L'ecosistema WordPress è sotto attacco a causa di una vulnerabilità critica denominata wp2shell, capace di compromettere l'integrità di centinaia di milioni di siti web. La falla, che risiede direttamente nel core della piattaforma, permette a un utente non autenticato di eseguire codice remoto (RCE) su installazioni predefinite, anche in assenza di plugin installati. L'entità del rischio è massiva: si stima che oltre 500 milioni di siti siano potenzialmente esposti a un takeover completo.

La meccanica dell'attacco e la catena di vulnerabilità

La minaccia non deriva da un singolo bug, ma da una concatenazione di due falle distinte, identificate come CVE-2026-63030 e CVE-2026-60137. Secondo l'analisi di Beazley Security, l'unione di queste vulnerabilità consente a un attaccante anonimo di bypassare i controlli di sicurezza e lanciare comandi arbitrari sul server. Alcune analisi tecniche, tra cui quella di Aikido, suggeriscono che la radice del problema sia legata a una SQL injection.

La scoperta è stata attribuita ad Adam Kues di Searchlight Cyber, che ha segnalato il problema al team di sicurezza di WordPress. Per prevenire l'uso massivo della falla prima del rilascio delle patch, i dettagli tecnici dell'exploit sono stati inizialmente mantenuti riservati, sebbene circolino già prove di concetto (PoC) e i primi segnali di sfruttamento nel mondo reale.

Versioni colpite e misure di mitigazione

Il problema interessa un ampio spettro di versioni, specificamente quelle comprese tra la 6.9 e la 7.0.1. Per rispondere all'emergenza, il progetto WordPress ha rilasciato le versioni 7.0.2, 6.9.5 e 6.8.6. In un caso raro di gestione della crisi, WordPress ha attivato gli aggiornamenti automatici forzati per tutte le branche colpite, cercando di minimizzare la finestra temporale in cui i siti rimangono vulnerabili.

Gli amministratori di sistema sono invitati a verificare immediatamente la versione in uso tramite il pannello di controllo o strumenti esterni come 2shell.com, creato appositamente per validare l'esposizione delle istanze.

Un trend di vulnerabilità sistemiche

L'incidente di wp2shell si inserisce in un contesto di crescente instabilità dei sistemi core. Mentre strumenti come VulnHunter cercano di automatizzare la scoperta dei bug tramite AI, l'emergere di zero-day critici — come recentemente visto con HiveLegacy su Windows — dimostra che la superficie di attacco rimane vasta e pericolosa, specialmente per software con una diffusione capillare come WordPress.

La rapidità di risposta in questo caso è stata fondamentale, ma l'esistenza di exploit pre-autenticazione sottolinea la fragilità delle installazioni standard che non adottano misure di hardening aggiuntive.