Redazione 
Una nuova ondata di attacchi informatici sta colpendo la piattaforma WordPress, sfruttando falsi plugin di sicurezza per compromettere i siti e guadagnare accesso illimitato. Secondo una recente analisi di Wordfence, divisione di sicurezza del gruppo Defiant, i criminali informatici stanno distribuendo un malware mascherato da plugin chiamato WP-antymalwary-bot.php, progettato per sembrare uno strumento di protezione ma in realtà in grado di iniettare backdoor, eseguire codice da remoto e monetizzare tramite pubblicità fraudolente.
Il malware si finge protezione: come agisce
Il codice maligno, identificato per la prima volta nel gennaio 2025 dal ricercatore Marco Wotschka, si nasconde all’interno di plugin apparentemente legittimi. Le varianti scoperte – tra cui componenti-aggiuntivi.php, wpconsole.php, scr.php e wp-performance-booster.php – condividono lo stesso comportamento dannoso:
- Ottenere accesso amministrativo al sito WordPress
- Iniettare codice PHP nei file del tema
- Interferire con i plugin di caching
- Creare un file wp-cron.php che reinstalla il malware anche se rimosso
Inoltre, le versioni più recenti del malware incorporano script JavaScript che mostrano annunci spam o contenuti dannosi provenienti da domini compromessi. Secondo Sucuri, questi script mirano a frodi sui clic (click fraud) e malvertising, cioè pubblicità usate per diffondere malware.
Siti e-commerce e truffe su carte di credito: obiettivo Magento
Il problema non riguarda solo WordPress. Sucuri ha rilevato una campagna parallela che prende di mira i siti Magento, piattaforma e-commerce open-source, attraverso moduli di pagamento falsi camuffati come font web (italicfonts[.]org). Questi moduli raccolgono dati delle carte di credito e credenziali di accesso direttamente durante la fase di checkout.
Il trucco del file GIF e il furto di sessioni
Un’altra tecnica inquietante consiste nell’uso di file GIF falsi che agiscono da proxy inverso. Sebbene innocui all’apparenza, questi file nascondono script PHP in grado di intercettare il traffico, rubare cookie, leggere dati da sessionStorage e inviarli a server remoti controllati dagli attaccanti.
Attacchi AdSense e frodi pubblicitarie
Nel mirino anche la piattaforma Google AdSense. Gli esperti di Trustwave SpiderLabs hanno scoperto tentativi di iniettare codice nei siti WordPress per dirottare le impressioni pubblicitarie, mostrando annunci propri e sottraendo entrate ai legittimi proprietari. Il codice, mascherato tra le righe HTML, redireziona silenziosamente le visualizzazioni verso altri account pubblicitari.
CAPTCHA ingannevoli e trojan nascosti
Un’altra minaccia in evoluzione prevede l’uso di falsi prompt CAPTCHA per spingere l’utente a interagire con script dannosi. Questi attivano backdoor Node.js che installano Remote Access Trojan (RAT), capaci di:
- Eseguire comandi da remoto
- Fare ricognizione del sistema
- Tunnellare dati tramite SOCKS5
- Creare accesso persistente e invisibile
Queste attività sono collegate a un Traffic Distribution System (TDS) noto come Kongtuke (alias 404 TDS), un’infrastruttura che maschera e distribuisce codice malevolo a seconda del profilo della vittima.
Minacce globali, indizi locali
Nonostante non vi siano certezze sull’identità dei responsabili, la presenza di commenti in russo nel codice suggerisce un legame con gruppi di cybercriminali dell’Europa dell’Est. L’approccio modulare e distribuito degli attacchi indica una sofisticata rete di operazioni su scala globale, in cui WordPress è solo una delle tante piattaforme bersaglio.
Come proteggere il tuo sito WordPress: consigli pratici
Gli esperti raccomandano ai gestori di siti web e sviluppatori di seguire alcune best practice fondamentali:
- Evitare plugin non verificati o scaricati da fonti non ufficiali
- Monitorare i log del server e i file wp-cron.php sospetti
- Utilizzare un Web Application Firewall (WAF) come Cloudflare o Wordfence
- Analizzare regolarmente i file di intestazione e i temi per codice iniettato
- Implementare una sicurezza multilivello, con autenticazione a due fattori (2FA) e scansioni periodiche
Conclusione: la sicurezza digitale non è opzionale
La campagna dei falsi plugin rappresenta solo una faccia del panorama sempre più complesso della criminalità informatica. Dalla monetizzazione fraudolenta alla raccolta di dati sensibili, i cybercriminali combinano ingegneria sociale, exploit tecnici e monetizzazione avanzata per attaccare utenti e aziende.
In un mondo in cui oltre il 43% dei siti web è costruito su WordPress (fonte: W3Techs), la vigilanza, l’aggiornamento continuo e l’educazione alla sicurezza sono le migliori difese contro queste minacce invisibili.
