora più preoccupante: il 35% di queste vulnerabilità è arrivato alla divulgazione pubblica senza una patch disponibile (fonte: Patchstack e Wordfence). Ho visto siti con plugin non aggiornati da due anni con decine di CVE documentati — in quei casi la domanda non è se il sito è stato compromesso, ma quante volte.
Una nota importante sugli aggiornamenti automatici
Abilitare gli aggiornamenti automatici indiscriminati non è la soluzione — e può creare problemi seri. Un aggiornamento di un plugin o del core può introdurre incompatibilità con altri componenti e rompere il sito in produzione senza preavviso. La strategia corretta è diversa: monitoraggio attivo delle vulnerabilità tramite WPScan o Patchstack, aggiornamenti manuali pianificati con un backup verificato prima di ogni intervento, e un ambiente di staging dove testare prima di portare in produzione. Gli aggiornamenti automatici del core per le sole release di sicurezza minori (es. 6.4.1 → 6.4.2) sono generalmente sicuri — per tutto il resto, meglio il controllo manuale.
Credenziali deboli e attacchi brute force
La pagina wp-login.php è pubblica su ogni installazione WordPress standard. Gli attacchi brute force — che provano migliaia di combinazioni username e password al secondo — sono automatizzati e continui. Un account con username ‘admin’ (il default storico di WordPress) e una password semplice può essere violato in pochi minuti. Non è un’esagerazione: i log di un sito esposto mostrano centinaia di tentativi di login ogni ora, 24 ore su 24.
La buona notizia è che è anche la minaccia più semplice da neutralizzare. Limitare i tentativi di accesso, abilitare l’autenticazione a due fattori (2FA) e cambiare l’URL di login predefinito sono tre misure che richiedono meno di un’ora e rendono gli attacchi brute force praticamente inutili.
Configurazione lasciata ai valori di default
WordPress esce dalla scatola con una configurazione pensata per funzionare, non per essere sicura. Permessi file troppo permissivi, wp-config(.)php accessibile dalla root pubblica, XML-RPC abilitato anche se non lo usi, prefissi delle tabelle del database lasciati al valore predefinito wp_, editor di file abilitato dalla dashboard — ognuno di questi elementi è un vantaggio per chi sa cosa cercare. Anche la versione PHP del server è un fattore spesso trascurato: versioni obsolete non ricevono patch di sicurezza e rimangono esposte a vulnerabilità note.
C’è anche un fattore spesso ignorato: la qualità dell’hosting. Su un hosting condiviso mal configurato, una vulnerabilità in un altro sito sullo stesso server può essere usata per accedere al tuo — è quello che si chiama cross-site contamination. Non è un caso teorico: è una delle cause di reinfection più frustranti perché anche dopo una bonifica perfetta il sito viene reinfettato attraverso un vicino di server che non hai mai visto.
Le quattro aree di rischio principali
1. Accessi non autorizzati
Gli attacchi brute force contro wp-login.php sono la minaccia più comune e, per fortuna, la più semplice da bloccare. Limitare i tentativi di accesso con un plugin dedicato — applicando il rate limiting per IP — abilitare il 2FA per tutti gli account admin e cambiare l’URL di login predefinito sono tre interventi che richiedono meno di un’ora e che da soli eliminano la grande maggioranza di questi attacchi. Aggiungere un Web Application Firewall (WAF) come Wordfence o Cloudflare blocca i tentativi di SQL injection, cross-site scripting (XSS) e attacchi DDoS ancora prima che raggiungano WordPress, riducendo anche il carico sul server.
