BellosatoTech Cybersecurity
Contattaci
Torna al Blog

Perché il Tuo Sito WordPress Non Può Essere Davvero Sicuro (E Non È Colpa Tua)

Team Sicurezza BellosatoTech

Perché il Tuo Sito WordPress Non Può Essere Davvero Sicuro (E Non È Colpa Tua)

Questo articolo potrebbe risultare scomodo a molte agenzie web. Lo scriviamo comunque, perché pensiamo che chi affida il proprio sito a un professionista meriti una valutazione onesta — non una che tutela il modello di lavoro del fornitore.

WordPress è uno strumento straordinario. Ha democratizzato la creazione di siti web, abbassato le barriere d’ingresso, reso possibile a milioni di persone di avere una presenza online senza sapere programmare. Non è questo il punto.

Il punto è che WordPress porta con sé dei limiti strutturali in termini di sicurezza che nessuna quantità di plugin, aggiornamenti o configurazioni può eliminare del tutto. E nel 2026, con attacchi sempre più sofisticati e automatizzati, quei limiti pesano più che mai.

Indice

  1. Il problema non sono i plugin: è l’architettura
  2. I numeri che nessuno ti dice
  3. Cosa sono i plugin zero-day e perché sono inarrestabili
  4. La supply chain del codice: il rischio invisibile
  5. Aggiornare non basta: la finestra di esposizione
  6. Cosa significa davvero avere un sito sicuro
  7. FAQ

1. Il Problema Non Sono i Plugin: È l’Architettura

La risposta standard quando si parla di sicurezza WordPress è sempre la stessa: tieni tutto aggiornato, usa plugin affidabili, installa un firewall applicativo. È un consiglio corretto — ma affronta i sintomi, non la causa.

La causa è più profonda, ed è strutturale.

WordPress è una piattaforma open source costruita su un principio di estensibilità massima: chiunque può scrivere un plugin, chiunque può creare un tema, chiunque può modificare qualsiasi parte del sistema aggiungendo codice di terze parti. Questa apertura è la sua forza — ed è esattamente la sua vulnerabilità principale.

Un’installazione WordPress tipica non esegue solo il codice di WordPress. Esegue il codice di WordPress più il codice di 10, 20, 30 plugin scritti da sviluppatori diversi in anni diversi con standard di sicurezza diversi. È come abitare in una casa con 20 porte d’ingresso, ognuna costruita da un artigiano diverso, con serrature diverse, di cui non hai controllato personalmente la robustezza.

Puoi avere la porta principale blindatissima. Se uno degli altri 19 ingressi ha una serratura scadente, la casa non è sicura.

2. I Numeri che Nessuno Ti Dice

Questi dati vengono dal database CVE (Common Vulnerabilities and Exposures) e dai report annuali di Patchstack e WPScan, che tracciano le vulnerabilità WordPress:

  • Oltre il 97% delle vulnerabilità rilevate sulle installazioni WordPress nel 2025 riguardava plugin e temi di terze parti — non il core di WordPress
  • Il repository ufficiale di WordPress.org ospita oltre 60.000 plugin: è impossibile per qualsiasi team di revisione garantire la qualità del codice di tutti
  • I plugin gratuiti vengono sviluppati spesso da singoli sviluppatori che possono smettere di mantenerli in qualsiasi momento, senza preavviso
  • Una vulnerabilità critica su un plugin con un milione di installazioni attive viene sfruttata attivamente entro ore dalla pubblicazione — non giorni

Il punto non è che WordPress sia pieno di vulnerabilità note. Il punto è che l’ecosistema di plugin crea una superficie d’attacco che cresce ogni volta che aggiungi una funzionalità — e che non puoi controllare completamente indipendentemente da quanto tu sia diligente.

3. Cosa Sono i Plugin Zero-Day e Perché Sono Inarrestabili

Un zero-day è una vulnerabilità che esiste nel codice ma che non è ancora stata scoperta — o che è stata scoperta da qualcuno con cattive intenzioni prima che gli sviluppatori ne fossero a conoscenza.

Il nome viene dal fatto che gli sviluppatori hanno avuto “zero giorni” per prepararsi: la vulnerabilità viene sfruttata prima che esista una patch.

