Report Sicurezza WordPress – 11 Febbraio 2026: 76 Plugin Senza Patch e Vulnerabilità Critiche

📊 Panoramica generale

Il report di sicurezza dell’11 febbraio 2026 evidenzia una situazione preoccupante nell’ecosistema WordPress: sono state identificate 448 vulnerabilità totali (372 patchate e 76 non patchate) nei plugin, oltre a 19 vulnerabilità nei temi (14 patchate e 5 non patchate). Non sono state segnalate nuove vulnerabilità nel core di WordPress questa settimana.

WordPress 6.9.1 è stato rilasciato il 3 febbraio 2026 come aggiornamento di manutenzione, risolvendo 49 bug. La prossima versione major, WordPress 7.0, è prevista per il 9 aprile 2026.

🚨 Allarme rosso: vulnerabilità critiche e ad alto rischio

I plugin seguenti presentano vulnerabilità critiche o ad alto rischio e hanno più di 10.000 installazioni attive. Richiedono intervento immediato.

⛔ Plugin critici senza patch disponibile

Questi plugin presentano vulnerabilità ad alto rischio o critiche ma non hanno ancora una patch disponibile. Si raccomanda di disattivarli immediatamente o sostituirli con alternative sicure.

📋 Altri aggiornamenti importanti (gravità media)

I seguenti plugin con più di 10.000 installazioni presentano vulnerabilità di gravità media. Si raccomanda l’aggiornamento tempestivo.

🎨 Vulnerabilità nei temi WordPress

Sono state identificate 19 vulnerabilità nei temi, di cui 5 ancora senza patch disponibile.

Temi senza patch (ad alto rischio)

• WordPress Dating Theme (DA10) – Broken Access Control (CVE: 2026-22343) – Gravità: High
• Cartify – Arbitrary Content Deletion (CVE: 2025-69385) – Gravità: Medium
• Meris – Cross Site Scripting (CVE: 2023-7194) – Gravità: High
• SevenHills – PHP Object Injection (CVE: 2025-69372) – Gravità: Critical
• VidoRev – Local File Inclusion (CVE: 2025-69373) – Gravità: High

Temi con patch disponibile

I seguenti temi hanno rilasciato aggiornamenti di sicurezza:

• Besa → v2.3.16 (Local File Inclusion)
• CozyStay → v1.9.1 (Local File Inclusion)
• Golo → v1.7.5 (Broken Access Control + Local File Inclusion)
• Hara → v1.2.18 (Local File Inclusion)
• Nestin → v1.2.6 (PHP Object Injection – Critical)
• PatioTime → v2.1 (PHP Object Injection + Local File Inclusion – Critical)
• Travelicious → v1.6.7 (PHP Object Injection – Critical)
• Unicamp → v2.7.2 (Local File Inclusion)
• Urna → v2.5.13 (Local File Inclusion)

🛡️ Raccomandazioni immediate

1. Aggiorna immediatamente tutti i plugin e temi con vulnerabilità critiche o ad alto rischio
2. Disattiva o sostituisci i plugin senza patch disponibile, specialmente quelli con vulnerabilità critiche
3. Verifica le installazioni dei plugin Bold Page Builder, dato che hanno 4 CVE senza patch e oltre 50.000 installazioni
4. Controlla i backup e assicurati che siano aggiornati e funzionanti
5. Implementa un Web Application Firewall (WAF) per protezione aggiuntiva
6. Monitora i log per attività sospette, soprattutto su plugin vulnerabili
7. Limita l’accesso amministrativo e usa l’autenticazione a due fattori

📌 Conclusioni

Il report dell’11 febbraio 2026 evidenzia una situazione critica per la sicurezza WordPress. Con 76 plugin senza patch e vulnerabilità che interessano milioni di installazioni, è fondamentale agire rapidamente. Le vulnerabilità più preoccupanti sono quelle di tipo Remote Code Execution, SQL Injection e PHP Object Injection, che possono compromettere completamente un sito.

⚠️ Ci sono altri 296 plugin minori con vulnerabilità rilevate. Controlla la dashboard di sicurezza del tuo sito per un’analisi completa.

Prossimi aggiornamenti: WordPress 7.0 è previsto per il 9 aprile 2026 durante il WordCamp Asia. Assicurati che il tuo sito sia completamente aggiornato e sicuro prima di quella data.