Logo Confcommercio

->Pillole di sicurezza informatica

Pillole di sicurezza informatica

Pubblicato il: 23 Giugno 2025

Pillole di sicurezza informatica

Ricordiamoci di tenere aggiornati i siti web e gli e-commerce! Non farlo può costarci molto caro.

Oggi parliamo di vulnerabilità dei siti web (purtroppo dovremo usare qualche termine tecnico).

Aggiornare i plugin di un sito web (i plugin sono un componente aggiuntivo, un pezzo di software preconfezionato che estende le capacità del sito senza dover scrivere tutto il codice da zero) è fondamentale per mantenere la sicurezza e il corretto funzionamento della piattaforma. Trascurare gli aggiornamenti espone il sito a rischi come l’iniezione di malware, il furto di dati e il danneggiamento della reputazione online.

Per rendere la cosa concreta, vedremo due esempi concreti recenti – un attacco a Magento con una backdoor nascosta per sei anni e una vulnerabilità critica in un plugin WordPress –  al fine di comprendere che è essenziale non sottovalutare mai gli aggiornamenti disponibili.

 

Perché aggiornare i plugin?

·       Correzione di falle note: gli sviluppatori rilasciano nuove versioni dei plugin per correggere bug e vulnerabilità già individuate. Un plugin non aggiornato conserva problemi irrisolti, diventando un bersaglio.

·       Compatibilità: va necessariamente considerata la possibilità che gli aggiornamenti possano rendere obsoleti i plugin più vecchi, rischiando di causare malfunzionamenti o creare nuove vulnerabilità involontarie. È un rischio da calcolare, che potrebbe rendere necessario un intervento sul codice del sito stesso, ma nel contempo lo mette in sicurezza.

·       Protezione dei dati e della reputazione: un sito compromesso può esporre informazioni sensibili dei clienti (dati di pagamento, profili utente) e subire sanzioni legali. Inoltre, danneggia la fiducia degli utenti, con conseguenti perdite economiche.

Il caso Magento e la backdoor “dormiente” sei anni

Nel 2019, alcuni sviluppatori di estensioni Magento, sono stati vittime di un attacco. Gli hacker hanno modificato il codice sorgente di 21 estensioni inserendo una backdoor (ossia una chiave segreta che bypassa le serrature ufficiali: chi la possiede può entrare, eseguire comandi o prelevare informazioni senza farsi notare) all’interno dei file di verifica della licenza. Questa porta nascosta rimaneva inattiva fino al momento in cui venivano inviati dei parametri specifici: per sei anni nessuno si è accorto della sua esistenza!

Nelle settimane finali di aprile 2025, gli aggressori hanno inviato le richieste necessarie per “risvegliare” la backdoor, ottenendo l’accesso completo ai server dei negozi che avevano installato le estensioni compromesse. Si stima che fino a mille siti Magento siano stati colpiti, compresi alcuni di grandi aziende.

Le conseguenze:

  • Furto di dati: la backdoor ha permesso di estrarre informazioni sensibili, come dati di pagamento e anagrafiche clienti.
  • Interruzione dei servizi: i proprietari dei siti hanno dovuto sospendere le vendite, mettere offline i portali per bonifiche d’emergenza e notificare le violazioni.
  • Costi elevati: intervenire per rimuovere il codice malevolo, ripristinare backup e verificare l’integrità dei sistemi ha richiesto settimane di lavoro e spese molto superiori a quelle legate a un semplice aggiornamento preventivo.

Il caso WordPress e la vulnerabilità nel plugin TI WooCommerce Wishlist

Il 29 maggio 2025 è stata rivelata una vulnerabilità critica nel plugin TI WooCommerce Wishlist (versioni fino alla 2.9.2) che consente a un utente non autenticato di caricare file arbitrari sul server.

Le conseguenze:

·       Caricando un semplice script PHP nella cartella di WordPress, un malintenzionato può ottenere il controllo completo del server e avviare un attacco ransomware.

