Aggiornamenti recenti Dicembre 19th, 2025 4:31 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Una vulnerabilità di ASUS Live Update di sette anni fa viene ancora sfruttata
- Il cybercrime si evolve velocemente e l’IA diventa protagonista: le previsioni di Group-IB per il 2026
- Kaspersky, le PMI italiane sono un bersaglio strutturale per il cybercrime
- Il cybercrime si evolve e si adatta, integrando l’IA nel proprio arsenale: il report di ESET
- L’IA al centro delle strategie di cybersecurity future: le previsioni di Crowdstrike
Attacco ai siti WordPress sfrutta un plugin per l’e-commerce
Una tecnica di attacco geniale permette ai pirati informatici di forzare l’installazione di due backdoor e prendere il controllo del sito.
Il 30% dei siti Internet che visitiamo sul Web sono creati e gestiti con WordPress e, di conseguenza, non stupisce che il Content Management System “libero” per antonomasia sia uno dei bersagli preferiti dei pirati informatici.
Questa volta, però, la tecnica usata dai cyber-criminali per attaccare i siti WordPress è davvero intrigante. Stando a quanto riporta Wordfence, società di sicurezza specializzata nella protezione dei siti Internet WordPress, i pirati avrebbero trovato un modo davvero ingegnoso per sfruttare una vulnerabilità in un plugin dedicato all’e-commerce.
Il plugin in questione si chiama Abandoned Cart Lite For WooCommerce e ha uno scopo piuttosto particolare. La sua funzione, infatti, è quella di registrare il contenuto dei “carrelli abbandonati”, cioè degli acquisti che gli utenti intendevano fare ma a cui non hanno dato seguito completando l’acquisto.
Si tratta di informazioni che, per chi gestisce un sito di commercio elettronico, sono estremamente preziose e consentono di profilare i gusti dei visitatori consentendo di ottimizzare le scorte in magazzino o capire quali prodotti siano più graditi dai potenziali clienti.
Il plugin non impatta in alcun modo su elementi “esterni” del sito e crea una raccolta di dati che normalmente viene visualizzata dall’amministratore (o gli amministratori) del sito attraverso il back-end.
I pirati informatici, però, hanno trovato il modo di sfruttare alcuni bug del plugin per avviare l’esecuzione di codice in remoto attraverso un trucchetto davvero brillante.
I criminali, in pratica, selezionano una serie di prodotti a caso per l’acquisto e compilano i dati per fatturazione e consegna. Poi chiudono la finestra e, di conseguenza, l’ordine viene classificato come “abbandonato”.
Alcune di queste informazioni (come email e indirizzo di consegna) sono generati casualmente, ma i campi relativi al nome e cognome per la fatturazione contengono invece codice malevolo (un JavaScript) che viene registrato dal plugin.
Qual è il problema? In buona sostanza il fatto che quando questi campi vengono aperti dall’amministratore, il codice contenuto in quegli specifici campi non viene controllato in alcun modo e, di conseguenza, viene eseguito.
Negli attacchi rilevati da Wordfence, il codice in questione punta a un collegamento bit.ly che fa riferimento a un ulteriore JavaScript che scarica e installa due backdoor sul sito, creando un account con privilegi di amministratore.
Nello specifico, l’account faceva riferimento all’email woouser401a@mailinator.com e alla password K1YPRka7b0av1B. Da questo momento, i pirati informatici avevano accesso libero al sito.
La seconda backdoor viene inserita come “backup” di quella principale, usando una tecnica piuttosto bizzarra. Il codice veniva infatti inserito sostituendolo a un plugin disabilitato dal legittimo amministratore del sito. Questo rimane inattivo fino a quando non riceve un comando di attivazione inviato tramite una richiesta Web, che “scatta” solo se la backdoor principale viene disabilitata.
In seguito alla segnalazione di Wordfence, lo sviluppatore del plugin ha pubblicato un aggiornamento che corregge il bug e impedisce la catena di attacchi sui siti che usano Abandoned Cart Lite For WooCommerce.
Condividi l'articolo
Pirati fanno strage di account Office 365 e G Suite attaccando IMAP
Migliaia di documenti sensibili accessibili a tutti su Box
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Il cybercrime si evolve velocemente e l’IA diventa... Se c’è una cosa su cui tutti concordano è che... -
Il cybercrime si evolve e si adatta, integrando l’IA... Il secondo semestre del 2025 ha segnato un punto di svolta... -
L’IA al centro delle strategie di cybersecurity... Il 2025 sta giungendo al termine e nel mondo della... -
Prompt injection, un problema che potrebbe non venire mai... Secondo il National Cyber Security Centre (NCSC),... -
Iniezione indiretta di prompt: a rischio le informazioni... Lakera, società di Check Point, ha pubblicato una ricerca...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Una vulnerabilità di ASUS Live Update di sette anni fa... Una vecchia vulnerabilità di ASUS Live Update è ancora... -
Kaspersky, le PMI italiane sono un bersaglio strutturale... Mezzo milione di nuovi file malevoli al giorno. È -
CERT-AGID 6–12 dicembre: cresce l’uso di Figma e... Nel periodo compreso tra il 6 e il 12 dicembre,... -
Apple interviene su due zero-day sfruttati attivamente in... Apple ha rilasciato degli aggiornamenti di sicurezza... -
Misterioso guasto satellitare: centinaia di Porsche... Panico in Russia: centinaia di Porsche sono rimaste...
Ransomware: la serie
No posts found.
One thought on “Attacco ai siti WordPress sfrutta un plugin per l’e-commerce”