Nelle ultime settimane ho ricevuto diverse segnalazioni da Google Search Console e anche da clienti stessi che mi inoltravano le notifiche di SC, perchè all’improvviso sono spuntate URL mai viste prima:
/wp-admin/*, /wp-*.php, percorsi con asterischi finali, stati come 403 – accesso non autorizzato o bloccata da robots.txt.

La mia prima reazione stata: “oddio non è che hanno hackerato il sito!?“

Ma dopo aver approfondito online l’argomento la risposta breve è: no, nella maggior parte dei casi non è un problema. Ma vediamo meglio nel dettaglio cosa sono e quando invece preoccuparsi!

Cosa sono le URL con asterisco in Google Search Console

Le URL con * finale non sono pagine reali del sito.

Google Search Console usa l’asterisco per indicare pattern di URL, ovvero dei gruppi di percorsi che condividono la stessa struttura.
Ad esempio:

• /wp-admin/* = qualsiasi URL che inizia con /wp-admin/
• /wp-*.php = qualsiasi file PHP che inizia con wp-

Non stai quindi vedendo una singola pagina indicizzata, ma un insieme di tentativi di accesso o scansione.

Perché compaiono percorsi come /wp-admin/* o /wp-*.php

Da quello che ho capito ci sono diversi motivi (tutti abbastanza comuni nei siti sviluppati con WordPress).

1. Googlebot scansiona percorsi standard di WordPress

Google conosce molto bene la struttura di WordPress e percorsi come:

• /wp-admin/
• /wp-login.php
• file wp-*.php

sono standard e Googlebot prova comunque a raggiungerli, anche se non dovrebbero essere indicizzati.
Per cui, quando il bot trova un blocco (robots.txt o 403), lo segnala nei report tecnici.

Cos’è Googlebot? Si tratta di un programma automatico di Google che visita i siti web per leggere le pagine e capire quali contenuti possono comparire nei risultati di ricerca.

2. Bot automatici e scanner di terze parti

Oltre a Googlebot il tuo sito riceve richieste anche da scanner di terze parti come bot di scansione, tool automatici e non solo.

Anche se il server risponde correttamente con 403 o con un blocco da robots.txt, Google registra che quei percorsi esistono come tentativi, ed ecco che li mostra in Search Console sotto forma di pattern (ma questo non significa che il sito sia bucato!).

3. Raggruppamento automatico nei report di Search Console

Search Console non mostra sempre URL “reali e singole” e quando Google intercetta molte richieste simili tende a raggrupparle usando wildcard (*) per rendere il report leggibile.

In questo caso è proprio un un comportamento del tool, non un errore del sito.

Cosa significano “403” e “bloccata da robots.txt”?

Bloccata da robots.txt

È esattamente ciò che dovrebbe succedere! Nel robots.txt di un sito WordPress è normale trovare regole che indicano a Google cosa seguire e cose no, ad esempio:

Disallow: /wp-admin/

In questo caso, Google prova ad accedere, trova il blocco e lo segnala. Ovviamente, bisogna assicurarsi che le URL siano di servizio / tecniche e che effettivamente siano volutamente bloccate. Se rilevi pagine di servizio o prodotto… allora forse vale la pena far fare un controllino da qualche espero SEO!

Bloccata a causa di un accesso non autorizzato (403)

Il server ha risposto correttamente: “Qui non puoi entrare”.

Anche questo è un comportamento sano, soprattutto per file PHP sensibili o aree di amministrazione.

Perché queste URL compaiono all’improvviso

La risposta è: boh. 😂 Da quello che ho capito può succedere perché:

• Google ha intensificato il crawling
• è cambiato qualcosa lato server (regole più restrittive → più 403)
• è aumentato il traffico di bot automatici
• Search Console ha aggiornato il modo in cui raggruppa i report

Molti web designer, SEO e proprietari di siti hanno notate ondate improvvise di URL simili, senza aver toccato nulla sul sito… In questo momento non ti so dire il perché, in quanto nemmeno io l’ho compreso.

Hey! Se tu sai qualcosa che io non so o credi stia dicendo qualche imprecisione, o ancora puoi arricchire questo articolo con alcune informazioni aggiuntive, ti invito a scrivermi! Mi fa sempre piacere confrontarmi con altri professionisti!

Sono un problema per la SEO?

Nella stragrande maggioranza dei casi: no.

• Non vengono indicizzate
• Non compaiono nei risultati di ricerca
• Non “rubano” ranking alle pagine vere
• Non penalizzano il sito

Google stesso considera normali questi segnali per CMS diffusi come WordPress. Ma io non mi occupo direttamente di SEO per cui, come sempre, affidarsi a un* professionista è un must!

Quando è il caso di fare un controllo extra

Vale la pena approfondire solo se:

• le URL aumentano in modo anomalo e continuo
• noti rallentamenti del sito
• ricevi alert di sicurezza dal tuo hosting o da plugin come Wordfence
• vedi URL sospette che non rientrano nei classici pattern WordPress

Ecco, in tutti questi casi, ti suggerisco di contattare un professionista (web designer / programmatore / SEO strategist) per comprendere al meglio la situazione!

Conclusione

Vedere URL come /wp-admin/* o /wp-*.php in Google Search Console è normale su un sito WordPress.
Non indica un attacco in corso né un problema SEO, ma solo il modo in cui Google registra i tentativi di scansione e i blocchi correttamente attivi.

Se il tuo sito funziona, non hai alert di sicurezza e queste URL risultano bloccate, in teoria è tutto ok! Ma se ti restano altri dubbi, puoi contattami e possiamo analizzare al meglio la situazione! 😉