Un plugin WordPress usato nei negozi WooCommerce è finito sotto attacco perché può trasformare il checkout in una trappola per i dati delle carte.
Il caso riguarda Funnel Builder by FunnelKit, uno strumento usato per personalizzare pagine di pagamento, funnel di vendita, offerte e upsell. Non parliamo quindi di una funzione nascosta o marginale, ma di una parte molto delicata di un e-commerce: il momento in cui l’utente inserisce dati personali e informazioni di pagamento.
La vulnerabilità è particolarmente seria perché permette agli aggressori di inserire JavaScript malevolo nelle pagine di checkout di WooCommerce. In pratica, chi visita il negozio vede una pagina apparentemente normale, completa l’ordine e può non accorgersi di nulla. Dietro quella schermata, però, il codice aggiunto dall’attaccante può intercettare i dati digitati durante il pagamento, compresi quelli collegati alla carta di credito.
Il problema nasce dentro il checkout
Secondo le analisi pubblicate dai ricercatori di sicurezza, la falla riguarda le versioni del plugin precedenti alla 3.15.0.3. Il punto più delicato è che l’attacco non richiede necessariamente un account amministratore già compromesso: viene sfruttato un endpoint non protetto, legato al flusso del checkout, per modificare alcune impostazioni globali del plugin e inserire script esterni.
Questo rende il caso diverso da molte vulnerabilità WordPress che restano teoriche o richiedono condizioni difficili da ottenere. Qui l’obiettivo è molto pratico: piazzare uno skimmer, cioè un codice pensato per leggere e copiare le informazioni inserite dagli utenti nel modulo di pagamento. Per un piccolo negozio online, il danno non è solo tecnico, perché coinvolge fiducia, reputazione e possibili conseguenze sulla gestione dei dati dei clienti.
Perché riguarda anche i piccoli e-commerce
Funnel Builder è installato su oltre 40.000 siti, un numero che spiega perché la falla abbia attirato rapidamente attenzione. Molti negozi WooCommerce usano plugin simili per rendere il checkout più ordinato, aumentare le conversioni o aggiungere offerte dopo l’acquisto. È una pratica comune, soprattutto per chi lavora con WordPress senza sviluppare tutto da zero.
Il problema è che ogni plugin aggiunto a un e-commerce porta con sé una parte di rischio. Non significa che WordPress o WooCommerce siano insicuri per definizione, ma che un sito di vendita non può essere trattato come un semplice blog. Se il checkout dipende da componenti esterni, anche un singolo aggiornamento rimandato può esporre pagine dove passano dati sensibili e transazioni reali.
Cosa deve controllare chi usa Funnel Builder
La prima cosa da fare, per chi usa Funnel Builder by FunnelKit, è verificare subito la versione installata e aggiornare almeno alla 3.15.0.3. Ma l’aggiornamento da solo potrebbe non bastare se il sito è già stato colpito. Conviene controllare anche eventuali script sospetti nelle impostazioni del plugin, soprattutto nelle aree dedicate a codici esterni, tracciamenti, analytics o integrazioni di marketing.
Un altro passaggio utile è osservare il checkout da fuori, come farebbe un cliente, e controllare se compaiono richieste strane, rallentamenti anomali o script non riconosciuti nel codice della pagina. Chi gestisce pagamenti online dovrebbe anche valutare un controllo dei log e, se necessario, coinvolgere chi cura la parte tecnica del sito. In casi come questo, la differenza la fa la rapidità: non aspettare che arrivino segnalazioni dai clienti è già una forma concreta di protezione.
La lezione è scomoda ma chiara: negli e-commerce WordPress la sicurezza non passa solo dal tema, dall’hosting o dalla password dell’amministratore. Passa anche dai plugin che sembrano aiutare a vendere meglio, ma che finiscono in mezzo al punto più delicato del sito. Ed è proprio lì, nel momento del pagamento, che un attacco silenzioso può fare più danni.
