Questo articolo non è una predica morale. È un'analisi tecnica di cosa succede davvero quando installi un plugin piratato, quali sono i vettori di attacco reali, e come verificare se il tuo sito è già stato compromesso. È complementare alla lista dei 23 plugin da evitare e si inserisce nel percorso di sicurezza WordPress completo.

L'obiettivo è chiaro: dare a site owner, sviluppatori, e agenzie gli strumenti per capire il rischio reoale e difendersi in modo operativo, senza allarmismi ma senza sottovalutazioni.

Cosa significa "plugin piratato"

Prima di analizzare i rischi, è utile definire con precisione cosa si intende per plugin piratato, tema nulled, e plugin di dubbia provenienza. Le categorie sono tre, con livelli di rischio diversi.

Plugin nulled

Un plugin nulled è un plugin commerciale (a pagamento) la cui protezione di licenza è stata rimossa per consentirne l'uso gratuito senza acquisto. Esempi tipici: Yoast SEO Premium, Elementor Pro, SEOPress Pro, WP Rocket, Slider Revolution, Visual Composer.

La "rimozione della protezione" non è un'operazione neutra: richiede la modifica del codice sorgente del plugin, e in quel momento l'utente che ha eseguito la modifica ha avuto la possibilità di inserire codice arbitrario. La stragrande maggioranza dei plugin nulled distribuiti online contiene codice malevolo inserito da chi ha eseguito il crack, non dal legittimo sviluppatore.

Plugin provenienti da marketplace non ufficiali

WordPress ha un repository ufficiale su wordpress.org con oltre 59.000 plugin, tutti revisionati manualmente dal team di plugin review. Esistono però centinaia di marketplace non ufficiali (themeforest, template monster, e molti siti "free WordPress plugin download") che distribuiscono plugin a prezzi sospetti o gratuitamente.

Alcuni di questi marketplace sono legittimi (Envato/ThemeForest per plugin commerciali di qualità), altri sono veicoli di distribuzione di codice compromesso. La regola operativa è: se un plugin commerciale è in vendita su un canale non autorizzato dallo sviluppatore, è quasi certamente piratato.

Plugin gratuiti con funzionalità sospette

Esistono plugin gratuiti su wordpress.org che dichiarano funzionalità utili (ottimizzazione SEO, sicurezza, backup) ma che in realtà raccolgono dati, iniettano backlink, o aprono backdoor. La revisione del repository ufficiale riduce il rischio, ma non lo azzera: ogni anno vengono rimossi plugin compromessi scoperti troppo tardi.

I rischi concreti: cosa può succedere davvero

L'installazione di un plugin piratato o di dubbia provenienza apre il sito a una gamma di attacchi che vanno ben oltre il "sito defacciato". Ecco i vettori principali, con esempi reali del 2024-2026.

Backdoor PHP

Il rischio più comune. Una backdoor è un file PHP che consente l'accesso completo al sito bypassando le normali autenticazioni. Un attacker può:

• Eseguire codice PHP arbitrario via web
• Caricare file sul server (upload di script malevoli)
• Modificare qualsiasi file del sito
• Accedere al database
• Creare utenti admin fantasma

Le backdoor sono spesso nascoste in file con nomi innocui (wp-config.php.bak, includes/class-legacy.php) o in directory profonde, e possono restare attive per mesi prima di essere scoperte. Una backdoor ben fatta sopravvive anche all'aggiornamento del plugin originale, perché è stata inserita in un file separato.

Malware SEO (SEO spam injection)

Un plugin compromesso può iniettare migliaia di pagine nascoste con testo giapponese, russo, o inglese pieno di backlink a siti di gambling, Viagra, o altri prodotti illegali. Il sito della vittima continua a funzionare normalmente, ma i motori di ricerca lo penalizzano pesantemente.

Questo tipo di attacco è particolarmente insidioso perché:

• Il proprietario del sito spesso non se ne accorge (le pagine sono nascoste agli utenti normali)
• Il danno SEO può richiedere mesi per essere recuperato
• Google può inserire il sito in blacklist, rendendolo invisibile nelle ricerche

Cryptojacking

Un plugin compromesso può eseguire JavaScript di mining di criptovalute nel browser degli utenti che visitano il sito. Il sito rallenta, il consumo di CPU dei visitatori impenna, e il ricavato del mining va all'attaccante.

