Chiedi un preventivo

06 92 93 90 73

Tutti gli articoli

Vulnerabilità WordPress settembre 2025: i plugin da aggiornare

vulnerabilità wordpress settembre
Tabella dei Contenuti

Settembre si sta rivelando un mese piuttosto critico per quello che riguarda le vulnerabilità WordPress.

Secondo le informazioni del sempre attendibile portale WordFence, infatti, ci sono diversi problemi che riguardano alcuni dei plugin più utilizzati dagli utenti che costruiscono siti WordPress.

Le vulnerabilità riguardano, per esempio in un caso, oltre 700.000 siti web. Per due vulnerabilità di cui parleremo, la criticità è talmente pericolosa che i plugin sono stati disattivati momentaneamente in attesa che arrivi una soluzione.

Oltre ai plugin c’è da segnalare anche un tema piuttosto diffuso che risulta compromesso.

Vulnerabilità WordPress settembre 2025, tre problemi per WP Import

Di certo non è un bel momento per gli utenti che hanno deciso di installare WP Import come plugin sul loro sito web. Si tratta di un plugin che serve a importare ed esportare contenuti da un sito WordPress a un altro in modo più facile.

È quindi un plugin che potenzialmente potrebbe essere utilizzato da chiunque possieda un sito WordPress. Dal portale WordFence leggiamo che però è risultato affetto da tre vulnerabilità.

Una è stata classificata con 8.8, una con 8.1 e la terza con 7.7 su 10. Si tratta quindi in tutti e tre i casi di vulnerabilità decisamente pericolose.

Quella con il punteggio più elevato è una vulnerabilità che consente potenzialmente l’esecuzione di codice da remoto a causa di una mancanza tra le funzioni scritte in codice PHP.

Quello che può succedere, se un utente malevolo dovesse riuscire a entrare in possesso delle credenziali di accesso di qualunque grado a partire da quello di subscriber, può utilizzare custom-function.php per inserire codice PHP malevolo che, a sua volta, può avviare l’esecuzione di codice da remoto.

La seconda vulnerabilità invece riguarda ancora una volta potenzialmente utenti malevoli in possesso di credenziali di livello subscriber. In questo caso, però, quello che potrebbe essere compiuto è la cancellazione di file dal server che, a sua volta, come spiega anche WordFence, potrebbe portare all’esecuzione di codice da remoto.

Ma la vulnerabilità, dato che per arrivare all’esecuzione di codice ha bisogno di un passaggio in più, è leggermente meno pericolosa.

La terza vulnerabilità, quella classificata 7.7, è quella che potrebbe permettere, sempre ad utenti in possesso di credenziali di livello subscriber o superiore, di accedere e di recuperare le credenziali SFTP/FTP.

Tutte le falle sono state risolte con la versione 7.28. Se quindi sul tuo sito hai intenzione di utilizzare o hai utilizzato WP Import, devi assicurarti di avere l’ultima versione.

vulnerabilità wordpress plugin settembre cosa fare

The Events Calendar, riscontrata vulnerabilità di livello alto

Un altro plugin con una vulnerabilità di livello alto, classificata da WordFence come 7.5 su 10, è The Events Calendar. Questo plugin, che si trova installato su oltre 700.000 siti, serve a creare dei calendari con eventi da poi sottoporre agli utenti che magari vogliono prenotare qualcosa attraverso il tuo sito costruito con WordPress.

Tra le vulnerabilità WordPress di settembre si tratta quindi forse di una delle più pericolose in assoluto, data la quantità di siti che potrebbe coinvolgere.

Che cosa potrebbe però succedere? Come spiega ancora WordFence, la vulnerabilità è una SQL Injection Time-Based dovuta a due fattori: da una parte la mancanza di una preparazione adeguata nella query SQL e dall’altra parametri insufficienti legati all’utente.

In questo caso la vulnerabilità potrebbe permettere addirittura a utenti non in possesso delle credenziali di aggiungere delle query SQL a quelle che esistono già.

