Gli attacchi di virus e malware costituiscono, purtroppo, un fenomeno negativo in forte crescita; per avere una stima della sua gravità, basta la lettura del comunicato del CLUSIT (Associazione Italiana per la Sicurezza Informatica), pubblicato lo scorso 11 marzo.
In base al Rapporto CLUSIT 2026, presentato proprio l’11 marzo, gli attacchi informatici nel 2025 sono aumentati del 49% rispetto all’anno precedente: un numero che segna un nuovo record storico per la criminalità informatica.
In Italia si sono verificati il 9,6% degli incidenti informatici a livello mondiale, tuttavia non si tratta di un dato incoraggiante, visto che ha fatto registrare un aumento del 42% rispetto allo stesso periodo dell’anno antecedente.
Il 28% degli incidenti nel Bel Paese ha colpito i settori governativo, militare, e le forze dell’ordine, in crescita in valore assoluto in misura del 290% rispetto al 2024; bersagliati anche i comparti manifatturiero, trasporti e logistica; mentre risultano in calo gli attacchi alla sanità.
A rendere la situazione ancora più preoccupante, e di conseguenza ad alzare ulteriormente i livelli di guardia vi è sicuramente l’uso dell’intelligenza artificiale da parte dei cyber criminali, come ha dichiarato Anna Vaccarelli, Presidente di CLUSIT.
«I sistemi agentici autonomi potenziano la difesa, ma introducono nuove sfide, quali vulnerabilità manipolabili – tramite dati di addestramento alterati o difetti di progettazione – rendendo l’AI stessa un’arma potente in mano agli attaccanti, dalla creazione di software malevolo, a tecniche raffinate di esplorazione delle vulnerabilità»
La diffusione degli attacchi informatici interessa, potenzialmente, tutti i settori commerciali, per questo motivo occorre acquisire una maggiore consapevolezza nel fatto di rappresentare dei bersagli nel mirino di cyber criminali, senza naturalmente farsi prendere dal panico o cadere in paranoia, bensì agendo con raziocinio.
Ma come è possibile difendersi da questi virus che circolano nella rete e che possono attaccare anche i siti web? E come si fa a capire che il proprio sito è stato hackerato?
Per rispondere a queste domande bisogna capire chi è “il nemico” che si deve combattere, scopriamolo assieme.
Virus e altri Malware:
come si classificano
Per potere effettuare la rimozione virus da siti web, occorre conoscerli meglio, perché possono appartenere a diversi tipi, ognuno con le proprie caratteristiche e meccanismi di infezione.
In realtà sarebbe più corretto parlare di rimozione di malware per quanto riguarda l’infezione dei siti web, e, a tale proposito è doveroso fare chiarezza sulla confusione che nasce sull’utilizzo dei due termini.
Virus e Malware, infatti, non sono affatto sinonimi, come molti, erroneamente credono, anche se, sicuramente, entrambi i termini si riferiscono a programmi malevoli; ma allora in cosa consiste la differenza tra virus e malware?
Presto detto: con il termine malware si indica qualsiasi software progettato per danneggiare sistemi informatici o sfruttarli illegalmente.
Virus, invece, è un termine che identifica una categoria di Malware, quella storicamente più nota, e che per questioni di comodità legate ad una comunicazione più semplice ed immediata, viene usato per indicare anche altre categorie di virus, ma si tratta soltanto di una semplificazione linguistica, che non tiene conto ne delle differenze strutturali ne delle diverse tecniche di infezione che contraddistinguono ogni categoria di malware.
In sintesi: tutti i virus sono a tutti gli effetti dei malware, ma non tutti i malware però sono virus.
Una volta chiarita la definizione di malware, è possibile indicare quali sono le categorie più diffuse.
- Virus – Sono programmi malevoli che infettano file-documenti e programmi, si propagano da un sistema all’altro (quando vengono aperti nel caso di file-documenti e quando vengono eseguiti nel caso di programmi) e possono danneggiare o cancellare dati. Nei siti web oggi sono meno comuni dei malware specializzati.
