All’inizio di giugno 2026 è stata resa nota la vulnerabilità CVE‑2026‑10795 che interessa il plugin UpdraftPlus (versioni fino alla 1.26.4). Questo difetto consente a un malintenzionato non autenticato di eseguire comandi come amministratore su siti WordPress, mettendo a rischio milioni di installazioni.
Cosa è successo
Il 3 giugno è stata pubblicata la versione 1.26.5 di UpdraftPlus, che risolve il problema tecnico causato da una verifica errata del ritorno della funzione di decriptazione. Il difetto permetteva di forzare una chiave di crittografia prevedibile, consentendo comandi remoti arbitrari come amministratore ([falconinternet.net](https://www.falconinternet.net/index.php/blog/updraftplus-cve-2026-10795-authentication-bypass-wordpress?utm_source=openai)).
La divulgazione ufficiale è avvenuta l’11 giugno, subito seguita da decine di migliaia di tentativi di attacco bloccati dal firewall Wordfence ([falconinternet.net](https://www.falconinternet.net/index.php/blog/updraftplus-cve-2026-10795-authentication-bypass-wordpress?utm_source=openai)).
Perché è importante
UpdraftPlus è installato su oltre 3 milioni di siti WordPress e gestisce operazioni sensibili come backup, ripristino e migrazione, che richiedono privilegi elevati ([threat-modeling.com](https://threat-modeling.com/cve-2026-10795-updraftplus-auth-bypass-rce/?utm_source=openai)).
Un attacco riuscito può permettere l’installazione di plugin malevoli, il furto di dati personali o credenziali, fino al completo controllo del sito e del server sottostante ([threat-modeling.com](https://threat-modeling.com/cve-2026-10795-updraftplus-auth-bypass-rce/?utm_source=openai)).
Inoltre, chi utilizza Wordfence Free non ha ancora la protezione firewall automatica fino al 3 luglio, esponendosi maggiormente in questo periodo critico ([falconinternet.net](https://www.falconinternet.net/index.php/blog/updraftplus-cve-2026-10795-authentication-bypass-wordpress?utm_source=openai)).
Cosa fare adesso
- Aggiorna subito UpdraftPlus alla versione 1.26.5 o successiva.
- Verifica nelle impostazioni del plugin la presenza di chiavi UpdraftCentral o Migrator, e revocale se non riconosciute o utilizzate.
- Controlla i plugin installati o attivati nelle ultime due settimane per scoprire attività sospette.
- Sposta i backup locali (ad esempio in
/wp-content/updraft/) in un’area non accessibile via web o in uno storage esterno sicuro. - Considera l’adozione temporanea di un firewall applicativo (WAF) se usi soltanto Wordfence Free.
Come ti aiuta Evo Sistemi
Da Evo Sistemi ti supportiamo nella sicurezza informatica per proteggere il tuo sito web da vulnerabilità come questa.
Possiamo intervenire anche con la realizzazione siti web sicuri, progettati fin dall’inizio con aggiornamenti e backup sotto controllo.
Se hai necessità di adeguarti a norme e proteggere i dati, ti supportiamo con i servizi di compliance e GDPR.
Per ogni dubbio o se desideri supporto immediato, contattaci.
Domande frequenti
Chi è a rischio?
I siti WordPress che usano UpdraftPlus fino alla versione 1.26.4 sono vulnerabili, in particolare quelli con attivata la connessione a UpdraftCentral o funzione Migrator.
Quando è stato corretto il problema?
La versione correttiva 1.26.5 è stata rilasciata il 3 giugno 2026.
Cosa succede se non aggiorno subito?
Il tuo sito resta esposto a takeover remoto e può essere violato in modo totalmente automatizzato da chiunque.
Fonte: Falcon Internet Blog.