Vulnerabilità critiche investono l'ecosistema WordPress: oltre 10 milioni di siti esposti a rischi di compromissione
Multiple vulnerabilità critiche (CVSS 9.8) colpiscono WordPress core, plugin popolari e temi. CVE-2024-10924, CVE-2025-5394 e CVE-2024-44000 espongono milioni…
Contenuto
Scopri anche
- Samsung rilascia la patch di sicurezza di marzo 2026: corrette 65 vulnerabilità sui dispositivi Galaxy
- Vulnerabilità critiche nei router TP-Link: CISA e ricercatori segnalano falle diffuse
- Cybersecurity automotive: normative UNECE R155, ISO 21434 e nuove minacce per i veicoli connessi
- L'Italia nel mirino: attacchi informatici +42% e una sicurezza ancora sotto tono
- iOS 26.4: Apple corregge oltre 35 vulnerabilità e introduce aggiornamenti di sicurezza automatici
- Samsung Galaxy: patch di sicurezza marzo 2026 e roadmap aggiornamenti
- DarkSword: l'exploit kit iOS che combina sei vulnerabilità per il controllo silenzioso dei dispositivi
- ESAs: rischi elevati per il sistema finanziario UE tra tensioni geopolitiche e minacce informatiche
- Vulnerabilità critiche nei router TP-Link: analisi tecnica e misure di mitigazione
- Telegram sotto attacco: vulnerabilità zero-day, truffe e minacce alla sicurezza
- Vulnerabilità critiche nei router TP-Link: patch urgenti e mitigazioni consigliate
- iOS 26.4: playlist generate dall'AI, fix della tastiera e 35 vulnerabilità corrette
- Vulnerabilità CVE-2026-0628 in Chrome: il pannello Gemini a rischio di exploit
- Data poisoning: bastano 250 documenti per compromettere un modello AI
- Tool di hacking DarkSword e Coruna trapelati online: come proteggere gli iPhone dalle vulnerabilità
- DarkSword: l'exploit kit iOS che minaccia milioni di iPhone viene reso pubblico su GitHub
- Data poisoning: quando 250 documenti bastano per compromettere un modello AI
- Samsung rilascia One UI 8 Watch per Galaxy Watch 4 con patch correttiva dopo i problemi iniziali
- iPhone e sicurezza: come riconoscere i segnali di un dispositivo compromesso e proteggersi dagli attacchi
- Modalità di Isolamento Apple: la funzione di sicurezza che ha resistito all'FBI
Vulnerabilità critiche investono l'ecosistema WordPress: oltre 10 milioni di siti esposti a rischi di compromissione
- WordPress core: tre vulnerabilità critiche e aggiornamenti emergenziali
- Plugin Really Simple Security: bypass dell'autenticazione a due fattori
- Plugin LiteSpeed Cache: sei milioni di siti a rischio di account takeover
- Tema Alone: controllo remoto tramite installazione plugin
- Plugin W3 Total Cache: esposizione di metadati sensibili
- Segnali di compromissione e procedure di intervento
- Quando la ricostruzione è la soluzione più sicura
- Strategie di prevenzione e mitigazione
- Implicazioni e scenari
- Cosa monitorare
- Fonti
L'ecosistema WordPress ha attraversato un periodo intenso dal punto di vista della sicurezza, con una serie di vulnerabilità critiche che hanno colpito sia il core del CMS che plugin e temi diffusi. Le falle identificate, molte delle quali con punteggio CVSS pari a 9.8, permettono a malintenzionati di assumere il controllo completo dei siti vulnerabili attraverso meccanismi che vanno dal bypass dell'autenticazione all'esecuzione di codice remoto.
WordPress core: tre vulnerabilità critiche e aggiornamenti emergenziali
⬆ Torna suLe versioni 6.9.3 e 6.9.4 di WordPress sono state rilasciate a meno di 24 ore di distanza l'una dall'altra per correggere falle di sicurezza critiche lasciate aperte dalla versione precedente. La documentazione ufficiale indica tre problemi distinti: una vulnerabilità di tipo Path Traversal nella libreria PclZip, che permetteva l'accesso non autorizzato a file del sito; un bypass delle autorizzazioni nella funzionalità Notes, con rischio per la gestione dei permessi nelle funzioni di editing collaborativo; un'iniezione di tipo XXE (XML External Entity) nella libreria esterna getID3, per la quale è stato necessario coordinarsi direttamente con il manutentore della libreria.
La versione 6.9.2, rilasciata il 10 marzo, doveva risolvere dieci problemi di sicurezza ma ha introdotto un nuovo bug che causava la visualizzazione di una pagina bianca su alcuni siti dopo l'aggiornamento. La versione 6.9.3 è stata quindi rilasciata per correggere questo malfunzionamento, seguita a stretto giro dalla 6.9.4 per le falle rimanenti.
