Report Sicurezza WordPress – 14 Gennaio 2026: 127 Plugin Non Patchati e Vulnerabilità Critiche

📊 Riepilogo esecutivo

Il report di sicurezza del 14 gennaio 2026 evidenzia una situazione critica nell’ecosistema WordPress: 127 plugin rimangono senza patch disponibile, mentre 106 hanno ricevuto correzioni. Particolarmente preoccupanti sono 4 vulnerabilità di escalation privilegi con gravità critica e numerose falle in plugin con installazioni superiori alle 10.000 unità.

WordPress Core 6.9 “Gene” non presenta nuove vulnerabilità questa settimana, ma gli amministratori devono prestare massima attenzione ai plugin di terze parti.

🚨 Allarme rosso: vulnerabilità critiche

Questi plugin richiedono azione immediata. Le vulnerabilità critiche possono compromettere completamente il sito permettendo accesso amministrativo non autorizzato o esecuzione di codice arbitrario.

⚠️ Vulnerabilità high con patch disponibile

Questi plugin hanno ricevuto patch di sicurezza e devono essere aggiornati con priorità alta nelle prossime 48 ore.

⛔ Plugin critici senza patch disponibile

Questi plugin NON hanno ancora una correzione disponibile. Se utilizzati sul tuo sito, considera la disattivazione immediata o l’implementazione di regole firewall specifiche.

⛔ Plugin high senza patch disponibile

📋 Vulnerabilità medium con patch disponibile

Plugin con gravità media ma installazioni significative che hanno ricevuto aggiornamenti di sicurezza.

🎨 Vulnerabilità nei temi WordPress

Anche i temi WordPress presentano vulnerabilità questa settimana. 14 temi hanno ricevuto patch, mentre 35 rimangono senza correzione.

Temi con patch disponibile (priorità alta)

• Phlox (1.711.142+ download) – Cross Site Scripting (XSS) – CVE: 2025-4776 – Aggiorna alla versione 2.17.11
• Corpkit – Local File Inclusion e Arbitrary File Upload – CVE: 2025-67925, 2025-67924 – Aggiorna alla versione 2.0.1
• Grand Restaurant – Cross Site Scripting (XSS) – CVE: 2025-67922 – Aggiorna alla versione 7.0.9
• Lobo – SQL Injection – CVE: 2025-67921 – Aggiorna alla versione 2.8.6
• Woffice – Cross Site Scripting (XSS) – CVE: 2025-67918 – Aggiorna alla versione 5.4.31

Temi critici senza patch

Questi temi presentano vulnerabilità high o critical senza correzione disponibile:

• Consult Aid – PHP Object Injection (Critical) – CVE: 2025-67617
• Energia – Arbitrary File Upload (Critical) – CVE: 2025-50002
• Amuli – Local File Inclusion (High) – CVE: 2025-50003
• AutoParts – Local File Inclusion (High) – CVE: 2026-22331
• Barberry – Local File Inclusion (High) – CVE: 2025-68908

🛡️ Raccomandazioni di sicurezza

Azioni immediate (entro 24 ore)

1. Backup completo del sito prima di qualsiasi aggiornamento
2. Disattiva immediatamente i plugin con vulnerabilità Critical senza patch
3. Aggiorna tutti i plugin con escalation privilegi (4 CVE critici)
4. Verifica i log di accesso per attività sospette sui plugin vulnerabili

Azioni prioritarie (entro 48 ore)

1. Aggiorna tutti i plugin con vulnerabilità High e più di 10.000 installazioni
2. Implementa regole WAF specifiche per i plugin non patchati che non puoi disattivare
3. Verifica la presenza di file sospetti caricati tramite vulnerabilità di upload
4. Aggiorna i temi con vulnerabilità di Local File Inclusion

Monitoraggio continuo

• Attiva notifiche per nuovi aggiornamenti di sicurezza
• Monitora i log di WordPress per tentativi di exploit
• Implementa autenticazione a due fattori se non già presente
• Considera l’uso di un plugin di sicurezza come Wordfence o Sucuri

📊 Statistiche finali

• Total vulnerabilità: 233 (106 plugin patchati, 127 non patchati)
• Gravità Critical: 8 vulnerabilità
• Gravità High: oltre 50 vulnerabilità
• Plugin con più di 100.000 installazioni vulnerabili: 15
• Temi vulnerabili: 49 (14 patchati, 35 non patchati)

⚠️ Ci sono altri 87 plugin minori con vulnerabilità rilevate. Controlla la dashboard di sicurezza del tuo sito.

🔗 Risorse utili

• WordPress 6.9 “Gene” Download ufficiale
• WordPress Core Development Updates
• WPScan Vulnerability Database

Report compilato il 14 gennaio 2026. Le informazioni sono accurate alla data di pubblicazione. Si raccomanda di verificare gli aggiornamenti più recenti prima di implementare modifiche sui siti di produzione.