Prezzi auto stracciati truffa: come un plugin ha trasformato un sito WordPress in una trappola perfetta

Hackerato sito WordPress tramite vulnerabilità del plugin Post SMTP, con manipolazione degli annunci e truffe ai danni degli acquirenti.

Cosa è successo

Un concessionario di auto usate, storico e molto conosciuto nella sua area, si affida a un’agenzia di marketing per realizzazione e la gestione del proprio sito web WordPress, collegato automaticamente ai portali di annunci (tra cui Autoscout24).

Come purtroppo accade spesso, il sito non riceveva alcuna manutenzione tecnica, nessun aggiornamento, nessun monitoraggio di sicurezza.

Questa mancanza ha aperto la porta a un attacco mirato.

La vulnerabilità che ha permesso l’hack

Il sito utilizzava il plugin Post SMTP, coinvolto in una vulnerabilità critica di account takeover (CVE-2025-11833 pubblicata e ampiamente documentata). La falla permetteva a un attaccante di creare nuovi utenti amministratori senza alcuna autorizzazione sfruttando l'account amministratore esistente. Una volta dentro, i criminali avevano pieno controllo del sito e dei contenuti pubblicati.

A livello globale, il plugin Post SMTP è stato scaricato quasi 18 milioni di volte ed è attivo su oltre 400.000 siti internet. [Wordfence]

Questa vulnerabilità era nota e ampiamente segnalata dai principali servizi di sicurezza WordPress. Bastava un aggiornamento per impedirla.

Cosa hanno fatto gli hacker (in meno di 30 minuti)

Una volta ottenuto l’accesso amministrativo:

• Hanno sostituito i recapiti telefonici con contatti sotto il loro controllo e eliminato il contatto email
• Hanno abbassato i prezzi delle auto di circa 30%, rendendoli irresistibili
• Hanno reso gli annunci “troppo belli per essere veri”, ma pubblicati da un concessionario affidabile
• Grazie alla sincronizzazione automatica, la frode è comparsa anche su Autoscout24, incrementando la portata dell’attacco

...la fiducia nel brand ha fatto il resto.

Le vittime e il danno economico

Nel giro di sole 48 ore, molti potenziali acquirenti hanno contattato gli hacker convinti di parlare con il concessionario ufficiale. Quattro hanno versato una caparra per "bloccare" l’auto dei propri sogni.

È il concessionario che si accorge di cosa sta succedendo alla prima visita fisica di un acquirente locale.

Truffa lampo. Danno reale. Immagine aziendale compromessa.

Perchè è successo

Semplice: il sito non veniva aggiornato, monitorato né gestito da figure competenti qualcuno.

L’agenzia di marketing non è stata in grado di comprendere e ricostruire l'accaduto, leggeranno quest'articolo.

Questa storia rappresenta perfettamente ciò che accade quando:

• i plugin WordPress non vengono aggiornati
• non si effettuano controlli di sicurezza
• si confonde la gestione marketing con la gestione tecnica e IT
• non si applica il principio base del minimum security.

Come abbiamo indagato e risolto

Una volta ricevuta la richiesta di indagine, abbiamo:

• Analizzato il sito e riscontrato l’accesso amministrativo aggiuntivo creato dagli attaccanti
• Individuato la modalità utilizzata per crearlo
• Rimosso utenti e modifiche malevole
• Ripristinato i dati corretti e verificato la sincronizzazione con Autoscout24
• Aggiornato WordPress, temi e plugin, chiudendo la vulnerabilità sfruttata (..e altre vulnerabilità critiche presenti)

Lezioni da portare a casa

• Un sito web non è fatto e finito: va mantenuto.
• Un plugin vulnerabile può compromettere un’azienda intera.
• Gli attaccanti sfruttano automatismi come le sincronizzazioni non monitorate con portali esterni.
• Il danno economico dei clienti finali può ricadere sul brand e sulla reputazione aziendale, anche drammaticamente.
• La gestione tecnica non è un optional: servono competenze IT reali.

Come proteggersi in futuro

• Aggiornare WordPress, plugin e temi con continuità.
• Eseguire scansioni di sicurezza con regolarità.
• Separare marketing e gestione IT.
• Scegliere un hosting gestito come Purple CMS con manutenzione tecnica e aggiornamenti di sicurezza inclusi. ;-)
• Implementare firewall applicativi e sistemi di rilevamento anomalie.

Purple Tech pubblica casi reali e consigli pratici per aiutare aziende e professionisti a riconoscere, prevenire e fermare gli attacchi moderni.