// TOM'S HARDWARE ITALIA — CYBERSECURITY
Anche un aggiornamento sicuro può nascondere una backdoor
Un aggiornamento fidato può diventare il punto d'ingresso di un attacco. È quanto emerge dal caso ShapedPlugin, vendor di estensioni per WordPress, dove tre plugin premium sono stati distribuiti con codice malevolo tramite il canale ufficiale di update. Per gli amministratori è uno scenario difficile: l'azione che normalmente riduce il rischio, aggiornare, in questo caso poteva installare la minaccia.
Secondo l'analisi, l'incidente ha coinvolto Product Slider Pro for WooCommerce, Real Testimonials Pro e Smart Post Show Pro in specifiche versioni precedenti alle release corrette. Il malware installava una falsa estensione che imitava componenti WooCommerce, rubava credenziali e dava agli operatori la possibilità di scrivere file da remoto. Il tutto partiva da build scaricate dal sito del vendor, non da un repository pirata.
La catena è stata ricostruita da Wordfence: la backdoor sarebbe stata inserita nei pacchetti Pro a maggio, con prime segnalazioni a giugno e conferma dopo il download diretto delle versioni infette. ShapedPlugin ha dichiarato di aver avviato un'indagine e di stare preparando aggiornamenti validati. La base gratuita dei prodotti del vendor supera le 400.000 installazioni attive, anche se l'incidente descritto riguarda i plugin premium.
Il loader malevolo entrava in azione quando un amministratore accedeva al pannello WordPress. Da lì contattava un server di comando, scaricava un secondo stadio, installava una falsa estensione nascosta e poi cercava di cancellare le tracce. Le informazioni prese di mira includevano sessioni, ruoli utente, segreti di autenticazione a due fattori, credenziali del database, chiavi di wp-config.php e dati WooCommerce degli ultimi mesi.
La dinamica richiama altri casi recenti di contaminazione della supply chain software, come il worm Miasma finito su GitHub, ma qui il bersaglio è diverso: siti di produzione che si fidano del vendor e del suo updater. Per chi gestisce WordPress, la sola provenienza ufficiale non basta più come garanzia assoluta.
La risposta pratica passa da più livelli. Bisogna aggiornare alle versioni corrette, cercare plugin nascosti o nomi sospetti legati a WooCommerce, ruotare credenziali amministrative e database, controllare account creati di recente e verificare traffico in uscita anomalo. Nei siti e-commerce, la revisione deve includere anche ordini, metodi di pagamento e log di accesso degli amministratori.