Sei siti della stessa agenzia infettati in quattro minuti.
Un'agenzia web italiana con sei siti WordPress sullo stesso server. Il cliente segnala un file sospetto dentro un plugin che nessuno ha mai installato.
“Un plugin sconosciuto comparso dal nulla su un sito. Gli altri cinque sembravano a posto.”
Diagnosi
Campagna di injection JavaScript con plugin civetta e codice iniettato nei file dei temi. I log hanno mostrato la vera storia: login in wp-admin riuscito al primo tentativo su tutti e sei i siti, da indirizzi IP diversi, nello stesso intervallo di quattro minuti. Nessun brute force: credenziali già rubate, replay scriptato.
Vettore
Non era una falla dei siti: erano le credenziali dell'amministratore, con ogni probabilità sottratte da un infostealer sulla postazione di lavoro. È il caso tipico in cui "pulire i file" senza capire l'ingresso garantisce la reinfezione il giorno dopo.
Intervento
Backup verificati prima di toccare qualsiasi cosa. Bonifica chirurgica sul tema custom (rimozione del blocco iniettato, sintassi verificata) e reinstallazione forzata dei componenti ufficiali dove possibile. Rotazione password, invalidazione di tutte le sessioni, blocco dell'editor file e di XML-RPC. I quattro siti non ancora prioritari sono stati sospesi in modo reversibile: contenimento prima, ripristino poi.
Esito
I due siti di produzione sono tornati online puliti in giornata, con referto tecnico per ciascuno. Dall'attacco abbiamo estratto tre nuove firme di rilevamento che oggi fanno parte dello scanner: ogni intervento rende più forte il controllo successivo.