Un plugin dimenticato, un trojan invisibile
Come un sito WordPress può diventare un bersaglio

martedì 20 Maggio, 2025

Durante un controllo di routine su un sito cliente abbiamo individuato una vulnerabilità grave segnalata dal pannello Plesk relativa ad un plugin attivo sul sito non più aggiornato da anni.

Quando un plugin viene abbandonato purtroppo WordPress non segnala nulla, lasciando campo libero a eventuali exploit.

A questo punto l’abbiamo disinstallato rinunciando alle sue funzionalità per evitare qualsiasi tipo di problema.

Purtroppo però non era finita…

Analizzando la lista dei plugin, è emerso un elemento sospetto: un plugin chiamato “SEO VIP”, con una descrizione generica (“Utile per fare qualsiasi cosa SEO”), firmato apparentemente da Automattic (l’azienda che produce WordPress) e con un numero di versione improponibile, tipo 9.42.

Nessuno di noi aveva mai sentito parlare di detta estensione, né, tantomeno, l’aveva installata.

E così abbiamo provveduto a disattivarlo, scaricarlo in locale e analizzare il suo codice…

Ebbene, si trattava di un trojan capace di creare un utente amministratore da remoto, sfruttando una semplice chiamata URL.Come ci è arrivato lì? Molto probabilmente, attraverso una vulnerabilità del primo plugin che abbiamo dismesso!

Perché purtroppo i plugin abbandonati sono spesso vere e proprie bombe ad orologeria.

Sia chiaro possono continuare a funzionare perfettamente per anni e anni, ma nessuno li aggiorna, nessuno corregge eventuali falle di sicurezza e nessuno avvisa se diventano pericoloso.

E non è finita!

Anche i plugin che sono presidiati possono diventare un pericolo se gli sviluppatori non intervengono rapidamente dopo la scoperta di un exploit (un “varco” cioè che permette a malintenzionati di riprogrammarli a loro piacimento).

E quindi come si può difendere WordPress?

Per mettere davvero al sicuro il tuo sito, serve un approccio multilivello.

Ecco cosa consigliamo:

• Hosting professionale, dotato di strumenti come Plesk o cPanel che monitorano vulnerabilità e file sospetti.
• Controllo periodico dei plugin, soprattutto quelli che non ricevano aggiornamenti da mesi.
• Monitoraggio costante delle vulnerabilità note, anche tramite plugin che segnalano nuove vulnerabilità.
• Plugin di sicurezza attivi con protezione e alert in tempo reale.
• Backup esterni al provider: almeno uno settimanale, per avere sempre un punto di ripristino in caso di compromissione

E queste attività devono essere affidate a professionisti esperti di WordPress: solo chi conosce a fondo la piattaforma può individuare falle nascoste, prevenire attacchi e intervenire rapidamente prima che i problemi diventino danni reali.

Ovviamente questo servizio ha un costo, ma possiamo assicurarti che è decisamente più basso rispetto alle spese (e allo stress!) di dover recuperare un sito WordPress compromesso che può comportare:

• La perdita definitiva di contenuti, pagine e articoli.
• Dati degli utenti e clienti esposti o sottratti.
• Database infettati o danneggiati.
• Sito bloccato e dominio segnalato come pericoloso da Google.

Inoltre, se il sito va in down, rischi non solo un danno di immagine, ma anche di non ricevere più richieste, contatti e nuovi clienti, in poche parole di perdere fatturato…

Insomma, sembra evidente che il prezzo della prevenzione è sempre minore rispetto al costo dell’emergenza!

Perciò se vuoi dormire sonni tranquilli con il tuo sito WordPress ti invitiamo a scoprire il nostro servizio di supporto e ottimizzazione WordPress!

Esamina la nostra offerta e contattaci prima possibile e non aspettare che il tuo sito inizi a non funzionare!

Data: 20 Maggio 2025
Categorie: Digital Marketing
Autore: Enrico Ladogana
Letture articolo: 132