
Di recente è stato scoperto un grave attacco alla supply‑chain dei plugin WordPress Pro di ShapedPlugin: aggiornamenti ufficiali tra aprile e giugno 2026 sono stati compromessi con codice malevolo, esponendo dati sensibili anche su siti che hanno seguito le migliori pratiche. L’allerta riguarda in particolare chi utilizza plugin come Product Slider Pro, Real Testimonials Pro e Smart Post Show Pro su WooCommerce.
Cosa è successo
Ricercatori di Wordfence hanno scoperto che il sistema di aggiornamento ufficiale di ShapedPlugin — usato per distribuire i plugin Pro a pagamento — è stato violato. Tra il 21 maggio e il 12 giugno 2026, alcuni aggiornamenti hanno incluso una backdoor (una piccola porta di accesso nascosta) all’interno del file di loader “LicenseLoader.php”. Quando l’amministratore accedeva al pannello WordPress, veniva scaricato un secondo malware mascherato da plugin legittimo (“woocommerce‑subscription” o “woocommerce‑notification”), nascosto dall’elenco dei plugin. Questo codice rubava credenziali, dati 2FA, informazioni sul database, ordini WooCommerce e altro ancora. La vulnerabilità è stata registrata come CVE‑2026‑10735 (CVSS 9.8); in alcuni casi si fa riferimento a CVE‑2026‑49777, con gravità massima CVSS 10.0, per Product Slider Pro. Le versioni gratuite dei plugin ospitate su WordPress.org risultano non compromesse.
Perché è importante
Se gestisci un e‑commerce o un sito aziendale con plugin Pro di ShapedPlugin, potresti essere a rischio anche se hai sempre aggiornato correttamente e legittimamente. L’attacco serve a liberare credenziali d’accesso, bypassare l’autenticazione a due fattori, inserire uno shell o un portale per scrivere file e accedere al tuo sito. Il pericolo concreto include furto di dati dei clienti, danneggiamento reputazionale o blocco del sito.
Cosa fare adesso
- Controlla se nella cartella
wp-content/plugins/sono presenti directory sospette come woocommerce‑subscription o woocommerce‑notification, anche se non visibili nel pannello plugin. - Resetta tutte le password — WordPress, database, email, SMTP — e rigenera i codici 2FA.
- Verifica che non siano stati creati utenti amministratori non autorizzati.
- Aggiorna subito i plugin Pro alla versione pulita: Product Slider Pro ≥ 3.5.4; Real Testimonials Pro ≥ 3.2.5; Smart Post Show Pro ≥ 4.0.2.
- Esegui una scansione completa con un buon sistema di sicurezza (come Wordfence o altro).
- Monitora i log e verifica eventuali attività sospette (es. file caricati, impostazioni modificate, traffico anomalo).
Come ti aiuta Evo Sistemi
Da Evo Sistemi possiamo supportarti in modo concreto:
- Realizziamo (o rivediamo) il tuo e‑commerce per garantire aggiornamenti sicuri e flussi protetti.
- Ottimizziamo la SEO e il posizionamento in modo da non perdere visibilità in caso di incidenti tecnici.
- Implementiamo robusti sistemi di sicurezza informatica per proteggere il tuo sito da intrusioni, backdoor e vulnerabilità.
Per una verifica gratuita o interventi dedicati, visita la nostra pagina contatti e parliamone insieme.
Domande frequenti
Il plugin gratuito è a rischio?
No, solo le versioni Pro distribuite tramite il sistema a pagamento di ShapedPlugin sono state compromesse; le versioni gratuite su WordPress.org risultano pulite.
Ho aggiornato regolarmente: sono al sicuro?
No: l’attacco ha sfruttato il sistema di aggiornamento stesso, quindi anche aggiornamenti legittimi potevano includere la backdoor.
Basta reinstallare il plugin aggiornato?
Può aiutare, ma non basta: il malware inserisce persistenza, quindi è fondamentale resettare credenziali, rigenerare 2FA e scansionare l’intero sito.