Qualche settimana fa stavamo per avviare il redesign della homepage di un cliente con un prodotto SaaS. Prima di toccare qualsiasi cosa, come facciamo sempre, abbiamo fatto un controllo tecnico di base sul sito esistente. Quello che abbiamo trovato ci ha fermati.
La homepage era noindex. Non appariva su Google. Non per un problema tecnico recente: il tag era lì da tempo, probabilmente messo da qualcuno durante un test e mai rimosso. Il prodotto principale dell’azienda, la pagina che doveva convertire i visitatori in trial, era invisibile ai motori di ricerca da mesi.
Poi abbiamo trovato la seconda cosa. Nel codice del sito erano stati iniettati centinaia di link nascosti che puntavano a siti di gambling e contenuti illegali. Il sito era stato compromesso. I link erano invisibili all’occhio umano ma perfettamente leggibili dai crawler di Google. Il dominio stava lentamente accumulando penalizzazioni SEO che avrebbero impiegato mesi a recuperare.
Il cliente non lo sapeva. Non aveva nessun sistema di monitoraggio attivo. Il sito era online, sembrava funzionare, e nessuno lo guardava davvero dall’interno.
Come succede: la meccanica di un attacco spam injection
Non è fantascienza. È quello che succede sistematicamente ai siti WordPress non aggiornati, e la frequenza è molto più alta di quanto i proprietari di siti immaginino.
Un plugin non aggiornato ha una vulnerabilità nota. I bot la scansionano automaticamente su milioni di siti ogni giorno. Quando trovano un sito vulnerabile, iniettano codice nascosto: link a siti di gambling, farmaci, contenuti per adulti. L’obiettivo non è danneggiare il sito visibilmente: è usarlo come vettore di link building nero verso siti che altrimenti non riuscirebbero a posizionarsi.
Il proprietario del sito non si accorge di nulla perché il design non cambia, le funzionalità continuano a funzionare e non ci sono messaggi di errore visibili. L’attacco è progettato per essere invisibile. L’unico modo per scoprirlo è guardare il codice sorgente, controllare Google Search Console per segnalazioni di contenuti sospetti o usare strumenti di scanning specifici.
Problema: Link spam iniettati nel codice Causa: Plugin WordPress con versione non aggiornata, vulnerabilità nota sfruttata da bot automatici. Soluzione Blurr: Scan completo del codice con strumento dedicato, rimozione manuale dei link iniettati, aggiornamento di tutti i plugin e del core WordPress su staging prima di applicare in produzione, verifica con Google Search Console per eventuali penalizzazioni già registrate. Errore tipico: Malware: Injected Link Spam segnalato da Sucuri o Wordfence dopo lo scan.
Problema: Homepage noindex non rilevata Causa: Tag <meta name="robots" content="noindex"> inserito durante un test e mai rimosso, spesso per errore durante la configurazione di un plugin SEO. Soluzione Blurr: Verifica sistematica dei meta tag su tutte le pagine strategiche con Screaming Frog, controllo incrociato con Google Search Console per verificare le pagine escluse dall’indice. Errore tipico: la pagina risulta “Esclusa: tag ‘noindex'” nel report di copertura di Search Console ma nessuno controlla quel report regolarmente.
Le conseguenze che il cliente non vede subito
Il problema di questi attacchi è che le conseguenze non sono immediate. Un sito con spam injection non crasha, non mostra errori, non smette di funzionare. Le conseguenze arrivano piano, nel tempo, e quando diventano visibili il danno è già fatto.
Google impiega tempo a rilevare il pattern dei link spam e ad associarli al dominio. Ma quando lo fa, la penalizzazione sul posizionamento organico può essere significativa e lunga da recuperare. In alcuni casi, Google può emettere un’azione manuale che richiede un processo di reconsideration request esplicito, con tempi che vanno da settimane a mesi.
Per un’azienda SaaS come il nostro cliente, con un prodotto che dipende dal traffico organico per la generazione di trial, l’impatto economico di mesi di visibilità ridotta è molto più alto del costo di un piano di manutenzione annuale. Non c’è paragone.
La homepage noindex è ancora più immediata nelle sue conseguenze. Ogni giorno in cui quella pagina non appare su Google è un giorno in cui potenziali clienti che cercano il prodotto trovano i competitor invece. Non c’è modo di quantificare esattamente quanto traffico è andato perso, ma è un numero reale che si accumula ogni giorno.
Cosa include un monitoraggio serio
Il monitoraggio di un sito web non è un’unica cosa. È un insieme di verifiche che devono avvenire con frequenze diverse, alcune in tempo reale, alcune periodiche.
Uptime monitoring in tempo reale. Il sito deve essere online. Sembra ovvio, ma i downtime non pianificati esistono e senza un sistema di alerting automatico possono durare ore o giorni prima che qualcuno se ne accorga. Un downtime di sei ore su un sito ecommerce durante un weekend può valere migliaia di euro di vendite perse. Lo strumento non è costoso: ci sono soluzioni che monitorano ogni minuto e inviano un SMS in caso di problema.
