Report Sicurezza WordPress – 22 Aprile 2026: 187 Vulnerabilità, 29 Plugin Senza Patch

📊 Panoramica settimanale

Il report di sicurezza del 22 aprile 2026 rivela una situazione preoccupante per l’ecosistema WordPress: sono state identificate 187 vulnerabilità complessive, di cui 159 nei plugin (con 28 ancora non patchati) e 28 nei temi (con 1 non patchato).

WordPress Core 6.9.4 è disponibile e corregge 10 problemi di sicurezza oltre a un bug nel caricamento dei template. L’aggiornamento è raccomandato immediatamente per tutti i siti in produzione.

🚨 Allarme rosso

I seguenti plugin con vulnerabilità Critical o High hanno più di 10.000 installazioni attive e richiedono intervento immediato:

⛔ Plugin non patchati – Nessuna soluzione disponibile

I seguenti plugin presentano vulnerabilità gravi ma non hanno ancora una patch disponibile. Se li stai utilizzando, considera la disattivazione immediata fino al rilascio di un aggiornamento:

📋 Altri aggiornamenti importanti

Plugin con più di 10.000 installazioni che presentano vulnerabilità di gravità Medium e hanno patch disponibili:

🛡️ Vulnerabilità nei temi WordPress

Sono state identificate 29 vulnerabilità nei temi, di cui 28 già risolte e 1 ancora senza patch. Particolare attenzione va rivolta ai temi con migliaia di download:

⚠️ Tema non patchato

✅ Temi con patch disponibili

Altri 23 temi con vulnerabilità PHP Object Injection e Local File Inclusion sono stati risolti. Controlla gli aggiornamenti disponibili per i temi attivi sul tuo sito.

🚨 Backdoor critiche identificate

Sono state scoperte backdoor malware in diversi plugin popolari. Questi plugin sono stati compromessi e richiedono immediata rimozione o aggiornamento:

• Accordion and Accordion Slider (aggiorna alla 1.4.6.1)
• Album and Image Gallery plus Lightbox (aggiorna alla 2.1.8.1)
• Blog Designer – Post and Widget (aggiorna alla 2.7.7.1)
• Countdown Timer Ultimate (aggiorna alla 2.6.9.1)
• Featured Post Creative (aggiorna alla 1.5.7.1)
• Video gallery and Player (aggiorna alla 2.8.7.1)
• Meta slider and carousel with lightbox (aggiorna alla 2.0.8.1)
• Popup Anything (aggiorna alla 2.9.1.1)
• WowShipping Pro (aggiorna alla 1.0.8)
• E altri 12 plugin della serie “WP” (WP Blog and Widget, WP Featured Content, WP Logo Showcase, etc.)

📊 Statistiche complessive

• 159 plugin con patch disponibili
• 28 plugin senza patch (di cui 11 ad alta gravità con installazioni significative)
• 28 temi con patch disponibili
• 1 tema senza patch
• Vulnerabilità Critical totali: 25+
• Vulnerabilità High totali: 80+
• Plugin con backdoor identificati: 21

✅ Azioni consigliate

1. Aggiorna immediatamente WordPress Core alla versione 6.9.4
2. Controlla tutti i plugin installati e aggiornali alle versioni indicate
3. Disattiva o rimuovi immediatamente i plugin senza patch se presenti sul tuo sito
4. Esegui una scansione di sicurezza completa per identificare backdoor o file compromessi
5. Verifica i backup e assicurati che siano recenti e funzionanti
6. Monitora i log di accesso per attività sospette
7. Considera l’uso di un Web Application Firewall (WAF) per protezione aggiuntiva

⚠️ Ci sono altri 117 plugin minori con vulnerabilità rilevate. Controlla la dashboard di sicurezza del tuo sito per un elenco completo dei componenti installati che richiedono attenzione.

Report compilato il 22 aprile 2026. I dati si basano sulle informazioni pubblicate nei database di vulnerabilità CVE e nei bollettini di sicurezza ufficiali dei plugin e temi WordPress.