← Torna al blog Sicurezza

Il tuo sito hackerato nella blacklist di Google: come recuperare la reputazione

Envestis Team 15 min di lettura

Apri Google e cerchi il nome della tua azienda. Invece del tuo sito web pulito e professionale, vedi un risultato di ricerca con un avviso: "Questo sito potrebbe danneggiare il tuo computer." O peggio, non vedi affatto il tuo sito perche Google lo ha rimosso completamente dai risultati di ricerca.

Questo succede a migliaia di aziende ogni settimana. Un sito hackerato che distribuisce malware, ospita pagine di phishing o serve spam SEO viene segnalato dai sistemi di sicurezza di Google. Le conseguenze vanno ben oltre l'hack stesso. Anche dopo aver ripulito il malware, il danno reputazionale persiste per mesi.

Questo articolo copre come Google rileva i siti hackerati, i tipi di hack che innescano il blacklisting, il processo di pulizia e recupero, e perche investire nella prevenzione e ordini di grandezza piu economico che gestire le conseguenze.

Come Google rileva i siti hackerati

Google Safe Browsing

Safe Browsing e il sistema principale di Google per identificare siti web pericolosi. Protegge gli utenti di Chrome, Firefox, Safari e Android. Quando un sito viene segnalato da Safe Browsing, i browser mostrano un avviso a pagina intera prima di permettere all'utente di procedere.

Google Search Console - Problemi di sicurezza

Google Search Console ha una sezione "Problemi di sicurezza" che avvisa i proprietari dei siti quando Google rileva problemi. Se hai Search Console configurato (e ogni proprietario di sito dovrebbe averlo), riceverai notifiche email quando vengono trovati problemi di sicurezza.

Rilevamento automatico malware

Googlebot, il crawler che indicizza il web per Google Search, effettua anche scansioni per contenuti malevoli. Rileva:

  • JavaScript che reindirizza i visitatori verso siti malevoli.
  • Download drive-by (pagine che scaricano automaticamente malware sui computer dei visitatori).
  • Pagine di phishing che impersonano siti legittimi.
  • Spam SEO iniettato nei contenuti del sito o nascosto ai visitatori ma visibile ai crawler dei motori di ricerca.
  • Pagine che servono contenuti diversi a Googlebot rispetto ai visitatori regolari (cloaking).

L'avviso "Questo sito potrebbe danneggiare il tuo computer"

Quando Google segnala il tuo sito, l'impatto e immediato e grave:

  • Pagina di avviso del browser: I visitatori che cliccano sul tuo link nei risultati di ricerca vedono una pagina di avviso rossa invece del tuo sito. La maggior parte delle persone tornera immediatamente indietro e scegliera il sito di un concorrente.
  • Etichette nei risultati di ricerca: I tuoi risultati di ricerca possono mostrare un'etichetta "Questo sito potrebbe essere stato compromesso".
  • Crollo del traffico: Aspettati un calo dell'80-95% del traffico organico entro pochi giorni dalla segnalazione.
  • Fiducia dei clienti: Se i clienti esistenti vedono l'avviso, si chiederanno se i loro dati sono stati compromessi.

Retrocessione nei risultati di ricerca

Separatamente dagli avvisi espliciti, Google retrocede anche i siti hackerati nel ranking di ricerca. Anche se il tuo sito non mostra un avviso ma Google rileva contenuti sospetti, il tuo posizionamento calera significativamente.

Per saperne di piu su come Google gestisce i siti insicuri, leggi il nostro articolo su come Google penalizza i siti insicuri.

Tipi di hack SEO

Spam keyword giapponese

Questo e uno degli hack piu diffusi che colpiscono i siti aziendali. L'attaccante inietta centinaia o migliaia di pagine in giapponese (o cinese, o coreano) contenenti keyword spam relative a merci contraffatte, tipicamente imitazioni di marchi di lusso. Queste pagine vengono create nella struttura delle directory del tuo sito e vengono indicizzate da Google sotto il tuo dominio.

Potresti non accorgertene perche le pagine sono spesso nascoste dalla navigazione del tuo sito. Sono accessibili solo tramite URL diretti o tramite i risultati di ricerca.

Pharma hack

Simile allo spam keyword giapponese, ma il contenuto iniettato promuove prodotti farmaceutici. I pharma hack spesso usano cloaking sofisticato: il contenuto spam e visibile solo ai motori di ricerca. Quando un visitatore umano (o tu) visita lo stesso URL, la pagina appare normale.

