Report Sicurezza WordPress – 4 Marzo 2026: 108 vulnerabilità attive, 8 plugin critici senza patch

📊 Panoramica della settimana

Il report di sicurezza del 4 marzo 2026 evidenzia una situazione critica nell’ecosistema WordPress: sono state registrate 108 vulnerabilità tra plugin e temi, con 58 plugin ancora privi di patch. Tra questi, 8 presentano vulnerabilità di gravità critica che espongono milioni di installazioni a rischi concreti di compromissione.

Particolarmente preoccupante è la situazione di plugin popolari come W3 Total Cache (900.000+ installazioni) e Widget Options (100.000+ installazioni), entrambi affetti da vulnerabilità critiche di tipo Remote Code Execution senza correzioni disponibili.

🚨 Allarme rosso: vulnerabilità critiche e ad alto rischio

Questi plugin richiedono azione immediata. Se utilizzati sul tuo sito, valuta la disattivazione temporanea o la ricerca di alternative fino al rilascio delle patch di sicurezza.

⛔ Plugin critici senza patch disponibile

Questi plugin presentano vulnerabilità critiche ma non hanno ancora ricevuto aggiornamenti di sicurezza. Se li utilizzi, considera seriamente la loro disattivazione immediata.

📋 Altri aggiornamenti importanti

Plugin con vulnerabilità di gravità media che dispongono di patch di sicurezza:

🎨 Vulnerabilità nei temi WordPress

Sono state identificate 173 vulnerabilità nei temi WordPress, di cui 167 senza patch disponibile. La maggior parte presenta vulnerabilità di tipo Local File Inclusion, che possono consentire agli attaccanti di leggere file arbitrari dal server.

Temi critici senza patch:

• Nirvana (773.853 download) – Local File Inclusion – CVE: 2026-28119
• Healer – Local File Inclusion (Critical) – CVE: 2026-28043
• Dentario – PHP Object Injection (Critical) – CVE: 2026-27439
• Good Energy – PHP Object Injection (Critical) – CVE: 2026-28105
• Kingler – PHP Object Injection (Critical) – CVE: 2026-27438
• Pizza House – PHP Object Injection (Critical) – CVE: 2026-28074
• Tennis Club – PHP Object Injection (Critical) – CVE: 2026-27437

Temi con patch disponibile:

• Blocksy (6.306.227 download) – XSS – Aggiorna alla versione 2.1.31
• Listee – Privilege Escalation (Critical) – Aggiorna alla versione 1.1.7
• Molla – Local File Inclusion – Aggiorna alla versione 1.5.17
• Sweet Date – PHP Object Injection (Critical) – Aggiorna alla versione 4.0.1

✅ Raccomandazioni immediate

1. Aggiorna subito tutti i plugin e temi che hanno patch disponibili
2. Disattiva temporaneamente W3 Total Cache, Widget Options e altri plugin critici senza patch se presenti sul tuo sito
3. Implementa un Web Application Firewall (WAF) per mitigare exploit noti
4. Esegui backup completi prima di applicare qualsiasi aggiornamento
5. Monitora i log di accesso per individuare tentativi di exploit
6. Considera alternative per plugin/temi critici senza patch da oltre 2 settimane

⚠️ Nota importante: Ci sono altri 85+ plugin minori (con meno di 10.000 installazioni) con vulnerabilità rilevate questa settimana. Controlla la dashboard di sicurezza del tuo sito o utilizza plugin come Wordfence/Sucuri per una scansione completa.

🔮 WordPress 7.0 Beta in arrivo

WordPress 7.0 Beta 2 è ora disponibile per i test. Il rilascio finale è previsto per il 9 aprile 2026. Si raccomanda di testare la compatibilità di plugin e temi in ambienti di staging prima dell’aggiornamento in produzione. Non sono state segnalate nuove vulnerabilità nel core di WordPress questa settimana.