Servizi
Nuova falla “wp2shell” in WordPress: aggiorna subito per evitare…

Negli ultimi giorni è stata scoperta una vulnerabilità critica in WordPress core, soprannominata “wp2shell”, che consente a utenti non autenticati di eseguire codice sul tuo sito anche senza plugin attivi. WordPress ha già rilasciato aggiornamenti obbligatori per porre rimedio: ecco perché è essenziale intervenire subito.

Cosa è successo

Il 17 luglio 2026 WordPress ha rilasciato le versioni 6.9.5 e 7.0.2 per risolvere due gravi vulnerabilità nel suo core. La falla “wp2shell”, segnalata da Adam Kues di Assetnote tramite il programma HackerOne, combina un’iniezione SQL con una confusione nelle chiamate alla REST API (batch route), permettendo l’esecuzione di codice da parte di chiunque, anche senza login e senza plugin attivi. WordPress ha attivato aggiornamenti automatici forzati per le versioni interessate .

Perché è importante

Se il tuo sito o e-commerce utilizza una versione tra 6.9.0 e 6.9.4 oppure tra 7.0.0 e 7.0.1, è vulnerabile finché non aggiorni. Un utente malintenzionato potrebbe prendere il controllo del sito, accedere al database, modificare contenuti, o compromettere l’intera infrastruttura di hosting. Anche se auto‑update è attivo, non dare per scontato che sia andato a buon fine: alcune configurazioni possono bloccarlo.

Cosa fare adesso

Come ti aiuta Evo Sistemi

In Evo Sistemi possiamo supportarti con i nostri servizi di sicurezza informatica, per proteggere il tuo sito da attacchi immediati come questo. Se hai bisogno di un nuovo progetto o vuoi aggiornare un sito esistente, il nostro servizio di realizzazione siti web include già tutte le best practice di sicurezza integrate. Inoltre, ti aiutiamo a rispettare le normative con il servizio di compliance e GDPR, fondamentale se gestisci dati sensibili.

Contattaci per una consulenza personalizzata → contatti.

Domande frequenti

È davvero così semplice per un hacker eseguire codice?

Sì: la falla non richiede login, plugin attivi o configurazioni speciali. Basta inviare una richiesta HTTP al sito vulnerabile.

Se ho l’aggiornamento automatico attivo, sono al sicuro?

Spesso sì, ma alcune configurazioni (hosting, versionamento, blocchi personalizzati) potrebbero interromperlo. Controlla sempre manualmente la versione.

Wp2shell.com è affidabile per il controllo?

Sì: è lo strumento pubblico messo a disposizione dai ricercatori per verificare rapidamente se il tuo sito è vulnerabile.

Fonte: The Hacker News.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *