Le regole del digitale stanno cambiando.
O sei visibile o sei fuori. Noi ti aiutiamo a raggiungere i clienti giusti — quando ti stanno cercando.
Contattaci ora →
Un attacco “supply chain” ha infettato le versioni scaricate manualmente, compromettendo la sicurezza dei siti e sollevando interrogativi sulla responsabilità dell’azienda.
Tra il 9 e il 10 luglio 2025, i download manuali del plugin Gravity Forms per WordPress dal sito ufficiale sono stati infettati da un malware. La scoperta, effettuata da Patchstack, rivela un 'supply chain attack' che permetteva l'esecuzione di codice remoto, il furto di credenziali e la creazione di backdoor sui siti compromessi, minando la sicurezza degli utenti fidati.
Il pasticcio di Gravity Forms: quando il tuo plugin di fiducia ti tradisce
Pensa a quel plugin premium, quello per cui paghi una licenza e che consideri una roccia per il tuo sito.
Ecco, ora pensa che proprio quella roccia si è sbriciolata.
È successo a Gravity Forms, uno degli strumenti più usati e considerati affidabili su WordPress. Tra il 9 e il 10 luglio 2025, chi ha scaricato manualmente il plugin dal sito ufficiale si è trovato in casa un ospite sgradito: un malware bello e buono, iniettato direttamente nel pacchetto di installazione.
La scoperta, come riportato da Search Engine Journal, è arrivata dalla società di sicurezza Patchstack, che ha notato delle chiamate anomale.
La cosa più subdola? L’attacco è avvenuto attraverso un “supply chain attack”, ovvero hanno infettato il prodotto direttamente alla fonte.
Praticamente, hai aperto la porta di casa al ladro, convinto che fosse un amico.
Ma come funzionava esattamente questo inganno?
La porta di servizio nascosta nel codice
Il meccanismo era di una semplicità disarmante.
Gli aggressori hanno infilato del codice malevolo in un file chiamato common.php. Questo codice, una volta attivo sul tuo sito, contattava un server esterno (gravityapi.org) per inviare un bel po’ di informazioni: l’URL del sito, i plugin installati, le versioni di PHP e WordPress. In pratica, una vera e propria scansione per preparare il colpo.
Subito dopo, il server degli hacker rispondeva inviando un altro pezzo di codice, mascherato da file di sistema, che creava una backdoor. Da quel momento gli aggressori avevano il pieno controllo: potevano eseguire codice a distanza, creare nuovi amministratori e persino rubare le credenziali del database dal file wp-config.php.
In sostanza, le chiavi del tuo regno digitale erano finite nelle mani sbagliate.
E di fronte a un disastro del genere, la reazione dell’azienda è stata, diciamo, interessante.
La risposta ufficiale e i dubbi che restano
RocketGenius, la società dietro Gravity Forms, ha reagito prontamente: ha rimosso i file infetti e ha comunicato che solo le versioni 2.9.11.1 e 2.9.12 scaricate manualmente in quei due giorni erano compromesse, rassicurando chi usava gli aggiornamenti automatici.
Tutto a posto, quindi?
Non proprio.
La questione di fondo rimane. Come è possibile che un’azienda di questo calibro, a cui si affidano colossi come Nike e Google, si sia lasciata sfuggire una falla del genere sui propri canali ufficiali?
La spiegazione che “solo pochi utenti sono stati colpiti”, come si legge nella nota ufficiale, suona più come un tentativo di limitare i danni d’immagine che una vera assunzione di responsabilità.
Questo episodio ci sbatte in faccia una verità scomoda: nel mondo digitale, la fiducia è un bene prezioso e, a quanto pare, le grandi aziende non sempre la trattano con la cura che merita.
Ancora un esempio lampante della fragilità del digitale. Ben fatto.
Che brutta sorpresa per gli utenti! 😱 Bisogna sempre stare attenti con i plugin. 🔒
Ma dai, un plugin a pagamento che ti fa il pacco. 🤦♀️ Che sorpresa. Speriamo che recuperino in fretta la fiducia. 💸
Ecco, la solita storia. Paghi per la sicurezza, ti ritrovi con le porte aperte. Un classico del digitale. La fiducia è un bene volatile, come un’auto senza freni.
Solita storia. Paghi per la sicurezza, ti ritrovi con le porte aperte. 🤦♀️ Affidabilità? Dove? 🙄
La fiducia mal riposta in un componente software di terze parti si rivela un’arma a doppio taglio. L’illusione di sicurezza promessa dall’aggiornamento a pagamento, un miraggio effimero, si dissolve di fronte alla cruda realtà di una vulnerabilità latente.
La fiducia si sgretola. Paghi per la sicurezza, ottieni il caos. Patetico.
Un altro esempio di come la sicurezza, soprattutto pagata, non sia mai una garanzia. La catena di fornitura è un vero colabrodo, e la colpa ricade sempre su chi si fida ciecamente di un plugin. Un classico.
Una falla nella catena di fornitura, un monito per tutti noi. 😟 Dobbiamo mantenere alta la guardia. 🛡️
Pure il plugin a pagamento ti frega. Che storia. Tech, eh. Sempre un rischio, fidati. Dobbiamo guardarci le spalle. Sempre.