Report Sicurezza WordPress – 22 Aprile 2026: 187 Vulnerabilità, 29 Plugin Senza Patch

📊 Panoramica settimanale

Il report di sicurezza del 22 aprile 2026 evidenzia una situazione critica per l’ecosistema WordPress: sono state identificate 187 vulnerabilità distribuite tra plugin e temi. Di queste, 159 plugin hanno ricevuto patch, mentre 28 rimangono senza correzione. WordPress Core ha rilasciato la versione 6.9.4 che risolve 10 problemi di sicurezza critici.

Azione immediata richiesta: Aggiorna WordPress Core alla versione 6.9.4 e verifica lo stato dei plugin installati, specialmente quelli elencati nelle sezioni critiche di questo report.

🚨 Allarme rosso: vulnerabilità critiche e high

I seguenti plugin presentano vulnerabilità di gravità Critical o High con oltre 10.000 installazioni attive. Questi rappresentano i rischi più elevati per la sicurezza del tuo sito WordPress.

⛔ Plugin critici non patchati

I seguenti plugin presentano vulnerabilità di gravità elevata ma non hanno ancora ricevuto una patch di sicurezza. Si raccomanda di disattivarli immediatamente e cercare alternative sicure.

📋 Altri aggiornamenti importanti (gravità media)

Questi plugin hanno ricevuto patch per vulnerabilità di gravità media. Sebbene meno critici, richiedono comunque aggiornamento:

🔒 Vulnerabilità nei temi WordPress

Sono state identificate 29 vulnerabilità nei temi, di cui una ancora senza patch. La maggior parte riguarda Arbitrary File Upload e PHP Object Injection.

Tema critico non patchato:

Temi con patch critiche disponibili:

• Charity Zone – Arbitrary File Upload (CVE: 2026-40749) – Aggiorna alla versione 1.1.2
• Ecommerce Zone – Arbitrary File Upload (CVE: 2026-40747) – Aggiorna alla versione 0.9.8
• Kids Gift Shop – Arbitrary File Upload (CVE: 2026-40748) – Aggiorna alla versione 0.5.5
• Kids Online Store – Arbitrary File Upload (CVE: 2026-40750) – Aggiorna alla versione 0.9.0
• Restaurant Zone – Arbitrary File Upload (CVE: 2026-40746) – Aggiorna alla versione 0.7.9
• Webenvo – Arbitrary File Upload (CVE: 2026-39589) – Aggiorna alla versione 0.0.7

🛡️ Raccomandazioni di sicurezza

1. Aggiorna WordPress Core immediatamente alla versione 6.9.4 per risolvere 10 vulnerabilità di sicurezza critiche.
2. Esegui un audit completo dei plugin installati, concentrandoti su quelli elencati nelle sezioni Critical e High di questo report.
3. Disattiva immediatamente i plugin senza patch menzionati nella sezione “Plugin critici non patchati”.
4. Implementa un firewall per applicazioni web (WAF) come Wordfence o Sucuri per protezione aggiuntiva.
5. Abilita l’autenticazione a due fattori (2FA) per tutti gli account amministrativi.
6. Mantieni backup regolari del sito, preferibilmente automatizzati e offsite.
7. Monitora i log di sicurezza per attività sospette, specialmente per plugin vulnerabili a SQL Injection.
8. Considera alternative sicure per plugin che rimangono non patchati per periodi prolungati.

📊 Statistiche riassuntive

• Vulnerabilità totali: 187
• Plugin vulnerabili con patch: 159
• Plugin vulnerabili senza patch: 28
• Temi vulnerabili con patch: 28
• Temi vulnerabili senza patch: 1
• Vulnerabilità Critical: Multiple SQL Injection, RCE, Arbitrary File Upload
• Vulnerabilità High più comuni: XSS, PHP Object Injection, Broken Access Control

⚠️ Attenzione: Ci sono altri 100+ plugin minori (con meno di 10.000 installazioni) con vulnerabilità rilevate. Controlla la dashboard di sicurezza del tuo sito per un elenco completo e verifica che tutti i tuoi plugin siano aggiornati all’ultima versione disponibile.

🔗 Risorse utili

• Download WordPress 6.9.4
• Directory Plugin WordPress
• WPScan Vulnerability Database
• Wordfence Threat Intelligence

Ultimo aggiornamento: 22 aprile 2026