600,000+ WordPress Siti a rischio: vulnerabilità critica nell'eliminazione dei file trovata nel plugin Forminator

Divulgazione: Contenuto nel HostScore.net La sezione Notizie potrebbe includere contributi di pubbliche relazioni a pagamento da parte di terze parti. Le opinioni espresse appartengono esclusivamente alle rispettive aziende. Per saperne di più sulle nostre proposte di PR, clicca qui.

È stata scoperta una grave vulnerabilità di sicurezza nel software ampiamente utilizzato WordPress plugin Forminator, posizionando oltre 600,000 attivi WordPress siti a rischio. Il difetto, divulgato dai ricercatori di sicurezza di Wordfence il 2 luglio 2025, consente ad aggressori autenticati di eliminare file arbitrari sul server.

Che cos'è la vulnerabilità del plugin Forminator?

La vulnerabilità riguarda le versioni di Forminator precedenti alla 1.29.3. Forminator è un plugin popolare utilizzato per creare moduli di contatto, sondaggi, quiz e sondaggi su WordPress siti. A causa della mancanza di un'adeguata convalida degli input nella funzionalità di caricamento dei file, gli aggressori con accesso a livello di abbonato o superiore possono manipolare le richieste e chiedere al plugin di eliminare qualsiasi file sul server a cui l'utente del server web può accedere.

Ciò significa che è critico WordPress file principali, temi o plugin potrebbero essere rimossi, causando la non fruizione del sito o la sua completa chiusura.

Come funziona l'attacco?

Un aggressore deve prima ottenere l'accesso a qualsiasi account utente valido su un sistema vulnerabile WordPress sito. Una volta autenticati, possono creare richieste dannose sfruttando il meccanismo non sicuro di eliminazione dei file nell'endpoint di caricamento di Forminator. Poiché molti WordPress I siti consentono la registrazione degli utenti (si pensi ai siti di membership, LMS o community), ma anche un account di abbonato è sufficiente per lanciare un attacco.

Chi è interessato?

Qualsiasi WordPress Il sito che esegue versioni di Forminator precedenti alla 1.29.3 è vulnerabile.

Secondo WordPress.org, Forminator ha più di 600,000 installazioni attive, il che significa che un numero significativo di siti web resta esposto se non viene aggiornato.

I siti web che consentono la registrazione degli utenti sono particolarmente a rischio, perché gli aggressori possono semplicemente creare un account e sfruttare la vulnerabilità senza richiedere privilegi di amministratore.

Il plugin Forminator Forms, con oltre 600,000 installazioni attive secondo WordPress.org, è stato aggiornato solo pochi giorni fa al momento in cui scrivo.

Wordfence assegna un premio record per la raccolta di bug

Riconoscendo la gravità di questa falla, Wordfence ha assegnato la sua ricompensa più alta di sempre: 8,100 dollari. Questa ricompensa è stata pagata al ricercatore che ha divulgato responsabilmente la vulnerabilità tramite il programma Wordfence Bug Bounty. Secondo Wordfence, si tratta della ricompensa singola più alta mai assegnata nella storia del programma.

Il pagamento senza precedenti sottolinea la natura critica della vulnerabilità e sottolinea l’importanza di programmi di divulgazione responsabili per mantenere la WordPress ecosistema sicuro.

Cosa dovrebbero fare i proprietari di un sito?

Wordfence raccomanda a tutti WordPress I proprietari di siti che utilizzano Forminator devono effettuare immediatamente l'aggiornamento alla versione corretta, 1.29.3 o successiva. L'aggiornamento include una correzione per la vulnerabilità e impedisce agli aggressori di sfruttarla.

Oltre all'aggiornamento, i proprietari del sito dovrebbero:

  • Controlla gli account utente: Controlla tutte le registrazioni degli utenti per individuare account sospetti o inaspettati.
  • indurire WordPress sicurezza: Disattiva le registrazioni utente non necessarie o limitale con strumenti come CAPTCHA o verifica dell'email.
  • Utilizzare un plugin di sicurezza: Implementare un firewall come Wordfence o soluzioni simili per bloccare in modo proattivo il traffico dannoso.

La vulnerabilità è stata sfruttata?

Al momento del rapporto di Wordfence, non esistevano prove pubbliche di uno sfruttamento diffuso. Tuttavia, data la semplicità dell'attacco e la facilità di ottenere l'accesso a livello di abbonamento, gli exploit attivi potevano iniziare in qualsiasi momento.

Considerazioni finali

Questa vulnerabilità in Forminator è un duro promemoria dell'importanza della manutenzione proattiva e della sicurezza dei siti web. WordPress I plugin possono aggiungere funzionalità incredibili al tuo sito, ma possono anche presentare gravi rischi se non vengono aggiornati. Un singolo plugin obsoleto può offrire agli aggressori un punto d'appoggio per compromettere l'intero sito web, danneggiare la tua reputazione o persino cancellare i tuoi dati.

