C’è una notizia di sicurezza che riguarda da vicino un numero enorme di siti aziendali. Tra il 12 e il 13 giugno, alcuni dei plugin WordPress più diffusi per raccogliere contatti e mostrare popup — OptinMonster, TrustPulse e PushEngage — sono stati colpiti da un attacco alla catena di fornitura. Risultato: codice malevolo distribuito a oltre 1,2 milioni di siti, con la capacità di creare amministratori nascosti. Se la tua attività ha un sito su WordPress, vale la pena dedicarci cinque minuti.
Cos’è successo, in parole semplici
I tre plugin caricano alcuni file dal server (CDN) del loro produttore. Un attaccante è riuscito a manomettere quei file: invece del codice legittimo, per qualche ora il CDN ha servito uno script malevolo. Quando un amministratore del sito apriva una pagina mentre era collegato, lo script sfruttava la sua sessione per creare un account admin nascosto e installare una backdoor, inviando dati a un dominio camuffato.
Il punto critico è proprio questo: non serviva un difetto nel tuo sito. Bastava avere il plugin installato e che un amministratore, in quelle ore, aprisse una pagina del pannello. È il motivo per cui un singolo anello debole nella filiera può colpire più di un milione di siti in un colpo solo.
Stima dei siti WordPress con OptinMonster, TrustPulse o PushEngage installati. La finestra di esposizione è stata di poche ore per ciascun plugin, tra il 12 e il 13 giugno.
Fonte: BleepingComputer, Sansec — 13-15/06/2026
Perché riguarda proprio le PMI
WordPress con plugin di lead capture, popup e notifiche è esattamente lo stack del sito di moltissime piccole imprese italiane: l’agenzia che l’ha costruito, il negozio che raccoglie iscrizioni alla newsletter, il professionista con il form di contatto. Non è un caso da grande azienda con un reparto IT: è il sito medio di chi fa impresa.
E mostra una verità scomoda: la sicurezza del tuo sito non dipende solo da te, ma anche dai fornitori del codice che usi. È il rischio “supply chain”, e qui si vede in modo concreto.
La checklist: cosa controllare ora
Se usi (o hai usato di recente) uno di questi plugin, ecco le verifiche di base:
- Controlla gli utenti amministratore. Vai su Utenti nel pannello WordPress e cerca account che non riconosci, soprattutto creati il 12-13 giugno. Rimuovi quelli sospetti.
- Verifica la lista dei plugin attivi. Cerca plugin che non hai installato tu. Gli attaccanti tendono a nasconderli con nomi che sembrano tecnici e innocui.
- Cambia le password degli account amministratore e, se non l’hai già, attiva l’autenticazione a due fattori.
- Aggiorna i plugin all’ultima versione: i produttori hanno ripristinato i file puliti e pubblicato istruzioni.
- Fai un controllo di sicurezza (scansione malware) o chiedi a chi gestisce il tuo sito di farlo, usando gli indicatori di compromissione pubblicati dai ricercatori (vedi le fonti in fondo, che vengono aggiornate).
Ogni plugin, tema o servizio esterno che installi è un anello della tua catena. Tienine un elenco aggiornato, riduci quelli che non usi davvero e affida la manutenzione a chi può intervenire in fretta quando serve.
In breve
Un attacco alla catena di fornitura ha colpito i plugin WordPress OptinMonster, TrustPulse e PushEngage tra il 12 e il 13 giugno, esponendo oltre 1,2 milioni di siti alla creazione di amministratori nascosti. Per una PMI con sito WordPress non è teoria: è lo stack più comune. La buona notizia è che le contromisure sono semplici — controlla utenti e plugin, cambia le password, aggiorna tutto — e che gli script puliti sono già stati ripristinati. Vale la pena agire ora, anche solo per togliersi il dubbio.
