
Una server criminale è stato lasciato esposto per tre settimane, svelando un’operazione massiva chiamata WP‑SHELLSTORM: con exploit automatizzati su plugin vulnerabili, migliaia di siti WordPress (e alcuni Joomla) sono stati compromessi con web shell. Un campanello d’allarme per PMI e professionisti con siti aziendali.
Cosa è successo
I ricercatori di SOCRadar e Ctrl‑Alt‑Intel hanno trovato un server usato da un gruppo criminale — reso pubblico da un errore di configurazione — contenente strumenti, log, indirizzi obiettivo (oltre 1,4 milioni di siti), web shell e script di attacco. L’operazione, chiamata WP‑SHELLSTORM, automatizzava la scansione e l’attacco di siti con plugin WordPress e Joomla non aggiornati.
In particolare, la falla più sfruttata era nel plugin Breeze (CVE‑2026‑3844): attivata con l’opzione “Host Files Locally – Gravatars”, ha colpito oltre 45.000 siti e installato web shell in oltre 17.000. Il totale dei siti realmente compromessi varia: Ctrl‑Alt‑Intel ne ha confermati circa 25.195, mentre SOCRadar ne ha rilevati oltre 5.700 ancora attivi.
Perché è importante
Per aziende, negozi online e liberi professionisti, questa operazione dimostra che non servono sofisticate vulnerabilità “zero‑day” per avere il proprio sito compromesso: basta un plugin non aggiornato. Plugin popolari come Breeze o componenti Joomla possono aprire la porta a chi può caricare malware e accedere a dati sensibili, danni alla reputazione, interruzioni del servizio e rischi di compliance.
Cosa fare adesso
- Aggiorna subito il plugin Breeze alla versione 2.4.5 (risolve CVE‑2026‑3844), soprattutto se hai attiva l’opzione “Host Files Locally – Gravatars”.
- Verifica eventuali compromissioni usando pattern conosciuti: file come down.php, .bd.php, .wp‑log.php o processi sospetti come “[kworker/X:Y]”.
- Aggiorna componenti Joomla critici, in particolare l’editor JCE (CVE‑2026‑48907).
- Rivedi la sicurezza generale: usa scan regolari, firewall applicativi (WAF), backup e isolamento tra sistemi.
- Monitora log e upload: processi sospetti o file nuovi possono segnalare una compromissione appena avvenuta.
Come ti aiuta Evo Sistemi
Evo Sistemi ti supporta con servizi mirati per tenere il tuo sito al sicuro:
- sicurezza informatica personalizzata, con audit, monitoraggio e difesa attiva.
- realizzazione siti web ottimizzati, con attenzione alla sicurezza fin dal primo click.
- compliance e GDPR per proteggere i dati dei tuoi clienti e adeguarti alle normative.
Per una consulenza gratuita e proteggere il tuo sito ora, contattaci: clicca qui.
Domande frequenti
Serve aggiornare anche se non uso Breeze o Joomla?
Sì: il problema evidenzia quanto sia importante mantenere tutti i plugin aggiornati, anche quelli meno critici, perché sono il punto d’ingresso più comune per attacchi automatizzati.
Se sono stato compromesso, cosa rischio davvero?
Un attacco riuscito può consentire di caricare codice maligno, rubare dati, modificare contenuti, compromettere database e spostarsi verso altri sistemi interni, con gravi conseguenze economiche e legali.
Il WAF basta a proteggere da questi attacchi?
Un WAF ben configurato aiuta, ma da solo non basta: serve una strategia completa che includa aggiornamenti, monitoraggio e risposta rapida agli incidenti.
Fonte: The Hacker News.