UpdraftPlus: bypass di autenticazione su UpdraftCentral, chi è esposto ora
UpdraftPlus ha una falla critica su siti collegati a UpdraftCentral: versioni colpite, patch 1.26.5 e azioni immediate per ridurre il rischio.
Se il tuo sito ha usato UpdraftCentral, questa non è una segnalazione da archiviare: è una patch da trattare subito. Wordfence ha classificato la vulnerabilità come critica e ha indicato che, sui siti esposti, un attaccante non autenticato può arrivare a eseguire azioni come amministratore collegato, fino al caricamento di un plugin malevolo e all'esecuzione di codice PHP.
La parte importante non è il titolo allarmistico. È il perimetro reale: il problema interessa i siti che in passato sono stati collegati a UpdraftCentral, il dashboard remoto usato per gestire più installazioni WordPress da un'unica interfaccia. Se il tuo sito non ha mai usato quella funzione, il rischio operativo è più basso; se invece l'ha usata, la priorità è alta.
In breve
| Voce | Dettaglio |
|---|---|
| Prodotto | UpdraftPlus: WP Backup & Migration Plugin |
| CVE | CVE-2026-10795 |
| Versioni colpite | <= 1.26.4 |
| Versione corretta | 1.26.5 |
| Condizione di esposizione | Sito collegato in passato a UpdraftCentral |
| Impatto | Bypass di autenticazione, RPC arbitrarie, possibile esecuzione di codice |
Perché questa falla è seria davvero
UpdraftPlus è noto soprattutto per backup e migrazione, quindi molti lo percepiscono come un plugin “di supporto”. In realtà, quando è integrato con UpdraftCentral, apre una superficie di amministrazione remota molto potente. Ed è proprio lì che nasce il problema: la vulnerabilità non è un generico bug di visualizzazione, ma un difetto nella validazione delle comunicazioni remote.
Il risultato pratico è pesante. Su un sito coinvolto, un attaccante può impersonare l'amministratore collegato e usare funzioni RPC pensate per la gestione remota. In uno scenario di compromissione, questo tipo di accesso può tradursi in plugin caricati e attivati a distanza, modifiche non autorizzate e controllo completo del sito.
Chi deve considerarsi esposto
Il rischio va trattato come concreto se il sito:
- ha usato UpdraftCentral anche solo in passato;
- gestisce più siti dallo stesso account o dashboard;
- non ha log applicativi facilmente consultabili;
- non ha verificato i plugin installati dopo l'uso di strumenti di gestione remota;
- non ha ancora aggiornato UpdraftPlus alla 1.26.5.
Cosa fare adesso
- Verifica la versione installata di UpdraftPlus su ogni sito.
- Aggiorna alla 1.26.5 senza aspettare il prossimo giro di manutenzione.
- Controlla se il sito è mai stato collegato a UpdraftCentral.
- Esamina i log per richieste insolite, installazioni plugin e attività amministrative fuori orario.
- Cerca segnali di compromissione: utenti admin sconosciuti, file PHP nuovi, redirect, spam SEO, modifiche a
.htaccess. - Ruota le credenziali se il sito mostra anche un solo segnale sospetto.
- Verifica backup e ripristino: una patch non basta se il sito è già stato alterato.
Cosa non bisogna fare
- Non limitarsi a cliccare “aggiorna” e considerare chiuso il caso.
- Non assumere che il rischio sia nullo solo perché il plugin serve per i backup.
- Non tenere attive integrazioni di gestione remota che non usi più.
- Non ignorare i log: in questo tipo di incidenti sono spesso la prima prova utile.
Una verifica minima utile
Se devi controllare rapidamente un'installazione, ragiona in quest'ordine:
- versione di UpdraftPlus;
- presenza o assenza di UpdraftCentral;
- utenti amministratori recenti;
- plugin installati o attivati di recente;
- modifiche a file core,
.htaccesse directory upload.
Se trovi incoerenze, la patch non basta più: serve una verifica forense e, se necessario, una bonifica completa.
Fonti
- Wordfence: Critical Unauthenticated Authentication Bypass Vulnerability Patched in UpdraftPlus WordPress Plugin
- Wordfence Intelligence: UpdraftPlus: WP Backup & Migration Plugin <= 1.26.4 - Unauthenticated Authentication Bypass via UpdraftCentral udrpc
- WordPress.org: UpdraftPlus: WP Backup & Migration Plugin
Se vuoi una verifica del sito
Se usi UpdraftPlus e vuoi capire se il tuo sito è esposto o già compromesso, la strada corretta è partire da un audit WordPress oppure, se noti segnali sospetti, da una bonifica malware.
Scritto dal team WPsec.it
Team WPsec.it
Bonifica malware, hardening, performance e manutenzione WordPress.
Continua a leggere
Articoli correlati.
Avada Builder: due falle gravi, cosa fare subito
Avada Builder ha due vulnerabilità: SQL injection e file read. Ecco versioni colpite, patch e azioni immediate.
200.000 siti WordPress a rischio: bypass di autenticazione in Burst Statistics
Una vulnerabilità critica in Burst Statistics consente l'impersonificazione di amministratori su versioni 3.4.0-3.4.1.1. Ecco cosa sapere e cosa fare subito.
Ninja Forms File Upload: exploit attivo, patch e checklist
Ninja Forms File Upload è vulnerabile fino alla 3.3.26: versioni colpite, patch 3.3.27 e checklist per ridurre il rischio subito.