WordPress alimenta quasi metà del web, rendendolo la piattaforma più mirata su internet. Nel 2025, il panorama delle minacce è cambiato in modi che hanno reso insufficienti la maggior parte delle strategie di sicurezza convenzionali. Il numero di vulnerabilità è aumentato drasticamente, le tempistiche di sfruttamento sono crollate a ore e gli attaccanti hanno implementato malware sempre più sofisticati progettati per sopravvivere ai tentativi di pulizia.
Questa panoramica si basa sui dati di sicurezza del 2025 per aiutare i proprietari di siti WordPress e WooCommerce a comprendere i reali rischi che i loro siti affrontano e i passi pratici che possono adottare per colmare le lacune.
I ricercatori di sicurezza hanno identificato 11.334 nuove vulnerabilità nell'ecosistema WordPress nel 2025, un aumento del 42% rispetto all'anno precedente. Di queste, 4.124 erano abbastanza gravi da richiedere una mitigazione attiva, e 1.966 avevano un alto indice di gravità, indicando una forte probabilità di sfruttamento automatizzato su larga scala.
Per mettere in prospettiva, nel 2025 sono state scoperte più vulnerabilità ad alta gravità in WordPress rispetto ai due anni precedenti messi insieme. Non si tratta di una tendenza graduale. Rappresenta un'accelerazione significativa dell'attenzione degli attaccanti verso l'ecosistema WordPress.
I plugin rappresentavano il 91% di tutte le vulnerabilità appena segnalate. I temi costituivano il restante 9%. WordPress core stesso ha segnalato solo sei problemi, tutti a bassa priorità.
Quella distribuzione rafforza una realtà semplice: il software di base non è il problema. Il rischio risiede nei componenti di terze parti sovrapposti, e la maggior parte dei siti WordPress ne gestisce dozzine.
No. I componenti premium spesso presentano un punto cieco più pericoloso rispetto ai loro omologhi gratuiti.
I ricercatori di sicurezza hanno condotto un'analisi focalizzata dei componenti premium del marketplace, inclusi quelli distribuiti tramite Envato. I risultati sono stati significativi:
Il motivo non è che i plugin premium vengano costruiti in modo più superficiale. Questo perché i ricercatori di sicurezza hanno accesso limitato al software a pagamento, quindi meno occhi esaminano il codice. Un controllo più basso non significa rischio minore. Significa una consapevolezza minore del rischio esistente.
Solo il 54%. Nel 2025, il 46% delle vulnerabilità segnalate non è stato corretto dallo sviluppatore del plugin prima della divulgazione pubblica. Ciò significa che i dettagli delle vulnerabilità sono diventati pubblici e, in molti casi, erano immediatamente disponibili agli attaccanti prima che le patch fossero disponibili ai proprietari del sito.
Affidarsi agli aggiornamenti dei plugin come principale misura di sicurezza è generalmente insufficiente, poiché quasi la metà delle vulnerabilità divulgate non ha patch disponibili.
Più veloce di quanto permetta la maggior parte dei programmi di aggiornamento. Per le vulnerabilità più colpite, il tempo mediano ponderato dalla divulgazione pubblica allo sfruttamento attivo è stato di cinque ore.
Circa la metà di tutte le vulnerabilità ad alto impatto veniva sfruttata entro 24 ore dalla divulgazione. Questa finestra copre un periodo in cui la maggior parte degli amministratori del sito non è a conoscenza del problema o non ha ancora avuto l'opportunità di applicare una patch disponibile.
Le prime 24 ore successive a una divulgazione di vulnerabilità rappresentano tipicamente la finestra di rischio più elevato per un sito WordPress. Senza una mitigazione automatica, la maggior parte dei siti è esposta proprio in questo periodo.
Il Controllo degli Accessi Difettoso ha guidato la lista delle categorie di vulnerabilità sfruttate nel 2025. Questa categoria è particolarmente difficile da difendere perché gli attacchi imitano il normale comportamento autenticato dell'utente. Non ci sono stringhe di iniezione evidenti o richieste malformate che un firewall di applicazioni web tradizionali possa individuare.
Altre classi di vulnerabilità fortemente sfruttate includevano:
I plugin correlati a WooCommerce sono apparsi nella top ten dei più mirati, inclusa una vulnerabilità di escalation dei privilegi di WooCommerce Payments del 2023 che era ancora attivamente presa di mira contro installazioni non aggiornate.
Non abbastanza efficace. I test di penetrazione condotti su più provider di hosting nel 2025 hanno rilevato che configurazioni difensive standard, inclusi WAF interni e Cloudflare, bloccavano solo il 26% dei tentativi di sfruttamento delle vulnerabilità di WordPress. In particolare, contro vulnerabilità note sfruttate, il tasso di blocco è sceso al 12%.
Le prestazioni variavano significativamente tra gli ambienti hosting, principalmente a causa della configurazione delle regole interne WAF. Le regole WAF generiche funzionano abbastanza bene contro attacchi non specifici di WordPress, ma sono scarsamente adattate alle classi di vulnerabilità specifiche di WordPress, che spiegano la maggior parte delle attività di sfruttamento nel mondo reale.
Il comportamento post-compromesso nel 2025 è diventato più sofisticato e difficile da rimediare. L'analisi di miliardi di infezioni da malware nell'infrastruttura globale di hosting ha rivelato chiari cambiamenti nel modo in cui gli attaccanti operano una volta ottenuti l'accesso a un sito.
Gli attaccanti stanno sempre più preferendo i file iniettati rispetto ai file dannosi standalone. Un file iniettato è un legittimo file core di WordPress, un file plugin o un file tema che è stato modificato per contenere codice malevolo. Poiché il file base è legittimo, gli strumenti di scansione basati sulla cancellazione lo segnalano in modo incoerente o lo ignorano completamente.
Rimuovere malware iniettato richiede di identificare e pulire chirurgicamente il frammento malevolo da un file altrimenti valido. Eliminare il file stesso rompe il sito. Questa distinzione sta imponendo un cambiamento significativo nel modo in cui gli strumenti di bonifica devono operare.
Sì. L'attività malevola di caricamento di file è quasi triplicata a novembre e dicembre 2025. Questa ondata non è casuale. Il quarto trimestre combina il traffico di picco dei consumatori con una riduzione del personale IT, creando un ambiente in cui gli attaccanti possono operare con minori probabilità di rilevamento o risposta immediata. I proprietari di negozi WooCommerce che gestiscono promozioni attive per le festività operano nella finestra di rischio più alta dell'anno, spesso con le risorse interne più basse disponibili per rispondere.
Le campagne malware più diffuse condividevano un obiettivo progettuale comune: evitare il rilevamento il più a lungo possibile. Tre schemi di evasione erano particolarmente diffusi.
Consegna selettiva dei contenuti
Le campagne, inclusi lo spam SEO giapponese, jgalls e Parrot TDS, offrono contenuti diversi a seconda di chi fa la richiesta. I motori di ricerca ricevono spam pieno di parole chiave per manipolare il posizionamento. I visitatori umani vengono reindirizzati a pagine di phishing o negozi fraudolenti. I proprietari dei siti e gli scanner di solito vedono contenuti puliti. L'infezione rimane invisibile finché i clienti non iniziano a lamentarsi o il traffico organico non crolla.
Parrot TDS ha esteso ulteriormente questa tecnica nel 2025 rilevando crawler di addestramento IA, inclusi quelli di OpenAI e Google. Contenuti puliti vengono serviti ai crawler mentre i reindirizzamenti dannosi continuano a reindirizzare i visitatori umani, rendendo il rilevamento tramite audit automatizzato ancora meno affidabile.
Persistenza della Memoria e dei Residenti
La famiglia di malware Lock360 esegue codice malevolo direttamente nella memoria del server invece di memorizzarlo nei file. Quando un amministratore pulisce un file contaminato, come index.php o .htaccess, il processo residente in memoria riscrive immediatamente il codice malevolo in esso. I team di supporto spesso si trovano in un ciclo continuo di pulizia e reinfezione finché il processo di memoria sottostante non viene terminato, cosa che la maggior parte degli strumenti di scansione standard non è attrezzata per gestire.
Espansione dell'infrastruttura Uploader
L'attività degli script dei caricatori è quasi raddoppiata di volume durante giugno 2025 ed è rimasta elevata fino alla fine dell'anno. I caricatori sono strumenti che permettono agli attaccanti di distribuire payload aggiuntivi su un sito compromesso a piacimento. Il loro aumento sostenuto segnala uno spostamento strategico verso un accesso persistente piuttosto che uno sfruttamento una tantum. Un sito ripulito da un'infezione può essere reinfettato tramite un uploader dormiente che è sopravvissuto alla pulizia.
Diverse tendenze convergono per creare Sicurezza di WordPress più complesso, non meno.
Lo sviluppo assistito dall'IA sta accelerando la produzione di plugin personalizzati. Le agenzie stanno generando funzionalità di plugin on demand e distribuendo front-end generati dall'IA costruiti con React usando WordPress come CMS backend. Questo espande la superficie di attacco ben oltre il tradizionale ambito di core, plugin e temi. Componenti codificati su misura, pacchetti JavaScript e dipendenze da PHP introducono tutti un'esposizione alla sicurezza che gli strumenti standard di scansione di WordPress non sono progettati per valutare.
Allo stesso tempo, l'IA sta abbassando la barriera per permettere agli attaccanti di scoprire e sfruttare autonomamente le vulnerabilità. Gli stessi strumenti usati per costruire siti più velocemente vengono utilizzati anche per individuare e sfruttare le loro debolezze.
Dal punto di vista normativo, la Cyber Resilience Act dell'UE sta spingendo i fornitori commerciali di plugin WordPress a istituire programmi formali di divulgazione delle vulnerabilità come requisito legale per la distribuzione di software agli utenti europei. La maggior parte degli sviluppatori di plugin attualmente non dispone delle risorse interne per gestire grandi volumi di report di sicurezza in arrivo. Questo divario creerà attriti tra l'identificazione delle vulnerabilità e la disponibilità delle patch, un periodo che comporta già rischi significativi basandosi sui dati di sfruttamento del 2025.
I dati del 2025 chiariscono diverse cose a chiunque gestisca un negozio WooCommerce.
I fondamenti della sicurezza di WordPress non sono cambiati: mantenere il software aggiornato, limitare la diffusione dei plugin e utilizzare credenziali forti. Ciò che è cambiato è che queste misure non sono più sufficienti da sole.
Le tempistiche di sfruttamento si sono ridotte a ore. Il malware è progettato per sopravvivere alla pulizia standard. I plugin premium comportano rischi nascosti. E la superficie di attacco di un tipico sito WordPress si sta espandendo man mano che i componenti generati dall'IA entrano nello stack.
Una sicurezza efficace di WordPress nel 2026 richiede una mitigazione automatica delle vulnerabilità che si attivi nelle prime ore dalla divulgazione, la rilevazione di malware a livello server in grado di identificare il codice iniettato e le minacce residenti in memoria, e una visibilità chiara su ogni componente in esecuzione sul sito, sia installato tramite il pannello di amministrazione sia generato tramite sviluppo personalizzato.
I siti che trattano la sicurezza come un processo proattivo e continuo saranno molto meglio posizionati rispetto a quelli che si affidano a pulizie periodiche dopo che qualcosa va storto.