Questo potrebbe permettere a sua volta l’estrazione di informazioni sensibili dal database su cui è costruito il sito WordPress preso di mira. Per poter risolvere il problema occorre aggiornare la versione alla 6.15.1.1.

E se hai paura che il tuo sito sia compromesso puoi usare la checklist definitiva per la sicurezza WordPress.

Vulnerabilità WordPress settembre: attenzione a My WP Translate e User Meta

Nella nostra introduzione avevamo parlato di due situazioni in cui sul portale ufficiale di WordPress i plugin erano stati momentaneamente sospesi in attesa che arrivasse una soluzione alla vulnerabilità segnalata.

Questi due plugin sono My WP Translate e User Meta.

Il primo è affetto da una vulnerabilità classificata 5.4, ma proprio il fatto che il plugin sia stato sospeso in mancanza di una patch adeguata ci obbliga comunque a parlarne.

La vulnerabilità metterebbe nelle condizioni utenti in possesso di credenziali di livello almeno subscriber di poter leggere e cancellare opzioni WordPress che potrebbero portare a una compromissione dei servizi offerti dal sito stesso.

Per User Meta la vulnerabilità è classificata con 8.0. Anche in questo caso, mancando la soluzione alla vulnerabilità, il plugin è stato momentaneamente sospeso.

La potenziale vulnerabilità in questo caso invece permetterebbe ancora a utenti in possesso di credenziali minime di cancellare file sul server e, come abbiamo già visto in altri casi, la rimozione dei file può portare anche all’esecuzione da remoto di codice eliminando alcuni file fondamentali, come per esempio wp-config.php.

C’è un problema anche dentro Ninja Forms

Ninja Forms è un plugin utilizzato da oltre 600.000 utenti ed è anche uno dei plugin più famosi per quello che riguarda la costruzione di form in linea con lo stile dello specifico sito WordPress su cui è installato.

La vulnerabilità in questo caso è classificata 8.1 su 10. Quello che potrebbe accadere è che un utente anche non in possesso delle credenziali di accesso potrebbe scatenare una reazione in presenza di una catena POP.

La vulnerabilità, di per sé, non funziona ma nel caso ci sia un altro plugin oppure un tema che contengono una catena POP, è possibile invece utilizzare la vulnerabilità all’interno di Ninja Forms per cancellare file, raccogliere dati sensibili oppure eseguire codice da remoto. La versione aggiornata priva della vulnerabilità è la 3.11.1.

Vulnerabilità WordPress settembre, attenzione se usi il tema REHub

Nella lista delle vulnerabilità più pericolose del mese di settembre occorre inserire anche una vulnerabilità che riguarda non un plugin ma un tema.

Il tema in questione si chiama REHub ed è forse uno dei temi storici per quello che riguarda i siti web business. La vulnerabilità è stata classificata dal portale WordFence con 7.3 su 10.

Si tratta quindi di una vulnerabilità di livello alto ma ancora non di livello critico.

Questo però non significa che vada trascurata. La vulnerabilità, infatti, potrebbe permettere l’esecuzione di shortcode da parte di utenti privi di autenticazione. La versione aggiornata in questo caso è la 19.9.8.

Immagine di Valeria Poropat
Valeria Poropat
Laureata in traduzione, Valeria adora da sempre la tecnologia in ogni sua forma e in particolare ai modi in cui la tecnologia può aiutare ad avvicinare le persone e stimolare la curiosità.
Tutti gli articoli

Ti potrebbe interessare anche

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Hai bisogno di assistenza o sviluppo per il tuo sito WordPress? 🚀

Contattaci subito per ricevere un preventivo GRATUITO e senza impegno! 

06 92 93 90 73

Cosa stai cercando?

Stanco di un sito WordPress che non funziona come vorresti?

Scopri come migliorarlo in pochi minuti! Fai il nostro QUIZ GRATUITO e ottieni consigli su misura per:

  • Risolvere problemi tecnici
  • Prevenire errori comuni
  • Ottenere risultati concreti
FAI IL QUIZ ORA
Chiamaci ora
Gestione cookie