Attacchi supply chain WordPress: backdoor dormienti e RCE nei plugin
Analisi tecnica degli attacchi supply chain WordPress: backdoor dormienti, RCE e aggiornamenti compromessi nei plugin Quick Page ed Essential.
Contenuto
Può un aggiornamento automatico trasformarsi nell'arma più letale contro il tuo sito web? A sole due settimane dal massiccio caso Essential Plugin, l'ecosistema WordPress è di nuovo sotto shock per una backdoor dormiente da circa 5 anni nel plugin Quick Page/Post Redirect. Il 30 aprile 2026 WordPress.org ha rimosso temporaneamente l'estensione, evidenziando come gli attaccanti sfruttino la fiducia negli aggiornamenti e la longevità del codice per iniettare malware e spam SEO cloaked.
Il caso Quick Page/Post Redirect: una backdoor lunga 5 anni
Il 30 aprile 2026, WordPress.org ha rimosso temporaneamente il plugin Quick Page/Post Redirect in attesa di una revisione completa della sicurezza. La rimozione ha portato alla luce una compromissione senza precedenti per la sua longevità: il plugin conteneva una backdoor aggiunta circa 5 anni fa (circa 2021) che permetteva l'iniezione di codice arbitrario tramite un meccanismo di auto-aggiornamento nascosto. La backdoor, infatti, era restata silenziosa e invisibile per mezzo decennio.
Gli attaccanti hanno ideato un meccanismo di auto-aggiornamento nascosto che bypassava i canali ufficiali di WordPress. Questo sistema compromesso puntava al dominio esterno anadnet[.]com per scaricare codice arbitrario in qualsiasi momento. Attraverso questo canale di comunicazione clandestino, una build 5.2.3 manomessa è stata pushata dal server esterno direttamente sui siti infetti. Questa versione alterata aggiungeva una backdoor SEO passiva, che si attivava modificando i contenuti tramite il filtro 'the_content', ma esclusivamente per gli utenti disconnessi (logged-out users), applicando una tecnica di cloaking per evitare di essere rilevata dagli amministratori del sito.
Le dinamiche dell'attacco Essential Plugin di aprile 2026
Sebbene gli attacchi condividano l'obiettivo della spam SEO cloaked, è fondamentale distinguere l'incidente di Quick Page/Post Redirect dalla massiccia compromissione che ha colpito l'azienda Essential Plugin a metà aprile 2026. In questo secondo caso, la minaccia non derivava da un codice dormiente da anni, ma da una acquisizione malevola. All'inizio del 2025, Essential Plugin è stata venduta a un acquirente con un background nel settore SEO e crypto. L'acquirente ha sfruttato la nuova posizione per inserire una backdoor RCE (Remote Code Execution) tramite un modulo appositamente creato, denominato wpos-analytics.
La vulnerabilità, introdotta e rilevata nell'ecosistema intorno all'8 agosto 2025, sfruttava una funzione unserialize() e un endpoint REST API non autenticato. La backdoor è rimasta dormiente per circa 8 mesi. L'attivazione è avvenuta tra il 5 e il 6 aprile 2026, iniettando codice in wp-config.php per garantirsi la persistenza. L'8 aprile 2026, WordPress.org ha reagito chiudendo permanentemente i 31 plugin del portafoglio Essential Plugin e forzando un auto-aggiornamento (versione 2.6.9.1) per neutralizzare la logica di phone-home.
Come gli attaccanti sfruttano la fiducia nella supply chain
Questi due episodi consecutivi dimostrano come gli attacchi alla supply chain stiano diventando il vettore preferito per compromettere i siti WordPress. Sfruttando la fiducia degli utenti negli aggiornamenti automatici e la longevità dei plugin presenti nelle directory ufficiali, gli attaccanti riescono a iniettare codice malevolo su larga scala. L'acquisizione di Essential Plugin da parte di un acquirente con background SEO e crypto ha permesso di inserire una backdoor RCE rimasta dormiente per circa 8 mesi prima di attivarsi. Allo stesso modo, Quick Page/Post Redirect è stato compromesso circa 5 anni fa con un meccanismo di auto-aggiornamento nascosto che puntava a domini esterni per scaricare codice arbitrario.
