Come verificare se il tuo sito WordPress ha vulnerabilità note: strumenti e procedure

Ogni settimana vengono scoperte nuove vulnerabilità in plugin, temi e nel core di WordPress. Il problema è che la maggior parte dei proprietari di siti non sa nemmeno se la propria installazione è esposta a rischi conosciuti. Non servono competenze da hacker per fare una verifica: con gli strumenti giusti puoi controllare le vulnerabilità del tuo sito WordPress in pochi minuti e sapere esattamente cosa correggere. In questa guida ti mostro come fare un audit di sicurezza completo, quali tool usare e come interpretare i risultati.

Perché le vulnerabilità WordPress sono un problema concreto

WordPress è il CMS più usato al mondo con oltre il 43% dei siti web, e questo lo rende il bersaglio numero uno per gli attaccanti. Ma il core di WordPress è generalmente sicuro: il 90% delle vulnerabilità proviene da plugin e temi di terze parti. Ogni plugin che installi è potenzialmente una porta d’ingresso se contiene bug di sicurezza. Le vulnerabilità più comuni includono:

• Cross-Site Scripting (XSS): permette l’iniezione di codice malevolo nelle pagine del sito.
• SQL Injection: consente l’accesso non autorizzato al database.
• Cross-Site Request Forgery (CSRF): inganna gli utenti autenticati a eseguire azioni indesiderate.
• Broken Access Control: utenti non autorizzati accedono a funzionalità riservate.

La buona notizia è che le vulnerabilità note vengono catalogate in database pubblici, quindi puoi verificare rapidamente se i tuoi plugin e temi sono nella lista. Nel solo 2024 sono state registrate oltre 5.000 nuove vulnerabilità in componenti WordPress, un numero in crescita costante anno dopo anno.

WPScan: il database di riferimento per le vulnerabilità WordPress

WPScan Vulnerability Database è il punto di partenza per qualsiasi verifica. Questo database cataloga tutte le vulnerabilità conosciute relative a WordPress, organizzate per plugin, tema e versione del core. Puoi consultarlo in diversi modi:

• Sito web: visita il sito WPScan e cerca il nome del plugin o tema che vuoi verificare. Vedrai l’elenco delle vulnerabilità note con versioni affette e versioni corrette.
• Plugin Jetpack / Wordfence: entrambi integrano il database WPScan e ti avvisano automaticamente quando un componente installato ha una vulnerabilità nota.
• WP-CLI: se hai accesso SSH, puoi usare wp plugin list per elencare tutti i plugin con le versioni installate e confrontarle manualmente con il database.

Il consiglio è di controllare almeno una volta al mese, oppure di affidarti a un plugin che lo faccia automaticamente per te.

Scansione automatica con Wordfence

Wordfence è il plugin di sicurezza più completo per WordPress e include uno scanner che verifica automaticamente il tuo sito. Ecco come usarlo:

1. Installa e attiva Wordfence da Plugin → Aggiungi nuovo.
2. Vai in Wordfence → Scan e clicca “Start New Scan”.
3. Lo scanner verificherà: file del core modificati, plugin e temi con vulnerabilità note, malware, backdoor, URL sospetti nel contenuto e permessi file errati.
4. Al termine, troverai un report dettagliato con i risultati classificati per gravità (critica, alta, media, bassa).
5. Per ogni problema trovato, Wordfence ti indica la soluzione: aggiornare il plugin, rimuoverlo o intervenire sul file specifico.

La versione gratuita di Wordfence riceve gli aggiornamenti delle firme di sicurezza con 30 giorni di ritardo rispetto alla versione premium. Per siti critici o e-commerce, la versione a pagamento è un investimento che vale la pena considerare.

Verificare le vulnerabilità dall’esterno con scanner online

Oltre agli strumenti interni, puoi analizzare il tuo sito anche dall’esterno, come farebbe un potenziale attaccante. Questi scanner online non richiedono installazione:

• Sucuri SiteCheck: scansiona gratuitamente il sito per malware, blacklisting, errori di sicurezza e software obsoleto. Inserisci l’URL e ricevi un report in pochi secondi.
• Security Headers: verifica se il tuo sito invia gli header di sicurezza HTTP corretti (Content-Security-Policy, X-Frame-Options, Strict-Transport-Security). Header mancanti non sono vulnerabilità dirette ma indeboliscono la protezione.
• SSL Labs: analizza la configurazione del certificato SSL e identifica debolezze nella crittografia. Un certificato mal configurato può esporre i dati dei visitatori.