- Trojan – Sono malware che si presentano come programmi innocui ma in realtà nascondono funzioni malevole. Il nome deriva dal cavallo di Troia della mitologia greca: qualcosa che sembra innocuo ma che in realtà contiene una minaccia. Il loro meccanismo di infezione consiste nell’aprire una porta di accesso ai criminali informatici, che così possono controllare da remoto il sistema infetto impartendogli qualsiasi comando; perfino l’installazione di altri malware. Nei siti web compromessi spesso i trojan vengono inseriti nel codice del sito.
- Worm – Sono software malevoli progettati per diffondersi automaticamente nelle reti. A differenza dei virus tradizionali non hanno bisogno che l’utente esegua o apra un file infetto I worm si propagano rapidamente tra computer e server, sfruttando vulnerabilità presenti nei software (come falle di sicurezza ad esempio), e possono rallentare o bloccare intere reti. Alcuni worm famosi hanno causato addirittura delle “epidemie” informatiche a livello globale, come “Morris Worm” nel 1998 e “ILOVEYOU” nel 2000.
- Spyware – Si tratta di programmi che spiano l’attività dell’utente senza che egli se ne accorga. Gli Spyware raccolgono i dati personali degli utenti, registrano le loro password, e monitorano la navigazione su internet. Spesso vengono usati per furto di credenziali di accesso, di informazioni sensibili, e di dati personali come i codici identificativi della carte di credito.
- Ransomware – Categoria di malware che bloccano o cifrano i dati della vittima. Gli attaccanti chiedono poi un riscatto (ransom in inglese) per sbloccare i dati. I Ransomware, in pratica, cifrano file e database, con procedure di crittografia molto sofisticate, bloccando così l’accesso al sistema per estorcere denaro, spesso sotto forma di criptovaluta. Sono tra i malware più dannosi e diffusi negli ultimi anni.
- Adware – Malware che mostrano pubblicità indesiderata o ingannevole. Gli Adware aprono finestre sul browser (dette pop-up) in cui sono presenti immagini pubblicitarie (banner) che, se cliccate reindirizzano verso altri siti, rallentando la navigazione su Internet ed anche le attività del dispositivo usato dall’utente (PC o Smarthpone che sia). Nei siti web compromessi gli Adware spesso vengono usati per redirigere il traffico web verso casinò o farmacie online.
- Backdoor – Sono accessi nascosti che permettono ai cyber criminali di entrare nel sistema attaccato senza effettuare l’autenticazione normale, dandogli così l’accesso remoto ad un sito o ad un server. Le Backdoor reinstallano malware anche dopo la pulizia, e consentono il controllo continuo del sistema. Nei siti compromessi spesso le backdoor si annidano dentro file PHP nascosti.
I "sintomi" di un’infezione
per un sito web
Dopo l’introduzione, che ritengo doverosa per motivi di chiarezza, sulle categorie di malware, è possibile affrontare la questione posta dal secondo quesito esposto precedentemente, e cioè, come possiamo individuare subito i segnali tipici dell’infezione di un sito web.
Quando un sito viene compromesso, in generale, i segnali più frequenti sono:
- Redirect verso altri siti.
- Avvisi di sicurezza nei browser.
- Pagine sospette indicizzate su Google.
Redirect verso altri siti
Un primo sintomo che rappresenta un allarme per un attacco malware su un sito si verifica quando un visitatore viene reindirizzato automaticamente verso un altro sito; è un meccanismo di infezione tipico di un adware.
Il “dirottamento” avviene spesso verso casinò online e/o farmacie online, siti per adulti, e pagine di phishing (quest’ultimo argomento viene trattato nell’apposita pagina FAQ dedicata alla sicurezza dei siti).
Anche la modalità con la quale avviene il redirect è fondamentale per avere un quadro ancora più chiaro su possibili casi di infezione, infatti, spesso accade che funzioni solo in casi particolari, come la navigazione da smartphone, oppure quando l’utente acceda al sito tramite motore di ricerca (come Google), oppure molto più semplicemente il redirect avviene solo la prima volta per ogni visitatore.
Questa tecnica è adoperata dai criminali informatici per cercare di nascondere l’infezione agli amministratori del sito.
