Servizi
Supply‑chain compromesso nei plugin Pro di ShapedPlugin

Di recente è stato scoperto un grave attacco alla supply‑chain dei plugin WordPress Pro di ShapedPlugin: aggiornamenti ufficiali tra aprile e giugno 2026 sono stati compromessi con codice malevolo, esponendo dati sensibili anche su siti che hanno seguito le migliori pratiche. L’allerta riguarda in particolare chi utilizza plugin come Product Slider Pro, Real Testimonials Pro e Smart Post Show Pro su WooCommerce.

Cosa è successo

Ricercatori di Wordfence hanno scoperto che il sistema di aggiornamento ufficiale di ShapedPlugin — usato per distribuire i plugin Pro a pagamento — è stato violato. Tra il 21 maggio e il 12 giugno 2026, alcuni aggiornamenti hanno incluso una backdoor (una piccola porta di accesso nascosta) all’interno del file di loader “LicenseLoader.php”. Quando l’amministratore accedeva al pannello WordPress, veniva scaricato un secondo malware mascherato da plugin legittimo (“woocommerce‑subscription” o “woocommerce‑notification”), nascosto dall’elenco dei plugin. Questo codice rubava credenziali, dati 2FA, informazioni sul database, ordini WooCommerce e altro ancora. La vulnerabilità è stata registrata come CVE‑2026‑10735 (CVSS 9.8); in alcuni casi si fa riferimento a CVE‑2026‑49777, con gravità massima CVSS 10.0, per Product Slider Pro. Le versioni gratuite dei plugin ospitate su WordPress.org risultano non compromesse.

Perché è importante

Se gestisci un e‑commerce o un sito aziendale con plugin Pro di ShapedPlugin, potresti essere a rischio anche se hai sempre aggiornato correttamente e legittimamente. L’attacco serve a liberare credenziali d’accesso, bypassare l’autenticazione a due fattori, inserire uno shell o un portale per scrivere file e accedere al tuo sito. Il pericolo concreto include furto di dati dei clienti, danneggiamento reputazionale o blocco del sito.

Cosa fare adesso

Come ti aiuta Evo Sistemi

Da Evo Sistemi possiamo supportarti in modo concreto:

Per una verifica gratuita o interventi dedicati, visita la nostra pagina contatti e parliamone insieme.

Domande frequenti

Il plugin gratuito è a rischio?

No, solo le versioni Pro distribuite tramite il sistema a pagamento di ShapedPlugin sono state compromesse; le versioni gratuite su WordPress.org risultano pulite.

Ho aggiornato regolarmente: sono al sicuro?

No: l’attacco ha sfruttato il sistema di aggiornamento stesso, quindi anche aggiornamenti legittimi potevano includere la backdoor.

Basta reinstallare il plugin aggiornato?

Può aiutare, ma non basta: il malware inserisce persistenza, quindi è fondamentale resettare credenziali, rigenerare 2FA e scansionare l’intero sito.

Fonte: Wordfence via Reddit (basato su report Wordfence).

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *