Ottieni un web hosting di qualità

Scegli l'affidabilità e l'esperienza di SiteGround!

Sicurezza WordPress

Vulnerabilità critica di UpdraftPlus risolta su tutti i siti WordPress ospitati da SiteGround

Riassumi questo articolo con:
Jun 12, 2026 2 min di lettura
Illustrazione sulla sicurezza di SiteGround che mostra codice, icone di plugin e uno scudo sotto una lente d’ingrandimento.

Se il tuo sito web utilizza il plugin di backup UpdraftPlus, ecco la versione breve: è stata scoperta una vulnerabilità critica nel plugin e abbiamo già aggiornato tutti i siti interessati che ospitiamo alla versione corretta. Il tuo sito è protetto e non è necessario alcun intervento da parte tua.

Di seguito trovi cosa è successo, cosa abbiamo fatto e cosa tenere d’occhio.

Il tuo sito è già protetto

L’11 giugno 2026, il nostro team di ingegneri ha aggiornato forzatamente il plugin UpdraftPlus su tutti i siti ospitati che eseguivano una versione vulnerabile. Ogni installazione interessata è stata aggiornata alla versione 1.26.5, che contiene la correzione ufficiale. Più di 128.000 siti sulla nostra piattaforma eseguivano una versione vulnerabile e tutti sono stati corretti.

Abbiamo testato i percorsi di aggiornamento prima di procedere e non abbiamo riscontrato problemi. Non ci aspettiamo alcun malfunzionamento dei siti web a seguito di questo aggiornamento.

Qual è la vulnerabilità

La vulnerabilità, identificata come CVE-2026-10795, è un bypass dell’autenticazione senza necessità di autenticazione preventiva (Unauthenticated Authentication Bypass) che interessa le versioni di UpdraftPlus fino alla 1.26.4. In parole semplici, permetteva agli attaccanti di ottenere l’accesso come amministratore a un sito WordPress senza conoscere alcun nome utente o password. Da lì, potevano eseguire codice sul sito, che è la vulnerabilità peggiore che un plugin possa avere.

La parte “non autenticata” è ciò che rende questa vulnerabilità ancora più critica. Molte vulnerabilità richiedono che un attaccante abbia già un certo livello di accesso, come un account da sottoscrittore o collaboratore. Questa non richiedeva nulla. Qualsiasi sito con una versione vulnerabile era esposto a chiunque fosse a conoscenza della falla.

Cosa abbiamo fatto e quando

Non appena la vulnerabilità è stata divulgata, il nostro team ha impiegato meno di un’ora per completare proattivamente l’aggiornamento della versione corretta del plugin su tutti i siti interessati, agendo immediatamente per chiudere la finestra di esposizione prima che gli attaccanti potessero sfruttarla su larga scala, piuttosto che aspettare che i proprietari dei siti aggiornassero manualmente o fossero colpiti in qualche modo.

Ecco come si è svolta la risposta:

  • Abbiamo identificato tutti i siti ospitati che eseguivano le versioni di UpdraftPlus 1.24.x, 1.25.x e 1.26.x.
  • Abbiamo testato gli aggiornamenti dalla versione 1.24.x alla 1.26.x e altre versioni interessate alla 1.26.5 in anticipo per confermare che l’aggiornamento non avrebbe causato problemi.
  • Abbiamo aggiornato forzatamente più di 128.000 installazioni interessate alla versione corretta 1.26.5.
  • L’intero processo è stato completato in circa 52 minuti.

L’aggiornamento influenzerà il mio sito web?

Non ci aspettiamo che lo faccia. Gli aggiornamenti del plugin tra queste versioni sono stati testati prima della distribuzione e non sono emersi problemi.

Detto ciò, se vuoi una maggiore tranquillità, ecco due cose rapide che puoi controllare:

  • Conferma che il tuo programma di backup in UpdraftPlus sia ancora configurato come l’hai impostato.
  • Verifica che il tuo backup più recente sia stato completato con successo.

Entrambi i controlli richiedono meno di un minuto dalla tua dashboard di WordPress.

Perché forziamo gli aggiornamenti per le vulnerabilità critiche

Quando una vulnerabilità è critica, facilmente sfruttabile e pubblicamente divulgata, ogni ora di ritardo conta. Gli attaccanti iniziano a cercare siti vulnerabili entro poche ore da una divulgazione come questa, e aspettare che ogni proprietario di sito aggiorni manualmente lascerebbe migliaia di siti esposti nel frattempo.

In queste situazioni, correggiamo prima e notifichiamo subito dopo. Crediamo che un aggiornamento proattivo sia sempre la scelta migliore rispetto a lasciare i siti aperti a una compromissione completa.

Come regola generale, raccomandiamo anche di mantenere abilitati gli aggiornamenti automatici dei plugin ovunque sia possibile. È l’abitudine più efficace in assoluto per proteggersi in anticipo da vulnerabilità come questa.

Condividi questo articolo

Autore: Aleksandar Kolev

Esperto di servizi e prodotti di hosting web

Aleksandar si concentra su come l'infrastruttura di hosting, i sistemi per le prestazioni e gli strumenti della piattaforma lavorino in sinergia per mantenere i siti web veloci, sicuri e affidabili. Il suo lavoro consiste nel tradurre concetti complessi legati all'hosting, come il caching, i DNS e l'ottimizzazione a livello di server, in indicazioni pratiche basate su scenari reali e sulle esigenze degli utenti. Nel tempo libero, ama giocare a scacchi, meditare, suonare la chitarra e integrare i sistemi IA nella sua vita di tutti i giorni.

Di più da Aleksandar

Post correlati

SiteGround ha risolto 5 exploit critici del kernel di Linux in 48 ore senza interruzioni di servizio

Le ultime settimane sono state intense per chiunque gestisca server Linux per mestiere. Tra la fine…

  • May 22, 2026
  • 4 min di lettura

Come funziona l’IA in WordPress 7.0 e come sfruttarla per il tuo business

Previsto per il lancio tra metà e fine maggio, WordPress 7.0 sarà l’aggiornamento più importante degli…

  • Apr 30, 2026
  • 10 min di lettura
Guarda le ultime notizie

Commenti ( 0 )

Lascia un commento

Aggiungi un commento