Un grave difetto nel plugin WordPress Gravity SMTP (CVE‑2026‑4020) ha permesso a chiunque, anche senza autenticazione, di estrarre credenziali email e configurazioni sensibili. Da inizio maggio 2026, Wordfence ha rilevato e bloccato circa 17 milioni di attacchi automatici, con un picco di oltre 4 milioni in un solo giorno — un rischio concreto per molti siti.
Cosa è successo
Il plugin Gravity SMTP, presente su circa 100.000 siti WordPress, fino alla versione 2.1.4 inclusa, conteneva una vulnerabilità di esposizione dati (CVE‑2026‑4020). Un endpoint REST (/wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings) era accessibile da chiunque e restituiva un report completo del sistema (circa 365 KB di JSON) contenente API key, OAuth token e dettagli tecnici del sito, senza bisogno di login. ([techtimes.com](https://www.techtimes.com/articles/318768/20260621/wordpress-email-plugin-flaw-triggers-17-million-attacks-gravity-smtp-leaks-live-api-keys.htm?utm_source=openai))
La patch correttiva (versione 2.1.5) è stata rilasciata il 17 marzo 2026, ma la campagna automatizzata di exploit è decollata alla fine di maggio, con Wordfence che ha bloccato oltre 17 milioni di tentativi totali e uno spike di oltre 4 milioni in un solo giorno, il 7 giugno. ([techtimes.com](https://www.techtimes.com/articles/318768/20260621/wordpress-email-plugin-flaw-triggers-17-million-attacks-gravity-smtp-leaks-live-api-keys.htm?utm_source=openai))
Perché è importante
- Chiavi email compromesse possono essere usate per inviare spam o phishing, bypassando filtri grazie alla reputazione pulita del mittente.
- I report restituiti contengono tutti i plugin installati e le versioni, facilitando attacchi successivi (es. sfruttare plugin non aggiornati).
- Poiché non ci sono segni evidenti di compromesso (file modificati, account sospetti), i proprietari dei siti potrebbero ignorare il problema finché è troppo tardi.
Cosa fare adesso
- Aggiorna immediatamente Gravity SMTP alla versione 2.1.5 o successiva.
- Ruota tutte le API key, token OAuth e credenziali configurate nel plugin.
- Controlla i log del tuo server web: cerca richieste GET verso
/wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings. Se appaiono, considera le credenziali compromesse. - Verifica nei servizi email collegati (es. Amazon SES, Google, Mailjet, Zoho) l’eventuale uso non autorizzato dei tuoi account.
- Considera una revisione completa della sicurezza, in particolare se il sito gestisce dati sensibili o credenziali.
Come ti aiuta Evo Sistemi
Da Evo Sistemi, ti supportiamo per mettere in sicurezza il tuo sito e proteggerlo da rischi simili:
- Con il nostro servizio di realizzazione siti web, lavoriamo per garantire che tutte le componenti siano aggiornate e protette sin dall’avvio.
- Il nostro ambito di sicurezza informatica include audit, hardening dei plugin e monitoraggio continuo per intervenire proattivamente su vulnerabilità.
- Grazie all’ottimizzazione SEO e GEO, mantieni alta la visibilità del tuo sito senza compromettere la sicurezza: un attacco può danneggiare reputazione e ranking.
Contattaci per una valutazione gratuita e metti al sicuro il tuo sito: contatti Evo Sistemi.
Domande frequenti
Il mio sito risulta compromesso anche se non appare nulla di anomalo?
Sì: questa vulnerabilità non lascia tracce visibili. L’unico indizio è una richiesta sospetta nei log. Anche in assenza di segni, ruota comunque le credenziali se non hai aggiornato.
Quanto è grave una vulnerabilità classificata come “medium severity”?
La classificazione non riflette sempre il rischio reale. Qui, un bug definito “medium” ha permesso il furto in chiaro di credenziali live. La gravità va valutata in base all’impatto concreto.
Cos’altro posso fare oltre ad aggiornare e ruotare le chiavi?
Configura controlli regolari sui log, utilizza strumenti di sicurezza (firewall, monitoraggio), limita plugin superflui e adotta policy di aggiornamento automatico dove possibile.
Fonte: TechTimes.