WordPress: i 5 plugin compromessi del 2025-2026 (e cosa imparare)

WordPress: i 5 plugin compromessi del 2025-2026 (e cosa imparare)

6 min di lettura
Indice dell’articolo19 sezioni
  1. 01I 5 casi più rilevanti del 2025-2026
  2. 021. Supply chain attack su SureTriggers / OttoKit (febbraio 2025)
  3. 032. Plugin abbandonati venduti e weaponizzati (più casi nel 2025)
  4. 043. WP Statistics RCE (estate 2025)
  5. 054. LiteSpeed Cache privilege escalation (inizio 2025)
  6. 065. WPML (multilingua) subscription bypass (autunno 2025)
  7. 07Perché WordPress è il bersaglio numero uno
  8. 08Come capire se sei stato compromesso
  9. 09Setup di sicurezza minimo per WordPress nel 2026
  10. 10Plugin di sicurezza serio
  11. 11Auto-update strategico
  12. 12Backup esterno giornaliero
  13. 13Hosting WordPress-managed
  14. 14SSL forzato + HSTS
  15. 15Cosa fare se sei stato compromesso
  16. 16Cosa portarsi a casa
  17. 17Conclusione
  18. 18Continua a leggere
  19. 19Domande frequenti

Ogni paio di mesi torniamo a scriverlo, e ogni volta troviamo un nuovo caso: un plugin WordPress diffuso scoperto compromesso con codice malevolo. Solo nel 2025-2026 abbiamo seguito da vicino almeno cinque incidenti seri — alcuni con centinaia di migliaia di siti coinvolti. Recap di cosa è successo, perché succede, e cosa fare per non essere il prossimo.

I 5 casi più rilevanti del 2025-2026

Selezione ragionata: non tutti i plugin compromessi sono entrati nei mass media. Questi cinque sono quelli che ci hanno fatto rivedere il setup di sicurezza dei nostri clienti.

1. Supply chain attack su SureTriggers / OttoKit (febbraio 2025)

Un attaccante ha sfruttato una vulnerabilità di autenticazione (CVE-2025-3102) per creare account admin su oltre 100.000 installazioni del plugin di automazione SureTriggers. Patch rilasciata in 24h, ma chi non aveva auto-update ha avuto giorni di esposizione.

Lezione: anche i plugin di “produttori seri” possono avere vulnerabilità zero-day. La differenza la fa il tempo di risposta — chi ha auto-update attivi è protetto entro ore, chi no rimane esposto per settimane.

2. Plugin abbandonati venduti e weaponizzati (più casi nel 2025)

Pattern visto su almeno tre plugin durante l’anno: uno sviluppatore vende un plugin minore (10k-100k installazioni) a una società estera, la quale dopo qualche update “normale” inserisce codice che inietta backdoor o adv malevolo. WordPress.org rimuove il plugin dal repository quando se ne accorge, ma il danno è già fatto.

Lezione: monitora i cambi di ownership dei plugin che usi. Su WordPress.org la sezione “Maintainers” mostra chi è il referente. Se cambia, ricontrolla cosa fa il plugin.

3. WP Statistics RCE (estate 2025)

Vulnerabilità di SQL injection in WP Statistics, plugin con oltre 600.000 installazioni attive. Permetteva esecuzione di codice arbitrario in pochi step. Patch rilasciata, ma a settembre 2025 c’erano ancora oltre 200.000 siti non aggiornati.

Lezione: i plugin “stabili e popolari” non sono immuni. Le vulnerabilità SQL injection sono ancora il pane quotidiano di chi attacca WordPress su scala.

4. LiteSpeed Cache privilege escalation (inizio 2025)

LiteSpeed Cache — installato su milioni di siti — ha avuto una vulnerabilità che permetteva a qualsiasi visitatore di ottenere privilegi admin tramite manipolazione di header HTTP. Patch in 24h dalla scoperta, ma il fix richiedeva update manuale o auto-update attivo.

Lezione: anche il tuo plugin di cache è un vettore di attacco. Performance e sicurezza non vivono in mondi separati.

5. WPML (multilingua) subscription bypass (autunno 2025)

Vulnerabilità che permetteva di iscriversi al plugin senza pagare e di accedere a funzionalità Pro. Conseguenza: utenti malevoli con accesso esteso al sito. Patch rapida, ma impatto reputazionale notevole per il vendor.

Lezione: i plugin premium non sono automaticamente “più sicuri”. Anzi, i premium spesso hanno meno occhi della community che li ispezionano.

Perché WordPress è il bersaglio numero uno

Tre motivi semplici. Quota di mercato: il 43% dei siti del web gira su WordPress, quindi un attacco massivo ha sempre rendimento. Ecosistema plugin: 60.000+ plugin nel repository ufficiale, scritti da migliaia di autori con livelli di sicurezza eterogenei. Manutenzione media bassa: la maggior parte dei siti WordPress è gestita da non-professionisti che dimenticano gli update per mesi.

Risultato: gli script automatici di scansione di vulnerabilità note girano 24/7 su tutto il web. Quando un plugin con CVE pubblicato è ancora attivo su un sito un giorno dopo la patch, è quasi certo che verrà testato dagli script.

Come capire se sei stato compromesso

Quattro segnali che vediamo spesso sui siti dei clienti che ci chiamano “per controllare un dubbio”.