2. Malware e backdoor
Quando un attaccante riesce ad entrare, il primo obiettivo non è fare danni visibili — è installarsi in modo permanente. Una backdoor è un file PHP nascosto che permette di rientrare nel sito anche dopo che la vulnerabilità originale è stata chiusa. Può stare nella cartella mu-plugins (caricata automaticamente senza apparire nella lista plugin), in un tema inattivo, in una cartella nascosta con il punto davanti. Il malware nel frattempo lavora: reindirizza i visitatori, inietta link spam, manda email, ospita pagine di phishing. A volte tutto questo avviene in modo condizionale — solo per i visitatori che arrivano da Google, solo da mobile — per restare invisibile il più a lungo possibile.
Rilevare il malware richiede strumenti specifici come Wordfence o Sucuri Scanner, ma in alcuni casi — quando il codice è offuscato con eval(base64_decode()) — la ricerca manuale è l’unico modo per trovarlo. È per questo che i plugin di sicurezza da soli non bastano sempre.
3. Vulnerabilità nei plugin e nei temi
Non tutti i plugin vengono mantenuti con la stessa cura. Alcuni vengono abbandonati dagli sviluppatori dopo pochi mesi, restando online nel repository ufficiale con vulnerabilità note e senza patch. Altri arrivano da marketplace non verificati o, peggio, come versioni nulled — copie piratate di plugin premium che contengono backdoor già installate prima ancora che tu le attivi.
La regola pratica che applico: nessun plugin non aggiornato da più di sei mesi dovrebbe stare su un sito in produzione. Prima di installare qualsiasi plugin o tema, verifico l’ultima data di aggiornamento, il numero di installazioni attive e se lo sviluppatore risponde alle segnalazioni di sicurezza. Strumenti come WPScan e Patchstack permettono di monitorare automaticamente le vulnerabilità note nei plugin installati e ricevere avvisi quando qualcosa è a rischio. Per la scansione attiva, Wordfence e Sucuri sono i più diffusi, ma esistono valide alternative come MalCare, iThemes Security (ora Solid Security) e WP Cerber — la scelta dipende dalla configurazione specifica del sito.
4. Hardening e configurazione
L’hardening di WordPress è la pratica di modificare la configurazione predefinita per ridurre la superficie di attacco. Non è un’operazione una tantum — è un insieme di interventi che si stratificano: permessi corretti sui file (644 per i file, 755 per le cartelle, 600 per wp-config(.)php), XML-RPC disabilitato se non necessario, editor di file disabilitato dalla dashboard, HTTP security headers configurati, ruoli utente assegnati con il principio del privilegio minimo, versione PHP aggiornata all’ultima release stabile.
Un elemento spesso sottovalutato è l’activity log — il registro di ogni azione eseguita sul sito. Plugin come WP Activity Log o la funzione di audit log di Wordfence permettono di vedere chi ha fatto cosa e quando: un nuovo utente admin creato alle 3 di notte è un segnale inequivocabile. Allo stesso modo, avere un ambiente di staging separato dove testare aggiornamenti prima di portarli in produzione riduce drasticamente il rischio di rompere il sito durante la manutenzione.
Ogni intervento da solo vale poco — insieme riducono drasticamente le possibilità che un attaccante, anche dopo essere entrato, possa fare danni significativi o installare una backdoor persistente.
Le misure preventive: cosa fare, quanto è difficile, quanto costa
La sicurezza WordPress non si costruisce installando tutto quello che esiste — si costruisce nell’ordine giusto, partendo da quello che elimina il rischio maggiore con il minore sforzo. Il principio è semplice: inizia dalle misure che proteggono i punti più esposti agli attacchi automatizzati, poi passa a quelle che richiedono più tempo o competenze. Un bot non distingue tra un sito da 50 visite al giorno e uno da 50.000 — testa le stesse vulnerabilità su entrambi. Le prime tre misure in lista (backup, 2FA, limitare i login) eliminano già la stragrande maggioranza degli attacchi automatizzati.
