I siti WordPress sono bersaglio di attacchi di phishing più frequentemente di quanto la maggior parte dei proprietari si renda conto. I malintenzionati sfruttano il dominio, il marchio e la fiducia degli utenti per rubare credenziali, dati di pagamento e informazioni personali.
Questa guida illustra ogni tipo di attacco di phishing che prende di mira i siti WordPress, come riconoscerli prima che causino danni e come fermarli.
Gli attacchi di phishing su WordPress sono tentativi da parte di malintenzionati di rubare informazioni sensibili impersonando il tuo sito, il tuo marchio o servizi affidabili con cui i tuoi utenti interagiscono. Tra questi rientrano pagine di accesso false, notifiche email fraudolente, moduli per la raccolta di credenziali e pagine dannose iniettate in siti WordPress compromessi. Riconoscerli e contrastarli richiede una combinazione di misure di sicurezza tecniche, formazione degli utenti e monitoraggio attivo.
Tipologie di attacchi di phishing che prendono di mira i siti WordPress
Gli attacchi di phishing sui siti WordPress seguono schemi prevedibili. Conoscere le diverse tipologie di attacco aiuta a identificarli più rapidamente e a correggere le specifiche vulnerabilità che ciascuno di essi sfrutta.

- Attacchi con pagine di login false: gli aggressori creano copie convincenti della pagina di login di WordPress per rubare le credenziali di amministratore ai proprietari del sito o agli utenti che non notano la differenza nell'URL.
- Attacchi di impersonificazione via e-mail: le e-mail fraudolente inviate a nome del tuo marchio indirizzano i destinatari a pagine di accesso false o moduli dannosi progettati per acquisire credenziali o dati di pagamento.
- Phishing su sito compromesso: gli aggressori che ottengono l'accesso al tuo sito WordPress iniettano pagine di phishing nascoste che prendono di mira gli utenti di altri marchi, sfruttando la credibilità del tuo dominio e le risorse di hosting.
- Furto di identità tramite plugin e temi: false notifiche di aggiornamento dei plugin o pagine di download fraudolente di temi inducono gli amministratori a installare malware mascherato da aggiornamenti software legittimi.
- Phishing sui pagamenti WooCommerce: pagine di pagamento false o email di conferma di pagamento rubano i dati della carta di credito e le informazioni personali dei visitatori del negozio WooCommerce.
- Phishing per il ripristino della password: false email di ripristino della password, identiche alle legittime notifiche di WordPress, indirizzano gli utenti a pagine progettate per rubare le credenziali e ottenere nuove password.
- Notifiche di phishing per gli amministratori: le email che imitano il core di WordPress, i provider di hosting o i plugin di sicurezza avvisano gli amministratori di falsi problemi critici che richiedono l'accesso immediato tramite un link fraudolento.
Come riconoscere un attacco di phishing su WordPress?
Individuare tempestivamente gli attacchi di phishing limita significativamente i danni. Questi sono i segnali che indicano che qualcosa non va.
File o pagine insoliti sul tuo server
Se scopri sul tuo sito pagine che non hai creato, soprattutto quelle che imitano le pagine di accesso di altri marchi o che contengono moduli che richiedono informazioni sensibili, il tuo sito è stato compromesso e viene utilizzato per il phishing.
Esegui una scansione completa dei file con Wordfence o Sucuri e cerca i file creati o modificati di recente, in particolare nelle cartelle wp-content, wp-includes e nel tuo tema. Gli aggressori spesso nascondono pagine di phishing all'interno di directory dall'aspetto legittimo con nomi di file innocui.
Email sospette che utilizzano il tuo dominio
Se i clienti segnalano di aver ricevuto email dal tuo dominio che non hai inviato, o se il tuo provider di posta elettronica segnala attività di invio insolite, è possibile che degli aggressori abbiano ottenuto l'accesso alle tue credenziali di posta elettronica o stiano falsificando il tuo dominio per inviare messaggi di phishing.
Controlla immediatamente i registri di invio delle tue email. Configura i record DMARC, DKIM e SPF sul tuo dominio, se non sono già configurati. Questi standard di autenticazione delle email rendono molto più difficile per i malintenzionati inviare email di phishing convincenti che sembrano provenire dal tuo dominio.
Avvisi di Google Safe Browsing
Se Google segnala il tuo sito come pericoloso o se i visitatori visualizzano una pagina di avviso rossa prima del caricamento del sito, significa che Google ha rilevato contenuti di phishing sul tuo dominio. Controlla il tuo account Google Search Console per eventuali avvisi di sicurezza e analizza l'URL tramite il Rapporto sulla trasparenza per Navigazione sicura di Google.