Combinare scansioni interne ed esterne ti dà una visione completa dello stato di sicurezza del sito. Ricorda che gli scanner esterni vedono solo ciò che è esposto pubblicamente: un malware nascosto nei file PHP o un utente admin abusivo non saranno rilevati dall’esterno, per questo servono anche le scansioni interne.

Come controllare manualmente plugin e temi vulnerabili

Se preferisci un approccio diretto, puoi verificare manualmente lo stato di ogni componente:

1. Vai in Plugin → Plugin installati nel pannello WordPress.
2. Per ogni plugin, annota il nome e la versione installata.
3. Verifica se esiste un aggiornamento disponibile: se sì, il plugin potrebbe contenere fix di sicurezza.
4. Controlla la pagina del plugin su WordPress.org: guarda la data dell’ultimo aggiornamento e la compatibilità dichiarata. Un plugin non aggiornato da più di 6 mesi è un rischio potenziale.
5. Ripeti lo stesso processo per i temi da Aspetto → Temi.

Presta attenzione particolare ai plugin premium (a pagamento) che non si aggiornano tramite il repository ufficiale di WordPress.org: potrebbero aver rilasciato fix disponibili solo dal sito dello sviluppatore, e tu non avresti alcuna notifica nel pannello.

Cosa fare quando trovi una vulnerabilità

Hai trovato un componente vulnerabile nel tuo sito. Ecco come procedere in ordine di priorità:

1. Aggiorna immediatamente: se esiste una versione che corregge la vulnerabilità, aggiornala subito. Questo risolve il problema nella maggior parte dei casi.
2. Disattiva il plugin se non c’è ancora un fix: se la vulnerabilità è nota ma lo sviluppatore non ha rilasciato una correzione, disattiva il plugin fino a quando non sarà disponibile l’aggiornamento. Un sito senza una funzionalità è meglio di un sito compromesso. Nel frattempo, potresti anche aggiungere una regola WAF (Web Application Firewall) temporanea per mitigare il rischio specifico.
3. Cerca un’alternativa: se il plugin è abbandonato o lo sviluppatore non risponde, sostituiscilo con un plugin equivalente attivamente mantenuto.
4. Controlla se c’è stata una compromissione: se la vulnerabilità era presente da tempo, verifica che nessuno l’abbia già sfruttata. Cerca utenti admin sconosciuti, file sospetti nella cartella uploads e modifiche recenti a file core.

Impostare un monitoraggio continuo

Un controllo una tantum non basta: le vulnerabilità vengono scoperte continuamente. Ecco come impostare un monitoraggio automatico:

• Attiva le email di sicurezza di Wordfence: ti avvisa automaticamente quando un plugin installato risulta vulnerabile.
• Attiva gli aggiornamenti automatici per le patch di sicurezza del core WordPress (attivi di default dalla versione 5.6).
• Iscriviti alle newsletter di sicurezza: Patchstack e WPScan pubblicano report settimanali sulle nuove vulnerabilità WordPress.
• Programma scansioni periodiche: configura Wordfence o Sucuri per eseguire scansioni automatiche giornaliere o settimanali.

La sicurezza non è un traguardo ma un processo continuo. Dieci minuti di monitoraggio settimanale possono salvarti da settimane di emergenza. Se gestisci più siti WordPress, valuta anche strumenti come ManageWP o MainWP che centralizzano il monitoraggio di sicurezza e aggiornamenti di tutte le installazioni in un’unica dashboard.

Il tuo sito ha una vulnerabilità e non sai come intervenire? Ti aiutiamo noi

Se la scansione ha rivelato problemi che non riesci a risolvere, o se sospetti che il tuo sito sia già stato compromesso attraverso una vulnerabilità nota, non aspettare che la situazione peggiori. Il team di SoccorsoWP esegue audit di sicurezza approfonditi, rimuove malware, corregge le vulnerabilità e mette in sicurezza la tua installazione WordPress con protezioni su misura. Apri un ticket e metti il tuo sito in mani esperte.