Plugin Really Simple Security: bypass dell'autenticazione a due fattori
⬆ Torna suIl 6 novembre 2024 è stata divulgata la vulnerabilità CVE-2024-10924, classificata con punteggio CVSS 9.8 e considerata una delle più gravi mai identificate su plugin WordPress. La falla riguarda il plugin Really Simple Security in tutte le sue versioni e permette a un attaccante di bypassare l'autenticazione a due fattori per ottenere accesso amministrativo completo da remoto.
Il ricercatore István Márton di Wordfence ha specificato che questa è una delle vulnerabilità più gravi segnalate nei 12 anni di storia come fornitore di sicurezza per WordPress. La falla deriva da una gestione errata dell'autenticazione e da un'implementazione insicura delle funzioni API REST, esponendo oltre 4 milioni di siti web. Lo sfruttamento è automatizzabile, il che incrementa la pericolosità e il potenziale sfruttamento su larga scala.
Il fornitore del plugin ha rilasciato la versione 9.1.2 per correggere la vulnerabilità e ha attivato una collaborazione con WordPress.org per forzare l'aggiornamento automatico per tutti i siti che utilizzano una versione vulnerabile.
Plugin LiteSpeed Cache: sei milioni di siti a rischio di account takeover
⬆ Torna suIl ricercatore Rafie Muhammad di Patchstack ha scoperto il 22 agosto una vulnerabilità di gravità critica in LiteSpeed Cache, plugin di caching utilizzato su oltre 6 milioni di siti WordPress. La falla CVE-2024-44000 riguarda un problema di acquisizione di account non autenticato, corretto nella versione 6.5.0.1.
Per sfruttare la falla, un attaccante deve essere in grado di accedere al file di log di debug in /wp-content/debug.log. In assenza di restrizioni di accesso ai file, basta inserire l'URL corretto. Enrico Morisi, ICT Security Manager, ha commentato che le attività di debug possono portare alla raccolta di informazioni sensibili a seconda del livello di trace utilizzato, dati che devono essere adeguatamente censiti e gestiti.
Lo scorso maggio lo stesso plugin era stato preso di mira attraverso la vulnerabilità CVE-2023-40000 (cross-site scripting non autenticato) per creare utenti amministratori e prendere il controllo dei siti. Il 21 agosto è emersa un'altra vulnerabilità critica, CVE-2024-28000, per scalare i privilegi. A due settimane dalla divulgazione sono stati registrati 340.000 attacchi nelle ultime 24 ore, con oltre 5,6 milioni di siti ancora potenzialmente vulnerabili.
Tema Alone: controllo remoto tramite installazione plugin
⬆ Torna suLa vulnerabilità CVE-2025-5394, valutata con punteggio CVSS 9.8, colpisce il tema Alone per WordPress utilizzato da numerosi siti di organizzazioni non profit. La falla riguarda tutte le versioni fino alla 7.8.3 e si basa sulla funzione alone_import_pack_install_plugin, che non verifica correttamente i permessi degli utenti.
Utenti non autenticati possono caricare file arbitrari tramite chiamate AJAX, aprendo la strada all'esecuzione di codice malevolo da remoto. Il team di sicurezza di Wordfence ha sottolineato come la vulnerabilità consenta di caricare ed eseguire file dannosi per installare backdoor PHP, file manager e plugin plugin malevoli capaci di creare account amministrativi non autorizzati.
Gli attacchi osservati hanno utilizzato archivi ZIP denominati wp-classic-editor.zip o background-image-cropper.zip. Le campagne di attacco sono partite almeno due giorni prima che la vulnerabilità fosse pubblicamente divulgata il 14 luglio 2025. Wordfence ha bloccato oltre 120.900 tentativi di sfruttamento provenienti da indirizzi IP distribuiti globalmente. La versione 7.8.5 del tema corregge il problema.
Plugin W3 Total Cache: esposizione di metadati sensibili
⬆ Torna suLa vulnerabilità CVE-2024-12365 colpisce il plugin W3 Total Cache, utilizzato da oltre un milione di siti WordPress per ottimizzare le prestazioni. La falla deriva dall'assenza di controlli adeguati in una specifica funzione del plugin e permette agli hacker di ottenere metadati riservati relativi alle applicazioni cloud collegate al sito compromesso.
Per sfruttare questa vulnerabilità, l'attaccante deve disporre di un account con privilegi minimi, come quello di un semplice iscritto. Una volta ottenuto l'accesso, i malintenzionati possono compiere diverse azioni dannose tra cui inoltrare richieste a servizi esterni utilizzando l'infrastruttura del sito (Server-Side Request Forgery), sottrarre dati dati sensibili o sovraccaricare il sistema di cache generando rallentamenti significativi e costi imprevisti. La versione 2.8.2 del plugin risolve il problema.
Segnali di compromissione e procedure di intervento
⬆ Torna suUn sito WordPress compromesso può manifestare diversi segnali: impossibilità di accedere al backend, homepage modificata, redirect verso siti dannosi, comparsa di link o contenuti spam, rallentamenti inspiegabili, pagine bianche, avvisi di sicurezza dai browser. Strumenti come Google Safe Browsing, Google Search Console e scanner online come Sucuri SiteCheck aiutano a verificare lo stato di compromissione.