Avvisi di sicurezza nel browser
Un altro segnale di infezione risiede negli avvisi di sicurezza nel browser: in tal caso Google Chrome o altri browser possono mostrare un messaggio recante frasi simili a : “Questo sito potrebbe essere stato compromesso”, “Sito ingannevole”, “Questo sito potrebbe danneggiare il tuo computer”.
La situazione appena descritta si verifica quando i sistemi di sicurezza (di cui si parlerà successivamente) rilevano: malware, phishing, e pagine spam.
In questi casi il sito viene spesso segnalato anche dalla piattaforma Google Search Console, adoperata per monitorare il SEO di un sito.
Pagine sospette
indicizzate su Google
Un altro segnale molto comune è la presenza di pagine “strane” nei risultati di Google. Si può verificare con una ricerca avente la forma “site:nomedominio.it”.
Se compaiono risultati con titoli sospetti come: “Buy Viagra Online”, “Cheap Cialis”, “Casino Bonus”, “Online Pharmacy”, ecc. significa quasi sempre che il sito è stato infettato da malware.
Prevenzione: la prima difesa contro virus e malware in genere
La prima forma di difesa da un attacco malware diretto ad un sito, è la prevenzione con un approccio multi-livello, che preveda cioè l’applicazione di diverse misure di sicurezza.
Se si utilizza un CMS come WordPress si raccomanda di effettuare, innanzitutto, in modo regolare (almeno una volta al mese) dei backup sia dei file sia del database. In caso di un eventuale attacco informatico (o di qualsiasi altra anomalia), si potrà ripristinare il sito a uno stato precedente e sicuro.
Questa operazione assume un’importanza prioritaria, come verrà spiegato più avanti.
Un’altra raccomandazione per gli utenti di WordPress riguarda l’aggiornamento della versione, perché nella maggior parte dei casi le versioni obsolete presentano delle “falle”, cioè delle vulnerabilità sfruttabili dai malware. Tale raccomandazione, ovviamente, è valida anche per i temi e per i plugin.
È da tenere presente tuttavia che in alcuni casi dopo avere effettuato gli aggiornamenti di WordPress, le funzionalità del sito vengono compromesse. Potrebbe succedere, ad esempio, che qualche plugin essenziale per la corretta visualizzazione dei contenuti, non sia compatibile con la nuova versione di WordPress, generando così delle anomalie.
Ed ecco perché l’operazione di backup deve essere prioritaria rispetto a tutte le altre: è buona norma, infatti, effettuare sempre dei backup sia dei file sia del database, prima di installare qualsiasi aggiornamento della versione di WordPress, del tema e di qualche plugin.
Per avere un buon livello di sicurezza si consiglia di scegliere i servizi di hosting che offrono il backup periodico (giornaliero, settimanale, mensile) dei file e del database.
Fra le misure di base per la sicurezza non può mancare la scelta di password efficaci, che, in quanto tali, devono avere una forma complessa, cioè abbastanza lunghe ed alfanumeriche (costituite da lettere, cifre numeriche, e simboli di interpunzione come “!” o “?”). Le password devono essere conservate in un luogo sicuro, e, se necessario, devono essere cambiate con una certa frequenza.
Si raccomanda, inoltre, di implementare un certificato SSL (o meglio ancora il suo successore TLS, ancora più evoluto), e quindi di adottare il protocollo HTTPS per crittografare i dati scambiati tra il proprio sito e i visitatori, rendendo più difficile per i malintenzionati intercettare le informazioni.
Un altro consiglio utile riguarda la sicurezza antispam: anziché scrivere in chiaro l’indirizzo e-mail associato al sito, è preferibile usare un modulo di contatto dotato di CAPTCHA (test di sicurezza automatico).
Per approfondire la tematica sulla sicurezza dei siti, si coniglia la lettura dell’apposita pagina nella sezione FAQ del sito.
Nel prossimo articolo verrà dato spazio al lancio di un nuovo servizio da me offerto per la rimozione di virus e malware da siti web, che vi invito a leggere.
A presto.