Skip to content
· 7 min di lettura

Sicurezza WordPress nel 2026: perché le piccole imprese stanno cambiando piattaforma

L'anno scorso sono state divulgate oltre 13.000 vulnerabilità WordPress. Ecco come appare concretamente un attacco per una piccola impresa e perché l'architettura, non i plugin, è l'unica vera soluzione.

WordPressSecurityBusiness Strategy
Condividi

L'anno scorso sono state divulgate oltre 13.000 WordPress vulnerabilità, più del doppio rispetto all'anno precedente. I ricercatori di sicurezza hanno individuato falle critiche in plugin usati da milioni di siti. Gli operatori di ransomware prendono spesso di mira i siti WordPress per via dell'architettura prevedibile e dell'ampia superficie di attacco offerta dai plugin (Patchstack e Sucuri pubblicano rapporti trimestrali in merito).

Se gestisce un sito WordPress per la sua attività, la superficie di attacco si trova sulla sua homepage.

Perché WordPress è frequentemente nel mirino degli attaccanti

WordPress alimenta circa il 40% di tutti i siti web. Questa concentrazione lo rende particolarmente attraente per gli attaccanti: un singolo exploit può essere automatizzato contro milioni di siti contemporaneamente.

I plugin sono il principale vettore di attacco. Nel repository WordPress sono presenti oltre 60.000 plugin. Un plugin popolare con una vulnerabilità non corretta può compromettere decine di migliaia di siti nel giro di una notte.

I temi presentano rischi analoghi. I temi premium distribuiti tramite marketplace poco affidabili contengono spesso backdoor o codice vulnerabile.

Il core di WordPress riceve aggiornamenti di sicurezza regolari, ma gli aggiornamenti rompono i siti. Così i proprietari rimandano. Il 42% dei siti WordPress compromessi stava eseguendo una versione obsoleta al momento dell'attacco.

L'hosting condiviso colloca il suo sito su un server insieme a centinaia di altri. Quando un sito vicino viene compromesso, gli attaccanti a volte si spostano sugli altri presenti nello stesso server.

Come si presenta concretamente un attacco WordPress

Iniezione di spam SEO

Gli hacker iniettano migliaia di link nascosti verso siti farmaceutici, di gioco d'azzardo o per adulti nelle pagine del sito. Il posizionamento su Google crolla. I clienti vedono spam. Google inserisce il dominio nella lista nera.

Redirect malevoli

I visitatori del sito vengono reindirizzati silenziosamente verso siti malevoli. Il proprietario non se ne accorge perché il redirect si attiva solo per determinati pattern di traffico. Il traffico organico scompare in modo apparentemente inspiegabile.

Pagine di phishing

Gli attaccanti creano pagine di login false sul suo dominio per sottrarre le credenziali dei visitatori. Il sito diventa parte di un incidente di sicurezza attivo.

Cryptomining

Codice JavaScript malevolo viene eseguito nei browser dei visitatori, sfruttando la loro CPU per il mining di criptovalute.

Ransomware

Raro per i siti di piccole dimensioni, ma accade. L'intero sito viene cifrato e viene richiesto un pagamento per il ripristino.

Il ripristino da uno qualsiasi di questi attacchi: da 200 a oltre 2.000 euro, più giorni di inattività, più il danno reputazionale.

Il ciclo senza fine dei plugin

Per mettere in sicurezza WordPress servono plugin di sicurezza. Ma anche i plugin di sicurezza sono plugin: ampliano la superficie di attacco mentre cercano di proteggerla.

  • Abbonamenti annuali (100-300 euro/anno ciascuno)
  • Aggiornamenti regolari (che possono rompere altri plugin)
  • Monitoraggio e configurazione continui
  • Regole firewall che a volte bloccano traffico legittimo

La differenza architetturale

Nessun database esposto a internet. WordPress utilizza un database (MySQL) con cui plugin e temi comunicano costantemente. Un sito statico Next.js non ha alcun database in cui iniettare codice.

Nessuna esecuzione PHP. WordPress esegue PHP a ogni richiesta. Next.js serve file HTML pre-compilati: una superficie di attacco notevolmente ridotta.

Nessun equivalente dell'ecosistema di plugin WordPress. Le dipendenze sono pacchetti JavaScript (npm) gestiti esplicitamente dagli sviluppatori, non un marketplace di oltre 60.000 opzioni con qualità variabile.

La piattaforma Vercel gestisce una parte dello stack di sicurezza. Protezione DDoS, TLS, edge caching: tutto gestito dal team di piattaforma di Vercel. Il codice applicativo, la gestione dei dati e i contenuti rimangono responsabilità del cliente.

Nessun pannello di amministrazione WordPress. Gli attaccanti amano `/wp-admin`: è un URL noto, facile da attaccare con forza bruta. Un sito Next.js non ha un singolo punto di guasto equivalente.

Rischio per l'impresa

I tentativi di attacco automatizzati sono parte integrante della gestione di un sito WordPress con la sua attuale quota di mercato. La decisione imprenditoriale è se continuare a investire tempo e denaro nella difesa di una superficie di attacco ampia o passare a un'architettura strutturalmente più contenuta.

webvise migra siti WordPress su Next.js con preventivi a scope fisso e implementazione assistita dall'AI. Le migrazioni portano tipicamente a performance migliorate, costi di gestione inferiori e una superficie di attacco lato server più ridotta.

Le pratiche di webvise sono allineate agli standard ISO 27001 e ISO 42001.