Backdoor dormiente attacca 30 plugin WordPress premium

Una grave minaccia alla sicurezza ha colpito l’ecosistema WordPress con la scoperta di una backdoor dormiente che ha compromesso oltre 30 plugin premium. Questa sofisticata operazione di cybercrime ha messo a rischio più di 20.000 siti web, dimostrando come gli attacchi supply-chain possano rimanere nascosti per mesi prima di attivarsi.

Come è avvenuto l’attacco ai plugin WordPress

I criminali informatici hanno orchestrato questa operazione attraverso l’acquisizione strategica di una software house specializzata nello sviluppo di plugin WordPress. L’acquisto è avvenuto tramite la piattaforma Flippa, permettendo agli attaccanti di ottenere il controllo legittimo di oltre 30 plugin premium sotto l’account “Essential Plugin”.

Una volta acquisito il controllo, i cybercriminali hanno inserito codice malevolo nel file class-anylc-admin.php, progettato per:

• Eseguire comandi remoti tramite deserializzazione PHP
• Rimanere invisibile ai sistemi di sicurezza tradizionali
• Attivarsi solo dopo un periodo di latenza predefinito

Il meccanismo della backdoor dormiente

La caratteristica più insidiosa di questo attacco è stata la sua natura dormiente. Il codice malevolo è rimasto completamente inattivo per otto mesi dopo essere stato distribuito attraverso un aggiornamento apparentemente normale dei plugin.

Il payload si è attivato simultaneamente su migliaia di siti tra il 5 e 6 aprile 2026, eseguendo le seguenti operazioni:

• Inserimento di spam SEO invisibile specificamente progettato per Googlebot
• Modifiche critiche al file wp-config.php per mantenere la persistenza
• Installazione di malware Linux correlato sui server compromessi

Tecniche di evasione avanzate

Gli attaccanti hanno utilizzato la deserializzazione PHP come vettore di attacco, una tecnica particolarmente efficace perché:

• Bypassa molti firewall tradizionali
• Non viene rilevata dai plugin di sicurezza standard
• Permette l’esecuzione di codice arbitrario senza lasciare tracce evidenti

Impatto e conseguenze dell’attacco

L’operazione ha avuto conseguenze devastanti per l’ecosistema WordPress, con oltre 20.000 siti web compromessi. I danni includono:

• Furto di dati sensibili attraverso l’accesso ai database
• Compromissione delle credenziali di amministratori e utenti
• Manipolazione dei contenuti per scopi SEO malevoli
• Installazione di backdoor permanenti nei file di sistema

Rischi per la SEO e la reputazione

Il malware ha implementato tecniche sofisticate di SEO poisoning, inserendo contenuti spam invisibili agli utenti ma visibili ai motori di ricerca. Questo può causare:

• Penalizzazioni da parte di Google
• Perdita di ranking nelle SERP
• Blacklisting del dominio
• Perdita di fiducia degli utenti

La risposta di WordPress e misure di contenimento

WordPress.org ha reagito rapidamente alla minaccia, implementando le seguenti misure di sicurezza:

• Chiusura permanente di tutti i 31 plugin compromessi il 7 aprile 2026
• Rimozione immediata dalla directory ufficiale
• Notifica di sicurezza a tutti gli amministratori interessati

Tuttavia, la rimozione dei plugin dalla directory non è sufficiente per bonificare i siti già compromessi, che richiedono interventi manuali di pulizia.

Come proteggere e bonificare i siti WordPress compromessi

Se sospetti che il tuo sito sia stato compromesso, segui immediatamente questa procedura di bonifica:

Scansione e identificazione

• Controlla il file wp-config.php per codice sospetto o modifiche non autorizzate
• Scansiona tutti i plugin installati, prestando particolare attenzione a quelli dell’account “Essential Plugin”
• Verifica i file di log per attività anomale o accessi non autorizzati
• Controlla le modifiche recenti nei file di sistema attraverso il pannello di hosting

Misure di sicurezza immediate

Per proteggere il tuo sito e prevenire futuri attacchi, implementa queste misure di sicurezza:

• Aggiorna WordPress all’ultima versione disponibile
• Installa un firewall WAF (Web Application Firewall) professionale
• Attiva il monitoraggio continuo dei log di sistema
• Rimuovi tutti i plugin sospetti e sostituiscili con alternative sicure
• Cambia tutte le password di amministratori e utenti

Bonifica completa del sistema

Per una bonifica completa, è necessario:

1. Eseguire un backup completo del sito prima di qualsiasi intervento
2. Scansionare tutti i file con strumenti specializzati anti-malware
3. Ripulire manualmente il codice malevolo identificato
4. Verificare l’integrità del database WordPress
5. Testare completamente il sito dopo la bonifica

Questo attacco rappresenta un campanello d’allarme per tutta la community WordPress, dimostrando l’importanza di implementare strategie di sicurezza multicapa e di monitoraggio continuo. La natura sofisticata dell’operazione evidenzia come i cybercriminali stiano evolvendo le loro tecniche, rendendo essenziale l’adozione di misure di sicurezza sempre più avanzate per proteggere i siti web e i dati degli utenti.