·       Oltre 100.000 installazioni attive del plugin vulnerabile, molti siti di e-commerce WordPress sono rimasti esposti per giorni, in attesa di un aggiornamento.

 

Cosa fare (cose un po’ tecniche…)

·       Disinstallare o disattivare subito TI WooCommerce Wishlist e verificare che WC Fields Factory non sia installato in versioni vulnerabili.

·       Controllare le cartelle wp-content/uploads e wp-content/plugins alla ricerca di file .php sospetti, in particolare script che non fanno parte di componenti ufficiali.

·       Non appena viene rilasciata la versione corretta (≥ 2.9.3), installarla immediatamente e analizzare i log di accesso per evidenziare eventuali tentativi di sfruttamento.

 

Rischi comuni collegati a plugin non aggiornati

  • Infiltrazione di malware
  • Furto di dati sensibili.
  • Penalizzazioni SEO e blacklist.
  • Costi di ripristino elevati
    Perdita di fiducia degli utenti

 

Come proteggere il proprio sito

  • Pianificare aggiornamenti periodici: stabilire un calendario (almeno settimanale) per controllare la presenza di nuove versioni di CMS, temi e plugin.
  • Backup frequenti e sicuri: creare copie complete dei file e del database ogni volta che si applicano modifiche importanti. I backup dovrebbero essere archiviati in un luogo separato e sottoposti a test di ripristino regolari.
  • Scanner di sicurezza: utilizzare strumenti che analizzino automaticamente il codice dei plugin installati, segnalando vulnerabilità note o comportamenti sospetti. Considerare anche test manuali periodici, soprattutto su plugin di terze parti non ufficiali.
  • Riduzione dei plugin non necessari: installare solo i plugin essenziali, preferibilmente scaricati da repository ufficiali o da fonti riconosciute. Rimuovere quelli dismessi o non più supportati dagli sviluppatori.
  • Monitoraggio dei log: analizzare costantemente i log di accesso e di errore del server per individuare attività insolite, come richieste ripetute verso file di plugin non aggiornati o tentativi di caricamento di script sconosciuti.

 

Conclusione

I casi di Magento e WordPress mostrano chiaramente che anche una falla nascosta per anni o un bug sfruttabile da remoto, possono rimanere silenti finché arriva il momento di attivarsi, con conseguenze pesanti per chi non ha mantenuto aggiornati i plugin.

 

Contratti con i fornitori:
raccomandiamo nei contratti con i fornitori/gestori di siti, di inserire sempre la condizione che vengano garantiti gli aggiornamenti del codice relativo ai siti e del software relativo ai server che li ospitano, il tutto dovrebbe essere una condizione comunemente prevista nel canone di mantenimento del sito e non una richiesta da parte del cliente.

Per “chi fa da se”: è buona pratica tenere d’occhio e i seguenti canali telegram per essere quotidianamente informati sul tema cybersicurezza (e non dormire la notte...)

 

CERT-AgiD

t.me/certagid

Canale ufficiale del servizio dell’Agenzia per l’Italia Digitale per la segnalazione delle campagne phishing in corso

CSIRT Italia

t.me/CSIRT_italia

Centro ufficiale italiano per la risposta agli incidenti di sicurezza informatica

Hackmanac Cyber News

t.me/hackmanac_cybernews

Servizio di sorveglianza degli attacchi informatici a livello mondiale

Red Hot Cyber

t.me/redhotcyber

Sito e rivista di aggiornamento in tema di cybersecurity

 

L’adozione di una strategia di aggiornamenti regolari, affiancata da backup, scansioni di sicurezza e buone pratiche di hardening,(irrobustire e mettere in sicurezza il sistema) è la chiave per difendere il proprio sito da attacchi sempre più sofisticati. Investire tempo e risorse in manutenzione preventiva è sempre meno costoso rispetto alla gestione di una compromissione reale.

 

Effettua una ricerca tra le news

Pillole di sicurezza informatica

Pillole di sicurezza informatica