Il 16 giugno 2026 è emerso un attacco supply‑chain che ha compromesso i canali CDN utilizzati da plugin molto diffusi su WordPress: OptinMonster, TrustPulse e PushEngage. Sebbene non tutti abbiano subito un’infezione, l’attacco ha messo a rischio oltre un milione di siti, creando account amministratore nascosti e backdoor difficili da rilevare.
Cosa è successo
Security researchers, tra cui Sansec, hanno individuato un attacco attivo tra il 12 e il 13 giugno 2026. I criminali hanno sfruttato una vulnerabilità nel plugin UpdraftPlus su un server di marketing di Awesome Motive, ottenendo così le credenziali per il CDN usato da OptinMonster, TrustPulse e PushEngage. Con queste credenziali hanno manipolato i file JavaScript distribuiti, iniettando codice maligno che attivava il payload solo quando un amministratore WordPress era connesso.
Il codice maligno creava account admin occulti (es. developer_api1, dev_xxxxxx), installava plugin backdoor nascosti (ad esempio “Content Delivery Helper” o “Database Optimizer”) e inviava le credenziali verso un dominio simile a quello legittimo di Tidio (tidio.cc). Anche dopo la rimozione del codice compromesso dai CDN, i siti con account o plugin malevoli restano vulnerabili. Le ipotesi di siti esposti superano il milione, con OptinMonster da solo installato su oltre 1,2 milioni di siti.
Perché è importante
- Non basta aggiornare o disattivare i plugin compromessi: i siti potrebbero già essere infettati con account admin nascosti e backdoor persistenti.
- Anche con plugin aggiornati, il semplice caricamento di uno script da CDN compromesso può compromettere l’intero sito senza lasciare tracce visibili nel pannello di controllo.
- Aziende con e‑commerce, CRM o funzionalità amministrative online rischiano il furto di dati, defacement, installazione di codice arbitrario o l’uso del sito come veicolo per attacchi futuri.
Cosa fare adesso
- Verifica la presenza di account amministratore sospetti (es. developer_api1, dev_xxxxxx) direttamente in database o via server, non solo dal pannello WP.
- Controlla la cartella wp-content/plugins per plugin nascosti con nomi sospetti come “Content Delivery Helper” o “Database Optimizer”.
- Analizza i log per traffico verso tidio.cc o verso indirizzi IP sospetti; cambia password admin, chiavi API, credenziali database e sali di sicurezza WordPress.
- Effettua una scansione malware lato server con strumenti come Wordfence o Sucuri; considera una pulizia professionale.
- Implementa l’integrity check per gli script esterni (SRI), limita gli account admin, attiva l’autenticazione a due fattori e monitora attività anomale.
Come ti aiuta Evo Sistemi
Con Evo Sistemi puoi:
- ricevere realizzazione siti web con architetture aggiornate e sicure;
- proteggere la tua piattaforma con servizi di sicurezza informatica che includono audit, rimozione malware, hardening e monitoraggio continuo;
- garantire visibilità e resilienza con SEO e posizionamento, assicurando una presenza solida anche in caso di attacchi o downtime.
Per una verifica immediata del tuo sito o una valutazione personalizzata, contattaci: contatti Evo Sistemi.
Domande frequenti
Sono infettato anche se ho aggiornato o disattivato i plugin?
Sì. L’attacco si è verificato via CDN, quindi anche aggiornando o disattivando il plugin, i backdoor o account amministratore potrebbero essere ancora presenti.
Come posso capire se il mio sito è stato compromesso?
Controlla direttamente via server o database la presenza di account amministratori sospetti (developer_api1, dev_xxxxxx), plugin nascosti e traffico verso tidio.cc; effettua una scansione malware approfondita.
È sufficiente disattivare i plugin a rischio?
No. Disattivare il plugin non elimina le backdoor già installate o gli account creati: è necessario una pulizia completa e un audit.
Fonte: TechRadar.