| Misura | Difficoltà | Costo | Impatto |
|---|---|---|---|
| Backup automatico verificato fuori dall'hosting | Bassa | Gratuito / €5-10/mese | Critico |
| Autenticazione a due fattori (2FA) su tutti gli admin | Bassa | Gratuito | Alto |
| Limitare i tentativi di login | Bassa | Gratuito | Alto |
| Aggiornamenti pianificati con backup pre-intervento | Media | Gratuito | Alto |
| Firewall applicativo (Wordfence o Cloudflare WAF) | Bassa | Gratuito / €20/mese | Alto |
| Disabilitare XML-RPC se non utilizzato | Bassa | Gratuito | Medio |
| Permessi file corretti (644/755/600) | Media | Gratuito | Medio |
| Disabilitare l'editor file dalla dashboard | Bassa | Gratuito | Medio |
| Monitoraggio vulnerabilità (WPScan o Patchstack) | Bassa | Gratuito / €10/mese | Alto |
| SSL/HTTPS correttamente configurato | Bassa | Gratuito (Let's Encrypt) | Medio |
| Cambio URL di login predefinito | Bassa | Gratuito | Medio |
| Hosting con isolamento account | Bassa | Dipende dal provider | Medio |
L’approccio consigliato non è implementare tutto insieme. Inizia dal backup esterno verificato e dal 2FA — richiedono meno di un’ora e cambiano radicalmente il profilo di rischio del sito. Poi aggiungi il firewall e il monitoraggio delle vulnerabilità. Il resto — hardening avanzato, permessi file, staging — viene dopo, quando le basi sono solide. Una sicurezza costruita per strati nel tempo è più efficace e più sostenibile di un intervento massiccio fatto tutto in una volta.
Il sito è già stato attaccato: da dove iniziare
Se sospetti che il tuo sito WordPress sia stato compromesso, il tempo è un fattore critico. Più a lungo un sito rimane infetto, maggiore è il rischio che Google lo inserisca nella sua blacklist — con perdita di traffico organico, avvisi di malware per i visitatori e potenziali implicazioni GDPR se il malware raccoglie dati degli utenti.
I segnali visibili più comuni: reindirizzamenti verso altri siti (spesso solo da mobile o da Google), contenuti estranei nelle pagine, avvisi di sicurezza in Google Search Console, email di spam inviate dal tuo dominio, impossibilità di accedere alla dashboard. Ma gli attacchi più sofisticati restano invisibili per settimane — il sito sembra normale, i visitatori vengono reindirizzati in modo condizionale, il malware lavora silenzioso. Per questo il monitoraggio preventivo vale più della reazione.
Prima di toccare qualsiasi cosa: il backup forense
Il backup forense è la copia del sito già infetto, fatta prima di qualsiasi intervento. Non serve per ripristinare il sito — serve per capire cosa è successo.
Contiene i log del server che registrano l’intera storia dell’attacco: da dove è entrato l’hacker, quando, attraverso quale file. Senza questa informazione, la vulnerabilità originale rimane aperta e il sito viene reinfettato.
Il backup forense si fa prima di tutto il resto — prima della pulizia, prima del ripristino. Chi cancella tutto immediatamente perde le prove e si ritrova a bonificare alla cieca.
Se il malware continua a tornare dopo la pulizia o la situazione ti sembra fuori controllo, il problema ha quasi sempre radici più profonde — una backdoor non rimossa o una vulnerabilità originale mai chiusa. In questi casi è il momento di valutare un intervento di assistenza WordPress professionale — dove la bonifica viene eseguita nell’ordine corretto, con identificazione della causa radice e hardening finale.
Gli errori più comuni che peggiorano la situazione
Eliminare i file sospetti senza prima fare un backup forense: si perdono i log che dicono come è entrato l’hacker.
Ripristinare dal backup senza aver identificato la vulnerabilità originale: il sito viene reinfettato nel giro di ore.
Fermarsi alla pulizia dei file senza controllare il database: il malware può vivere in wp_options, wp_posts o nelle tabelle degli utenti.