Il contrassegno di Navigazione sicura indica che Google ha rilevato pagine di phishing, malware o contenuti ingannevoli sul tuo dominio. Ciò richiede un'indagine immediata, la rimozione degli elementi dannosi e una richiesta di riconsiderazione prima che Google rimuova l'avviso e ripristini il normale accesso al tuo sito.
Picchi di traffico inattesi verso pagine sconosciute
Un improvviso aumento del traffico verso pagine che non riconosci nei tuoi dati di Google Analytics è un forte indicatore del fatto che gli aggressori hanno inserito pagine di phishing e stanno indirizzando il traffico verso di esse tramite email di phishing o altri canali.
Controlla il tuo report in tempo reale di GA4 e il report di copertura di Search Console per individuare URL che non riconosci. Qualsiasi pagina che compare nelle tue statistiche e che non hai creato tu necessita di un'indagine immediata.
Come fermare gli attacchi di phishing su WordPress: guida passo passo
Per contrastare gli attacchi di phishing è necessario sia impedire che il sito venga compromesso fin dall'inizio, sia rafforzarne la sicurezza contro i vettori specifici utilizzati dagli aggressori per iniettare contenuti di phishing.

Passaggio 1: Proteggi il tuo accesso di amministrazione a WordPress
Il metodo più comune utilizzato dagli hacker per iniettare contenuti di phishing nei siti WordPress è tramite account amministratore compromessi. Proteggi ogni account amministratore con una password complessa e univoca e abilita l'autenticazione a due fattori per tutti gli utenti con accesso amministratore.
Se non l'hai già fatto, cambia il nome utente predefinito dell'amministratore. Abilita la limitazione dei tentativi di accesso per bloccare gli attacchi di forza bruta. Valuta la possibilità di limitare l'accesso a WP-Admin a specifici indirizzi IP se il tuo team effettua l'accesso da posizioni fisse. Ogni miglioramento alla sicurezza dell'account amministratore riduce direttamente il rischio di una violazione che consenta l'inserimento di contenuti di phishing.
Passaggio 2: Mantieni aggiornati WordPress, i plugin e i temi
I plugin e i temi obsoleti rappresentano il punto di accesso più comune per gli hacker che cercano di compromettere i siti WordPress per campagne di phishing. Le vulnerabilità di sicurezza nei plugin più diffusi vengono scoperte regolarmente e corrette rapidamente, ma proteggono il tuo sito solo se applichi gli aggiornamenti.
Abilita gli aggiornamenti automatici per il core di WordPress e per i plugin di sicurezza. Controlla l'elenco dei plugin e rimuovi quelli che non utilizzi attivamente. Ogni plugin inattivo con una vulnerabilità non corretta rappresenta una porta aperta per gli aggressori, anche se non ne utilizzi le funzionalità.
Passaggio 3: Installa un plugin di sicurezza per WordPress con scansione antimalware
Un plugin di sicurezza che analizza attivamente i file alla ricerca di firme di malware note e contenuti di phishing è una delle difese più efficaci contro gli attacchi di phishing provenienti da siti compromessi. Sia Wordfence che Sucuri analizzano i modelli di pagine di phishing noti e segnalano modifiche sospette ai file.
Configura il tuo plugin di sicurezza per eseguire scansioni giornaliere e inviare avvisi via e-mail quando vengono rilevati file sospetti. Abilita il monitoraggio in tempo reale delle modifiche ai file per essere avvisato immediatamente quando vengono creati nuovi file o quando i file esistenti vengono modificati inaspettatamente. L'individuazione precoce delle pagine di phishing infettate limita significativamente i danni che possono causare prima della rimozione.
Passaggio 4: Configurare i record di autenticazione e-mail
Se gli aggressori utilizzano il tuo dominio contraffatto per inviare email di phishing a nome del tuo marchio, i record di autenticazione email rappresentano la tua principale difesa. I record SPF, DKIM e DMARC indicano ai server di posta elettronica riceventi che le email che dichiarano di provenire dal tuo dominio devono essere considerate attendibili solo se provengono da mittenti autorizzati.
Aggiungi un record SPF al tuo DNS che elenchi tutti i server autorizzati a inviare email per tuo conto. Configura la firma DKIM tramite il tuo provider di posta elettronica per firmare crittograficamente i messaggi in uscita. Configura una policy DMARC che indichi ai server di ricezione di rifiutare o mettere in quarantena le email che non superano i controlli SPF o DKIM. Questi tre record, insieme, rendono il tuo dominio significativamente più difficile da falsificare nelle campagne di phishing.
