Shell che piovono. Payload PHP che atterrano nella webroot come bombardieri stealth nel cuore della notte — ecco lo scenario su migliaia di siti WordPress.
Allarghiamo il campo. Ninja Forms, quel gioiellino drag-and-drop che gestisce form per oltre 600.000 installazioni, si è fatto cogliere con le brache calate. Il suo add-on File Uploads? Una CVE-2026-0740 critica da 9,8/10 CVE-2026-0740 già sotto tiro. Wordfence ne ha contati più di 3.600 attacchi in 24 ore. Bum.
Il punto è questo: zero autenticazione. Gli attaccanti creano un nome file subdolo, eludono i controlli e zac: file caricati a piacere. Path traversal? Ci sta. Esecuzione remota del codice? Doppio sì. Il vostro sito è loro, pronto per la shell.
«La funzione non include controlli su tipo o estensione del file di destinazione prima del trasferimento nella versione vulnerabile», spiega Wordfence. «Non solo file sicuri: si possono caricare anche file con estensione .php».
E diventa peggio: senza sanitizzazione, gli hacker riscrivono i percorsi e piazzano il malware dove fa più male, nella root del server. Shell web deployate. Siti dirottati. Dati prosciugati. L’apocalisse di routine.
Come Hanno Beccato gli Hacker la Falla di Ninja Forms Così in Fretta?
Il ricercatore di sicurezza Sélim Lanouar (in arte whattheslime) l’ha fiutata per primo, segnalandola al programma bounty di Wordfence l‘8 gennaio. Mossa furba. L’hanno validata, avvisato il vendor lo stesso giorno e attivato regole firewall per proteggere i clienti.
Il vendor ha patchato parzialmente il 10 febbraio, correzione completa nella 3.3.27 il 19 marzo. Ma gli exploit? Già a valanga. Migliaia al giorno, dice Wordfence. Perché tanta fretta? Ninja Forms File Uploads ha 90.000 clienti — prede succose.
Pensateci: WordPress è il barbecue selvaggio di internet. Plugin come Ninja Forms portano le cibarie facili — form no-code, upload file, magia drag-drop. Ma se lasci la capanna del grill aperta? I ladri arrivano a mezzanotte.
Perché la CVE-2026-0740 Colpisce Tanto Forte gli Utenti WordPress?
Versioni colpite? Fino alla 3.3.26. Tanta roba per siti pigri con gli aggiornamenti. Zero controlli su tipi di file nei nomi di destinazione — attaccanti battezzano il loro veleno come anything.php, saltano directory, eseguono da remoto.
Conseguenze? Catastrofiche. Compromissione totale del server. Webshell per accessi backdoor. Preparativi per ransomware. O peggio: balzo all’intera flotta di hosting.
La mia opinione calda — e l’insight che nessuno urla ancora: ricorda lo scandalo CryptoPHP del 2014, quando un tema WordPress con backdoor infettò 40.000 siti in una notte. Allora, supply chain zozza. Oggi? Plugin che falliscono l’igiene base degli upload. Previsione: se il 10% di quei 90.000 salta la patch, vedremo un worm WordPress entro l’estate, che si auto-propaga su host condivisi. Sveglia per i no-code evangelisti.
Ma attenzione — Ninja Forms non è un’anomalia losca. È premium, fidata. Quel fascino drag-drop? Nasconde la verità: ogni estensione è una porta del castello lasciata socchiusa. I vendor inseguono le feature; la sicurezza arranca. Gli utenti pagano il conto.
Il firewall di Wordfence ha bloccato l’assalto, ma non tutti ce l’hanno. Scanner gratuiti? Patchate ora. O giocate alla roulette con il destino del sito.
Il Vostro Sito è a Rischio per gli Attacchi Ninja Forms?
Controllo rapido: Ninja Forms File Uploads ≤3.3.26? Siete nudi. Aggiornate alla 3.3.27 subito. Auditate gli upload. Scansionate con Wordfence o simili.
Exploit automatizzati facili — pentest confermano il percorso spalancato. Tool BAS potrebbero segnalarlo, ma senza blocchi runtime? Siete fritti.
Oltre alle patch, ripensate: isolate gli upload in directory separate. Whitelist estensioni lato server. Perché la fiducia nei plugin? Si sta sgretolando veloce.
E guardate — WordPress muove il 43% del web. Un plugin marcio, milioni a rischio. Ecco il capogiro della piatt
