Trentuno plugin WordPress rimossi dalla directory ufficiale di WordPress.org in un solo giorno. Non perché fossero abbandonati o obsoleti, ma perché il portfolio da cui provenivano era stato compromesso dopo un cambio di proprietà e usato per distribuire codice malevolo ai siti che li avevano installati.

La storia è semplice e inquietante allo stesso tempo. Il portfolio “Essential Plugin”, una raccolta di plugin gratuiti con versioni premium costruita da un team indiano a partire dal 2015, è stato messo in vendita su Flippa a fine 2024 dopo un calo di fatturato. L’acquirente, identificato solo come “Kris” e con un profilo legato a SEO, criptovalute e marketing per il gioco d’azzardo online, ha pagato una cifra a sei zeri. Il primo commit nel codice sorgente dei plugin è stato la backdoor.

// affiliato ▸ AdGuard VPN · VPN veloce e rispettosa della privacy · Scopri i piani →

Otto mesi di silenzio, poi l’attivazione

L’aggiornamento malevolo è arrivato l’8 agosto 2025, camuffato da una banale nota di compatibilità con WordPress 6.8.2. Dentro c’erano 191 righe di PHP aggiuntive, incluso un meccanismo di deserializzazione che permetteva di eseguire codice controllato da remoto. Per otto mesi non è successo niente. Poi, tra il 5 e il 6 aprile 2026, il server di comando ha iniziato a distribuire i payload.

Il malware iniettava link spam e pagine false direttamente in wp-config.php, ma li mostrava solo a Googlebot, il crawler di Google. I proprietari dei siti non vedevano nulla di anomalo. Per rendere il tutto ancora più difficile da neutralizzare, il dominio del server di controllo veniva risolto tramite uno smart contract su Ethereum: anche abbattere il dominio non sarebbe bastato, perché l’attaccante poteva aggiornare il contratto e puntare altrove.

WordPress.org ha risposto il 7 aprile chiudendo permanentemente tutti i plugin dell’autore. Il giorno successivo, l’8 aprile, ha forzato un aggiornamento automatico che disattivava il meccanismo di chiamata al server malevolo, ma senza ripulire wp-config.php. Chi era già stato compromesso continuava quindi a servire spam a Google senza saperlo.

La lista dei plugin da controllare

Se gestisci siti WordPress, cerca questi plugin nell’installazione:

• WP Trending Post Slider and Widget
• Accordion and Accordion Slider
• Album and Image Gallery Plus Lightbox
• Audio Player with Playlist Ultimate
• Blog Designer for Post and Widget
• Countdown Timer Ultimate
• Featured Post Creative
• Footer Mega Grid Columns
• Hero Banner Ultimate
• HTML5 VideoGallery Plus Player
• Meta Slider and Carousel with Lightbox
• Popup Anything on Click
• Portfolio and Projects
• Post Category Image with Grid and Slider
• Post Grid and Filter Ultimate
• Preloader for Website
• Product Categories Designs for WooCommerce
• Responsive WP FAQ with Category
• SlidersPack – All in One Image Sliders
• SP News and Widget
• Styles for WP PageNavi – Addon
• Ticker Ultimate
• Timeline and History Slider
• Woo Product Slider and Carousel with Category
• WP Blog and Widgets
• WP Featured Content and Slider
• WP Logo Showcase Responsive Slider and Carousel
• WP Responsive Recent Post Slider
• WP Slick Slider and Image Carousel
• WP Team Showcase and Slider
• WP Testimonial with Widget

Se ne trovi uno, non basta rimuoverlo. Apri wp-config.php e controlla che non sia cresciuto di circa 6 KB: il codice iniettato si appende sulla stessa riga di require_once ABSPATH . 'wp-settings.php'; e può passare inosservato. Cerca anche un file chiamato wp-comments-posts.php (con la “s”, diverso dal legittimo wp-comments-post.php). Se trovi uno o entrambi questi segnali, il sito è stato compromesso e serve una pulizia completa, non solo la rimozione del plugin.

Il problema vero non è questo singolo attacco

Nello stesso periodo è emerso un caso analogo con Smart Slider 3 Pro, compromesso tramite il server di aggiornamento ufficiale del produttore. Un secondo attacco alla catena di fornitura nella stessa settimana, diverso nel metodo ma simile nell’effetto: codice malevolo distribuito attraverso un canale di update ritenuto affidabile.

Il problema vero è che il passaggio di proprietà di un plugin non attiva, almeno per quanto emerge da questo caso, notifiche agli utenti né una revisione aggiuntiva automatica del primo commit del nuovo proprietario. WordPress.org prevede un processo di trasferimento, soprattutto per i plugin più grandi, ma questo episodio mostra che il meccanismo non basta da solo a impedire un abuso della supply chain.

La lezione pratica è una sola: meno plugin installi, meno superficie di attacco hai. Un plugin che “fa una cosa carina” ma non è essenziale è un vettore di rischio che non ti stai tenendo gratis. Tienilo aggiornato, tienilo monitorato, o non tenerlo per niente.