Una pericolosa vulnerabilità è stata scoperta nel plugin WordPress WP Maps Pro (versioni fino alla 6.1.0): permette a chiunque, senza autenticazione, di creare un account amministratore e prendere il controllo del sito. Questo problema è già stato attivamente sfruttato in rete e richiede un intervento immediato.
Cosa è successo
Il plugin WP Maps Pro, usato da oltre 15.000 siti per mostrare mappe e localizzatori, conteneva una funzione di “accesso temporaneo” per assistenza tecnica. Questa funzione era raggiungibile senza alcuna autenticazione, protetta solo da un token (nonce) visibile nel front-end. Un attaccante poteva prendere il token, inviare una richiesta apposita (con check_temp=false) e il plugin creava un account amministratore con un link magico di accesso, inviato a un’email hardcoded. Subito dopo, l’attaccante accedeva come admin senza password. La vulnerabilità, identificata come CVE‑2026‑8732 con punteggio CVSS 9.8, è stata risolta nella versione 6.1.1 (rilasciata il 20 maggio 2026). Nel giorno successivo alla divulgazione sono stati bloccati migliaia di tentativi di attacco (tra 2.800 e oltre 3.600). La falla è stata scoperta dal ricercatore David Brown tramite Wordfence Bug Bounty, e già sfruttata prima della pubblicazione ufficiale.
Perché è importante
Per le PMI e i professionisti che usano WordPress, questa vulnerabilità rappresenta un rischio serio: attaccanti non autenticati possono prendere il controllo totale del sito. Le conseguenze includono:
- installazione di backdoor o malware;
- modifica di contenuti o reindirizzamenti fraudolenti;
- rubare dati sensibili o compromissione di e‑commerce e form di contatto;
- difficoltà a rilevare l’attacco finché non è troppo tardi.
Cosa fare adesso
- Aggiorna immediatamente WP Maps Pro alla versione 6.1.1 o successiva.
- Se non puoi aggiornare subito, disattiva o rimuovi temporaneamente il plugin.
- Controlla la lista degli utenti amministratori e rimuovi quelli sospetti o non riconosciuti.
- Esamina i log di accesso (admin‑ajax.php) per richieste sospette in corrispondenza dell’exploit.
- Utilizza servizi o plugin di sicurezza per monitorare creazioni di account e accessi da IP insoliti.
- Dopo l’aggiornamento, esegui una scansione approfondita per eventuali backdoor o file modificati.
Come ti aiuta Evo Sistemi
Evo Sistemi può proteggere la tua presenza online offrendo servizi su misura:
- Per mettere in sicurezza il sito, affidati al nostro servizio di sicurezza informatica.
- Se vuoi un sito solido, aggiornato e costruito con le migliori pratiche, valutiamo insieme la realizzazione siti web.
- Per garantire conformità legale e protezione dati, possiamo supportarti nella compliance e GDPR.
Contattaci per una consulenza personalizzata: scrivici qui.
Domande frequenti
Posso limitarmi ad aggiornare il plugin per risolvere completamente il problema?
Aggiornare alla versione 6.1.1 è fondamentale, ma non elimina eventuali account amministrativi creati in precedenza: è importante rivedere e pulire gli utenti amministratori.
L’attacco richiede una password o qualche interazione da parte di un utente?
No. Si tratta di un exploit senza autenticazione: l’attaccante usa un token visibile nel front-end e accede direttamente con un link magico senza password.
Cosa devo controllare subito dopo l’aggiornamento?
Verifica la lista degli utenti admin, esamina i log su admin‑ajax.php per richieste sospette e scansiona il sito per rilevare eventuali malware o file modificati.
Fonte: Wordfence via Reddit.