200.000 siti WordPress a rischio: bypass di autenticazione in Burst Statistics

Burst Statistics, il plugin di analytics privacy-friendly per WordPress, ha una vulnerabilità critica di autenticazione bypass che riguarda le versioni 3.4.0 - 3.4.1.1. In pratica, un attaccante che conosce o indovina il nome utente di un amministratore può farsi passare per quell'account durante la richiesta e arrivare fino alla creazione di un nuovo admin.

Il caso è serio per due motivi: la superficie esposta è ampia, perché il plugin è installato su oltre 200.000 siti, e perché la finestra di esposizione è già stata sfruttata nel mondo reale. Non siamo davanti a un problema teorico da laboratorio.

Cosa è successo

Secondo Wordfence e il record CVE, il bug è stato identificato in Burst Statistics, un plugin che offre analytics WordPress con un taglio orientato alla privacy. La vulnerabilità è catalogata come CVE-2026-8181 e ha punteggio CVSS 9.8.

Il difetto nasce nella gestione della funzione is_mainwp_authenticated(), che tratta in modo errato il risultato della verifica delle application password nell'header Authorization. Se la verifica non va a buon fine nel modo previsto, la richiesta può essere considerata autenticata comunque.

Tradotto in modo semplice: se un aggressore conosce il nome utente di un amministratore, può inviare una richiesta con una password Basic Auth qualunque e ottenere l'identità di quell'admin per la durata della richiesta.

Perché è grave

Un bypass di autenticazione non significa soltanto "qualcuno entra". In questo caso significa poter operare come amministratore all'interno della singola richiesta vulnerabile. E quando il punto di ingresso è un account admin, l'impatto può salire rapidamente:

• modifica delle impostazioni del sito;
• creazione di nuovi utenti amministratore;
• installazione o alterazione di plugin e temi;
• inserimento di backdoor;
• redirect malevoli o payload aggiuntivi;
• esfiltrazione di dati contenuti nel sito o nei form.

La parte peggiore è che gli attaccanti non hanno bisogno di una password valida. Basta che riescano ad associare la richiesta a un nome utente reale. E i nomi utente admin, spesso, sono più facili da trovare di quanto si pensi.

Versioni colpite e patch disponibile

Le versioni colpite sono 3.4.0, 3.4.1 e 3.4.1.1. La correzione è stata rilasciata nella versione 3.4.2.

Se hai Burst Statistics installato e la tua versione rientra in quel range, l'azione corretta non è "monitorare e aspettare": è aggiornare subito, oppure disattivare il plugin finché non puoi farlo in sicurezza.

Cosa fare subito se usi Burst Statistics

1) Controlla la versione installata

Vai nella lista plugin di WordPress e verifica la versione esatta. Se usi gestione via CLI, controlla anche dal server o dall'inventario del sito.

Se trovi 3.4.0, 3.4.1 o 3.4.1.1, considera il sito esposto.

2) Aggiorna a 3.4.2 o superiore

Applica l'aggiornamento il prima possibile, idealmente in una finestra di manutenzione breve e dopo un backup verificato. Se il sito è critico, passa prima da staging.

3) Verifica gli account amministratore

Controlla che non siano comparsi nuovi admin, utenti con nomi insoliti o account creati di recente che non riconosci. Se trovi qualcosa di sospetto, non limitarti a cancellarlo: considera il sito come potenzialmente compromesso.

4) Controlla attività anomala

Se hai accesso ai log o a un sistema di monitoraggio, cerca richieste insolite verso endpoint REST, login anomali, modifiche recenti ai file e installazioni di plugin che non hai autorizzato.

5) Ruota le credenziali se sospetti accesso non autorizzato

Se hai anche solo il dubbio che il sito sia stato toccato, cambia password degli admin, del pannello hosting, dell'SFTP e del database. Un bypass di autenticazione può essere il primo passo di una compromissione più ampia.

Se il sito è già stato sfruttato

In presenza di exploit attivo o di indizi concreti di compromissione, il problema non è più solo il plugin. A quel punto devi seguire una sequenza di risposta all'incidente:

1. contenere il danno;
2. preservare le prove;
3. identificare il vettore di ingresso;
4. ripulire file, database e utenti;
5. verificare che la vulnerabilità sia chiusa;
6. tornare online solo dopo controlli completi.

Se ti serve il percorso operativo completo, la guida WordPress hackerato: guida completa al recupero del sito spiega la sequenza corretta. Per la parte di controllo dei plugin vulnerabili, puoi vedere anche Plugin WordPress vulnerabili: come controllarli senza panico.

Il segnale da non ignorare

Il dato più importante non è solo il CVSS alto, ma il fatto che l'attacco stia già circolando. Wordfence ha segnalato tentativi di blocco già nelle ore successive alla disclosure, segno che gli aggressori hanno reagito in fretta.

Quando una vulnerabilità passa dalla pubblicazione alla scansione automatica in così poco tempo, la tua finestra utile per intervenire si accorcia moltissimo.

In pratica: il verdetto per chi gestisce WordPress

Se il tuo sito usa Burst Statistics, la decisione è semplice:

• aggiorna subito a 3.4.2 o superiore;
• se non puoi aggiornare, disattiva il plugin;
• controlla gli admin e i log;
• se trovi anomalie, tratta il caso come incidente di sicurezza.

Per un plugin analytics, il rischio non è solo un dato alterato: è la possibilità di trasformare una funzione apparentemente innocua in un punto d'ingresso amministrativo.

Vuoi capire se il tuo sito è esposto?

Se Burst Statistics è installato e non sei sicuro della versione, possiamo fare una verifica rapida della superficie esposta. Parti da un audit gratuito oppure, se hai già segnali sospetti, da una bonifica WordPress.

Fonti

• Wordfence: 200,000 WordPress Sites at Risk from Critical Authentication Bypass Vulnerability in Burst Statistics Plugin
• CVE-2026-8181
• Bitdefender: Burst Statistics WordPress flaw under attack