In un ecosistema come quello di WordPress, con decine di migliaia di plugin scritti da sviluppatori di tutto il mondo con livelli di competenza variabilissimi, i potenziali zero-day sono per definizione innumerevoli. Non esistono strumenti in grado di rilevarli tutti in anticipo, perché per definizione non sono ancora noti.

Quando una di queste vulnerabilità viene scoperta e resa pubblica, il ciclo è sempre lo stesso:

  1. La vulnerabilità viene pubblicata nel database CVE
  2. Lo sviluppatore del plugin rilascia una patch (se è ancora attivo, se ha il tempo, se riesce a farlo rapidamente)
  3. Gli utenti devono aggiornare il plugin prima che i bot automatici — che monitorano continuamente i feed CVE — la sfruttino

La finestra di tempo tra il punto 1 e il punto 3 è la zona di rischio. E in quella finestra, il tuo sito è esposto a prescindere da quanto tu sia attento.

4. La Supply Chain del Codice: Il Rischio Invisibile

C’è un problema ancora più sottile di cui si parla poco al di fuori degli ambienti di cybersecurity: gli attacchi alla supply chain del software.

Funzionano così: un attaccante non attacca direttamente il sito target. Attacca il plugin — o chi sviluppa il plugin. Acquista un plugin popolare il cui sviluppatore ha smesso di aggiornarlo, inserisce codice malevolo in un aggiornamento apparentemente legittimo, e in poche ore quel codice si trova su tutti i siti che hanno gli aggiornamenti automatici attivati.

Questo tipo di attacco è particolarmente insidioso perché:

  • Arriva attraverso il canale di aggiornamento ufficiale, che gli utenti si fidano a seguire
  • Può restare dormiente per settimane prima di attivarsi
  • È molto difficile da rilevare senza un’analisi forense del codice

Non è uno scenario teorico: questo tipo di compromissione è documentata nel repository di WordPress.org in più occasioni negli ultimi anni. Non frequentemente — ma abbastanza da essere un vettore di rischio reale.

5. Aggiornare Non Basta: La Finestra di Esposizione

“Tieni tutto aggiornato” è il consiglio più comune sulla sicurezza WordPress. È corretto. È necessario. Non è sufficiente.

Perché non è sufficiente? Perché tra il momento in cui una vulnerabilità viene scoperta e il momento in cui viene rilasciata la patch esiste sempre un intervallo di tempo — e tra il momento in cui la patch viene rilasciata e il momento in cui viene installata ce n’è un altro.

Le statistiche mostrano che la maggior parte dei siti WordPress viene compromessa entro le prime 24-48 ore dalla pubblicazione di una vulnerabilità critica, mentre la maggior parte degli aggiornamenti viene applicata in media dopo 4-7 giorni dalla disponibilità.

Gli aggiornamenti automatici riducono ma non eliminano questa finestra. E per i plugin che vengono abbandonati — il cui sviluppatore smette di rispondere alle segnalazioni di sicurezza — quella finestra non si chiude mai.

6. Cosa Significa Davvero Avere un Sito Sicuro

La sicurezza informatica reale non si costruisce rattoppando vulnerabilità una ad una. Si costruisce riducendo la superficie d’attacco fin dall’inizio — scegliendo architetture che per loro natura hanno meno punti di ingresso, meno dipendenze di terze parti, meno codice non controllato in esecuzione.

Nel nostro approccio alla realizzazione di siti web, questo si traduce in alcune scelte precise:

Nessuna dipendenza da plugin di terze parti per le funzioni critiche. I form di contatto, i sistemi di autenticazione, le aree riservate, le integrazioni con servizi esterni: tutto viene sviluppato internamente, con codice che conosciamo riga per riga e di cui siamo direttamente responsabili. Non c’è un plugin scritto da qualcun altro a gestire i dati dei tuoi utenti.

Cifratura proprietaria dei dati in transito e a riposo. I form di contatto che realizziamo non trasmettono dati in chiaro: ogni campo viene cifrato prima di lasciare il browser dell’utente. Non è una funzione disponibile su WordPress con un plugin — è una scelta architetturale che va implementata a livello di codice.

