Plugin nulled: perché sono il primo vettore di compromissione

"Plugin nulled" significa una versione modificata di un plugin commerciale, distribuita gratuitamente fuori dai canali ufficiali, con la verifica della licenza disabilitata. La logica del download è sempre la stessa: "ottieni gratis quello che gli altri pagano".

Il problema, dal punto di vista tecnico, è che chi distribuisce nulled non lo fa per generosità. Lo fa perché può aggiungere quello che vuole nel codice, pubblicarlo, e aspettare che migliaia di siti lo installino. Le statistiche interne dei nostri interventi sono molto chiare: i plugin nulled sono di gran lunga il primo vettore di compromissione.

Cosa cambia rispetto al plugin originale

Un plugin nulled non è "il plugin originale senza licenza". È una versione modificata. Le modifiche tipiche che troviamo:

• la funzione di verifica licenza viene disabilitata (questo è il motivo dichiarato)
• viene aggiunto codice che si attiva al primo caricamento, scarica payload remoti, stabilisce persistenza
• vengono aggiunti file PHP secondari camuffati da risorse legittime (immagini, font, traduzioni)
• l'updater viene riassegnato a un server controllato dall'attaccante: ogni "update" porta nuovo payload
• vengono creati account utente nascosti tramite hook in fase di attivazione

Non sono modifiche teoriche. Sono modifiche che troviamo in pratica, ogni mese, su siti compromessi che ci arrivano.

Perché funzionano così bene come vettore

Tre ragioni:

1. Distribuzione massiva: bastano poche centinaia di download per avere una rete di siti compromessi.
2. Permessi WordPress: un plugin attivo gira con tutti i permessi di WordPress. Può scrivere file, leggere il database, mandare email, modificare configurazioni.
3. Fiducia ingiustificata: il plugin "originale" è sicuro, quindi mentalmente molti pensano che la versione nulled sia "uguale ma senza licenza". Non è uguale: è uguale + altro.

I segnali quando un cliente ha plugin nulled

Anche senza guardare il codice, alcuni segnali ricorrenti:

• la cartella del plugin contiene file con date "fuori sequenza" (un plugin del 2024 che ha file con timestamp 2018 o 2030)
• il file principale ha una sezione di codice in fondo che sembra fuori contesto rispetto al resto
• esistono file con nomi strani in wp-content/uploads/ o wp-content/plugins/<plugin>/lib/
• il database ha opzioni con valori serializzati che includono URL verso domini sconosciuti
• i log mostrano richieste in uscita verso quegli stessi domini

Spesso il cliente non sa di avere plugin nulled. Il sito è stato fatto da un freelance anni prima, o un'agenzia ha "ottimizzato i costi" senza spiegare il rischio. La parte spiacevole della conversazione è far capire che non si può sistemare il sito tenendo il plugin nulled.

La nostra posizione operativa

Non lavoriamo su siti che mantengono plugin o temi nulled in produzione. Non è una posizione moralista: è tecnica.

Un sito con plugin nulled è un sito che, anche dopo bonifica, resta vulnerabile in modo strutturale. Il plugin si auto-aggiorna verso un server attaccante; la verifica licenza è morta; nessuno garantisce che la prossima patch ufficiale venga rilasciata in versione nulled. Bonificare oggi e lasciare il plugin lì significa quasi certamente tornare al punto di partenza tra qualche settimana.

Quando un cliente ci chiede una bonifica e troviamo plugin nulled, le opzioni che proponiamo sono tre:

1. Rimuovere il plugin: se la funzionalità non è più necessaria.
2. Sostituire con alternativa open source mantenuta: spesso esiste un equivalente ufficiale o un plugin gratuito che copre il caso d'uso.
3. Acquistare la licenza ufficiale: la più diretta, e di solito quella che il cliente sceglie quando vede il costo reale di una compromissione.

Non c'è una quarta opzione "lasciamolo, vediamo come va". Quella opzione l'abbiamo provata anni fa per cortesia, e finiva sempre con un secondo intervento entro 2-3 mesi.

Plugin gratuiti vs plugin commerciali: una nota onesta

Plugin nulled è un problema diverso da "plugin gratuito". Plugin gratuiti pubblicati nella repo ufficiale di wordpress.org, mantenuti, aggiornati, sono perfettamente sicuri. La maggior parte dei siti WordPress in produzione gira su plugin gratuiti.

Il problema è specifico: prendere un plugin commerciale, scaricarlo da un sito di "warez WordPress", e installarlo nel proprio sito.

Il costo reale di un plugin nulled

Spesso si confronta il prezzo della licenza ufficiale (50, 100, 200 euro l'anno) con la versione nulled (zero). Manca però il costo nascosto:

• una bonifica seria parte da 299 euro, e su casi complessi sale rapidamente
• giornate di sito offline o redirect SEO che bruciano traffico organico
• email aziendali finite in blacklist per spam in uscita
• perdita di dati cliente o ordini WooCommerce
• ore di consulenza per capire perché il sito è stato bucato

Il rapporto è quasi sempre 10:1 a sfavore del nulled. La licenza si ripaga al primo problema evitato.

Conclusione

Se gestisci siti per clienti, vale la pena fare audit sulle installazioni: cerca plugin la cui licenza non risulta dal vendor, cerca file modificati con date strane, controlla se l'updater punta al sito ufficiale.

Se hai dubbi su un'installazione che hai ereditato, possiamo fare una verifica rapida tramite la chat. Non serve altro che dirci quale plugin ti preoccupa: in pochi minuti possiamo dirti se è genuino, se è nulled, o se vale la pena un'analisi più approfondita.