Servizi
Operazione WP‑SHELLSTORM: pericolo reale per WordPress e Joomla

Una server criminale è stato lasciato esposto per tre settimane, svelando un’operazione massiva chiamata WP‑SHELLSTORM: con exploit automatizzati su plugin vulnerabili, migliaia di siti WordPress (e alcuni Joomla) sono stati compromessi con web shell. Un campanello d’allarme per PMI e professionisti con siti aziendali.

Cosa è successo

I ricercatori di SOCRadar e Ctrl‑Alt‑Intel hanno trovato un server usato da un gruppo criminale — reso pubblico da un errore di configurazione — contenente strumenti, log, indirizzi obiettivo (oltre 1,4 milioni di siti), web shell e script di attacco. L’operazione, chiamata WP‑SHELLSTORM, automatizzava la scansione e l’attacco di siti con plugin WordPress e Joomla non aggiornati.

In particolare, la falla più sfruttata era nel plugin Breeze (CVE‑2026‑3844): attivata con l’opzione “Host Files Locally – Gravatars”, ha colpito oltre 45.000 siti e installato web shell in oltre 17.000. Il totale dei siti realmente compromessi varia: Ctrl‑Alt‑Intel ne ha confermati circa 25.195, mentre SOCRadar ne ha rilevati oltre 5.700 ancora attivi.

Perché è importante

Per aziende, negozi online e liberi professionisti, questa operazione dimostra che non servono sofisticate vulnerabilità “zero‑day” per avere il proprio sito compromesso: basta un plugin non aggiornato. Plugin popolari come Breeze o componenti Joomla possono aprire la porta a chi può caricare malware e accedere a dati sensibili, danni alla reputazione, interruzioni del servizio e rischi di compliance.

Cosa fare adesso

Come ti aiuta Evo Sistemi

Evo Sistemi ti supporta con servizi mirati per tenere il tuo sito al sicuro:

Per una consulenza gratuita e proteggere il tuo sito ora, contattaci: clicca qui.

Domande frequenti

Serve aggiornare anche se non uso Breeze o Joomla?

Sì: il problema evidenzia quanto sia importante mantenere tutti i plugin aggiornati, anche quelli meno critici, perché sono il punto d’ingresso più comune per attacchi automatizzati.

Se sono stato compromesso, cosa rischio davvero?

Un attacco riuscito può consentire di caricare codice maligno, rubare dati, modificare contenuti, compromettere database e spostarsi verso altri sistemi interni, con gravi conseguenze economiche e legali.

Il WAF basta a proteggere da questi attacchi?

Un WAF ben configurato aiuta, ma da solo non basta: serve una strategia completa che includa aggiornamenti, monitoraggio e risposta rapida agli incidenti.

Fonte: The Hacker News.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *