Nella seconda metà di giugno 2026 è emerso un grave attacco supply‑chain che ha coinvolto plugin WordPress molto diffusi (OptinMonster, TrustPulse e PushEngage), mettendo a rischio oltre un milione di siti, soprattutto quelli con amministratori già loggati. Il problema è nato da un’infrastruttura compromessa, non dalle installazioni dirette dei plugin.
Cosa è successo
- Gli aggressori hanno sfruttato una vulnerabilità nel plugin UpdraftPlus installato su un server di marketing di Awesome Motive, azienda produttrice anche di OptinMonster, TrustPulse e PushEngage. ([techradar.com](https://www.techradar.com/pro/security/over-1-million-wordpress-sites-at-risk-after-popular-plugin-hacked-optinmonster-among-those-hit-in-cdn-supply-chain-attack?utm_source=openai))
- Hanno ottenuto una chiave API del loro servizio CDN e modificato gli script JavaScript distribuiti ai siti web tramite CDN. ([patchstack.com](https://patchstack.com/articles/supply-chain-attack-on-optinmonster-trustpulse-and-pushengage-tampered-cdn-scripts-auto-creating-rogue-admins/?utm_source=openai))
- Il codice malevolo si attivava solo quando un amministratore WordPress era loggato: raccoglieva token di autenticazione e nonce, creava account admin nascosti (es. “developer_api1” o “dev_xxxxxx”), installava backdoor e abilità di esecuzione remota di codice. ([techradar.com](https://www.techradar.com/pro/security/over-1-million-wordpress-sites-at-risk-after-popular-plugin-hacked-optinmonster-among-those-hit-in-cdn-supply-chain-attack?utm_source=openai))
- Anche dopo la rimozione degli script compromessi, i siti già infetti restavano vulnerabili a causa di account admin e plugin nascosti. ([techradar.com](https://www.techradar.com/pro/security/over-1-million-wordpress-sites-at-risk-after-popular-plugin-hacked-optinmonster-among-those-hit-in-cdn-supply-chain-attack?utm_source=openai))
- Il numero stimato di siti colpiti supera 1,2 milioni, secondo esperti come Sansec. ([aiweekly.co](https://aiweekly.co/alerts/optinmonster-cdn-hack-backdoors-12m-wordpress-sites?utm_source=openai))
Perché è importante
Per le piccole e medie imprese e i professionisti italiani, l’impatto è concreto:
- Possibile perdita di controllo del sito o dell’e-commerce.
- Rischio di furto di dati sensibili o compromissione delle funzionalità del sito.
- Backdoor difficili da individuare, attivabili solo in presenza di un amministratore loggato.
- Possibile danno alla fiducia degli utenti, interruzione del servizio o penalizzazioni nei motori di ricerca.
Cosa fare adesso
- Verifica la presenza di account admin sospetti con nomi tipo “developer_api1” o “dev_xxxxxx”.
- Controlla nella cartella
wp-content/pluginsla presenza di plugin nascosti o sospetti. - Esegui una scansione malware dal lato server con strumenti affidabili.
- Reimposta password di amministratore, chiavi API, credenziali database e WordPress security salts.
- Sostituisci eventuali plugin infetti e rimuovi gli account compromessi.
- Monitora attentamente log, accessi e attività sospette nei giorni successivi.
Come ti aiuta Evo Sistemi
In queste situazioni, Evo Sistemi può accompagnarti con servizi professionali:
- sicurezza informatica: analisi, scansione e rimozione di malware, verifica di backdoor e account abusivi;
- realizzazione siti web: progettazione e rifacimento sicuro di siti e-commerce o aziendali, con attenzione alla sicurezza from the start;
- SEO e posizionamento: recupero di indicizzazione e visibilità in caso di penalizzazioni post-incidente.
Se vuoi una verifica mirata del tuo sito o consigli sulla protezione futura, contattaci senza impegno.
Domande frequenti
Il mio sito è a rischio se uso solo OptinMonster aggiornato?
Potenzialmente sì: l’attacco non è avvenuto dalla versione del plugin, ma da uno script modificato via CDN. Anche siti aggiornati hanno potuto essere infettati.
Come faccio a sapere se il mio sito è stato compromesso?
Controlla account admin sospetti, cerca plugin nascosti in wp-content/plugins e fai una scansione malware dal lato server.
Serve disattivare UpdraftPlus per proteggersi?
Non è indispensabile disattivarlo ovunque, ma è essenziale mantenere i plugin aggiornati e limitare l’uso di funzioni come UpdraftCentral se non strettamente necessarie.
Fonte: TechRadar via BleepingComputer.