Le regole del digitale stanno cambiando.
O sei visibile o sei fuori. Noi ti aiutiamo a raggiungere i clienti giusti — quando ti stanno cercando.
Contattaci ora →
L’introduzione dell’IA in WordPress 7.0 implica l’uso di chiavi API che, se compromesse, permettono ad hacker di generare addebiti ingenti a carico dei proprietari e di orchestrare attacchi su larga scala.
L'integrazione dell'IA in WordPress 7.0, presentata come un passo avanti, nasconde una grave ingenuità nella gestione delle chiavi API. Questa scelta espone milioni di siti al rischio di furti con addebiti economici esorbitanti. Una mossa azzardata che trasforma una comoda funzionalità in un potenziale disastro finanziario per gli utenti, sollevando seri dubbi sulla priorità data alla sicurezza.
L’intelligenza artificiale in WordPress 7.0: una nuova porta d’accesso per i malintenzionati
Con la versione 7.0, WordPress ha messo su un’intera infrastruttura per far parlare la piattaforma con i “cervelloni” dell’AI come OpenAI, Gemini di Google o Anthropic. In pratica, hanno creato un canale diretto per permettere a temi e plugin di sfruttare queste tecnologie.
Bello, vero?
Il punto è che per far funzionare questa magia, l’amministratore del sito deve inserire delle chiavi API, spesso a pagamento. Queste chiavi non sono semplici password, sono strumenti di fatturazione diretta: chi le possiede può usare i servizi AI addebitando i costi direttamente sul tuo conto.
Ed è qui che casca l’asino.
Oliver Sild, un ricercatore di sicurezza e fondatore di Patchstack, ha lanciato l’allarme, come riportato su Search Engine Journal: la combinazione tra la nuova infrastruttura AI di WordPress e la cronica vulnerabilità dei suoi plugin potrebbe scatenare una vera e propria corsa al furto di queste chiavi.
Una volta che un malintenzionato mette le mani su una di queste, può usarla per orchestrare truffe, generare campagne di phishing su larga scala o creare malware, il tutto pagato da te.
E non stiamo parlando di un pericolo astratto.
Anzi, il primo campanello d’allarme è già suonato, forte e chiaro.
Il valore (e il pericolo) di una chiave API finita nelle mani sbagliate
Il problema, infatti, si è già manifestato in modo quasi imbarazzante.
È emersa una falla di sicurezza nella configurazione dell’integrazione con Anthropic: il campo in cui inserisci la tua preziosissima chiave API si comporta come un normalissimo campo di testo.
Questo significa che la chiave viene salvata nella cronologia di autocompletamento del browser, visibile in chiaro a chiunque usi lo stesso computer o semplicemente sbirci durante una condivisione dello schermo.
Un’ingenuità che lascia perplessi, specialmente da parte di un colosso come WordPress.
Ma la vera dimensione del rischio si capisce guardando a cosa può succedere quando una di queste chiavi viene rubata.
A differenza di una password, una chiave API è spesso legata a un sistema di fatturazione a consumo senza limiti di spesa preimpostati.
Un recente video di approfondimento sulla sicurezza ha raccontato un caso emblematico, non legato a WordPress ma che fa capire la portata del disastro: una singola chiave API di Google Gemini, una volta compromessa, è stata usata per generare addebiti per oltre 82.000 dollari in sole 48 ore, lasciando tre sviluppatori in Messico sull’orlo della bancarotta.
E c’è di peggio: mentre WordPress 7.0 ti maschera la chiave nell’interfaccia, mostrandoti i classici pallini per farti sentire al sicuro, dietro le quinte quella stessa chiave è salvata nel database in chiaro, nero su bianco.
Una protezione che serve solo a illuderti.
Plugin vulnerabili: il vero campo minato di WordPress
Se pensi che questo sia un problema nuovo, legato solo alla versione 7.0, ti sbagli di grosso. La storia recente ci insegna che il vero tallone d’Achille di WordPress è sempre lo stesso: i plugin di terze parti.
Un precedente significativo, evidenziato da TechTimes, riguarda una vulnerabilità scoperta nel popolare plugin “AI Engine”. Questa falla permetteva a chiunque di accedere ai token di autenticazione dell’IA, dimostrando esattamente il meccanismo di cui parla Sild.
Il punto è che il problema non è quasi mai il “core” di WordPress, che è relativamente sicuro, ma il suo sterminato mondo di estensioni.
I dati parlano chiaro: secondo il report di Patchstack, il 91% delle nuove vulnerabilità di WordPress si trova nei plugin. Quindi, WordPress ha di fatto introdotto uno strumento potentissimo e ad alto rischio economico in un ambiente che, per sua natura, è un colabrodo.
Questo sta già accendendo un dibattito nella comunità: da una parte c’è chi spinge per la comodità di avere tutto integrato, dall’altra i più prudenti sostengono che la chiave API non dovrebbe mai, e poi mai, risiedere dentro WordPress, ma gestita esternamente.
La verità è che con questa mossa, il ritorno economico per un attacco a un sito WordPress è aumentato a dismisura. Non si tratta più di rubare dati o di deturpare una homepage, ma di impossessarsi di uno strumento che può generare decine di migliaia di dollari di addebiti in poche ore.
E la domanda sorge spontanea:
Era davvero necessario esporre milioni di utenti a un rischio del genere, solo per inseguire la moda dell’intelligenza artificiale?