Chiedere la revisione a Google Search Console prima che la bonifica sia completa: allunga i tempi invece di abbreviarli.
Guide sulla sicurezza WordPress
Ogni articolo copre un aspetto specifico della sicurezza WordPress con procedure concrete e verificabili. Scegli in base alla tua situazione attuale:
- Sito WordPress hackerato: cosa fare subito per recuperarlo
- Come rimuovere malware da WordPress: Guida tecnica passo dopo passo
- Certificato SSL su WordPress: Installazione, configurazione e problemi comuni
- Plugin firewall per WordPress: Wordfence, Cloudflare e come configurarli
- Backup Completo del Sito WordPress: Quanto ti costerebbe non averlo?
Sicurezza WordPress fai-da-te o affidarsi a un professionista?
La risposta dipende da dove ti trovi. La sicurezza WordPress preventiva — backup, aggiornamenti pianificati, firewall, 2FA, hardening base — è gestibile autonomamente seguendo le guide di questa sezione, anche senza un background tecnico. Sono operazioni che si fanno dalla dashboard WordPress o da cPanel, con procedure descritte passo per passo.
Il punto di rottura arriva in tre situazioni specifiche. La prima: il sito è già compromesso e la bonifica sembra incompleta — il malware torna, i reindirizzamenti persistono, non riesci a capire da dove è entrato l’hacker. La seconda: la configurazione è complessa — WooCommerce con transazioni attive, sito multilingua, architettura con più installazioni WordPress. La terza: non hai il tempo o la voglia di occupartene, e preferisci che qualcuno di competente lo faccia una volta sola nel modo giusto.
Una cosa che vedo spesso: il tentativo di bonifica fai-da-te che rimuove il malware visibile ma lascia la backdoor. Il sito torna online, sembra tutto ok, e nel giro di 24-48 ore è di nuovo infetto. A quel punto il problema è più complesso di quanto fosse all’inizio, perché l’attaccante ha avuto tempo di installarsi in modo più profondo. Il costo di un intervento professionale tardivo è quasi sempre più alto di quello di un intervento fatto subito.
Se il tuo sito è stato attaccato o vuoi mettere in sicurezza WordPress una volta per tutte, contattami: lavoro in modo diretto, senza intermediari, e risolvo il problema nel minor tempo possibile.
Domande frequenti sulla sicurezza WordPress
WordPress è sicuro di default?
Il core sì — nel 2024 sono state scoperte solo 7 vulnerabilità nel core di WordPress, nessuna abbastanza grave da costituire una minaccia diffusa (fonte: Patchstack). Il problema quasi mai viene da WordPress in sé — viene dai plugin, dai temi e dalla configurazione del server. Un’installazione WordPress aggiornata, con plugin mantenuti attivamente, hardening minimale e un backup verificato è difficile da compromettere. Il rischio non è nella piattaforma — è nel modo in cui viene gestita.
Quanto spesso vengono attaccati i siti WordPress?
Continuamente — non è un’esagerazione. Nel 2024 Wordfence ha bloccato 55 miliardi di tentativi di attacco tramite password e oltre 1,1 miliardi di tentativi di SQL injection su siti WordPress nel mondo. La stragrande maggioranza sono attacchi automatizzati: bot che scansionano la rete alla ricerca di versioni vulnerabili, senza distinzione tra siti grandi e piccoli. Il tuo sito è un bersaglio potenziale dal momento in cui va online, non perché qualcuno ti abbia preso di mira — perché uno script non fa distinzioni.
Qual è la causa più comune degli attacchi WordPress?
Plugin e temi di terze parti non aggiornati — il 96% delle vulnerabilità scoperte nel 2024 riguardava componenti di terze parti, non il core (fonte: Patchstack). Il meccanismo è semplice: quando esce una patch, la vulnerabilità precedente diventa pubblica e i bot iniziano a scansionare entro ore. Il 43% delle vulnerabilità scoperte nel 2024 non richiedeva nemmeno autenticazione per essere sfruttata — bastava trovare la versione giusta e applicare l’exploit già scritto da qualcun altro.