Passaggio 5: Abilitare un firewall per applicazioni web
Un firewall per applicazioni web (WAF) si interpone tra il tuo sito WordPress e il traffico in entrata, bloccando i modelli di attacco noti prima che raggiungano il tuo sito. Sia Wordfence che Cloudflare offrono soluzioni WAF che includono regole specificamente progettate per rilevare e bloccare i modelli di attacco correlati al phishing.
Attiva il tuo WAF e mantieni aggiornate le sue regole. Configuralo per bloccare il traffico proveniente da intervalli IP noti per essere dannosi e per ricevere avvisi quando vengono rilevati schemi di attacco. Un WAF non sostituisce altre misure di sicurezza, ma aggiunge un importante livello di protezione che intercetta molti attacchi automatizzati prima che possano infiltrarsi nel tuo sito.
Passaggio 6: Monitora il tuo sito per rilevare modifiche non autorizzate
Il monitoraggio attivo rileva l'iniezione di contenuti di phishing più rapidamente di qualsiasi misura reattiva. Configura il tuo plugin di sicurezza per monitorare l'integrità dei file e ricevere un avviso immediato quando i file vengono aggiunti, modificati o eliminati in modo anomalo.
Configura un sistema di monitoraggio dell'uptime che verifichi non solo se il tuo sito è accessibile, ma anche se le singole pagine restituiscono i contenuti previsti. Un servizio di monitoraggio in grado di rilevare modifiche inaspettate ai contenuti delle pagine può avvisarti della presenza di pagine di phishing in pochi minuti dalla loro aggiunta, anziché giorni o settimane dopo, quando emergono le lamentele dei clienti.
Passaggio 7: Implementare le intestazioni della Content Security Policy
L'intestazione Content Security Policy (CSP) indica ai browser quali fonti di contenuto sono considerate attendibili sulle tue pagine. Una CSP ben configurata impedisce agli aggressori di iniettare script esterni o di reindirizzare i tuoi utenti a pagine esterne dannose, anche se dovessero riuscire a inserire del codice nel tuo sito.
Aggiungi le intestazioni CSP al tuo sito WordPress tramite il plugin di sicurezza o la configurazione del server. Inizia con una policy di sola segnalazione per identificare i contenuti attualmente caricati dal tuo sito, quindi applicala. Restringi gradualmente la policy per limitare il caricamento dei contenuti solo alle fonti di cui il tuo sito ha effettivamente bisogno.
Come proteggere i clienti di WooCommerce dal phishing?
I negozi WooCommerce sono bersagli particolarmente appetibili per il phishing perché elaborano informazioni di pagamento e memorizzano i dati degli account dei clienti. I tuoi clienti necessitano di protezioni specifiche che vadano oltre la sicurezza standard di un sito WordPress.
Utilizza HTTPS su ogni pagina
Ogni pagina del tuo negozio WooCommerce deve essere caricata tramite HTTPS. Un certificato SSL valido è il segnale di fiducia minimo che i clienti utilizzano per verificare di trovarsi su un sito legittimo. Una pagina HTTP o un avviso di contenuto misto segnalano ai clienti attenti alla sicurezza che qualcosa non va e non offrono alcuna protezione contro l'intercettazione delle credenziali.
Reindirizza tutto il traffico HTTP a HTTPS a livello di server e configura le impostazioni degli indirizzi di WordPress e WooCommerce per utilizzare HTTPS. Verifica la presenza di errori di contenuto misto che caricano risorse tramite HTTP e correggili uno per uno. Un sito completamente HTTPS con un certificato valido rende molto più difficile per gli aggressori creare cloni convincenti delle tue pagine di pagamento per scopi di phishing.
Aggiungi segnali di fiducia alle pagine di pagamento
Segnali di fiducia ben visibili sulle pagine di pagamento aiutano i clienti a verificare di trovarsi sul tuo sito legittimo e non su una copia contraffatta. Mostra il badge del tuo certificato SSL, i loghi di sicurezza dei pagamenti riconosciuti e un URL chiaro e coerente che i clienti possano verificare corrispondere al tuo dominio effettivo.
Invia email di conferma d'ordine che includano dettagli verificabili che i clienti possano confrontare con il loro ordine. I clienti che sanno riconoscere una comunicazione legittima da parte tua sono molto più preparati a individuare le email di phishing che imitano il tuo marchio.
Informare i clienti sui tentativi di phishing
Se scoprite che degli hacker stanno inviando email di phishing a nome del vostro marchio, avvisate immediatamente i vostri clienti. Una comunicazione chiara e diretta che spieghi come si presentano le email di phishing, cosa non chiederete mai ai clienti di fare via email e come segnalare i messaggi sospetti, limita il numero di clienti che cadono vittime.