Redirect nascosti (cloaked redirect)

L'attaccante modifica il tuo sito in modo che i visitatori che arrivano dai motori di ricerca vengano silenziosamente reindirizzati a un sito diverso (spesso una pagina di distribuzione malware, una pagina di phishing o una truffa di affiliazione). I visitatori che digitano il tuo URL direttamente non vengono reindirizzati, il che significa che potresti non notare il problema quando controlli il tuo sito.

Doorway page

Le doorway page sono pagine di bassa qualita create specificamente per posizionarsi per query di ricerca specifiche e poi convogliare i visitatori verso una destinazione diversa.

Backdoor shell

Anche se non direttamente visibili ai visitatori, le backdoor shell (script PHP che danno all'attaccante accesso remoto persistente al server) vengono spesso installate insieme agli hack visibili. Anche dopo aver pulito il contenuto spam, se non trovi la backdoor, l'attaccante puo reiniettare i propri contenuti nel giro di ore.

Come verificare se sei in blacklist

  1. Google Search Console: Controlla la sezione "Problemi di sicurezza". Questa e la fonte piu autorevole.
  2. Controllo Google Safe Browsing: Visita https://transparencyreport.google.com/safe-browsing/search e inserisci il tuo dominio.
  3. Ricerca site: Cerca site:tuodominio.com su Google. Se vedi pagine in lingue straniere, pagine con keyword farmaceutiche o pagine che non hai creato, il tuo sito e stato hackerato.
  4. Ricerca con keyword: Cerca site:tuodominio.com viagra o site:tuodominio.com cheap per rilevare contenuti iniettati.
  5. Verifica come Googlebot: Usa lo strumento Controllo URL in Search Console o cambia lo User-Agent del tuo browser in Googlebot per vedere cosa vede Google.
  6. Controllo blacklist: Strumenti come Sucuri SiteCheck, VirusTotal o MXToolbox scansionano piu blacklist contemporaneamente.

Il processo di pulizia

Passo 1: Identifica la portata completa

  • Scansiona tutti i file sul server per modifiche.
  • Controlla i file nuovi che non facevano parte del sito originale.
  • Esamina il database per contenuti iniettati.
  • Controlla gli account utente per aggiunte non autorizzate.
  • Esamina i file .htaccess per regole di redirect.
  • Controlla i cron job per script di reinfezione programmati.

Passo 2: Pulisci

  • Rimuovi tutti i file malevoli e i contenuti iniettati.
  • Rimuovi gli script backdoor.
  • Rimuovi gli account utente non autorizzati.
  • Pulisci il database dai contenuti iniettati.
  • Ripristina i file core modificati dalle versioni pulite.
  • Aggiorna tutto il software alle ultime versioni.
  • Cambia tutte le password.
  • Rigenera tutte le chiavi di sicurezza e salt.

Passo 3: Verifica

  • Scansiona il sito di nuovo per confermare che tutti i contenuti malevoli sono stati rimossi.
  • Controlla il sito come Googlebot per confermare che il contenuto cloaked e sparito.
  • Testa tutte le pagine per i redirect usando un referrer da motore di ricerca.
  • Monitora il sito per 24-48 ore per rilevare reinfezioni.

Passo 4: Richiedi la revisione

  1. Vai su Search Console > Problemi di sicurezza.
  2. Clicca "Richiedi revisione."
  3. Descrivi cosa e successo e cosa hai fatto per risolvere. Sii specifico. Google vuole sapere che hai identificato la causa principale e l'hai affrontata.
  4. Aspetta. Il processo di revisione di Google richiede tipicamente da pochi giorni a qualche settimana.

Tempistica del recupero

FaseDurataCosa succede
Dal rilevamento alla pulizia1-7 giorniIdentifica l'hack, pulisci il sito, mettilo in sicurezza
Dalla richiesta di revisione all'approvazione3 giorni - 4 settimaneGoogle esamina il tuo sito e approva o rifiuta
Rimozione avvisoImmediata dopo l'approvazioneGli avvisi del browser scompaiono
Recupero traffico al 50%1-3 mesiIl traffico organico torna lentamente
Recupero traffico all'80%3-6 mesiIl posizionamento migliora gradualmente
Recupero completo6-12 mesi (a volte mai)Ripristino completo del posizionamento e traffico precedenti

Alcuni siti non recuperano mai completamente il posizionamento precedente. Se l'hack era grave e il sito e stato segnalato per un periodo prolungato, la fiducia di Google nel dominio potrebbe essere permanentemente ridotta.