Prevenzione e mitigazione degli accessi non autorizzati
Di fronte a minacce così sofisticate, in cui è il meccanismo di aggiornamento stesso a essere compromesso, la semplice fiducia nel repository ufficiale non è più sufficiente. Le contromisure ufficiali si sono dimostrate necessarie: nel caso di Essential Plugin, WordPress.org ha chiuso permanentemente i 31 plugin e l'8 aprile 2026 ha forzato un auto-aggiornamento (v2.6.9.1) per neutralizzare la logica di phone-home. Per Quick Page/Post Redirect, WordPress.org ha rimosso temporaneamente il plugin il 30 aprile 2026 in attesa di revisione. La longevità delle backdoor dormienti rende essenziale monitorare il traffico di rete in uscita verso domini esterni non autorizzati, come anadnet[.]com, e analizzare le modifiche non autorizzate ai file critici del sistema, come accaduto per wp-config.php.
Domande frequenti
- Come avvengono gli attacchi supply chain in WordPress?
- Gli attaccanti compromettono il canale di distribuzione del software, ad esempio acquisendo un'azienda sviluppatrice o inserendo codice malevolo in un aggiornamento ufficiale. Sfruttando la fiducia degli utenti negli aggiornamenti automatici, il malware viene installato direttamente sui siti vittima senza richiedere interazione diretta.
- Qual è il rischio delle backdoor dormienti nei plugin?
- Una backdoor dormiente rimane inattiva per mesi o anni, rendendo la sua individuazione estremamente difficile. Permette agli attaccanti di accumulare un vasto numero di siti infetti prima di attivare simultaneamente il payload, come l'iniezione di spam SEO cloaked o la modifica dei file di configurazione del database.
- Cosa è successo ai plugin Essential Plugin e Quick Page/Post Redirect?
- I 31 plugin di Essential Plugin sono stati chiusi permanentemente l'8 aprile 2026 dopo che una backdoor RCE, dormiente per circa 8 mesi, è stata attivata iniettando codice in wp-config.php. Il 30 aprile 2026, Quick Page/Post Redirect è stato rimosso temporaneamente da WordPress.org a causa di una backdoor aggiunta circa 5 anni fa che permetteva l'iniezione di codice arbitrario tramite un meccanismo di auto-aggiornamento nascosto.
Riepilogo degli incidenti
Gli attacchi supply chain a WordPress evidenziano due principali vettori di compromissione: l'iniezione di codice dormiente nei canali di aggiornamento (Quick Page/Post Redirect, circa 5 anni) e l'acquisizione malevola di sviluppatori per introdurre backdoor RCE (Essential Plugin, circa 8 mesi dormiente). WordPress.org ha risposto con la rimozione temporanea, la chiusura permanente e l'auto-aggiornamento forzato (v2.6.9.1) per neutralizzare le logiche di phone-home. Monitorare il traffico verso domini come anadnet[.]com e le modifiche a wp-config.php resta fondamentale per la sicurezza del perimetro.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Fonti
- https://xlogic.org/blog/che-cosa-sono-gli-attacchi-alla-supply-chain-e-come-stanno-aumentando-nei-plugin-wordpress.html/
- https://www.ilsoftware.it/wordpress-attacco-backdoor-plugin/
- https://prothect.it/attacco/attacco-hacker-wordpress-backdoor-javascript/
- https://www.cybersecurity360.it/nuove-minacce/wordpress-la-backdoor-si-nasconde-in-temi-e-plugin-come-difendersi/
- https://www.trendmicro.com/it_it/what-is/cyber-attack/supply-chain-attack.html