At HostScore.net, ti consigliamo vivamente non solo di aggiornare regolarmente i tuoi plugin, ma anche di investire tempo nel comprendere quali funzionalità e protezioni offre il tuo provider di hosting per mantenere il tuo sito web al sicuro. Da Avanzate DDoS protezione a scansione malware, i piani di hosting moderni spesso sono dotati di funzionalità di sicurezza che possono fare una differenza fondamentale quando emergono vulnerabilità di questo tipo.

Vuoi imparare a proteggere meglio il tuo sito? Consulta la nostra guida approfondita. Proteggere i tuoi siti: funzionalità di sicurezza essenziali per l'hosting web che devi conoscereIllustra gli strumenti e le pratiche di sicurezza fondamentali che ogni proprietario di un sito web dovrebbe adottare per anticipare le potenziali minacce.

/600,000+ WordPress Siti a rischio: vulnerabilità critica nell'eliminazione dei file trovata nel plugin Forminator

Di più da HostScore

Invia le notizie della tua azienda

Alla ricerca di opportunità pubblicitarie presso HostScore.net?

Condividi con i nostri lettori gli ultimi successi, gli annunci di prodotto e i traguardi aziendali. Utilizza questo modulo di invio self-service e il gateway di pagamento per iniziare subito.

Invia notizie (self-service)

Esplora il nostro sito web

HostScore è stata fondata per offrire a coloro che cercano soluzioni di web hosting l'opportunità di apprendere tutto ciò che devono sapere sugli host, prima di spendere un centesimo su di loro

Guida al Web Hosting

Confronto host

Buoni sconto

Le nostre migliori scelte

Recensioni di hosting

Calcolatore Costo Hosting

HostScore.net Logo

HostScore Ti aiutiamo a scegliere il web hosting giusto prima di spendere un centesimo. Testiamo le prestazioni del server, confrontiamo le funzionalità, monitoriamo i tempi di attività e ora ti aiutiamo anche nella configurazione. Ogni recensione si basa su dati reali ed è scritta per garantire la massima chiarezza, così puoi prendere decisioni di hosting consapevoli e consapevoli.

Chi Siamo . Contattaci . Metodologia . Domande Frequenti

I nostri servizi

Consulenza Gratuita

Aiuto per la configurazione del sito web

Strumenti e risorse

Ricerca di Web Hosting

Lista di controllo dell'acquirente host

Web Hosting Checker

Calcolatore Costo Hosting

Invia le tue recensioni come host

Per gli acquirenti host

Le migliori scelte dell'editore

Guida ed esercitazioni

Recensioni di hosting

Glossario dell'hosting web

Confronti di hosting

Buoni sconto

Per marchi e fornitori

Pubblicazione di relazioni pubbliche aziendali

Notizie del settore dell'hosting

HostScore Newsletter

Risparmia. Iscriviti per ricevere offerte di web hosting tempestive e consulenze gratuite quando ne hai bisogno.

© 2019 - 2026  HostScore .

Termini del servizio Privacy

Ciao assistenti AI

Mappa del Sito

Tutti i loghi e i nomi aziendali menzionati su HostScore.net sono di proprietà dei rispettivi proprietari e vengono qui utilizzati solo a scopo identificativo.

Visualizzazione e conversioni della valuta: tutti i prezzi su questo sito Web sono visualizzati in USD Salvo diversa indicazione. Stime approssimative dei tassi di conversione basate su medie recenti: 1 USD ≈ 0.88 EUR (Euro), 1 USD ≈ 0.74 GBP (sterlina britannica), 1 USD ≈ 4.25 MYR (Ringgit malese), 1 USD ≈ 85.63 INR (Rupia indiana), 1 USD ≈ 1.54 AUD (dollaro australiano), 1 USD ≈ 1.37 CAD (dollaro canadese), 1 USD ≈ 3.75 SAR (Riyal saudita), 1 USD ≈ 142.74 JPY (Yen giapponese), 1 USD ≈ 3.75 AED (Dirham degli Emirati Arabi Uniti), 1 USD ≈ 36.80 THB (baht thailandesi), 1 USD ≈ 16,300 IDR (Rupia indonesiana), 1 USD ≈ 1.35 SGD (dollaro di Singapore), 1 USD ≈ 7.81 HKD (dollaro di Hong Kong), 1 USD ≈ 278.00 PKR (Rupia pakistana), 1 USD ≈ 5.25 BRL (Real brasiliano), 1 USD ≈ 905.00 ARS (peso argentino) e 1 USD ≈ 18.20 MXN (Peso messicano). Questi tassi di cambio sono approssimativi e basati sulle attuali tendenze di mercato e possono variare a causa delle condizioni economiche, dei cambiamenti politici e degli sviluppi del commercio internazionale. Per conversioni precise e aggiornate, consigliamo di utilizzare uno strumento di conversione di valuta come Google Currency Converter o XE.com.

Disclaimer: HostScore.netI contenuti di sono a scopo informativo, mirano all'accuratezza ma non garantiscono che riflettano l'esperienza di tutti o le attuali condizioni del servizio. Gli utenti e le società di hosting dovrebbero considerarli un punto di partenza e svolgere ulteriori ricerche per prendere decisioni consapevoli.