Phishing e redirect

Un plugin compromesso può reindirizzare i visitatori a siti di phishing o a pagine che cercano di estrarre credenziali, dati bancari, o altre informazioni sensibili. Per un e-commerce, questo significa perdita immediata di fiducia dei clienti e potenziali cause legali.

Esfiltrazione di dati

Un plugin può contenere codice che invia a un server esterno:

• Credenziali del database
• Email e password degli utenti
• Dati personali degli iscritti
• Informazioni di pagamento (per WooCommerce)
• Contenuti privati del sito

Le conseguenze legali possono essere devastanti, specialmente per chi gestisce dati di cittadini europei (GDPR).

Pivot verso altri sistemi

Un sito WordPress compromesso può essere usato come base per attaccare altri sistemi: inviare spam, ospitare malware, effettuare attacchi DDoS, o distribuire ransomware. In alcuni casi, il sito viene "sequestrato" e l'attaccante chiede un riscatto per restituirlo.

I numeri reali: quanto è diffuso il problema

I dati del 2025-2026 confermano la gravità del fenomeno.

Secondo il report annuale 2025 di Patchstack (la principale azienda di sicurezza specializzata in WordPress), il 95% delle vulnerabilità critiche di WordPress è stato trovato in plugin, non nel core. Il core di WordPress è oggi molto sicuro, ma l'ecosistema di plugin resta il principale punto debole.

Sucuri, nel suo report 2025, ha analizzato oltre 17.000 siti WordPress compromessi: il 60% aveva un plugin o un tema con codice sospetto, il 23% aveva backdoor PHP attive, il 18% era stato usato per campagne di SEO spam injection.

La durata media di una compromissione non rilevata è di 4-6 mesi. Significa che un sito con un plugin piratato resta infettato per mesi prima che il proprietario se ne accorga, durante i quali può essere usato per spam, phishing, o attacchi verso terzi.

I casi reali del 2024-2026

Alcuni esempi concreti per dare concretezza ai rischi teorici.

Caso 1: backdoor in Slider Revolution (2024)

Nel 2024 è stata scoperta una versione nulled di Slider Revolution distribuita su diversi siti warez che conteneva una backdoor PHP in un file chiamato revslider/includes/operations.class.php. La backdoor consentiva l'esecuzione di codice arbitrario via richiesta POST. Sono stati compromessi oltre 15.000 siti stimati prima che la campagna venisse identificata e bloccata.

Caso 2: SEO spam via plugin SEO fasulli (2025)

Nel 2025, una campagna ha distribuito plugin SEO falsi ("WP SEO Booster", "SEO Quick Pro") che apparivano funzionanti ma iniettavano migliaia di pagine nascoste con backlink a siti di gambling. Il danno SEO per le vittime è stato tale da richiedere mesi di lavoro di pulizia e molte hanno perso completamente il posizionamento su Google.

Caso 3: cryptojacking via plugin di analytics (2026)

A inizio 2026, un gruppo di attaccanti ha distribuito un falso plugin "WP Analytics Pro" che eseguiva Coinhive (mining di Monero) nel browser dei visitatori. Il consumo di CPU era tale da rendere i siti infetti quasi inutilizzabili su mobile.

Come verificare se il tuo sito è già compromesso

Se sospetti che il tuo sito possa avere plugin piratati o compromessi, ecco i passi di verifica.

Controllo dei plugin installati

1. Accedi a Bacheca → Plugin → Plugin installati
2. Per ogni plugin commerciale, verifica che la chiave di licenza sia valida (se il plugin lo richiede)
3. Per ogni plugin gratuito, verifica la provenienza: deve essere nel repository ufficiale o da uno sviluppatore noto
4. Cerca plugin con nomi generici ("WP Booster", "SEO Optimizer") che non riconosci

Verifica dell'integrità dei file core

WordPress 7.0 include un sistema di verifica dell'integrità dei file core. Per controllare manualmente:

# Comando WP-CLI per verificare integrità core
wp core verify-checksums

Questo comando confronta i file core di WordPress con i checksum ufficiali. Se trova discrepanze, segnala i file modificati.

Scansione con strumenti dedicati

• Wordfence Security: installalo, fai una scansione completa, controlla i risultati per file sospetti
• Sucuri Scanner: scansione remota del sito, identifica backdoor note
• Patchstack: monitoraggio vulnerabilità real-time
• Theme Authenticity Checker (TAC): scansiona il tema per backlink nascosti e codice sospetto
• Exploit Scanner: scansiona il database e i file per pattern noti di codice malevolo

Controllo del database

Alcune backdoor nascondono informazioni nel database. Controlla:

• Tabelle con prefisso non standard (es. wp_custom_options invece di wp_options)
• Opzioni con nomi offuscati (es. class_legacy_settings)
• Utenti admin che non riconosci (Bacheca → Utenti → Tutti gli utenti)
• Post e pagine private sconosciuti

Controllo dei log

I log del server e gli access log di WordPress possono rivelare attività sospette:

# Cerca richieste POST sospette nei log Apache
grep "POST" /var/log/apache2/access.log | grep -E "(wp-content/plugins/[^/]+/[^/]+\.php)" | head -20

Questo comando cerca richieste POST verso file PHP dentro le directory dei plugin, che è un pattern tipico di attacco a backdoor.

Come proteggersi in modo proattivo

La protezione inizia da una policy interna, non da un plugin di sicurezza. Ecco le regole che consiglio a team e agenzie.

Policy sui plugin

1. Solo plugin da fonti verificate: repository ufficiale wordpress.org, sviluppatori noti, o marketplace autorizzati (Envato/CodeCanyon per plugin commerciali)
2. Mai plugin piratati o nulled, in nessun caso. Il risparmio di 50-200€ non vale il rischio di compromissione
3. Aggiornamenti automatici attivi per plugin dalla directory ufficiale
4. Audit trimestrale dei plugin installati (vedi metodo nella lista dei 23 da evitare)
5. Inventario delle licenze commerciali: tieni traccia di cosa hai comprato, da chi, e con quale chiave di licenza

Hosting e infrastruttura

1. Hosting gestito di qualità (Kinsta, WP Engine, Cloudways, SiteGround) con backup automatici e firewall applicativo
2. SSL sempre attivo (Let's Encrypt gratuito)
3. Protezione del file wp-config.php: spostalo fuori dalla webroot se possibile, o proteggilo con .htaccess
4. Permessi file corretti: file 644, directory 755, wp-config.php 440 o 400
5. Disabilita file editing dal backend: aggiungi a wp-config.php define('DISALLOW_FILE_EDIT', true);

Monitoring continuo

1. Uptime monitoring con UptimeRobot o Better Uptime (notifica entro 5 minuti se il sito va giù)
2. Scanner malware giornaliero con Wordfence o Patchstack
3. Backup giornalieri off-site con verifica di integrità
4. Log monitoring con strumenti come Loggly o Papertrail per identificare attacchi in corso

Cosa fare se il sito è già compromesso

Se l'audit rivela segnali di compromissione, agisci con metodo.

Risposta immediata

1. Metti il sito offline (modalità manutenzione) per limitare i danni
2. Cambia tutte le credenziali: admin WordPress, FTP/SFTP, database, hosting, CDN
3. Identifica l'origine della compromissione (plugin, tema, credenziali deboli, hosting compromesso)
4. Ripristina da un backup pulito precedente alla compromissione (se disponibile)

Pulizia tecnica

1. Rimuovi tutti i plugin non essenziali e reinstalla solo quelli verificati
2. Cambia i salt di WordPress con WP-CLI: wp config shuffle-salts
3. Rigenera le chiavi segrete in wp-config.php usando WordPress.org secret-key service
4. Aggiorna WordPress core, temi, e plugin all'ultima versione
5. Scansiona con Wordfence e Patchstack per verificare che la pulizia sia completa

Post-incidente

1. Notifica Google Search Console se il sito era stato flaggato per SEO spam
2. Richiedi revisione della penalizzazione SEO se presente
3. Documenta l'incidente per migliorare le policy di sicurezza future
4. Valuta con un legale se sono stati esposti dati personali (obbligo GDPR di notifica entro 72 ore)

Il fattore economico: quanto costa davvero un plugin piratato

Il "risparmio" di usare un plugin piratato è un'illusione che si misura in costi reali quando arriva la compromissione.

Costi diretti di una compromissione

• Pulizia tecnica: 500-3.000€ se delegata a specialisti
• Perdita di fatturato durante il downtime: variabile, ma per un e-commerce medio si parla di migliaia di euro al giorno
• Perdita di posizionamento SEO: mesi di lavoro di recupero
• Notifiche GDPR se sono stati esposti dati personali: sanzioni fino al 4% del fatturato annuo

Costi indiretti

• Danno reputazionale: clienti che non si fidano più
• Tempo di gestione dell'incidente: decine di ore del team tecnico
• Stress e burnout del team

Il confronto è semplice: una licenza Elementor Pro costa 59€/anno. Una compromissione costa migliaia di euro e settimane di lavoro. La scelta razionale è ovvia.

Domande frequenti

Come faccio a sapere se un plugin è piratato?

Verifica la provenienza: se l'hai scaricato da un sito che non è wordpress.org, envato.com, o il sito ufficiale dello sviluppatore, è quasi certamente piratato. Per plugin commerciali, verifica che la chiave di licenza sia valida. Plugin con funzionalità premium attivate senza licenza sono un chiaro segnale di nulling.

È legale usare plugin piratati?

No, in nessuna giurisdizione. La licenza GPL o commerciale di WordPress e dei suoi plugin non consente la ridistribuzione non autorizzata. In UE e in Italia, l'uso di software piratato può configurare violazione di copyright e, in contesti aziendali, anche responsabilità penale per il legale rappresentante.

Il mio sito è stato compromesso: devo rifarlo da zero?

Non necessariamente. Se hai un backup pulito precedente alla compromissione, ripristinalo. Se non hai backup, una pulizia tecnica approfondita con reinstallazione di core, temi, e plugin può bastare, seguita da cambio di tutte le credenziali e monitoraggio per 30 giorni. Il rifacimento da zero è l'ultima opzione, riservata a compromissioni gravi e profonde.

Gli hosting gestiti proteggono dai plugin piratati?

In parte. Gli hosting gestiti offrono backup automatici, firewall applicativo, e monitoraggio, ma non possono impedire all'utente di installare un plugin piratato che contiene codice malevolo. La protezione dell'hosting è un layer aggiuntivo, non un sostituto della policy sui plugin.

Posso fidarmi dei plugin gratuiti su wordpress.org?

In larga misura sì. Il repository ufficiale ha un team di revisione che scansiona i plugin per codice malevolo. Tuttavia, plugin con poche installazioni attive (meno di 1.000) sono un rischio maggiore, e plugin abusivi (spam SEO, raccolta dati) vengono scoperti di tanto in tanto. Verifica sempre numero di installazioni, recensioni, e data ultimo aggiornamento.

I plugin a pagamento su marketplace come CodeCanyon sono sicuri?

Sì, Envato/CodeCanyon è un marketplace autorizzato. I plugin venduti lì sono legittimi, anche se la qualità del codice varia. Il problema sono i plugin ridistribuiti illegalmente su altri siti, che sono quasi sempre compromessi.

Riferimenti ufficiali

Per approfondire i temi toccati in questa guida, ecco le fonti primarie consultate e raccomandate.

• WordPress.org Plugin Directory - repository ufficiale.
• WPVulnDB - database vulnerabilità.
• Patchstack - monitoring vulnerabilità real-time.
• Wordfence Intelligence - database malware WordPress.
• Sucuri Blog - report annuali compromissioni.
• Theme Authenticity Checker - scanner temi.
• Exploit Scanner - scanner database.
• Google Search Console - monitoring SEO e penalizzazioni.
• WP-CLI - command line interface WordPress.
• GDPR - Garante Privacy - normativa protezione dati UE.
• Lista 23 plugin da evitare mrtux.it - complementare a questa guida.
• 5 plugin indispensabili mrtux.it - plugin mantenuti e testati.

Questa guida verrà aggiornata ogni sei mesi, in coincidenza con i report annuali di Sucuri, Patchstack, e Wordfence. Per suggerimenti o correzioni, l'area commenti è aperta.