Posso abilitare gli aggiornamenti automatici per stare al sicuro?
Con cautela. Gli aggiornamenti automatici del core di WordPress per le sole release di sicurezza minori (es. 6.4.1 → 6.4.2) sono generalmente sicuri. Quelli automatici di plugin e temi no: un aggiornamento può introdurre incompatibilità e rompere il sito in produzione senza preavviso. La strategia più efficace è monitorare le vulnerabilità note con WPScan o Patchstack e aggiornare manualmente con un backup verificato prima di ogni intervento.
Quanto costa mettere in sicurezza un sito WordPress?
Le misure base — backup automatico, firewall gratuito (Wordfence o Cloudflare), 2FA, aggiornamenti pianificati — costano zero o quasi e si configurano in meno di un’ora seguendo le guide di questa sezione. L’intervento professionale ha senso quando il sito è già compromesso, quando la configurazione è complessa, o quando non vuoi occupartene tu.
Come faccio a sapere se il mio sito WordPress è stato attaccato?
I segnali visibili più comuni: reindirizzamenti verso siti estranei, avvisi di sicurezza Google nella SERP, impossibilità di accedere alla dashboard, calo improvviso del traffico organico, segnalazioni dall’hosting. Gli attacchi più sofisticati però restano invisibili per settimane — per questo il monitoraggio preventivo conta più della reazione. Wordfence e Google Search Console sono i due strumenti più efficaci per il monitoraggio continuativo.
Posso proteggere WordPress da solo senza essere tecnico?
Sì, per la grande maggioranza delle misure preventive. Installare Wordfence, attivare il 2FA, impostare un backup automatico, tenere i plugin aggiornati con criterio — sono tutte operazioni gestibili dalla dashboard WordPress senza toccare il codice. Le guide di questa sezione sono scritte esattamente per questo. Dove serve accedere ai file del server o al database, le procedure sono descritte passo per passo con cPanel come riferimento.
Qual è il miglior antivirus per WordPress?
Il termine “antivirus” applicato a WordPress è improprio e spesso fuorviante. WordPress non si protegge con un antivirus tradizionale — si protegge con scanner di malware, firewall applicativi e una configurazione corretta. Wordfence, Sucuri Scanner, MalCare e iThemes Security sono gli strumenti più usati per la scansione. Ma nessuno di questi è sufficiente da solo: un malware sofisticato può eludere qualsiasi scanner automatico. La vera protezione non è uno strumento — è la consapevolezza di chi gestisce il sito.
È possibile proteggere WordPress senza plugin?
Sì, ed è spesso la scelta migliore. Molte delle misure di hardening più efficaci si applicano direttamente su wp-config(.)php, .htaccess e sui permessi dei file — senza installare nulla. Disabilitare XML-RPC, nascondere la versione di WordPress, limitare l’accesso a wp-admin per IP, configurare gli HTTP security headers: tutto questo si fa a livello di file e server. I plugin di sicurezza aggiungono uno strato di protezione utile, ma aggiungono anche codice da mantenere aggiornato e potenziali vulnerabilità proprie. Per siti semplici gestiti da qualcuno con un minimo di dimestichezza tecnica, meno plugin significa meno superficie di attacco.
Perché il mio sito continua a essere reinfettato dopo la pulizia?
Quasi sempre per uno di questi motivi: è rimasta una backdoor attiva in una posizione non controllata (mu-plugins, temi inattivi, cartelle nascoste), oppure la vulnerabilità originale — il plugin o il file che ha permesso l’ingresso — non è mai stata identificata e chiusa. Ripulire il sito senza chiudere la porta lascia tutto il lavoro esposto. La guida sulla rimozione malware copre questo scenario nel dettaglio.