Oggi parliamo di vulnerabilità dei siti web. Aggiornare i plugin di un sito web è fondamentale per mantenere la sicurezza e il corretto funzionamento della piattaforma. I plugin sono un componente aggiuntivo, un pezzo di software preconfezionato che estende le capacità del sito senza dover scrivere tutto il codice da zero. Trascurare gli aggiornamenti espone il sito a rischi come l’iniezione di malware, il furto di dati e il danneggiamento della reputazione online.
Per rendere l’argomento più concreto, vedremo anche due casi reali, al fine di comprendere che è essenziale non sottovalutare mai gli aggiornamenti disponibili.
Perché aggiornare i plugin?
Correzione di falle note: gli sviluppatori rilasciano nuove versioni dei plugin per correggere errori, bug e vulnerabilità già individuate. Un plugin non aggiornato conserva problemi irrisolti, diventando un bersaglio.
Compatibilità: va necessariamente considerata la possibilità che gli aggiornamenti possano rendere obsoleti i plugin più vecchi, rischiando di causare malfunzionamenti o creare nuove vulnerabilità involontarie. È un rischio da calcolare, che potrebbe rendere necessario un intervento sul codice del sito stesso, ma nel contempo lo mette in sicurezza.
Protezione dei dati e della reputazione: un sito compromesso può esporre informazioni sensibili dei clienti (ad esempio i dati di pagamento o i profili utente) e subire sanzioni legali. Inoltre, danneggia la fiducia degli utenti, con conseguenti perdite economiche.
Il caso Magento e la backdoor “dormiente”
Nel 2019, alcuni sviluppatori di estensioni Magento sono stati vittime di un attacco. Gli hacker hanno modificato il codice sorgente di 21 estensioni inserendo una backdoor (ossia una chiave segreta che bypassa le serrature ufficiali: chi la possiede può entrare, eseguire comandi o prelevare informazioni senza farsi notare) all’interno dei file di verifica della licenza.
Questa porta nascosta doveva rimanere inattiva fino al momento in cui venivano inviati dei parametri specifici: il risultato è che per sei anni nessuno si è accorto della sua esistenza.
A fine aprile 2025, gli aggressori hanno inviato le richieste necessarie per “risvegliare” la backdoor, ottenendo l’accesso completo ai server dei negozi che avevano installato le estensioni compromesse. Si stima che fino a mille siti Magento siano stati colpiti, compresi alcuni appartenenti a grandi aziende.
Le conseguenze:
- Furto di dati: la backdoor ha permesso di estrarre informazioni sensibili, come dati di pagamento e anagrafiche clienti.
- Interruzione dei servizi: i proprietari dei siti hanno dovuto sospendere le vendite, mettere offline i portali per bonifiche d’emergenza e notificare le violazioni.
- Costi elevati: intervenire per rimuovere il codice malevolo, ripristinare backup e verificare l’integrità dei sistemi ha richiesto settimane di lavoro e spese molto superiori a quelle legate a un semplice aggiornamento preventivo.
Il caso WordPress e la vulnerabilità nel plugin TI WooCommerce Wishlist
Il 29 maggio 2025 è stata resa nota una vulnerabilità critica nel plugin TI WooCommerce Wishlist (versioni fino alla 2.9.2). Il problema permette anche a un utente non autenticato di caricare file sul server.
Perché è grave:
– Un attaccante può caricare uno script PHP dentro WordPress e prendere il controllo del sito/server, fino ad avviare un ransomware.
– Il plugin aveva oltre 100.000 installazioni attive, quindi molti e-commerce sono rimasti esposti per giorni in attesa della patch.
Cosa fare subito:
– Disattivare o disinstallare TI WooCommerce Wishlist e verificare che WC Fields Factory non sia presente in versioni vulnerabili.
– Controllare wp-content/uploads e wp-content/plugins cercando file .php sospetti (soprattutto se non appartengono a componenti ufficiali).
– Appena disponibile la versione corretta (in quel caso, superiore o uguale alla 2.9.3), aggiornare immediatamente e analizzare i log di accesso per individuare eventuali tentativi di attacco.
Rischi comuni collegati a plugin non aggiornati
– Infiltrazione di malware
– Furto di dati sensibili
– Penalizzazioni SEO e blacklist
– Costi di ripristino elevati
– Perdita di fiducia degli utenti
Come proteggere il proprio sito
- Pianificare aggiornamenti periodici: stabilire un calendario (almeno settimanale) per controllare la presenza di nuove versioni di CMS, temi e plugin.
- Backup frequenti e sicuri: creare copie complete dei file e del database ogni volta che si applicano modifiche importanti. I backup dovrebbero essere archiviati in un luogo separato e sottoposti a test di ripristino regolari.
- Scanner di sicurezza: utilizzare strumenti che analizzino automaticamente il codice dei plugin installati, segnalando vulnerabilità note o comportamenti sospetti. Considerare anche test manuali periodici, soprattutto su plugin di terze parti non ufficiali.
- Riduzione dei plugin non necessari: installare solo i plugin essenziali, preferibilmente scaricati da repository ufficiali o da fonti riconosciute. Rimuovere quelli dismessi o non più supportati dagli sviluppatori.
- Monitoraggio dei log: analizzare costantemente i log di accesso e di errore del server per individuare attività insolite, come richieste ripetute verso file di plugin non aggiornati o tentativi di caricamento di script sconosciuti.
Contratti con i fornitori
La nostra raccomandazione è di inserire sempre nei contratti con i fornitori/gestori di siti la condizione che vengano garantiti gli aggiornamenti del codice relativo ai siti e del software relativo ai server che li ospitano. Il tutto dovrebbe essere una condizione comunemente prevista nel canone di mantenimento del sito e non una richiesta da parte del cliente.
Per “chi fa da sé”: è buona pratica tenere d’occhio e i seguenti canali telegram per essere quotidianamente informati sul tema cybersicurezza.
– CERT-AgiD, il canale ufficiale del servizio dell’Agenzia per l’Italia Digitale per la segnalazione delle campagne di phishing in corso
– CSIRT Italia, centro ufficiale italiano per la risposta agli incidenti di sicurezza informatica
– Hackmanac Cyber News, servizio di sorveglianza degli attacchi informatici a livello mondiale
– Red Hot Cyber, sito e rivista di aggiornamento in tema di cybersecurity
In conclusione
I casi di Magento e WordPress mostrano chiaramente che anche una falla o un bug sfruttabile da remoto possono rimanere silenti finché arriva il momento di attivarsi, con conseguenze pesanti per chi non ha mantenuto aggiornati i plugin.
L’adozione di una strategia di aggiornamenti regolari, affiancata da backup, scansioni di sicurezza e buone pratiche di hardening (che significa irrobustire e mettere in sicurezza il sistema), è la chiave per difendere il proprio sito da attacchi sempre più sofisticati. Investire tempo e risorse in manutenzione preventiva è sempre meno costoso rispetto alla gestione di una compromissione reale.
Ricorda che l’Area Legale di Ascom Padova offre un servizio dedicato a sostenere le aziende in materia di cybersecurity, privacy e conformità al GDPR.
Puoi richiederci informazioni per l’adeguamento al GDPR Privacy compilando il form a questo link.
Contattaci legale@ascompd.com o chiamaci 049/8209741.
Ascom Servizi Padova spa
Padova, 8 aprile 2026