Servizi
Attacco supply‑chain su plugin WordPress: oltre 1 milione di siti a…

Un attacco supply‑chain ha colpito i plugin OptinMonster, TrustPulse e PushEngage, sfruttando una falla nel server di marketing di Awesome Motive (legato a UpdraftPlus) per iniettare JavaScript maligno via CDN. Chi visita il sito come amministratore WordPress può ritrovarsi con un accesso di backdoor installato, anche dopo la rimozione dello script compromesso.

Cosa è successo

Il 12 giugno 2026 è stato avviato un attacco supply‑chain: sfruttando una vulnerabilità nel plugin UpdraftPlus installato sul server di marketing di Awesome Motive, gli aggressori hanno ottenuto la chiave API del CDN. Hanno così modificato gli script JavaScript distribuiti tramite OptinMonster, TrustPulse e PushEngage, servendoli alle installazioni WordPress senza alterare i plugin locali ([patchstack.com](https://patchstack.com/articles/supply-chain-attack-on-optinmonster-trustpulse-and-pushengage-tampered-cdn-scripts-auto-creating-rogue-admins/?utm_source=openai)).

Il codice malevolo veniva eseguito solo quando un amministratore accedeva al sito, rubando token di autenticazione e nonce, creando account amministrativi nascosti (es. “developer_api1” o “dev_xxxxxx”) e installando plugin backdoor invisibili ([patchstack.com](https://patchstack.com/articles/supply-chain-attack-on-optinmonster-trustpulse-and-pushengage-tampered-cdn-scripts-auto-creating-rogue-admins/?utm_source=openai)). I plugin erano mascherati come “Content Delivery Helper” o “Database Optimizer” e garantivano l’accesso remoto e persistente al sito ([threat-modeling.com](https://threat-modeling.com/optinmonster-cdn-supply-chain-attack-june-2026/?utm_source=openai)).

Anche dopo la rimozione degli script infetti dal CDN, i siti compromessi restavano a rischio finché backdoor e account rogue non venivano rimossi manualmente ([techradar.com](https://www.techradar.com/pro/security/over-1-million-wordpress-sites-at-risk-after-popular-plugin-hacked-optinmonster-among-those-hit-in-cdn-supply-chain-attack?utm_source=openai)).

Perché è importante

Cosa fare adesso

Come ti aiuta Evo Sistemi

Da Evo Sistemi possiamo supportarti concretamente con servizi mirati:

Contattaci per una verifica personalizzata: possiamo aiutarti a mettere al sicuro il tuo sito WordPress. Parliamone qui.

Domande frequenti

Chi è stato colpito da questo attacco?

Siti WordPress che utilizzano OptinMonster, TrustPulse o PushEngage tra il 12 e 14 giugno 2026, quando il JavaScript maligno veniva servito dal CDN compromesso.

Il plugin locale deve essere aggiornato per essere al sicuro?

No: l’attacco avveniva a livello di CDN, quindi anche i siti con plugin aggiornati potrebbero essere stati esposti.

Basta rimuovere il plugin backdoor per risolvere il problema?

Non sempre. Anche dopo la rimozione del plugin compromesso, se esistono account rogue o altre backdoor, il rischio persiste finché non vengono eliminati manualmente e le credenziali restituite a uno stato sicuro.

Fonte: TechRadar.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *