Le regole del digitale stanno cambiando.
O sei visibile o sei fuori. Noi ti aiutiamo a raggiungere i clienti giusti — quando ti stanno cercando.
Contattaci ora →
UpdraftPlus, il popolare plugin di backup per WordPress, presenta una falla critica che espone milioni di siti a un takeover completo, e non è la prima volta che lo strumento finisce al centro di un’allerta sicurezza.
Una gravissima falla di sicurezza nel popolare plugin WordPress UpdraftPlus mette a rischio oltre 3 milioni di siti, consentendo a malintenzionati di prenderne il controllo senza credenziali. La vulnerabilità (CVE-2026-10795) trasforma paradossalmente uno strumento di backup in una porta d'accesso per attacchi, sollevando seri interrogativi sulla reale sicurezza dell'ecosistema di plugin su cui si basa WordPress.
Allarme rosso per 3 milioni di siti WordPress
Se gestisci un sito in WordPress e per i backup ti affidi a UpdraftPlus, quello che sto per dirti ti riguarda da molto vicino. Stiamo parlando di uno dei plugin di backup più diffusi in assoluto, installato su oltre 3 milioni di siti, inclusi colossi come Microsoft e la NASA.
Ebbene, proprio questo strumento, pensato per darti tranquillità, è al centro di un’allerta di sicurezza di livello altissimo. È stata scoperta una vulnerabilità critica, classificata con un punteggio CVSS di 8.1 su 10, che permette a un malintenzionato di bypassare l’autenticazione e prendere il controllo del sito senza avere le credenziali.
In pratica, una porta sul retro lasciata spalancata.
La falla, identificata come CVE-2026-10795, riguarda tutte le versioni del plugin fino alla 1.26.4. Come descritto da Patchstack, società specializzata in sicurezza, il problema risiede nella gestione remota di UpdraftCentral, una funzionalità che, se sfruttata, consente a un utente non autenticato di compiere azioni riservate solo agli amministratori. Questo significa che un aggressore potrebbe, senza troppi sforzi, creare un nuovo utente amministratore, installare codice malevolo o rubare dati sensibili. La stessa UpdraftPlus ha ammesso la gravità della situazione, parlando di un bug che “potenzialmente permette un takeover completo del sito”.
Ma cosa significa, in parole povere, per il tuo sito?
Te lo spiego subito.
La lunga scia di vulnerabilità: quando un backup diventa un rischio
Un aggressore con accesso amministrativo ha le chiavi di casa. Può cambiare le serrature, rovistare nei cassetti, installare telecamere.
Tradotto: può creare nuovi admin, modificare temi e plugin per iniettare codice malevolo, reindirizzare il tuo traffico dove vuole o, peggio ancora, esfiltrare il database con tutti i dati dei tuoi utenti.
E la parte più preoccupante è che questa vulnerabilità, secondo quanto riportato dal team di UpdraftPlus, riguarda tutte le versioni rilasciate negli ultimi 10-11 anni.
Certo, l’azienda si affretta a dire che, a loro stima, solo “una piccola percentuale di utenti (meno del 10%)” sarebbe realmente esposta, a seconda della configurazione. Una rassicurazione che, onestamente, suona un po’ debole quando in gioco c’è la sicurezza di milioni di siti.
Se pensi che sia finita qui, ti sbagli di grosso.
Questo non è un incidente di percorso, ma l’ennesima tappa di un percorso accidentato. Già nel 2022, una falla simile permise a utenti con bassi privilegi di scaricare i backup del database. Nel 2024, come riportato da Qualys, fu scoperta una vulnerabilità di tipo PHP object injection che consentiva a un attaccante di eseguire codice da remoto. E potrei andare avanti con quelle del 2023 e del 2025.
La domanda sorge spontanea: ci si può fidare di uno strumento che, con questa regolarità, richiede interventi urgenti per tappare buchi così pericolosi?
Questo episodio, quindi, apre una porta su una questione ben più grande, che va oltre il singolo plugin.
L’illusione della sicurezza: il paradosso dei plugin in WordPress
La vicenda di UpdraftPlus è l’emblema di un problema strutturale del mondo WordPress. Ci affidiamo a un’infinità di plugin per aggiungere funzionalità, ma ogni plugin è una potenziale porta d’accesso per chi ha cattive intenzioni. Non è un caso che, secondo una recente analisi sulla sicurezza di WordPress, il 90% dei siti violati sia stato compromesso non a causa di attacchi “zero-day”, ma per la mancata applicazione di patch di sicurezza già disponibili, soprattutto su plugin e temi obsoleti.
L’appello degli esperti, e della stessa UpdraftPlus, è unanime: aggiornare immediatamente il plugin alla versione 1.26.5 o superiore, perché è l’unico modo per chiudere la falla.
Il team di sviluppo suggerisce anche, una volta aggiornato, di effettuare un controllo approfondito del sito: verificare la presenza di account amministratore sconosciuti, controllare plugin e temi che non si ricorda di aver installato e avviare una scansione malware.
Consigli sensati, certo, ma che arrivano dopo che il danno potenziale si è già manifestato per anni.
La questione di fondo rimane: quanto è sostenibile un modello in cui la sicurezza del nostro business digitale dipende dalla prontezza con cui applichiamo patch a strumenti di terze parti?
Nel 2022, per un’altra grave falla di UpdraftPlus, fu WordPress stessa a forzare un aggiornamento automatico su 3 milioni di siti, una mossa che riaccese il dibattito su quanto controllo debba avere la piattaforma sulla nostra infrastruttura.
Il paradosso è servito: lo strumento pensato per salvarti in caso di disastro diventa esso stesso la potenziale causa del disastro.
Una riflessione che, chiunque gestisca un sito WordPress, non può più permettersi di ignorare.
Il paradosso del guardiano che fa entrare i ladri. Una sceneggiatura già vista.
@Gabriele Caruso Che il backup stesso diventi la falla è roba che lascia spiazzati.
@Giorgio Martinelli Più che lasciare spiazzati, è uno scenario prevedibile. Quando un software viene usato da milioni, diventa un bersaglio. Evidentemente la sicurezza resta un optional per troppi sviluppatori.
Gabriele Caruso, sceneggiatura già vista, certo. Ma il punto è un altro: delegare la sicurezza è da principianti. Il tuo business, la tua responsabilità. Non ci sono scorciatoie, solo conseguenze.
La popolarità è solo un numero, non un certificato di sicurezza. Scegliere un plugin solo per le installazioni è da dilettanti. La fiducia va guadagnata con verifiche costanti, non data a priori. Dobbiamo pretendere trasparenza dagli sviluppatori, senza sconti.
Affidare la sicurezza al piromane è un modello di business, non un incidente isolato.
Lamentarsi che il proprio angelo custode sia un traditore rivela una fede puerile nella tecnologia; la fiducia è un lusso che il mercato non concede.
Luciano Gatti, la fede puerile non è nella tecnologia, ma nella promessa di salvezza che ci vendono. Paghiamo per l’illusione di sicurezza, non per la sicurezza stessa. Alla fine, il backup è solo un’altra copia dei nostri disastri futuri.
Paola, la chiamano “illusione” per nobilitare una fregatura bella e buona. Siamo passati dal lucchetto scassato alla cassaforte di cartone. Bel progresso.
Il mio salvatore è diventato il mio boia, ora come faccio a fidarmi di qualcosa?
La sorpresa per un plugin bucato è la prova che molti confondono ancora “popolare” con “sicuro”, un errore ciclico e quasi divertente.
Milioni di siti scoprono che il loro paracadute era in realtà un’incudine. L’ingenuità di delegare la propria protezione a terzi non cessa mai di stupire.
Trasformare il salvagente in un cappio al collo: la prevedibile apoteosi della fiducia malriposta.
@Fabio Fontana, lei lo chiama cappio, io la chiamo selezione naturale digitale. Affidarsi al plugin più popolare è una pigrizia che presenta sempre il conto.
La recidività di questo plugin è un dato. La sua popolarità non giustifica più il rischio. L’affidabilità storica dovrebbe essere la metrica principale per la scelta, non il numero di installazioni attive.
Elena Negri, il suo punto sull’affidabilità storica è corretto, sebbene piuttosto basilare. La vera questione è perché milioni di utenti perseverino nell’ignorare tali principi, creando un mercato per soluzioni precarie e trasformandosi in semplici statistiche per articoli come questo.