Hacker compromettono il plugin WordPress Gravity Forms: attacco supply chain e backdoor

Hacker compromettono il plugin WordPress Gravity Forms: attacco supply chain e backdoor

Gravity Forms compromesso: analisi dell’attacco, conseguenze e strategie di difesa

Il panorama della sicurezza WordPress è scosso da un nuovo e pericoloso attacco supply chain che ha preso di mira Gravity Forms, uno dei plugin più popolari e utilizzati a livello globale per la costruzione di moduli avanzati su siti WordPress. L’attacco, scoperto e reso pubblico l’11 luglio 2025 da diverse fonti di sicurezza, ha visto il rilascio di una versione malevola del plugin, scaricabile direttamente dal sito ufficiale di Gravity Forms, capace di installare backdoor e compromettere profondamente la sicurezza dei siti ospitanti.

In questo approfondimento, vedremo cos’è successo tecnicamente, le conseguenze per gli amministratori di siti, come verificare la presenza della compromissione e le migliori strategie per reagire e prevenire futuri attacchi.

Cos’è successo: la cronaca dell’attacco supply chain

Il plugin Gravity Forms è stato oggetto di una sofisticata compromissione supply chain, ovvero l’iniezione di codice malevolo all’interno dei file distribuiti tramite canali ufficiali. In particolare, il file infetto è stato individuato nella versione 2.9.12 e scaricato direttamente dal dominio gravityforms.com.

La compromissione è stata individuata grazie a richieste HTTP sospette indirizzate al dominio gravityapi.org, un sito appositamente registrato dagli attaccanti pochi giorni prima dell’attacco. Questo dominio, rapidamente oscurato dal registrar Namecheap, fungeva da comando e controllo (C2) per la raccolta delle informazioni rubate e la gestione remota della backdoor installata sui siti colpiti.

Come agiva il malware

Il codice malevolo era sapientemente nascosto all’interno del file gravityforms/common.php. Una volta attivo, il plugin compromettere eseguiva le seguenti azioni:

  • Esfiltrazione di dati sensibili: raccoglieva e inviava ai server degli attaccanti dati come URL e nome del sito, versione di WordPress, versione di PHP, tema attivo, elenco dei plugin attivi, dettagli sul sistema operativo del server e numero utenti.
  • Installazione di file backdoor: richieste di risposta dal server di comando e controllo potevano portare alla scrittura di file backdoor, come wp-includes/bookmark-canonical.php, perfettamente mimetizzato fra i normali file di WordPress.
  • Esecuzione remota di codice (RCE): attraverso l’utilizzo di funzioni come eval in combinazione con richieste POST non autenticata, gli attaccanti potevano eseguire qualsiasi comando PHP sul server, manipolare contenuti, media, widget, temi o persino sottrarre ulteriori dati sensibili.

L’integrazione del malware con le funzioni di core di Gravity Forms – in particolare la funzione update_entry_detail – assicurava che il codice venisse eseguito con ogni attivazione del plugin, garantendo la persistenza del controllo per gli attaccanti.

Impatto e rischi per i siti WordPress

L’attacco a Gravity Forms rappresenta un caso emblematico di supply chain compromise: anche chi ha scaricato il plugin dal sito ufficiale può essere stato infettato, bypassando ogni logica di fiducia legata alla fonte. Questo scenario apre una serie di rischi gravissimi:

  • Furto di informazioni sensibili del sito e degli utenti
  • Totale controllo remoto del sito web da parte degli attaccanti
  • Distribuzione di ulteriori malware agli utenti che visitano i siti infetti
  • Iniezione di codice malevolo volto a phishing, spam o utilizzo delle risorse server per scopi illeciti (es. cryptomining)
  • Danneggiamento reputazionale e SEO, fino a blacklisting da parte di Google e altri operatori di sicurezza

Come verificare se il proprio sito è compromesso

Se hai installato o aggiornato Gravity Forms dopo l’8 luglio 2025, è fondamentale agire rapidamente:

  1. Controlla la versione del plugin: le versioni note come compromesse sono la 2.9.12 e potenzialmente tutte quelle scaricate dal sito ufficiale tra l’8 e l’11 luglio 2025.
  2. Analizza il file gravityforms/common.php: verifica la presenza di richieste HTTP insolite verso domini sconosciuti come gravityapi.org.
  3. Cerca file sospetti: controlla la presenza di file inusuali come wp-includes/bookmark-canonical.php o altri modificati recentemente.
  4. Monitora il traffico in uscita: utilizza strumenti di network monitoring per identificare eventuali connessioni verso domini non riconosciuti o appena registrati.
  5. Rivedi i log di accesso e gli account utente: cerca attività anomale o la creazione di nuovi account amministrativi sconosciuti.

Come rimuovere la minaccia e ripristinare il sito

Di fronte a una compromissione, è importante seguire un percorso rigoroso per ripristinare la sicurezza:

  • Disattiva immediatamente Gravity Forms e qualsiasi plugin potenzialmente infetto.
  • Elimina i file compromessi (es. bookmark-canonical.php, common.php infetto).
  • Sostituisci tutti i file WordPress core con versioni pulite scaricate dal sito ufficiale.
  • Cambia tutte le password di amministratori, SFTP/FTP, database e hosting.
  • Aggiorna WordPress, tutti i plugin e i temi all’ultima versione disponibile.
  • Esegui una scansione approfondita con strumenti di sicurezza come Wordfence, Sucuri o strumenti di malware scanning offerti dal provider di hosting.
  • Contatta il supporto Gravity Forms per avere istruzioni specifiche e segnalare il caso.
  • Valuta uno scan del sito con servizi di terze parti come Patchstack, VirusTotal e simili.

Consigli e strategie di prevenzione per il futuro

Attacchi di questo tipo, sempre più sofisticati, impongono una serie di best practice per la protezione dei siti WordPress:

  • Verifica sempre la provenienza dei plugin e dei temi. Prediligi repository ufficiali e mantieniti aggiornato sulle segnalazioni di sicurezza.
  • Abilita aggiornamenti automatici, ove possibile, e pianifica controlli periodici su plugin critici come Gravity Forms.
  • Monitora costantemente il traffico di rete del server: richieste in uscita verso domini sconosciuti sono spesso il primo segnale di compromissione.
  • Effettua backup frequenti (giornalieri o settimanali) e custodiscili in aree sicure, offline o fuori dal server principale.
  • Installa firewall applicativi (WAF) per bloccare exploit noti e impedirne l’esecuzione anche in caso di vulnerabilità non ancora corrette.
  • Forma il team amministrativo sulla sicurezza: la consapevolezza degli amministratori è la prima barriera contro il social engineering e la manipolazione di supply chain.
  • Iscriviti a newsletter e canali di sicurezza (come Patchstack, WPScan, GBHackers, BleepingComputer) per ricevere in tempo reale segnalazioni di nuove minacce e vulnerabilità.
  • Implementa autenticazione a più fattori (MFA) e OAuth ove possibile, per mitigare i rischi in caso di furto di credenziali.

L’attacco supply chain che ha colpito Gravity Forms segna una nuova fase nella minaccia ai siti WordPress, dimostrando che anche le fonti apparentemente più sicure possono essere compromesse. Reagire tempestivamente, seguire pratiche rigorose di sicurezza e adottare strategie di prevenzione avanzate sono oggi più che mai indispensabili per proteggere i propri progetti web, i dati degli utenti e la reputazione online.

Se gestisci uno o più siti WordPress con Gravity Forms, intervieni immediatamente e pianifica un audit completo di sicurezza: in questi casi la reattività è il miglior alleato per limitare danni e rischi a lungo termine.

Fonte: https://gbhackers.com/hackers-compromise-wordpress-gravityforms-plugin

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto