Plugin nulled WordPress: cosa rischi davvero a usarli
Usare plugin o temi nulled su WordPress espone il sito a backdoor, spam in uscita, blacklist Google, hosting sospeso e perdita di dati WooCommerce. Una guida pratica sui rischi reali e su come uscirne.
Usare un plugin nulled su WordPress non equivale a usare il plugin originale gratis. Equivale a installare software modificato da sconosciuti con accesso pieno al tuo sito. Le conseguenze concrete vanno dalla compromissione immediata alla perdita di dati WooCommerce, dall'hosting sospeso alle blacklist Google. Questa guida elenca i rischi nell'ordine in cui li vediamo comparire nei siti che ci arrivano.
Il concetto di "plugin nulled" sembra semplice: un plugin commerciale con la verifica della licenza disabilitata, distribuito gratuitamente su siti non ufficiali. In realtà il problema non è la licenza mancante. Il problema è che chiunque abbia distribuito quel file ha potuto modificarlo come voleva prima di pubblicarlo.
Che differenza c'è tra un plugin nulled e quello originale
Un plugin nulled parte da una copia del plugin originale, ma non è identico. Le modifiche che troviamo nella pratica:
- Backdoor attive: codice che si attiva al primo caricamento e apre un canale di accesso per l'attaccante. Il sito risponde normalmente, ma in background c'è qualcuno che può fare quello che vuole.
- Downloader remoti: il plugin scarica payload aggiuntivi da server controllati dall'attaccante. Ogni visita al sito o ogni cron WordPress diventa un'occasione per installare nuovo codice malevolo.
- Creazione account nascosti: hook su eventi WordPress che creano utenti admin non visibili nell'elenco standard o con nomi che sembrano legittimi (
wp_backup,maintenance_user). - Updater dirottato: l'update automatico punta a un server dell'attaccante invece che a quello ufficiale. Ogni aggiornamento porta nuova versione del malware.
- File aggiuntivi camuffati: file PHP nascosti tra le cartelle del plugin con nomi che imitano file legittimi (
class-wp-cache.php,functions-helper.php).
Tutto questo coesiste con le funzionalità legittime del plugin originale. Il sito funziona. Continui a usarlo. Nel frattempo accade altro.
Quali sono i rischi concreti
Compromissione immediata o ritardata
Alcuni plugin nulled attivano la backdoor al momento dell'installazione. Altri aspettano giorni o settimane per non essere rilevati subito. Il sito continua a funzionare normalmente mentre viene usato come base operativa: per inviare spam, per attaccare altri siti, per raccogliere dati, per diffondere malware ai tuoi visitatori.
La compromissione ritardata è più pericolosa perché non esiste un collegamento mentale diretto tra l'installazione del plugin e il problema che emerge dopo. I log mostrano l'attività sospetta, ma ormai sono passate settimane e il plugin "funziona bene" da mesi.
Sito usato per spam e phishing
Una volta compromesso, il sito diventa uno dei nodi di una rete. Le attività più comuni che troviamo:
- invio massivo di email di spam o phishing attraverso le funzioni PHP del server
- hosting di pagine phishing che imitano banche, PayPal, poste
- redirect verso siti di gambling, farmaci o contenuti inappropriati
- scansione di altri siti WordPress vulnerabili per propagare l'infezione
Il tuo dominio finisce in blacklist, le tue email aziendali non arrivano più, l'hosting ti manda un avviso di abuso.
Hosting sospeso senza preavviso
I provider di hosting monitorano il traffico e i processi in uscita. Quando rilevano spam massivo, attività di scansione o malware distribuito ai visitatori, sospendono l'account. Spesso senza preavviso.
Il sito diventa irraggiungibile. Il pannello hosting può restare accessibile ma il sito è offline. La riattivazione richiede prove che il problema è stato risolto - che di solito significa una bonifica completa e un report tecnico che molti provider richiedono per iscritto.
Blacklist Google e avviso "sito ingannevole"
Google Safe Browsing scansiona i siti e segnala quelli che distribuiscono malware o reindirizzano verso contenuti pericolosi. Se il tuo sito viene segnalato, i visitatori vedono una pagina di avviso rosso prima di poter accedere. Chrome, Firefox e Safari mostrano tutti l'avviso.
Le conseguenze:
- traffico organico azzerato nel giro di ore
- campagne Google Ads bloccate automaticamente
- perdita di fiducia che dura mesi anche dopo la rimozione dell'avviso
L'avviso di Google viene rimosso solo dopo bonifica verificata e richiesta di revisione approvata da Google Search Console. I tempi di risposta di Google variano.
Perdita di dati WooCommerce
Su un e-commerce, una backdoor attiva può leggere il database. Questo include:
- indirizzi email e dati personali dei clienti (problema GDPR)
- storico ordini
- credenziali salvate (password in chiaro se non correttamente hashate)
- token API di gateway di pagamento configurati nel pannello
Non tutte le compromissioni esfiltrano dati attivamente, ma il rischio esiste ed è reale. Un data breach obbliga a notifiche al Garante della Privacy e ai clienti, con possibili sanzioni.
Costi nascosti di bonifica
Il risparmio percepito su una licenza (da 50 a 300 euro tipicamente) viene azzerato dal primo problema serio:
- bonifica malware professionale: da 150 euro per casi semplici, spesso oltre 400-600 euro per compromissioni con backdoor multiple, database infetto e blacklist attiva
- downtime e-commerce: ogni ora di sito offline ha un costo diretto in ordini persi
- email in blacklist: spostare fuori da Spamhaus o Barracuda richiede tempo e in alcuni casi un piano di warm-up
- ore di comunicazione con clienti che hanno ricevuto phishing dal tuo dominio
Il costo medio reale di una compromissione è di 10-15 volte il prezzo della licenza legittima. Non è una stima teorica: è quello che emerge dalle richieste di intervento che riceviamo.
Come capire se hai plugin nulled installati
Non sempre il plugin viene scaricato consapevolmente. A volte arriva via un'agenzia che "ha ottimizzato i costi", via un freelance che ha assemblato il sito, o via un pacchetto "tutto incluso" comprato online. Questi segnali aiutano a identificarlo:
Controlla la fonte di origine: il plugin dovrebbe aggiornarsi da wordpress.org o dal sito del vendor ufficiale. Da Bacheca > Plugin vedi se c'è un link a nuova versione e dove punta. Se punta a un URL sconosciuto o non si aggiorna mai, indaga.
Cerca la licenza: ogni plugin commerciale serio ha una sezione licenza nelle impostazioni. Se manca o mostra stato "non valida" o "non verificabile", il plugin potrebbe non essere originale.
Controlla i file del plugin: la cartella di un plugin nulled spesso ha file aggiuntivi rispetto all'originale, o file con date di modifica che non corrispondono alla data di installazione. Se puoi, scarica la stessa versione dal sito ufficiale del vendor e confronta.
Cerca anomalie nei log: richieste HTTP in uscita verso domini sconosciuti, request POST verso IP non riconoscibili, PHP che esegue a orari insoliti - sono tutti segnali da indagare.
Controlla gli utenti admin: come descritto nella guida utenti admin sconosciuti WordPress, un plugin nulled crea spesso account nascosti. Se trovi utenti che non hai creato, la correlazione con plugin nulled è da verificare.
Come uscire dalla situazione
Se sospetti di avere plugin nulled installati:
1. Non disattivare e basta: la disattivazione non rimuove le backdoor lasciate sul file system o nel database. Serve rimuovere completamente la cartella del plugin.
2. Fai un backup prima di toccare qualcosa: anche se il sito è potenzialmente compromesso, il backup serve come evidenza forense per capire cosa è successo. Cosa fare nella prima ora descrive la sequenza corretta.
3. Controlla i segnali di compromissione: se il plugin è attivo da settimane, è probabile che abbia già lasciato tracce. Leggi 10 segnali che il tuo sito WordPress è compromesso per capire cosa cercare.
4. Rimuovi e sostituisci: trova l'alternativa ufficiale (leggi la sezione seguente) e installa quella. Se la funzionalità non serve più, semplicemente rimuovi.
5. Scansiona file e database: anche dopo la rimozione del plugin, potrebbero restare file aggiuntivi e voci nel database lasciate dalla backdoor. Un controllo sistematico è necessario. Il metodo completo è nella guida bonifica malware WordPress.
Alternative legittime ai plugin nulled più cercati
Page builder (Elementor Pro, Divi, Beaver Builder): Elementor ha una versione free completa per la maggior parte dei casi. Molti siti usano solo funzionalità disponibili in Elementor Free. La licenza Pro di Elementor parte da 59 USD/anno per un sito.
Plugin SEO (Rank Math Pro, Yoast Premium): Rank Math Free è considerato uno dei migliori plugin SEO in assoluto, senza bisogno della versione Pro per la maggior parte degli usi. Yoast Free copre le funzionalità principali.
Plugin sicurezza (Wordfence Premium, iThemes Security Pro): Wordfence Free ha la maggior parte delle funzionalità della versione Premium. La differenza principale è il ritardo negli aggiornamenti delle firme malware (30 giorni vs tempo reale).
Plugin WooCommerce (plugin cart, checkout, gateway): molti plugin WooCommerce premium hanno versioni free sul repository ufficiale con funzionalità ridotte ma sufficienti per casi semplici.
La risposta onesta è che per la maggioranza dei siti WordPress, tra plugin gratuiti del repository ufficiale e pochi acquisti mirati, si costruisce un'installazione completa e sicura senza versioni nulled.
Ho un plugin nulled installato ma il sito sembra a posto: devo preoccuparmi?
Sì. Il fatto che il sito "sembri a posto" non significa che non ci siano backdoor attive. Molte compromissioni sono progettate per restare invisibili: il sito funziona normalmente, i visitatori vengono serviti correttamente, ma in background avviene altro. Un plugin nulled attivo da settimane o mesi ha probabilmente già lasciato tracce. Controlla i segnali elencati nella guida 10 segnali che il tuo sito WordPress è compromesso e considera una bonifica preventiva.
Se rimuovo il plugin nulled il problema è risolto?
Non automaticamente. Se il plugin ha già scaricato payload aggiuntivi, creato file nascosti, inserito codice nel database o creato utenti admin, questi elementi sopravvivono alla rimozione del plugin. Rimuovere il plugin rimuove il vettore iniziale, non le conseguenze. Serve un controllo completo di file, database e utenti per verificare che non siano rimaste tracce.
L'hosting può accorgersi che uso plugin nulled?
L'hosting di solito non sa cosa hai installato, a meno che un file non venga rilevato da un antivirus server-side (alcuni provider lo fanno). Ma se il plugin compromette il sito e inizia attività malevole (spam, scansioni, malware ai visitatori), l'hosting lo vede nei log e nei processi e sospende l'account. Non è una questione di "licenza non pagata" - è una questione di attività abusive rilevate dal server.
Un plugin nulled può compromettere anche l'hosting e altri siti sullo stesso account?
Su hosting condiviso, sì. Se un sito nello stesso account cPanel viene compromesso, backdoor con permessi sufficienti possono attraversare le cartelle e infettare altri siti sullo stesso account. Questo è uno dei motivi per cui molti provider isolano i siti in ambienti separati - ma non tutti lo fanno. Su hosting condiviso economico la compromissione di un sito può mettere a rischio tutti gli altri dello stesso account.
Scritto dal team WPsec
Team WPsec.it
Bonifica malware, hardening, performance e manutenzione WordPress.
Continua a leggere
Articoli correlati.
Hardening WordPress essenziale: 12 mosse che servono davvero
Le configurazioni di hardening WordPress che, nei nostri interventi reali, riducono di più la superficie d'attacco. Niente lista da 50 punti: quello che usiamo davvero.
Hardening WordPress: checklist tecnica essenziale
Checklist pratica per ridurre la superficie d'attacco di WordPress: login, permessi, file, utenti, backup, headers, XML-RPC e hosting.
Ninja Forms File Upload: exploit attivo, patch e checklist
Ninja Forms File Upload è vulnerabile fino alla 3.3.26: versioni colpite, patch 3.3.27 e checklist per ridurre il rischio subito.