Monitoraggio attivo e aggiornamenti frequenti. Non aspettiamo che qualcosa si rompa. I siti che gestiamo vengono monitorati continuamente: anomalie nel traffico, tentativi di accesso non autorizzati, modifiche inaspettate al codice. E gli aggiornamenti di sicurezza vengono applicati nel giro di ore, non giorni.

Controllo completo dello stack tecnologico. Sappiamo esattamente cosa gira su ogni server, chi ha accesso a cosa e perché. Non c’è un ecosistema di plugin di cui non conosciamo l’origine.

La domanda che vale la pena porsi non è “come rendo sicuro il mio sito WordPress?”. La domanda più utile è “ho davvero bisogno di WordPress, o ho bisogno di un sito che funzioni bene e sia sicuro?”. Spesso la risposta porta a scelte diverse.

FAQ

WordPress è davvero così pericoloso? Milioni di siti lo usano senza problemi.

WordPress non è intrinsecamente pericoloso — è il CMS più usato al mondo e milioni di siti funzionano senza incidenti. Il punto è che “funzionare senza incidenti visibili” non equivale a “essere sicuro”. Molte compromissioni restano silenti per settimane o mesi: il sito viene usato per inviare spam, per ospitare pagine di phishing su sottodomini, per minare criptovalute in background. Il proprietario del sito spesso non lo sa fino a quando Google non lo inserisce in blacklist.

Se uso solo plugin famosi e aggiornati sono al sicuro?

Sei significativamente più sicuro rispetto a usare plugin abbandonati o di origine dubbia — ma non sei immune. I plugin più diffusi sono anche quelli su cui i ricercatori di sicurezza — e gli attaccanti — concentrano più attenzione. Vulnerabilità critiche sono state trovate su plugin con milioni di installazioni attive, inclusi alcuni tra i più noti e affidabili del repository.

Qual è l’alternativa concreta a WordPress?

Dipende dall’obiettivo. Per siti informativi, portfolio e siti aziendali, lo sviluppo su misura con tecnologie moderne offre performance e sicurezza nettamente superiori a qualsiasi CMS. Per chi ha esigenze di aggiornamento frequente dei contenuti senza competenze tecniche, esistono CMS headless come Sanity o Contentful che separano il backend di gestione contenuti dal frontend — eliminando la maggior parte dei vettori di attacco tipici di WordPress. La scelta giusta dipende dal caso specifico.

Un sito sviluppato su misura costa molto di più?

Nel breve periodo, spesso sì — lo sviluppo su misura richiede più tempo iniziale rispetto all’installazione di un tema WordPress. Nel medio-lungo periodo, il calcolo cambia: si eliminano i costi di licenze di plugin premium, si riducono i rischi di downtime e compromissioni, e si ottengono performance migliori che si traducono in meno conversioni perse. Un sito compromesso ha costi diretti (ripristino, perdita di dati) e indiretti (reputazione, SEO) che raramente vengono messi nella valutazione iniziale.

Perché così tante agenzie usano ancora WordPress allora?

Perché riduce significativamente il tempo e il costo di sviluppo iniziale, e perché la maggior parte dei clienti non chiede esplicitamente garanzie di sicurezza avanzata. È una scelta comprensibile dal punto di vista commerciale. Non è necessariamente la scelta giusta per chi ha un sito che rappresenta il cuore del proprio business o che gestisce dati sensibili.

Come faccio a sapere se il mio sito WordPress è già stato compromesso?

I segnali evidenti — reindirizzamenti verso altri siti, contenuti sconosciuti, avvisi del browser — sono spesso i tardivi. I segnali precoci sono più sottili: calo anomalo del traffico organico (Google penalizza i siti con contenuti malevoli), email di spam inviate dal vostro dominio che iniziano a finire in blacklist, account admin creati senza che nessuno li abbia creati. Uno strumento come Sucuri SiteCheck permette una verifica esterna immediata. Per un’analisi più approfondita, è necessario esaminare i file del server e i log di accesso.

Stai valutando un nuovo sito o vuoi capire quanto sia sicura la tua soluzione attuale? Analizziamo la situazione senza impegno: valutiamo l’architettura, i rischi reali e le opzioni concrete. Contattaci

wordpress sicurezza wordpress vulnerabilità alternative wordpress sito sicuro cms sicurezza zero day wordpress sviluppo web sicuro wordpress problemi