
Un attacco supply‑chain ha colpito i plugin OptinMonster, TrustPulse e PushEngage, sfruttando una falla nel server di marketing di Awesome Motive (legato a UpdraftPlus) per iniettare JavaScript maligno via CDN. Chi visita il sito come amministratore WordPress può ritrovarsi con un accesso di backdoor installato, anche dopo la rimozione dello script compromesso.
Cosa è successo
Il 12 giugno 2026 è stato avviato un attacco supply‑chain: sfruttando una vulnerabilità nel plugin UpdraftPlus installato sul server di marketing di Awesome Motive, gli aggressori hanno ottenuto la chiave API del CDN. Hanno così modificato gli script JavaScript distribuiti tramite OptinMonster, TrustPulse e PushEngage, servendoli alle installazioni WordPress senza alterare i plugin locali ([patchstack.com](https://patchstack.com/articles/supply-chain-attack-on-optinmonster-trustpulse-and-pushengage-tampered-cdn-scripts-auto-creating-rogue-admins/?utm_source=openai)).
Il codice malevolo veniva eseguito solo quando un amministratore accedeva al sito, rubando token di autenticazione e nonce, creando account amministrativi nascosti (es. “developer_api1” o “dev_xxxxxx”) e installando plugin backdoor invisibili ([patchstack.com](https://patchstack.com/articles/supply-chain-attack-on-optinmonster-trustpulse-and-pushengage-tampered-cdn-scripts-auto-creating-rogue-admins/?utm_source=openai)). I plugin erano mascherati come “Content Delivery Helper” o “Database Optimizer” e garantivano l’accesso remoto e persistente al sito ([threat-modeling.com](https://threat-modeling.com/optinmonster-cdn-supply-chain-attack-june-2026/?utm_source=openai)).
Anche dopo la rimozione degli script infetti dal CDN, i siti compromessi restavano a rischio finché backdoor e account rogue non venivano rimossi manualmente ([techradar.com](https://www.techradar.com/pro/security/over-1-million-wordpress-sites-at-risk-after-popular-plugin-hacked-optinmonster-among-those-hit-in-cdn-supply-chain-attack?utm_source=openai)).
Perché è importante
- Coinvolti oltre 1,2 milioni di installazioni WordPress, con alcune stime fino a 1,4 milioni, per il solo OptinMonster ([orizon.sh](https://www.orizon.sh/insights/cdn-supply-chain-attacks-engineering-defense?utm_source=openai)).
- L’attacco non richiede plugin obsoleti: anche siti aggiornati hanno potuto ricevere il codice compromesso, perché la manipolazione avviene a livello di CDN ([patchstack.com](https://patchstack.com/articles/supply-chain-attack-on-optinmonster-trustpulse-and-pushengage-tampered-cdn-scripts-auto-creating-rogue-admins/?utm_source=openai)).
- I backdoor offrono un controllo completo al sito, potendo modificare file, eseguire codice arbitrario, e persino mantenere accesso anche dopo la rimozione del vettore iniziale ([techradar.com](https://www.techradar.com/pro/security/over-1-million-wordpress-sites-at-risk-after-popular-plugin-hacked-optinmonster-among-those-hit-in-cdn-supply-chain-attack?utm_source=openai)).
- Per le PMI e chi gestisce e‑commerce, significa potenziale furto di dati, compromissione dell’operatività e violazione delle normative sulla protezione dei dati.
Cosa fare adesso
- Verificare la presenza di account amministrativi sospetti, come “developer_api1” o con pattern “dev_xxxxxx”, ed eliminarli.
- Controllare il file system (wp-content/plugins) alla ricerca di plugin nascosti con nomi come “Content Delivery Helper” o “Database Optimizer” e rimuoverli.
- Effettuare scansioni server-side alla ricerca di malware o web shell presenti.
- Modificare immediatamente password admin, API key CDN, credenziali database e WordPress security salts.
- Monitorare il traffico verso domini sospetti (es. imitando Tidio, come tidio.cc) che potrebbero essere usati per esfiltrazione dei dati.
- Valutare l’adozione di tecnologie come Subresource Integrity (SRI) per bloccare script alterati provenienti da CDN ([orizon.sh](https://www.orizon.sh/insights/cdn-supply-chain-attacks-engineering-defense?utm_source=openai)).
Come ti aiuta Evo Sistemi
Da Evo Sistemi possiamo supportarti concretamente con servizi mirati:
- sicurezza informatica per identificare e rimuovere backdoor, rafforzare credenziali e monitorare anomalie;
- realizzazione siti web sicuri e aggiornati, con attenzione alle dipendenze esterne;
- compliance e GDPR, per tutelare i dati dei tuoi utenti e rispettare la normativa vigente.
Contattaci per una verifica personalizzata: possiamo aiutarti a mettere al sicuro il tuo sito WordPress. Parliamone qui.
Domande frequenti
Chi è stato colpito da questo attacco?
Siti WordPress che utilizzano OptinMonster, TrustPulse o PushEngage tra il 12 e 14 giugno 2026, quando il JavaScript maligno veniva servito dal CDN compromesso.
Il plugin locale deve essere aggiornato per essere al sicuro?
No: l’attacco avveniva a livello di CDN, quindi anche i siti con plugin aggiornati potrebbero essere stati esposti.
Basta rimuovere il plugin backdoor per risolvere il problema?
Non sempre. Anche dopo la rimozione del plugin compromesso, se esistono account rogue o altre backdoor, il rischio persiste finché non vengono eliminati manualmente e le credenziali restituite a uno stato sicuro.
Fonte: TechRadar.