In caso di violazione, la procedura di intervento prevede l'attivazione della modalità manutenzione per proteggere l'immagine del sito, il backup completo di file e database, la scansione con software di sicurezza per identificare malware e file infetti, la verifica manuale di cartelle e file per anomalie come codice offuscato o modifiche non autorizzate, la rimozione o sostituzione dei file infetti, l'aggiornamento di WordPress, plugin e temi all'ultima versione disponibile.
È inoltre necessario reimpostare password con credenziali robuste e uniche, verificare la presenza di utenti sospetti nel pannello WordPress e rimuoverli immediatamente. Se Google ha segnalato il sito come non sicuro, è possibile utilizzare Google Search Console per richiedere una nuova scansione e caricare una sitemap aggiornata.
Quando la ricostruzione è la soluzione più sicura
⬆ Torna suSe un sito presentava gravi problemi strutturali di sicurezza prima dell'attacco, come codice personalizzato pieno di bug, uso massiccio di plugin obsoleti o di dubbia provenienza, assenza totale di aggiornamenti, la pulizia potrebbe non essere risolutiva. In questi casi la ricostruzione del sito da zero rappresenta la soluzione più efficace, partendo da una base pulita e aggiornata che elimina alla radice ogni malware e vulnerabilità accumulata.
È possibile recuperare e riutilizzare molti contenuti validi dal sito compromesso, procedendo all'esportazione dei contenuti, all'installazione di una nuova versione pulita di WordPress, all'importazione dei contenuti verificati e alla ricostruzione delle funzionalità con plugin e temi aggiornati.
Strategie di prevenzione e mitigazione
⬆ Torna suPer ridurre il rischio di compromissione è essenziale mantenere WordPress, plugin e temi costantemente aggiornati, ridurre il numero di plugin installati ai soli indispensabili, implementare backup automatici frequenti, adottare autenticazione a due fattori, utilizzare password robuste e uniche, scegliere hosting affidabili, implementare firewall per applicazioni web (WAF).
Nello specifico del caso LiteSpeed Cache, è possibile adottare restrizioni di accesso ai file tramite regole .htaccess per negare l'accesso diretto ai file di log, effettuare cancellazioni periodiche dei registri e non conservarli a tempo indeterminato. Morisi sottolinea l'importanza di irrobustire i processi di autenticazione adottando policy basate sulle linee guida per la Digital Identity, come la Multi-Factor Authentication resistente al phishing.
La gestione delle vulnerabilità richiede processi di asset management, change management e patch management, integrati possibilmente con servizi di threat intelligence. Il ciclo di vita delle vulnerabilità e degli attacchi è decisamente inferiore all'arco temporale di un anno, quindi il vulnerability assessment non può ridursi a un'attività annuale.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Implicazioni e scenari
⬆ Torna suLa concentrazione di vulnerabilità critiche in componenti diffusissimi dell'ecosistema WordPress amplifica il rischio di campagne di attacco su larga scala, favorita dalla automatizzabilità dello sfruttamento già documentata in diversi casi.
- Scenario 1: gli aggiornamenti automatici forzati potrebbero contenere l'impatto per i plugin già patchati, ma restano inefficaci sui siti con aggiornamenti disabilitati manualmente.
- Scenario 2: i siti che non ricevono intervento tempestivo potrebbero diventare vettori di infezioni persistenti, con backdoor e account amministrativi fraudolenti difficili da rilevare.
- Scenario 3: la ricostruzione da zero potrebbe diventare l'unica soluzione per i siti con plugin obsoleti o codice personalizzato vulnerabile, come suggerito per i casi di compromissione più gravi.
Cosa monitorare
⬆ Torna su- Eventuali nuove segnalazioni CVE su plugin di caching e temi ampiamente diffusi.
- Indizi di compromissione come redirect sospetti, utenti amministrativi non riconosciuti o rallentamenti inspiegabili.
- Stato degli aggiornamenti automatici su installazioni WordPress multisito o con configurazioni personalizzate.
Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.
Fonti
⬆ Torna su- https://www.roberto-serra.com/news/wordpress-falle-sicurezza-aggiornamenti-rapidi-12-03-2026/
- https://cybersecurityup.it/knowledge-hub/news/allarme-alone-su-wordpress-vulnerabilita-critica-espone-migliaia-di-siti-a-controllo-totale-hacker
- https://www.isoladicomunicazione.com/en/wordpress-site-hacked-how-to-fix-it/
- https://www.webbes.it/sito-wordpress-hackerato-cause-soluzioni-prevenzione/
- https://www.html.it/magazine/grave-falla-di-sicurezza-oltre-1-milione-di-siti-wordpress-a-rischio/
- https://blog.register.it/bug-critico-in-un-plugin-wordpress-a-rischio-oltre-4-milioni-di-siti-web/
- https://www.cybersecurity360.it/news/wordpress-rischio-attack-takeover-falla-litespeed-cache/
In breve
- cybersecurity
- cve
- vulnerabilita
- patch