Scan di sicurezza periodici. La verifica del codice per eventuali injection, malware o file modificati dovrebbe avvenire almeno settimanalmente su tutti i siti in produzione. Non è un’operazione manuale: strumenti come Wordfence, Sucuri o MalCare la fanno automaticamente e inviano alert quando trovano qualcosa di anomalo.
Verifica dell’indicizzazione su Google Search Console. Controllare regolarmente che le pagine strategiche siano correttamente indicizzate, che non ci siano errori di crawling, che non siano comparsi avvisi di sicurezza o azioni manuali. È una verifica che richiede cinque minuti e che quasi nessuno fa sistematicamente.
Aggiornamenti testati. WordPress, i plugin e il tema devono essere aggiornati regolarmente. Ma non direttamente in produzione: prima su staging, con verifica che tutto funzioni correttamente, poi in produzione. Un aggiornamento di plugin applicato direttamente in produzione senza test è una delle cause più frequenti di downtime imprevisti.
Nei piani di manutenzione che gestiamo per le agenzie partner, tutte queste verifiche sono automatizzate e documentate. Ogni quattro mesi l’agenzia riceve un report brandizzato con i propri dati che documenta tutto quello che è stato fatto: aggiornamenti applicati, scan di sicurezza eseguiti, uptime registrato, eventuali problemi rilevati e risolti. Il cliente vede il valore del servizio concretamente, non in modo astratto.
Perché quasi nessuno lo vende bene
Il piano di manutenzione è uno dei servizi più sottovalutati nel mercato delle agenzie web italiane. Non perché non sia utile: è utile, e i clienti che lo hanno capiscono immediatamente che ne vale la pena. Il problema è come viene presentato.
“Piano di manutenzione” suona come un costo fisso per qualcosa che sembra non fare nulla di visibile. “Monitoriamo il tuo sito per assicurarci che non succeda quello che è successo a questo cliente SaaS” è una storia concreta che il cliente capisce immediatamente.
La storia del cliente con la homepage noindex e lo spam injection da gambling è quella che raccontiamo spesso nelle conversazioni con nuovi clienti. Non per spaventare, ma per rendere concreto un rischio astratto. Funziona perché è vera, verificabile e specifica. I clienti che la sentono quasi sempre chiedono subito come funziona il piano di manutenzione.
Noi di Blurr gestiamo i piani di manutenzione per le agenzie partner in white label: l’agenzia rivende il servizio con il proprio brand e i propri margini, il cliente riceve un servizio professionale e documentato, e l’agenzia costruisce entrate ricorrenti stabili senza lavoro operativo aggiuntivo. Su blurr.it/servizi/ trovi come strutturiamo questo processo.
Per approfondire come costruire entrate ricorrenti con i piani di manutenzione, leggi come trattenere i clienti con piani di manutenzione che funzionano. Per capire come gestire la sicurezza WordPress su siti in produzione, leggi l’articolo dedicato. Per approfondire come strutturare la SEO tecnica che include anche la verifica dell’indicizzazione, leggi l’articolo dedicato.
FAQ
Con quale frequenza va monitorato un sito web? L’uptime va monitorato in tempo reale con alerting automatico. Gli scan di sicurezza vanno eseguiti almeno settimanalmente. La verifica dell’indicizzazione su Google Search Console va fatta mensilmente come minimo. Gli aggiornamenti di WordPress e plugin vanno applicati non appena disponibili, previo test su staging. Un sito abbandonato senza questi controlli accumula rischi in modo silenzioso che emergono solo quando il danno è già fatto.
Come si scopre se un sito è stato compromesso con spam injection? Con uno scan del codice tramite strumenti dedicati come Wordfence, Sucuri Scanner o MalCare. Una verifica manuale rapida è guardare il codice sorgente della homepage cercando link nascosti con display:none o visibility:hidden. Google Search Console mostra avvisi di sicurezza se ha già rilevato il problema, ma spesso l’injection viene scoperta prima tramite scan proattivo che aspettando la segnalazione di Google.
Quanto costa un piano di manutenzione professionale per un sito WordPress? I piani di manutenzione professionali per siti WordPress si collocano indicativamente tra i 30 e i 150 euro al mese in base alla complessità del sito e al livello di servizio incluso. Il costo è sempre inferiore al costo di un intervento di emergenza su un sito compromesso o penalizzato da Google, che può richiedere da 5 a 20 ore di lavoro tecnico specializzato. Per le agenzie che rivendono il servizio ai clienti finali, il margine medio è tra il 50 e il 150%.
Il tag noindex su una pagina strategica è recuperabile? Sì. Basta rimuovere il tag e attendere che Google ricrawli la pagina. Il tempo di recupero dipende dalla frequenza di crawl del sito e può variare da pochi giorni a qualche settimana. Se il sito aveva già un buon posizionamento prima del noindex, il recupero è quasi sempre completo. Se la pagina era noindex da molto tempo, potrebbe richiedere un periodo più lungo per ristabilire i segnali di ranking.