Grave vulnerabilità di un plugin WordPress: oltre 600.000 siti a rischio

Il plugin WordPress Forminator presenta una vulnerabilità critica (CVE-2025-6463). Scopri come proteggere il tuo sito e prevenire attacchi.
Riccardo Palermo
Pubblicato il 4 lug 2025
Grave vulnerabilità di un plugin WordPress: oltre 600.000 siti a rischio

Una grave vulnerabilità sta mettendo in allarme la comunità di WordPress, con oltre 600.000 siti web a rischio a causa di una falla nel plugin Forminator. L’exploit, identificato con il codice CVE-2025-6463, è stato classificato con un indice di gravità di 8.8 su 10 secondo il sistema CVSS, evidenziando il suo elevato grado di pericolosità.

Questa falla sfrutta una combinazione di debolezze nel sistema di validazione dei campi e nella logica di eliminazione dei file. Gli attaccanti possono utilizzarla per forzare l’eliminazione del file wp-config.php, un elemento essenziale per la configurazione di WordPress. Una volta eliminato, il sito viene riportato alla fase di installazione iniziale, consentendo ai malintenzionati di collegarlo a un database sotto il loro controllo e ottenere il pieno accesso al sito.

Secondo i dati ufficiali di WordPress.org, il plugin Forminator è attualmente utilizzato da oltre 600.000 siti attivi in tutto il mondo. Sebbene sia stata rilasciata una patch correttiva nella versione 1.44.3, il numero di download dell’aggiornamento – circa 200.000 – suggerisce che molti siti rimangono vulnerabili. Questa discrepanza sottolinea la lentezza con cui molti amministratori di siti web affrontano le questioni di sicurezza, aumentando il rischio di compromissione.

Come evitare rischi legati a questo plugin WordPress?

Gli esperti di sicurezza di Wordfence hanno fornito alcune raccomandazioni chiave per mitigare il rischio associato a questa vulnerabilità:

  • Aggiornare immediatamente il plugin Forminator alla versione 1.44.3 o successive;
  • Se il plugin non è essenziale, disattivarlo e rimuoverlo;
  • Limitare l’uso di plugin e temi a quelli strettamente necessari per ridurre la potenziale superficie di attacco;
  • Implementare un sistema di monitoraggio regolare per garantire l’applicazione tempestiva degli aggiornamenti di sicurezza.

Questo incidente evidenzia un problema di fondo nell’ecosistema di WordPress: mentre la piattaforma principale è generalmente sicura, i plugin e i temi di terze parti rappresentano spesso l’anello debole di questo mondo.

Gli amministratori devono mantenersi costantemente aggiornati sulle minacce emergenti e sugli aggiornamenti disponibili. La negligenza in questo ambito può avere conseguenze devastanti, come la perdita di dati sensibili, il danneggiamento della reputazione del sito e la compromissione della fiducia degli utenti.

Ti consigliamo anche

Vulnerabilità
Vulnerabilità

Vulnerabilità "chwoot" in sudo: milioni di sistemi Linux a rischio. L'exploit è già online!
Aggiornate subito Google Chrome: ha un bug Zero-Day che gli hacker stanno già sfruttando
Vulnerabilità

Aggiornate subito Google Chrome: ha un bug Zero-Day che gli hacker stanno già sfruttando
Basta salvare una pagina Web per infettare il PC Windows (senza avvisi)
Vulnerabilità

Basta salvare una pagina Web per infettare il PC Windows (senza avvisi)
Bluetooth sotto attacco: falla zero-day trasforma milioni di cuffie in strumenti di sorveglianza
Vulnerabilità

Bluetooth sotto attacco: falla zero-day trasforma milioni di cuffie in strumenti di sorveglianza
Link copiato negli appunti