Attacco Supply Chain su WordPress: 20+ Plugin Compromessi da EssentialPlugin

Un nuovo allarme sicurezza sta facendo tremare l’ecosistema WordPress. Il team di Patchstack ha scoperto un attacco di supply chain che ha compromesso oltre 20 plugin sviluppati da EssentialPlugin, con un impatto stimato su centinaia di migliaia di siti in tutto il mondo. Si tratta di uno degli attacchi più sofisticati degli ultimi anni e merita la massima attenzione da parte di chi gestisce siti WordPress.

Come è avvenuto l’attacco

EssentialPlugin, vendor che sviluppava plugin WordPress dal 2015 con oltre 100.000 installazioni attive totali, è stato venduto nel 2025 su Flippa a un acquirente di nome “Kris”. Il nuovo proprietario si è rivelato essere un malintenzionato. Il primo commit dopo l’acquisizione ha introdotto una backdoor in tutti i plugin, mascherata da un aggiornamento di compatibilità con WordPress 6.8.2.

Per sette mesi la backdoor è rimasta dormiente, fino al 5 aprile 2026, quando l’attaccante l’ha attivata facendo comunicare i plugin con un server remoto controllato (analytics.essentialplugin.com) che restituiva payload PHP malevoli serializzati.

I plugin più colpiti

Tra i plugin compromessi figurano nomi molto diffusi: WP Logo Showcase Responsive Slider and Carousel (30k+ installazioni), Popup Maker and Popup Anything (30k+), Countdown Timer Ultimate (20k+), WP Responsive Recent Post Slider (20k+), e molti altri. Il totale supera le 150.000 installazioni attive su WordPress.org.

La vulnerabilità permetteva di scrivere file PHP arbitrari sul server, portando a un compromissione totale del sito. Il WordPress Plugin Review Team ha rimosso tutti i plugin dal repository e forzato un aggiornamento di sicurezza che neutralizza la backdoor.

Perché è importante per i nostri clienti

Se hai clienti che utilizzano uno qualsiasi dei plugin EssentialPlugin elencati, devi agire immediatamente. Il consiglio è triplice: aggiornare subito alla versione più recente forzata da WordPress.org, verificare che nei file del sito non siano presenti file sospetti come wp-comments-posts.php e controllare che wp-config.php non presenti modifiche non autorizzate. Questo episodio ci ricorda quanto sia critico monitorare regolarmente i plugin installati, disattivare quelli non più mantenuti e diffidare da cambi di proprietà improvvisi dei vendor. Per le PMI toscane che gestiscono e-commerce o siti vetrina, un attacco del genere può significare perdita di dati, reputazione e fatturato. La prevenzione è l’unica arma efficace.

Link originale: Patchstack