Report sicurezza WordPress – 11 marzo 2026: 98 vulnerabilità attive, 29 plugin senza patch

📊 Riepilogo esecutivo

Il report di sicurezza dell’11 marzo 2026 evidenzia una situazione preoccupante nell’ecosistema WordPress: sono state identificate 98 vulnerabilità distribuite tra plugin e temi, con 29 componenti che non dispongono ancora di una patch correttiva.

Particolarmente critica la situazione per alcuni plugin ad alta diffusione che presentano vulnerabilità di tipo RCE (Remote Code Execution), SQL Injection e privilege escalation. Gli amministratori sono invitati ad agire immediatamente.

🔒 Aggiornamento WordPress Core

WordPress ha rilasciato la versione 6.9.3, un aggiornamento obbligatorio di sicurezza e manutenzione. Questa release corregge il bug del “blank screen” introdotto nella versione 6.9.2, mantenendo tutte le patch di sicurezza precedenti.

Azione richiesta: Aggiorna immediatamente tutti i siti a WordPress 6.9.3. I siti con aggiornamenti automatici attivi riceveranno la patch in automatico.

La prossima major release sarà WordPress 7.0, pianificata per il 9 aprile 2026.

🚨 Allarme rosso: vulnerabilità critiche e ad alto rischio

I seguenti plugin con più di 10.000 installazioni attive presentano vulnerabilità critiche o ad alto rischio che richiedono intervento immediato:

⛔ Plugin senza patch disponibile

Questi plugin ad alta diffusione presentano vulnerabilità critiche o gravi ma non dispongono ancora di una correzione ufficiale. Si raccomanda di disattivare immediatamente questi componenti e cercare alternative sicure:

Raccomandazione: Per Widget Options, data la gravità critica della vulnerabilità RCE e l’assenza di patch, è imperativo disattivare il plugin immediatamente e rimuoverlo dai siti in produzione fino al rilascio di un aggiornamento di sicurezza.

📋 Altri aggiornamenti importanti

Plugin con più di 10.000 installazioni che presentano vulnerabilità di gravità media e dispongono di patch correttive:

🎨 Vulnerabilità nei temi WordPress

Sono state rilevate 111 vulnerabilità in temi WordPress, di cui:

• 105 temi senza patch disponibile (principalmente Local File Inclusion e PHP Object Injection)
• 6 temi con patch correttive rilasciate

Tema critico patchato:

Temi vulnerabili senza patch: Tra i temi senza correzione disponibile, il tema Estate (58.000+ download) presenta una vulnerabilità critica di tipo PHP Object Injection (CVE-2026-22475). Si raccomanda di passare a un tema alternativo.

✅ Azioni consigliate immediate

1. Aggiorna WordPress Core alla versione 6.9.3 su tutti i siti
2. Esegui il backup completo di tutti i siti prima di procedere con gli aggiornamenti
3. Aggiorna immediatamente tutti i plugin elencati nella sezione “Allarme rosso” che dispongono di patch
4. Disattiva e rimuovi Widget Options (100k+ installazioni) che presenta RCE senza patch
5. Verifica la presenza di tutti i plugin e temi vulnerabili nella tua installazione
6. Monitora gli aggiornamenti per i componenti attualmente senza patch
7. Implementa un Web Application Firewall (WAF) come Wordfence o Sucuri per protezione aggiuntiva
8. Abilita gli aggiornamenti automatici per i plugin critici dove possibile

🔍 Statistiche finali

• Vulnerabilità totali rilevate: 98 in plugin + 111 in temi = 209
• Plugin vulnerabili: 98 (69 con patch, 29 senza patch)
• Temi vulnerabili: 111 (6 con patch, 105 senza patch)
• Vulnerabilità critiche: 20+
• Plugin ad alto rischio con 100k+ installazioni: 1 senza patch (Widget Options)

⚠️ Ci sono altri 48 plugin minori (con meno di 10.000 installazioni) con vulnerabilità rilevate. Controlla la dashboard di sicurezza del tuo sito e verifica se utilizzi uno di questi componenti.

📚 Risorse aggiuntive

• Annuncio ufficiale WordPress 6.9.3
• Database CVE nazionale (NVD)
• WPScan Vulnerability Database
• Wordfence Intelligence

Ultimo aggiornamento: 11 marzo 2026 – Fonte dati: Report ufficiale di sicurezza WordPress