Pubblica un avviso sul tuo sito, invia un'email alla tua lista clienti e aggiorna i tuoi profili sui social media. La velocità è fondamentale. Prima avviserai i clienti dopo aver scoperto una campagna di phishing che utilizza il tuo marchio, minore sarà il numero di vittime dell'attacco
Sito WordPress compromesso o utilizzato per il phishing?
Il nostro team di sicurezza rimuove i contenuti di phishing, chiude ogni punto di accesso utilizzato dagli aggressori e implementa il monitoraggio e la protezione necessari per mantenere il tuo sito sicuro nel tempo.
Cosa fare se il tuo sito WordPress è stato utilizzato per un attacco di phishing?
Se scopri che il tuo sito è stato compromesso e utilizzato per ospitare contenuti di phishing, agisci immediatamente. Ogni ora in cui le pagine di phishing rimangono online causa ulteriori danni alla tua reputazione e ai tuoi utenti.

Rimuovi immediatamente i contenuti di phishing
Identifica ed elimina ogni pagina di phishing e ogni file infettato dal tuo server. Utilizza lo scanner di file del tuo plugin di sicurezza per identificare tutti i file sospetti e rivedili uno per uno prima di eliminarli. Esegui un backup dello stato attuale prima di apportare qualsiasi modifica, in modo da avere una traccia di quanto rilevato per eventuali indagini.
Dopo aver rimosso il contenuto dannoso, controlla ogni file della tua installazione di WordPress alla ricerca di backdoor. Gli aggressori che iniettano contenuti di phishing installano quasi sempre anche backdoor per mantenere il controllo dopo la pulizia. Se non rilevi una backdoor, il contenuto di phishing tornerà disponibile entro pochi giorni dalla rimozione.
Richiedi la rimozione da Google Safe Browsing
Se Google ha segnalato il tuo sito, invia una richiesta di riconsiderazione tramite Google Search Console dopo aver completato la pulizia. Spiega cosa hai trovato, cosa hai rimosso e quali misure di sicurezza hai implementato per evitare che il problema si ripresenti.
Google esamina manualmente le richieste di riconsiderazione. I tempi di risposta variano da pochi giorni a qualche settimana. Durante questo periodo, monitora quotidianamente gli avvisi di sicurezza della Search Console e intervieni immediatamente in caso di nuove segnalazioni. Una pulizia approfondita e documentata in genere consente un ripristino più rapido rispetto a una soluzione superficiale.
Avvisare gli utenti interessati
Se i dati degli utenti sono stati compromessi tramite pagine di phishing presenti sul tuo sito, hai l'obbligo legale ed etico di informare tempestivamente gli utenti interessati. A seconda della giurisdizione e della natura dei dati coinvolti, potresti anche avere obblighi di segnalazione previsti da normative come il GDPR o il CCPA.
Comunicare in modo chiaro l'accaduto, i dati che potrebbero essere stati compromessi, le misure adottate per risolvere la situazione e i provvedimenti che gli utenti interessati dovrebbero prendere per proteggersi. Una comunicazione trasparente e tempestiva limita la responsabilità legale e preserva maggiormente la fiducia dei clienti rispetto a notifiche tardive o vaghe.
Errori comuni da evitare nella prevenzione del phishing su WordPress
Questi errori espongono inutilmente i siti WordPress e i loro utenti ad attacchi di phishing.
- Nessuna autenticazione a due fattori: gli account amministratore senza autenticazione a due fattori rappresentano il punto di accesso più facile per i malintenzionati che intendono iniettare contenuti di phishing. Abilitatela per ogni utente amministratore, senza eccezioni.
- Plugin e temi obsoleti: ogni vulnerabilità non corretta nella tua lista di plugin rappresenta un potenziale punto di ingresso per l'iniezione di contenuti di phishing. Aggiorna tutto regolarmente e rimuovi ciò che non utilizzi.
- Assenza di record di autenticazione e-mail: senza i record SPF, DKIM e DMARC, il tuo dominio può essere falsificato in e-mail di phishing dirette ai tuoi clienti con uno sforzo tecnico minimo da parte degli aggressori.
- Nessun monitoraggio dell'integrità dei file: senza un monitoraggio attivo, le pagine di phishing iniettate nel tuo sito possono rimanere inosservate per settimane, danneggiando la tua reputazione e nuocendo ai tuoi utenti.
