Febbraio 2017. Centinaia di migliaia di siti WordPress nel mondo si svegliano con i contenuti sostituiti.
Messaggi politici, slogan in arabo, pagine di aziende italiane trasformate in manifesti. Non erano stati hackerati uno per uno — era un attacco automatizzato che sfruttava una singola vulnerabilità nell'API di WordPress. Chi non aveva aggiornato alla versione 4.7.2 era esposto. E la maggior parte dei siti non aveva aggiornato.
Nove anni dopo, il copione è lo stesso. Cambia il vettore, non il problema.
Il CMS che non conosce nessuno ma usa tutti
WordPress alimenta oltre il 43% dei siti web mondiali. È la scelta di default per chi vuole un sito senza sapere programmare, per le PMI che vogliono gestire i contenuti da soli, per chi ha un budget limitato e vuole qualcosa che funzioni.
Il problema è che questa facilità ha un prezzo. WordPress è il bersaglio numero uno dei cybercriminali — non perché sia mal scritto, ma perché è ovunque. Un exploit che funziona sul 43% del web è un investimento redditizio.
In Italia nel 2025 si sono verificati oltre 116.000 attacchi informatici — uno ogni cinque minuti, con una frequenza del 17% superiore alla media globale. E i ransomware sono aumentati del 48% rispetto all'anno precedente. Non sono numeri astratti: sono siti bloccati, dati esfiltrati, aziende ferme.
Come funziona un attacco su WordPress
Non serve un hacker geniale. Serve uno script e una lista di siti WordPress non aggiornati.
Gli attacchi più comuni seguono sempre la stessa logica: scansione automatica di migliaia di domini → identificazione della versione di WordPress e dei plugin installati → exploit della vulnerabilità nota → accesso, defacement o installazione di malware.
La REST API — lo strumento che permette a WordPress di comunicare con app esterne attraverso richieste GET e POST — è stato uno dei vettori principali. Nel 2017 il bug era nell'autenticazione: bastava una richiesta mal formata per modificare qualsiasi pagina del sito senza credenziali. Oggi quella vulnerabilità specifica è corretta, ma il principio vale ancora: ogni endpoint esposto che non serve è una porta aperta.
Il vero problema non è WordPress. Sei tu che non aggiorni.
Il 90% degli WordPress compromessi che ho visto aveva almeno uno di questi tre problemi:
Plugin non aggiornati. I plugin di terze parti sono il vettore più comune. Uno sviluppatore abbandona il plugin, smette di rilasciare aggiornamenti, e la vulnerabilità rimane lì — in migliaia di installazioni — finché qualcuno la trova e la sfrutta. Regola pratica: se un plugin non è aggiornato da più di sei mesi, cercane uno alternativo mantenuto.
Credenziali deboli. L'username "admin" esiste ancora su milioni di installazioni WordPress. La combinazione admin/admin123 o admin/nomedellazienda è la prima cosa che provano gli script automatizzati. Cambia l'username, usa una password lunga, attiva l'autenticazione a due fattori.
WordPress core non aggiornato. Le patch di sicurezza vengono rilasciate per un motivo. Ogni versione non aggiornata è una vulnerabilità nota, documentata, con exploit pubblici disponibili. Non aggiornare per paura di rompere qualcosa è comprensibile — ma è una scelta rischiosa che va gestita, non ignorata.
Cinque cose da fare adesso
1. Aggiorna tutto. Core, plugin, temi. Subito. Se hai paura di rompere qualcosa, fai prima un backup — ma aggiorna.
2. Disabilita la REST API per gli utenti non autenticati. Se non usi applicazioni esterne che la richiedono, non serve che sia accessibile a chiunque. Si disabilita con un plugin o con poche righe in functions.php.
3. Rimuovi i plugin che non usi. Ogni plugin installato — anche disattivato — è codice sul server. Se non serve, eliminalo.
4. Cambia l'URL di login. L'indirizzo di default /wp-admin è quello che tutti gli script di forza bruta cercano per primo. Spostarlo su un percorso personalizzato riduce drasticamente il rumore.
5. Installa un plugin di sicurezza. Wordfence o iThemes Security nella versione gratuita fanno già molto: firewall, monitoraggio dei tentativi di login, alert su file modificati.
Se gestisci un WordPress per la tua azienda
Non devi diventare un esperto di sicurezza. Devi avere qualcuno che tenga il sito aggiornato e ti avvisi se qualcosa non va. Un sito compromesso non è solo un danno di immagine — è dati dei clienti a rischio, potenziali sanzioni GDPR, e ore di lavoro per ripristinare tutto.
Se non hai nessuno che lo fa, è il momento di fartela una domanda.
Articolo originale — 16 febbraio 2017
Attacco a WordPress, modificati i contenuti di centinaia di migliaia di siti
Centinaia di migliaia di siti WordPress in tutto il mondo — molti in Italia — si sono ritrovati con i contenuti sostituiti. Non erano stati attaccati uno per uno: un exploit sulla REST API di WordPress 4.7.0 e 4.7.1 permetteva di modificare qualsiasi pagina senza autenticazione, attraverso semplici richieste POST al percorso /wp-json/wp/v2/posts.
La patch era uscita il 26 gennaio 2017 con la versione 4.7.2. Chi non aveva aggiornato era esposto. La maggior parte dei siti non aveva aggiornato.
I messaggi lasciati dagli attaccanti erano inizialmente di natura politica, ma il rischio reale era più grave: combinando la vulnerabilità con plugin come Exec-PHP era possibile eseguire codice arbitrario sul server. La lezione era semplice: aggiornare WordPress non è opzionale.