Da oggi, abbiamo deciso di proporre un aggiornamento mensile sulle principali vulnerabilità riscontrate in WordPress, con particolare attenzione al core, ai plugin ed ai temi. Questo report ha l’obiettivo di offrire un quadro sintetico ma tecnicamente rilevante dei rischi per la sicurezza di WP, con raccomandazioni concrete per amministratori, sviluppatori e gestori di siti realizzati in ambiente WordPress.
Indice dei Contenuti
Plugin WordPress sotto attacco: le vulnerabilità di marzo 2025
WP Ultimate CSV Importer:
Data segnalazione: 5 marzo 2025
Tipo di vulnerabilità: caricamento e cancellazione arbitraria di file
Impatto stimato: circa 20.000 installazioni attive
Descrizione: una falla critica consente a utenti non autenticati di caricare file potenzialmente dannosi sul server e di cancellare file fondamentali. Una vulnerabilità di questo tipo espone il sito a compromissioni totali.
Fonte: wordfence.com
GiveWP Plugin (CVE-2024-8353):
Tipo di vulnerabilità: PHP Object Injection
Conseguenze: potenziale Remote Code Execution (RCE)
Una vulnerabilità che affligge uno dei plugin più diffusi per la gestione delle donazioni. L’iniezione di oggetti PHP potrebbe aprire la porta a esecuzioni di codice malevolo da remoto.
Fonte: The Hacker News
Startklar Elementor Addons (CVE-2024-4345):
Tipo di vulnerabilità: File Upload Arbitrario
Note: plugin dismesso e rimosso dal repository il 4 giugno 2024. Nonostante la rimozione, il plugin è ancora presente in installazioni attive. La vulnerabilità consente l’upload di script dannosi e l’accesso non autorizzato al server.
Fonte: The Hacker News
Vulnerabilità nei Temi di WordPress
Temi vulnerabili: MorningTime Lite, Newseqo, RainbowNews (aggiornamenti urgenti consigliati)
Data segnalazione: 24 marzo 2025
Note: i dettagli tecnici non sono stati divulgati pubblicamente.
Raccomandazione: aggiornamento immediato all’ultima release. L’assenza di dettagli tecnici non deve far abbassare la guardia: i temi vulnerabili rappresentano uno dei vettori di attacco preferiti dai bot automatizzati.
Attacchi sofisticati e tecniche emergenti
Sfruttamento della directory mu-plugins: un trend crescente tra gli attori malevoli è l’utilizzo della cartella mu-plugins per nascondere backdoor persistenti. Questa tecnica, già osservata nel 2024, sfrutta quattro vulnerabilità non specificate per ottenere accessi remoti, installare codice malevolo e reindirizzare gli utenti verso siti truffaldini.
Nota tecnica: i plugin must-use sono caricati automaticamente da WordPress e non possono essere disattivati dall’interfaccia di amministrazione, rendendoli, se compromessi, perfetti per attività malevole.
Fonte: The Hacker News
WordPress: best practice e difese proattive
Un sito web sicuro non è un prodotto del caso, ma il risultato di una strategia coerente e strutturata. La seguente checklist elenca le raccomandazioni essenziali di cui tenere conto.
- Aggiornamenti continui: core, plugin e temi devono essere sempre aggiornati.
- Pulizia del codice: rimuovere tutto ciò che è inattivo o obsoleto.
- Protezione avanzata: implementare firewall (WAF), autenticazione a due fattori (2FA) e scansioni anti-malware periodiche. Strumenti consigliati: Wordfence, iThemes Security, MalCare.
Hosting sicuro: affidarsi solo a provider che garantiscono isolamento dei processi, backup automatici e monitoraggio attivo. Per ulteriori dettagli sulle migliori pratiche di sicurezza per WordPress, consulta l’articolo: Sicurezza WordPress 2025 – Le pratiche che (oggi più che mai) non puoi ignorare
