Il 16 giugno 2026 è emersa una grave compromissione della CDN di Awesome Motive, società dietro plugin WordPress diffusi come OptinMonster, TrustPulse e PushEngage. Gli aggressori, sfruttando credenziali rubate, hanno modificato script JavaScript distribuiti a oltre un milione di siti, aprendo la porta a takeover silenziosi dei back‐office.
Cosa è successo
Una vulnerabilità in un plugin (UpdraftPlus) presente su un server di marketing — non in produzione — di Awesome Motive ha permesso il furto delle credenziali API della sua CDN. Con questo accesso, gli aggressori hanno alterato gli script JavaScript distribuiti tramite la CDN per i plugin OptinMonster, TrustPulse e PushEngage. Questi script maligni venivano eseguiti solo quando un amministratore WordPress autenticato visitava il sito, rendendo l’attacco praticamente invisibile. Lo script ha raccolto token di autenticazione e nonce, creato account admin fraudolenti (es. con nomi tipo “developer_api1” o “dev_xxxxxx”), installato plugin nascosti e aperto backdoor per l’esfiltrazione di dati e il controllo remoto.
Perché è importante
Questo tipo di attacco alla catena di fornitura è particolarmente subdolo perché sfrutta infrastrutture apparentemente affidabili: anche aggiornamenti automatici possono diffondere malware. Se hai un sito, un e‑commerce o gestisci l’identità digitale della tua azienda tramite WordPress, rischi che utenti amministratori vedano il loro accesso compromesso e che perdano il controllo del sito o che dati sensibili vengano rubati o manipolati.
Cosa fare adesso
- Accedi subito alla dashboard di WordPress e verifica la presenza di account amministratori sospetti (“developer_api1”, “dev_xxxxxx”, ecc.), rimuovendoli.
- Controlla la cartella
wp-content/pluginsper plugin nascosti o file modificati; esegui una scansione approfondita con strumenti come Wordfence o Sucuri. - Reimposta tutte le credenziali: password admin, chiavi API, password del database e security salts.
- Aggiorna tutti i plugin direttamente dalla fonte ufficiale, evitando versioni cache o plugin non certificati.
- Verifica i log del server per attività sospette e valuta il ripristino da un backup precedente, se necessario.
Come ti aiuta Evo Sistemi
Evo Sistemi può supportarti con una diagnosi completa attraverso il servizio di sicurezza informatica, monitoraggio dei comportamenti sospetti e interventi rapidi per chiudere vulnerabilità come questa. Se sei preoccupato per l’affidabilità del tuo sito o del tuo e‑commerce in ottica futura, la nostra realizzazione siti web include misure preventive di protezione e aggiornamenti continui. Inoltre, possiamo aiutarti a rimanere conforme alle normative sulla privacy con il servizio di compliance e GDPR, fondamentale in caso di violazioni.
Per una consulenza mirata e interventi rapidi, contattaci pure: contatti.
Domande frequenti
Il mio sito è obbligato a utilizzare i plugin compromessi?
No: puoi sostituirli con alternative sicure o versioni aggiornate, purché provengano da fonti ufficiali.
Come so se il mio sito è stato compromesso se non vedo niente di strano?
Poiché lo script veniva eseguito solo su accessi admin, basta verificare la presenza di account sospetti, plugin nascosti o log anomali per identificate compromissioni.
È sufficiente aggiornare i plugin per risolvere il problema?
Aggiornare è fondamentale, ma non basta: devi rimuovere eventuali account rogue, reimpostare le credenziali e controllare la presenza di backdoor ancora attive.
Fonte: TechRadar.