Un recente attacco informatico ha preso di mira alcuni tra i plugin WordPress più diffusi, sfruttando una falla su un server di Awesome Motive per iniettare codice malevolo via CDN. Oltre un milione di siti WordPress è stato esposto al rischio di compromissione con amministratori nascosti e backdoor attive.
Cosa è successo
- Nel weekend del 12 giugno 2026, ricercatori di Sansec hanno scoperto un attacco supply‑chain che ha colpito i plugin OptinMonster, TrustPulse e PushEngage distribuiti via CDN da Awesome Motive ([bleepingcomputer.com](https://www.bleepingcomputer.com/news/security/optinmonster-wordpress-plugin-hacked-in-cdn-supply-chain-attack/?utm_source=openai)).
- Gli hacker hanno sfruttato una vulnerabilità nel plugin UpdraftPlus installato su un server di marketing interno ad Awesome Motive, ottenendo la chiave API della CDN ([securityaffairs.com](https://securityaffairs.com/193616/malware/supply-chain-attack-hits-popular-wordpress-plugins-through-awesome-motive-cdn.html?utm_source=openai)).
- Con la chiave rubata, hanno modificato gli script JavaScript distribuiti via CDN, che sono stati successivamente caricati da oltre un milione di siti WordPress ([planetjon.net](https://www.planetjon.net/news/cybersecurity/supply-chain-attack-on-wordpress-ecosystem-how-a-cdn-compromise-exposed-1-2-million-sites/?utm_source=openai)).
- Il codice malevolo si attivava solo se un amministratore WordPress era loggato: raccoglieva token di autenticazione e nonces per creare account admin nascosti e installare plugin backdoor con funzionalità complete di shell remota e file manager ([securityaffairs.com](https://securityaffairs.com/193616/malware/supply-chain-attack-hits-popular-wordpress-plugins-through-awesome-motive-cdn.html?utm_source=openai)).
- Anche dopo la rimozione degli script malevoli da parte di Awesome Motive, i siti già compromessi restavano sotto il controllo degli aggressori, grazie agli account e plugin nascosti ([techradar.com](https://www.techradar.com/pro/security/over-1-million-wordpress-sites-at-risk-after-popular-plugin-hacked-optinmonster-among-those-hit-in-cdn-supply-chain-attack?utm_source=openai)).
Perché è importante
Per professionisti, PMI e gestori di e-commerce questo incidente rappresenta un serio rischio:
- I plugin coinvolti sono molto diffusi: solo OptinMonster copre oltre 1 milione di installazioni ([planetjon.net](https://www.planetjon.net/news/cybersecurity/supply-chain-attack-on-wordpress-ecosystem-how-a-cdn-compromise-exposed-1-2-million-sites/?utm_source=openai)).
- L’attacco sfrutta la fiducia nelle risorse CDN: il sito può sembrare normale mentre riceve codice compromesso da fonti ritenute sicure ([securityaffairs.com](https://securityaffairs.com/193616/malware/supply-chain-attack-hits-popular-wordpress-plugins-through-awesome-motive-cdn.html?utm_source=openai)).
- I danni possono essere gravi: accesso completo al sito, furto di dati, modifiche non autorizzate, compromissione SEO, ecc.
Cosa fare adesso
- Controlla la presenza di account amministrativi sospetti come “developer_api1” o “dev_xxxxxx” nel pannello utenti.
- Esamina direttamente, via FTP o file manager, la cartella wp-content/plugins per cercare plugin nascosti con nomi come “content-delivery-helper” o “database-optimizer”.
- Esegui una scansione malware lato server con un servizio affidabile o un partner di sicurezza.
- Reimposta tutte le password da admin, API, database, e aggiorna i security salts di WordPress.
- Monitora eventuali attività sospette: sessioni admin inattese, modifiche di contenuti, nuovi plugin o temi installati.
Come ti aiuta Evo Sistemi
Da Evo Sistemi puoi contare su servizi concreti e affidabili per proteggere il tuo sito:
- sicurezza informatica: monitoraggio continuo, scansioni, rilevamento e rimozione malware.
- realizzazione siti web: architettura moderna e pensata per la sicurezza, aggiornamenti automatici e audit periodici.
- compliance e GDPR: protezione dei dati, gestione accessi e responsabilità legale in caso di incidente.
Non aspettare: contattaci per una consulenza mirata e mettere subito in sicurezza il tuo sito.
Domande frequenti
Ho usato OptinMonster o TrustPulse: devo agire subito?
Sì. Anche se il codice malevolo è stato rimosso, potresti già essere compromesso. Controlla gli account admin, fai scansioni e resetta credenziali.
L’attacco può riguardare altri plugin?
Per ora è confermato per OptinMonster, TrustPulse e PushEngage, ma è bene controllare sempre anche altre dipendenze esterne come CDN e librerie di terze parti.
Come evitare attacchi simili in futuro?
Implementa monitoraggio costante, usa fornitori che isolano ambienti marketing dai sistemi di produzione, e affiancati a un partner esperto in sicurezza IT.
Fonte: TechRadar.