Impatto sulla recapitabilita delle email

Quando il tuo dominio viene segnalato come malevolo, il danno si estende oltre il traffico web. Anche la recapitabilita delle email ne soffre.

  • Sistemi di reputazione basati sul dominio: I provider email come Gmail, Outlook e Yahoo mantengono punteggi di reputazione non solo per gli indirizzi IP ma per i domini mittenti.
  • Scansione dei link: Quando il tuo dominio appare nelle email (come l'URL del sito nella firma o nel contenuto della newsletter), i provider email scansionano quei link. Se la destinazione e segnalata come pericolosa, l'email potrebbe finire nello spam.

La prevenzione costa meno del recupero

Costi di un hack

Categoria di costoRange stimato (CHF)
Pulizia d'emergenza (servizio professionale)2.000 - 8.000
Mancati ricavi durante il downtime5.000 - 50.000+
Mancati ricavi durante il periodo di recupero (3-12 mesi)10.000 - 100.000+
Maggiore spesa pubblicitaria per compensare3.000 - 20.000
Costi legali e di conformita (se i dati dei clienti sono stati violati)5.000 - 50.000+

Costo potenziale totale di un hack: CHF 26.000 - 233.000+

Costi della prevenzione

Misura preventivaCosto annuo stimato (CHF)
Aggiornamenti di sicurezza e manutenzione regolari1.200 - 3.600
Web Application Firewall (WAF)200 - 1.200
Monitoraggio e scansione di sicurezza300 - 1.200
Audit di sicurezza annuale2.000 - 5.000
Hosting sicuro (VPS o basato su CDN)240 - 1.200

Costo annuo totale della prevenzione: CHF 3.940 - 12.200

La prevenzione costa circa il 5-10% del costo del recupero. E la prevenzione evita i mancati ricavi, il danno reputazionale e lo stress che nessuna quantita di denaro puo compensare completamente.

Per un approccio sistematico alla prevenzione, consulta la nostra checklist per audit di sicurezza sito web.

Prossimi passi

In Envestis gestiamo entrambi i lati di questo problema: prevenzione tramite audit di sicurezza e hardening, e recupero quando le cose vanno male. Abbiamo aiutato aziende a Lugano e in tutta la Svizzera a ripulire siti hackerati, rimuovere avvisi blacklist di Google e implementare le misure di sicurezza necessarie per prevenire ricorrenze.

Se il tuo sito e stato hackerato e hai bisogno di aiuto con la pulizia e il recupero, o se vuoi prevenire che questo accada, contattaci. Prima agisci, piu veloce sara il recupero.

Vuoi sapere se il tuo sito è sicuro?

Richiedi un audit di sicurezza gratuito. In 48 ore ricevi un report completo.

Richiedi Audit Gratuito

Articoli Correlati

Sicurezza

Vulnerabilita di WordPress nel 2025: Perche il Tuo Sito e Ancora a Rischio

WordPress alimenta oltre il 40% del web, ma la sua popolarita lo rende il bersaglio principale per gli attaccanti. Analizziamo le classi di vulnerabilita piu comuni, CVE reali dell'ultimo anno e passaggi concreti per rafforzare la tua installazione.

· 18 min di lettura
Sicurezza

SPF, DKIM e DMARC: Proteggi la Tua Azienda dallo Spoofing Email

Lo spoofing email costa alle aziende miliardi ogni anno tramite frodi BEC e phishing. SPF, DKIM e DMARC sono tre protocolli che, configurati correttamente, rendono quasi impossibile impersonare il tuo dominio.

· 15 min di lettura
Sicurezza

Pagine Admin Esposte: Un Regalo per gli Hacker

Le vostre pagine /wp-admin, /admin o /login sono visibili a tutto internet. I bot le stanno scansionando proprio ora. Il CAPTCHA da solo non vi salvera. Ecco come gli attaccanti sfruttano i pannelli admin esposti e cosa dovreste fare.

· 13 min di lettura

Contatto Rapido