Report Sicurezza WordPress – 7 Gennaio 2026: 170 Plugin Non Patchati e Vulnerabilità Critiche

📊 Panoramica della settimana

Il report di sicurezza del 7 gennaio 2026 rivela una situazione preoccupante: sono state identificate 253 vulnerabilità totali nell’ecosistema WordPress, di cui 170 plugin rimangono completamente senza patch. Particolarmente allarmante è la presenza di vulnerabilità critiche in plugin con installazioni che superano le 500.000 unità.

WordPress Core 6.9 “Gene” non presenta nuove vulnerabilità questa settimana, ma l’ecosistema dei plugin richiede attenzione immediata da parte degli amministratori.

🚨 Allarme rosso: vulnerabilità critiche

Questi plugin presentano vulnerabilità di massima gravità e hanno un’ampia base di installazioni. L’aggiornamento è urgente e obbligatorio:

⛔ Plugin critici senza patch disponibile

Questi plugin presentano vulnerabilità di alta gravità ma non hanno ancora ricevuto un aggiornamento di sicurezza. Si raccomanda la disattivazione immediata fino al rilascio di una patch:

🔴 Vulnerabilità high con ampia diffusione

Plugin con gravità “High” che richiedono attenzione immediata per il numero elevato di installazioni:

📋 Altri aggiornamenti importanti (gravità media)

Plugin con vulnerabilità di gravità media ma con base installazioni significativa:

🎨 Vulnerabilità nei temi WordPress

Sono state identificate 80 vulnerabilità nei temi, di cui 66 rimangono senza patch. I temi più critici includono:

• Corpkit: Arbitrary File Upload (CRITICAL) – Aggiorna alla versione 2.0.1
• MusicPlace: Deserialization of untrusted data (CRITICAL) – Nessuna patch disponibile
• Phlox: Cross Site Scripting (Medium) – Aggiorna alla versione 2.17.11
• Oneline Lite: Broken Access Control (Medium) – Aggiorna alla versione 6.7

Numerosi temi presentano vulnerabilità di tipo Local File Inclusion con gravità alta, senza patch disponibili. Si raccomanda di valutare alternative per i temi non più supportati.

✅ Azioni immediate consigliate

1. Priorità massima: Aggiorna immediatamente Advanced Ads, wpDiscuz, Branda e tutti i plugin con vulnerabilità critiche patchate
2. Disattiva temporaneamente: Registration & Login with Mobile Phone Number for WooCommerce e altri plugin critici senza patch
3. Verifica installazioni: Controlla se utilizzi uno dei 170 plugin non patchati e valuta alternative
4. Backup preventivo: Effettua un backup completo prima di qualsiasi aggiornamento
5. Test in staging: Testa gli aggiornamenti in ambiente di sviluppo prima della produzione
6. Monitora i log: Attiva il logging di sicurezza per rilevare eventuali tentativi di exploit

⚠️ Nota importante: Ci sono altri 90+ plugin minori (con meno di 10.000 installazioni) con vulnerabilità rilevate. Controlla la dashboard di sicurezza del tuo sito per un’analisi completa dei plugin installati.

🔒 Considerazioni finali

La settimana del 7 gennaio 2026 si conferma particolarmente critica per la sicurezza WordPress. Con 170 plugin non patchati e diverse vulnerabilità di tipo RCE e SQL Injection, è fondamentale che gli amministratori adottino un approccio proattivo alla sicurezza.

La presenza di vulnerabilità critiche in plugin molto diffusi come Advanced Ads (100.000+ installazioni) evidenzia quanto sia importante mantenere costantemente aggiornato l’intero ecosistema WordPress.

Risorse utili:

• Verifica gli aggiornamenti disponibili dalla dashboard WordPress
• Consulta il database ufficiale CVE per dettagli tecnici sulle vulnerabilità
• Utilizza plugin di sicurezza come Wordfence o Sucuri per monitoraggio continuo
• Considera l’implementazione di un Web Application Firewall (WAF)