  • Utenti admin sconosciuti — controlla Utenti > Tutti gli utenti. Se trovi un admin che non hai creato tu, sei stato compromesso.
  • File PHP in posti straniwp-content/uploads/ dovrebbe contenere solo immagini e media. Se trovi .php lì dentro, è quasi certo malware.
  • Redirect strani da Google — utenti che cliccano dal motore di ricerca finiscono su siti spam. Il malware è configurato per attivarsi solo con referer Google, così l’admin del sito non se ne accorge mai navigando direttamente.
  • Performance crollata senza motivo — il server gira mining di criptovalute al posto del sito. La CPU è al 100% in continuazione, l’hosting ti manda email di overuse.

Setup di sicurezza minimo per WordPress nel 2026

Quello che mettiamo noi sui siti dei clienti come “baseline”. Non è eccezionalismo, è il minimo per dormire la notte.

Plugin di sicurezza serio

Uno tra Wordfence, Solid Security (ex iThemes), Sucuri. Configurato con: firewall attivo, scan malware giornaliero, blocco login brute force, two-factor per admin.

Auto-update strategico

Auto-update su core WP e security patches — sempre attivo. Auto-update su minor release di plugin — attivo per i plugin maturi e ben testati. Major release — manuale, su staging prima.

Backup esterno giornaliero

Il backup deve essere fuori dal sito: Google Drive, Dropbox, S3 dedicato. Un backup che vive sullo stesso server è inutile in caso di compromissione. UpdraftPlus o BlogVault gestiscono questo in 10 minuti di setup.

Hosting WordPress-managed

Hostinger Business, SiteGround GoGeek, Kinsta, WP Engine: hanno firewall a livello di server, scansione malware integrata, restore in un click. Per un business serio è 15-30€/mese che valgono ogni euro speso rispetto al rischio di un sito hackerato.

SSL forzato + HSTS

Tutto in HTTPS, header HSTS configurato (forza il browser a non accettare HTTP). Plugin “Really Simple SSL” lo configura in 2 click.

Cosa fare se sei stato compromesso

Hai trovato segni di compromissione. Tre step, in ordine, senza saltarne uno.

  1. Cambia tutte le password immediatamente: WordPress admin, FTP, database, hosting. Non dal sito compromesso — da un dispositivo pulito.
  2. Ripristina backup pulito, antecedente alla compromissione. Se non sai quando è iniziata, vai indietro di 30-60 giorni se necessario.
  3. Patch il vettore di attacco: identifica quale plugin/tema/CVE è stato sfruttato, aggiorna tutto, e solo dopo riapri il sito al pubblico. Senza patching, il sito viene ricompromesso entro ore.

Se non te la senti di gestirlo, chiama subito un professionista. Un sito compromesso può venire inserito nelle blacklist di Google in 24-48h, e il recovery SEO può richiedere settimane.

Cosa portarsi a casa

  • Nessun plugin è automaticamente sicuro, nemmeno i più popolari. Auto-update e monitoring sono l’unica vera difesa.
  • WordPress è il bersaglio numero uno per quota di mercato. Comportati come tale: rispetto delle patch, hosting serio, backup fuori sede.
  • Quando un plugin che usi cambia ownership, controlla. Il pattern del 2025 è chiaro: i plugin abbandonati e rivenduti diventano vettori di attacco.

“La strategia si aggiusta sui risultati reali.” In sicurezza, il “risultato reale” che vuoi è non comparire mai nei recap del prossimo anno come caso da raccontare.

Conclusione

Il pattern del 2025-2026 è chiaro: gli attaccanti non puntano più solo ai siti famosi, puntano alla supply chain dei plugin. Un singolo plugin compromesso può infettare centinaia di migliaia di siti in pochi giorni. La difesa è sistematica, non eroica: hosting serio + auto-update + monitoring + backup esterno. Tutto il resto è dettaglio.

Se il tuo sito gestisce dati di clienti, pagamenti, o è centrale per il tuo business, è il momento di rivedere il setup di sicurezza. Lo facciamo come servizio continuativo per i nostri clienti. Niente vetrine, solo strumenti che vendono — e che restano in piedi anche quando il prossimo plugin scoppia.

Continua a leggere

Domande frequenti

Perché WordPress è il bersaglio numero uno degli attacchi?
Perché muove gran parte del web: tanti siti, tanti plugin di terze parti, tanti aggiornamenti rimandati. Gli attaccanti non colpiscono il tuo sito in particolare, ma sfruttano in automatico le vulnerabilità note dei plugin più diffusi.
Come capisco se il mio sito è stato compromesso?
Segnali tipici: redirect strani, file o utenti admin che non hai creato, picchi di traffico anomalo, avvisi di Google. Una scansione di sicurezza e il confronto dei file core con gli originali confermano l’eventuale compromissione.
Qual è il setup di sicurezza minimo per WordPress nel 2026?
Aggiornamenti regolari con backup, plugin solo da fonti affidabili e rimossi se inutilizzati, password forti con 2FA sugli account admin, e un firewall applicativo. È la disciplina di base che ferma la quasi totalità degli attacchi automatici.

Articoli correlati

Continua a leggere

Contatti

Let's
Talk.

Hai un progetto in mente o vuoi ricevere maggiori informazioni? Siamo pronti a dare forma alle tue idee e trasformarle in realtà digitale.

Scrivici una mail Scrivici su WhatsApp