- Ignorare gli avvisi di sicurezza: gli avvisi dei plugin di sicurezza relativi a modifiche sospette ai file o tentativi di accesso non autorizzati sono segnali di allarme tempestivi. Ignorarli significa perdere l'opportunità di bloccare un attacco prima che il contenuto di phishing venga pubblicato.
- Assenza di un piano di comunicazione con i clienti: quando una campagna di phishing prende di mira il tuo marchio o i tuoi utenti, una comunicazione ritardata o assente può aggravare notevolmente i danni rispetto a una risposta tempestiva e trasparente.
I migliori strumenti per proteggere i siti WordPress dal phishing
Questi strumenti coprono ogni livello della prevenzione del phishing, dal rilevamento del malware all'autenticazione delle e-mail e al monitoraggio in tempo reale.
| Attrezzo | Ideale per | Beneficio |
|---|---|---|
| Sicurezza Wordfence | Scansione antimalware e WAF | Rileva i file di phishing iniettati. |
| Sicurezza Sucuri | Pulizia e monitoraggio del sito | Rilevamento e rimozione di pagine di phishing. |
| Cloudflare WAF | Filtro del traffico | Blocca i modelli di attacco di phishing noti. |
| Google Search Console | Avvisi di navigazione sicura | Segnala i contenuti di phishing presenti sul tuo dominio. |
| MXToolbox | Configurazione dell'autenticazione tramite e-mail | Verifica i record SPF, DKIM e DMARC. |
Conclusione: Proteggi il tuo sito, il tuo marchio e i tuoi utenti dal phishing
Gli attacchi di phishing su WordPress danneggiano ben più del semplice sito web. Danneggiano contemporaneamente la fiducia degli utenti, la reputazione del marchio e la visibilità sui motori di ricerca.
Proteggi i tuoi account amministratore. Mantieni tutto aggiornato. Installa un plugin di sicurezza con scansione attiva. Configura i record di autenticazione e-mail. Monitora il tuo sito per rilevare modifiche non autorizzate. E tieni pronto un piano di risposta prima che se ne presenti la necessità.
I siti che si riprendono più velocemente dagli attacchi di phishing sono quelli che hanno messo in atto le misure di prevenzione più efficaci prima che si verifichi l'attacco.
Domande frequenti sugli attacchi di phishing su WordPress
Come faccio a sapere se il mio sito WordPress viene utilizzato per tentativi di phishing?
Controlla la presenza di pagine sul tuo sito che non hai creato, picchi di traffico insoliti verso URL sconosciuti in Google Analytics, avvisi di Google Safe Browsing in Search Console e segnalazioni da parte dei clienti di email sospette che affermano di provenire dal tuo marchio. Esegui immediatamente una scansione antimalware con Wordfence o Sucuri se sospetti una violazione.
Come fanno gli hacker a inserire pagine di phishing nei siti WordPress?
I punti di accesso più comuni sono account amministratore compromessi, plugin o temi vulnerabili con falle di sicurezza non corrette e credenziali di hosting deboli. Una volta penetrati nel sistema, gli aggressori caricano file di pagine di phishing sul server, spesso nascondendoli in directory dall'aspetto legittimo per evitare di essere individuati durante una semplice verifica dei file.
Gli attacchi di phishing possono far inserire il mio sito WordPress nella blacklist di Google?
Sì. Il sistema Navigazione sicura di Google analizza attivamente i siti alla ricerca di contenuti di phishing. Se sul tuo dominio vengono rilevate pagine di phishing, Google mostra una pagina di avviso rossa ai visitatori e rimuove il tuo sito dai normali risultati di ricerca finché non lo ripulisci e invii una richiesta di riconsiderazione andata a buon fine.
Come posso impedire che le email di phishing utilizzino il mio dominio?
Configura i record SPF, DKIM e DMARC per il tuo dominio tramite le impostazioni DNS. Questi standard di autenticazione delle email verificano che i messaggi che dichiarano di provenire dal tuo dominio siano effettivamente inviati da mittenti autorizzati. Le email che non superano questi controlli vengono rifiutate o messe in quarantena dai server di posta riceventi prima di raggiungere i tuoi destinatari.
Cosa devo fare se il mio sito WordPress è stato utilizzato per un tentativo di phishing?
Rimuovi immediatamente tutti i contenuti di phishing e i file backdoor. Dopo la pulizia, invia una richiesta di riconsiderazione a Google Search Console. Informa gli utenti interessati della violazione e delle misure da adottare. Rivedi e rafforza tutte le misure di sicurezza del tuo sito per prevenire il ripetersi dell'evento. Valuta la possibilità di affidarti a un servizio di sicurezza professionale per un'analisi approfondita post-incidente.