{"id":76689,"date":"2025-10-15T01:00:00","date_gmt":"2025-10-15T08:00:00","guid":{"rendered":"https:\/\/dhblog.dream.press\/blog\/?p=76689"},"modified":"2025-11-07T13:13:20","modified_gmt":"2025-11-07T21:13:20","slug":"storie-spaventose-di-hosting-10-rischi-di-sicurezza-che-infestano-il-2025-it","status":"publish","type":"post","link":"https:\/\/www-dev.dreamhost.com\/blog\/it\/storie-spaventose-di-hosting-10-rischi-di-sicurezza-che-infestano-il-2025-it\/","title":{"rendered":"Storie Spaventose di Hosting: 10 Rischi di Sicurezza che Infestano il 2025"},"content":{"rendered":"\n

TL;DR:<\/strong> Nel 2025, i rischi di sicurezza pi\u00f9 spaventosi per i siti web non provengono dal nucleo di WordPress \u2014 derivano da plugin vulnerabili, temi trascurati e software di server non aggiornato come OpenSSH e PHP su Ubuntu.<\/p>\n\n\n

Questi sono i 10 problemi di sicurezza pi\u00f9 impattanti di quest’anno<\/strong>, inclusi i modi in cui hanno operato e quali lezioni dovrebbero trarre i proprietari di siti e gli sviluppatori. La conclusione: aggiornamenti costanti, una gestione attenta dei ruoli e l’attenzione agli avvisi di sicurezza sono ci\u00f2 che impedisce alle tue storie di hosting di trasformarsi in storie da incubo.<\/p>\n\n\n

\n\n\n

Inizia sempre allo stesso modo.<\/p>\n\n\n

Un ping a tarda notte. Un cliente in preda al panico. Un sito WordPress che funzionava bene fino a ieri, ma ora sta generando log di errore e reindirizzando i visitatori verso un dominio di una farmacia losca. Nella tua mente, tutto ci\u00f2 che riesci a sentire sono i violini stridenti di una colonna sonora da film horror.<\/p>\n\n\n

Le storie pi\u00f9 spaventose di hosting non sono causate dai fantasmi e dai mostri della fama della stagione spettrale. Derivano da vulnerabilit\u00e0 lasciate senza patch per un tempo troppo lungo. Nel 2025, il vero pericolo non \u00e8 stato il core di WordPress (che ha avuto solo un problema degno di nota quest’anno fino ad ora), bens\u00ec i plugins, i temi e il software del server che alimentano il tuo sito.<\/strong><\/p>\n\n\n

\u00c8 per questo che siamo qui, torcia in mano, per guidarti attraverso le 10 principali vulnerabilit\u00e0 che quest’anno hanno fatto tremare gli sviluppatori. Questi non sono racconti ammonitori destinati a spaventarti lontano dal web. Sono appunti dal campo di battaglia \u2014 lezioni che puoi utilizzare per evitare che le tue storie di hosting si trasformino in storie di orrore<\/em>. Facciamo un tuffo.<\/p>\n\n\n

Come Sar\u00e0 il Panorama delle Minacce nel 2025 per i Plugin di WordPress e i Pacchetti Ubuntu?<\/h2>\n\n\n

Plugins<\/a> e temi<\/a> sono dove risiede quasi tutto il rischio di WordPress. Nel 2025, il nucleo di WordPress ha visto solo una grande vulnerabilit\u00e0 fino ad ora, ma l’ecosistema di plugin e temi ha gi\u00e0 prodotto quasi 8,000 vulnerabilit\u00e0<\/a> fino a settembre (quando abbiamo scritto questo articolo).<\/p>\n\n\n

Rapporti di met\u00e0 anno<\/a> confermano non solo l’alto volume, ma anche l’elevata sfruttabilit\u00e0 nel mondo reale. Nel primo semestre dell’anno sono state identificate 6.700 vulnerabilit\u00e0, di cui il 41% classificate come sfruttabili in attacchi reali.<\/p>\n\n\n

Le notifiche di sicurezza di Ubuntu (USNs) forniscono aggiornamenti regolari e trasparenti su problemi relativi alle versioni supportate<\/a>. Molte di queste USNs riguardano software critico comunemente utilizzato negli ambienti di hosting (PHP, OpenSSH, librerie come libxml2, ecc.). Tra gennaio e agosto 2025, Canonical ha pubblicato 829 USNs che coprono 7,408 CVE unici nelle versioni supportate. Questo supera gi\u00e0 tutto il 2024, che ha registrato 884 USNs per 5,611 CVE.<\/p>\n\n\n

Il modello \u00e8 chiaro: il volume delle vulnerabilit\u00e0 a livello di sistema operativo sta accelerando, spesso sovrapponendosi in termini di rischio con le perdite di plugin e temi.<\/p>\n\n\n

\"Istogramma<\/figure>\n\n\n

Cosa possono trarre gli imprenditori dal panorama delle minacce nel 2025? Ci sono tre cose principali:<\/p>\n\n\n

    \n
  1. Non puoi affidarti al core per la protezione \u2013 <\/strong>Il vero pericolo proviene dal codice di terze parti nei Plugin e nei temi, perch\u00e9 \u00e8 l\u00ec che le vulnerabilit\u00e0 si moltiplicano.<\/li>\n\n\n\n
  2. L’esploitabilit\u00e0 \u00e8 in aumento \u2013 <\/strong>E non sono solo pi\u00f9 bug. Una quota crescente di questi bug pu\u00f2 essere utilizzata negli attacchi in questo momento.<\/li>\n\n\n\n
  3. Le vulnerabilit\u00e0 del sistema operativo aumentano il rischio \u2013 <\/strong>Anche se il codice di WordPress \u00e8 corretto, i pacchetti Ubuntu obsoleti o vulnerabili possono ampliare significativamente la superficie di attacco.<\/li>\n\n\n<\/ol>\n\n\n

