
Negli ultimi giorni è stata scoperta una vulnerabilità critica in WordPress core, soprannominata “wp2shell”, che consente a utenti non autenticati di eseguire codice sul tuo sito anche senza plugin attivi. WordPress ha già rilasciato aggiornamenti obbligatori per porre rimedio: ecco perché è essenziale intervenire subito.
Cosa è successo
Il 17 luglio 2026 WordPress ha rilasciato le versioni 6.9.5 e 7.0.2 per risolvere due gravi vulnerabilità nel suo core. La falla “wp2shell”, segnalata da Adam Kues di Assetnote tramite il programma HackerOne, combina un’iniezione SQL con una confusione nelle chiamate alla REST API (batch route), permettendo l’esecuzione di codice da parte di chiunque, anche senza login e senza plugin attivi. WordPress ha attivato aggiornamenti automatici forzati per le versioni interessate .
Perché è importante
Se il tuo sito o e-commerce utilizza una versione tra 6.9.0 e 6.9.4 oppure tra 7.0.0 e 7.0.1, è vulnerabile finché non aggiorni. Un utente malintenzionato potrebbe prendere il controllo del sito, accedere al database, modificare contenuti, o compromettere l’intera infrastruttura di hosting. Anche se auto‑update è attivo, non dare per scontato che sia andato a buon fine: alcune configurazioni possono bloccarlo.
Cosa fare adesso
- Aggiorna immediatamente alla versione 6.9.5, 7.0.2 (o 6.8.6 se sei su rami precedenti).
- Verifica la versione del tuo sito nel pannello di controllo, anche se l’aggiornamento automatico è attivo.
- Effettua un controllo con lo strumento pubblico disponibile su wp2shell.com per testare eventuali vulnerabilità.
- Monitora il sito per attività sospette o cambiamenti non autorizzati.
- Considera misure temporanee come un WAF per bloccare accessi anonimi a
/wp‑json/batch/v1e/?rest_route=/batch/v1fino a quando non sei sicuro dell’avvenuto aggiornamento.
Come ti aiuta Evo Sistemi
In Evo Sistemi possiamo supportarti con i nostri servizi di sicurezza informatica, per proteggere il tuo sito da attacchi immediati come questo. Se hai bisogno di un nuovo progetto o vuoi aggiornare un sito esistente, il nostro servizio di realizzazione siti web include già tutte le best practice di sicurezza integrate. Inoltre, ti aiutiamo a rispettare le normative con il servizio di compliance e GDPR, fondamentale se gestisci dati sensibili.
Contattaci per una consulenza personalizzata → contatti.
Domande frequenti
È davvero così semplice per un hacker eseguire codice?
Sì: la falla non richiede login, plugin attivi o configurazioni speciali. Basta inviare una richiesta HTTP al sito vulnerabile.
Se ho l’aggiornamento automatico attivo, sono al sicuro?
Spesso sì, ma alcune configurazioni (hosting, versionamento, blocchi personalizzati) potrebbero interromperlo. Controlla sempre manualmente la versione.
Wp2shell.com è affidabile per il controllo?
Sì: è lo strumento pubblico messo a disposizione dai ricercatori per verificare rapidamente se il tuo sito è vulnerabile.
Fonte: The Hacker News.