Perché i plugin di gestione file vulnerabili continuano a far violare i siti WordPress

I plugin di gestione file hanno causato più compromissioni di WordPress di quasi ogni altra categoria di plugin. Ecco perché sono così rischiosi e cosa usare al loro posto.

A red padlock on a keyboard, representing a vulnerable WordPress plugin

Se gestisci abbastanza siti WordPress, inizi a riconoscere la stessa categoria di plugin che ricompare in una compromissione dopo l’altra. I plugin di gestione file sono in cima a quella lista. Sono popolari perché sono utili. Sono pericolosi perché affidano una capacità molto potente a chiunque riesca a raggiungerli. E storicamente, diversi tra i gestori di file più installati hanno avuto vulnerabilità critiche che permettevano l’esecuzione di codice da remoto senza autenticazione.

Questo articolo spiega perché i plugin di gestione file siano un vettore di attacco così costante, esamina una compromissione reale e recente di un’agenzia di Sydney attribuita a uno di essi e propone alternative più sicure.

Cosa fanno i plugin di gestione file

Un plugin di gestione file di WordPress offre agli amministratori un esploratore di file basato sul web all’interno della bacheca. Dal pannello di amministrazione puoi navigare tra le directory, modificare file, caricarne di nuovi, cambiare i permessi e, in alcuni casi, eseguire comandi lato server. Il caso d’uso è la comodità: puoi sistemare un file problematico senza bisogno di credenziali SFTP né di uno strumento di trasferimento file separato.

Il problema è che questa capacità è così potente che qualsiasi difetto nel plugin dà a un aggressore esattamente la stessa capacità. Se il plugin presenta una vulnerabilità che consente a una richiesta di aggirare il controllo dell’amministratore, all’aggressore è stata di fatto consegnata una web shell con accesso completo al filesystem.

Il precedente storico

La famiglia wp-file-manager in particolare ha una storia lunga e ben documentata di vulnerabilità critiche. La più nota fu CVE-2020-25213, un’esecuzione di codice da remoto senza autenticazione nella libreria elFinder inclusa, che colpì milioni di siti e fu sfruttata su vasta scala. Da allora sono stati pubblicati diversi avvisi successivi per vari fork e versioni incluse.

Non è una questione di un singolo plugin né di un singolo autore. L’intera categoria affronta lo stesso problema. Le librerie di gestione file incluse sono grandi, complesse e difficili da mantenere allo stesso tempo complete nelle funzioni e sicure. Quando viene trovata una vulnerabilità nella libreria a monte, questa si propaga a ogni plugin WordPress che la incorpora.

Un caso recente di un’agenzia di Sydney

A maggio 2026 abbiamo verificato il sito di un’agenzia di Sydney che era stato compromesso. L’audit forense ha individuato quindici file dannosi depositati nella radice del documento, organizzati in cinque directory che riproducevano i nomi di pagine WordPress reali. I file dannosi mettevano in atto un attacco di cloaking SEO, servendo contenuti spam a Googlebot mentre servivano HTML di pagine doorway ai visitatori umani.

Il principale sospettato come punto d’ingresso era un plugin di gestione file obsoleto, installato e poi dimenticato. Il plugin non era stato aggiornato. La famiglia del plugin aveva più avvisi storici di esecuzione di codice da remoto. Il meccanismo con cui i file dannosi sono stati depositati era quasi certamente lo sfruttamento di una di quelle vulnerabilità. La modifica preventiva di maggiore impatto per quel sito sarebbe stata rimuovere del tutto il plugin prima della compromissione.

Perché le persone installano questi plugin in primo luogo

La motivazione è sempre la stessa. Qualcuno doveva sistemare un file, non aveva configurato l’SFTP e ha installato un gestore di file dalla directory dei plugin. Il plugin ha funzionato, la correzione è stata fatta e il plugin è rimasto installato. Cinque anni dopo, il problema originale è ormai dimenticato e il plugin è ancora attivo.

La comodità che ha motivato l’installazione era un’esigenza occasionale. La superficie di attacco che ha creato è permanente finché il plugin resta sul sito.

Cosa usare al suo posto

Per quasi tutti i casi d’uso che un plugin di gestione file risolve esiste un’alternativa più sicura.

SFTP. Ogni hosting WordPress affidabile fornisce l’accesso SFTP. Un client gratuito come FileZilla o Cyberduck ti dà la stessa capacità di esplorare e modificare i file senza esporla al web pubblico. L’autenticazione avviene a livello SSH, non come endpoint di un plugin.

Il pannello di controllo dell’hosting. La maggior parte degli hosting ha un gestore di file integrato nel proprio pannello di controllo, accessibile solo dopo l’autenticazione al tuo account di hosting. È molto più sicuro di un plugin WordPress perché il percorso di accesso non si trova sull’URL pubblico del sito.

SSH e wp cli. Per gli utenti tecnici, l’accesso da riga di comando al tuo host ti offre tutto ciò che fa un gestore di file e altro ancora, senza alcun plugin esposto al web.

L’editor integrato di temi e plugin di WordPress, se proprio devi. WordPress stesso include un editor di base per i file di temi e plugin. Non è completo come un plugin di gestione file, e la buona pratica è disattivarlo nel wp-config.php con DISALLOW_FILE_EDIT, ma copre il caso comune di modificare un file specifico senza aggiungere superficie di attacco dei plugin.

Se hai assolutamente bisogno di un plugin di gestione file

Se il tuo flusso di lavoro richiede davvero un plugin di gestione file, trattalo come uno strumento privilegiato. Installalo solo sui siti in cui è realmente necessario. Tienilo aggiornato subito a ogni rilascio. Limitane l’accesso con misure aggiuntive, come whitelist di IP o autenticazione HTTP di base a livello di server. Disattivalo o disinstallalo nel momento in cui non serve più.

Soprattutto, non lasciarlo attivo su un sito che non viene toccato da mesi. Un plugin di gestione file inattivo è un incidente futuro in attesa di accadere.

La lezione più ampia

I plugin di gestione file sono l’esempio più chiaro di un principio più generale. Comodità e sicurezza sono in tensione. Tutto ciò che ti dà una capacità potente attraverso l’URL del tuo sito è anche un bersaglio potente se ha un difetto. Il principio si applica ai plugin di backup con ripristino via web, ai plugin di sicurezza con scansione completa del filesystem e a qualsiasi strumento che espone azioni lato server a richieste autenticate.

Per ciascuno di essi, chiediti se la capacità debba vivere sul sito o se possa vivere in un luogo più sicuro. Spesso la risposta è il luogo più sicuro, e il plugin WordPress può essere rimosso del tutto.

Ti serve una mano?

Se hai un plugin di gestione file sul tuo sito WordPress e non sei sicuro se ti serva ancora, il team di Defyn può esaminare il tuo flusso di lavoro, configurare alternative più sicure e rimuovere il plugin in modo pulito, chiudendo una delle più grandi porte singole che gli aggressori usano sui siti WordPress.

Avatar Claire Smith
Sponsored Loved this story? Defyn turns articles like this into the websites your competitors wish they had. Talk to us → defyn.com.au