    I 10 Racconti Spaventosi del 2025: Cosa \u00c8 Andato Storto (e Cosa Possiamo Imparare)?<\/h2>\n\n\n

    Di seguito sono elencate le vere vulnerabilit\u00e0 che hanno scosso l’ecosistema dei plugin WordPress quest’anno (finora). Ricorda che questi non sono fatti del passato \u2014 molti siti sono ancora esposti se non aggiornati.<\/p>\n\n\n

    1. Post SMTP<\/h3>\n\n\n

    Cosa \u00e8 successo: <\/strong>La versione \u2264 3.2.0 del plugin WordPress Post SMTP presentava un controllo degli accessi non funzionante<\/a> in uno dei suoi endpoint API REST (la funzione get_logs_permission<\/code><\/strong>). La funzione controllava solo se un utente era loggato, senza verificare se avesse i privilegi sufficienti (ad esempio, Amministratore).<\/p>\n\n\n

    Per questo motivo, anche gli utenti a livello di Sottoscrittore potevano recuperare i log delle email, visualizzare i corpi delle email e intercettare le email di reimpostazione della password destinate agli utenti con privilegi superiori. Accidenti!<\/p>\n\n\n

    I log delle email includono spesso dettagli sensibili. Interrompere il reset delle password significa che un utente con privilegi limitati potrebbe reimpostare la password di un admin e prendere il controllo del sito. Questo trasforma quello che sembra un innocuo bug del plugin in un compromesso completo del sito.<\/p>\n\n\n

    Inoltre, Post SMTP \u00e8 ampiamente utilizzato, con oltre 400.000 installazioni attive. Un’ampia porzione di quei siti utilizzava versioni vulnerabili al momento della divulgazione.<\/p>\n\n\n

    Aspetto Fondamentale: <\/strong>Anche i controlli semplici (is_user_logged_in<\/code><\/strong>) non sono sufficienti per i dati sensibili. I controlli dei privilegi devono corrispondere alla sensibilit\u00e0 del punto di accesso.<\/p>\n\n

    \n\tRelated Article<\/span>\n\t
    \n\t\t
    \n\t\t\tKeep Your Comms Private: Your Best Secure Email Options in 2026\n\t\t<\/div>\n\t\t\n\t\t\tRead More\n\t\t<\/a>\n\t<\/div>\n<\/div>\n\n

    2. Addon Essenziali per Elementor<\/h3>\n\n\n

    Cosa \u00e8 successo: <\/strong>Le versioni \u2264 6.0.14 di Essential Addons for Elementor presentavano una vulnerabilit\u00e0 di Cross-Site Scripting (XSS) riflessivo<\/a> nell’argomento della query popup-selector<\/strong>. L’input non era adeguatamente sanificato\/validato prima di essere incorporato nell’output della pagina. Il difetto \u00e8 stato corretto nella versione 6.0.15.<\/strong><\/p>\n\n\n

    Questo plugin ha oltre 2 milioni di installazioni<\/strong>, quindi una vulnerabilit\u00e0 come questa ha un ampio potenziale di diffusione. XSS riflesso pu\u00f2 abilitare il phishing, il furto di credenziali, il dirottamento di token o il vandalismo se un attaccante inganna un utente a cliccare su un URL manipolato. La scala di installazioni attive significa che molti siti sono stati esposti.<\/p>\n\n\n

    Punto Chiave: <\/strong>Plugin popolare + vettore di input semplice = rischio diffuso. Una vasta base di installazione amplifica anche le vulnerabilit\u00e0 di “solo XSS”.<\/p>\n\n\n

    3. WPForms Lite<\/h3>\n\n\n

    Cosa \u00e8 successo: <\/strong>Le versioni di WPForms Lite fino alla 1.9.5 erano vulnerabili a Cross-Site Scripting persistente<\/a> tramite il parametro start_timestamp<\/code><\/strong>. Gli utenti autenticati con ruolo di Collaboratore o superiore<\/strong> potevano iniettare script che persistevano ed erano eseguiti ogni volta che un utente visualizzava una pagina compromessa.<\/p>\n\n\n

    Perch\u00e9 l’accesso a livello di contributore \u00e8 spesso concesso (o accidentalmente mantenuto) su siti con pi\u00f9 autori o membri del team, il rischio era reale. La capacit\u00e0 di mantenere l’iniezione di script significa che il compromesso pu\u00f2 persistere fino a quando il codice del sito o il database non vengono puliti \u2014 non si tratta solo di un attacco riflesso una tantum.<\/p>\n\n\n

    Anche se la gravit\u00e0 CVSS \u00e8 “media” (5.4) per questo problema, l’XSS persistente \u00e8 pi\u00f9 difficile da rilevare, pi\u00f9 difficile da eliminare e comporta conseguenze pi\u00f9 gravi (furto di cookie, escalation dei privilegi, perdita di fiducia degli utenti) di quanto molti si rendano conto.<\/p>\n\n\n

    Punto chiave: <\/strong>Stored XSS tramite utenti con ruoli inferiori \u00e8 pericoloso. I permessi sono importanti, cos\u00ec come assicurarsi che anche gli utenti “fidati” non siano automaticamente sicuri.<\/p>\n\n\n

    \n\n\n

    Get Content Delivered Straight to Your Inbox<\/h2>

    Subscribe now to receive all the latest updates, delivered directly to your inbox.<\/p>

    <\/div>