Il Rapporto CLUSIT 2026 ha fotografato una situazione che chi lavora nel settore web come noi percepisce ormai ogni giorno: nel 2025 gli attacchi informatici gravi contro organizzazioni italiane sono aumentati del 42% rispetto all’anno precedente, con 507 incidenti critici andati a buon fine. Il 43% degli attacchi colpisce le PMI, che sono spesso prive di presidio di sicurezza dedicato e rappresentano bersagli facili per chi cerca riscatti rapidi.
Ce ne siamo resi conto in modo diretto negli ultimi mesi: tra i siti WordPress che gestiamo per le agenzie partner, abbiamo intercettato un numero crescente di tentativi di accesso non autorizzato, plugin con vulnerabilità note non aggiornati e configurazioni di sicurezza incomplete che avrebbero potuto essere sfruttate. Non è allarmismo: è quello che i dati dicono e quello che vediamo concretamente.
Perché WordPress è un bersaglio privilegiato
Con oltre il 43% di quota di mercato globale, WordPress è la piattaforma web più diffusa al mondo. Questo la rende anche la più attaccata: i bot scansionano continuamente internet alla ricerca di installazioni WordPress con plugin vulnerabili, versioni non aggiornate e configurazioni di default mai modificate.
Nel 2025 il team di ricerca Patchstack ha rilevato 11.334 nuove vulnerabilità nell’ecosistema WordPress, un aumento del 42% rispetto all’anno precedente. Il dato più rilevante è che il 97% di queste falle non si trova nel codice base di WordPress, ma nei plugin e nei temi di terze parti. Un sito WordPress aggiornato ma con un plugin abbandonato o non mantenuto è esposto esattamente come un sito con WordPress vecchio di due anni.
Il meccanismo è rapido e automatizzato: un hacker scopre una vulnerabilità in un plugin diffuso, crea un bot che scansiona internet alla ricerca di siti che lo usano, e lancia attacchi di massa. Dalla scoperta della falla all’inizio degli attacchi possono passare meno di cinque ore. Nessuna agenzia che gestisce decine di siti in manutenzione può monitorare questo in tempo reale senza un processo strutturato.
Cosa abbiamo trovato sui siti in manutenzione
Nei controlli periodici che facciamo sui siti in manutenzione per le agenzie con cui collaboriamo, i problemi di sicurezza più comuni che troviamo sono sempre gli stessi.
Plugin non aggiornati sono il problema più diffuso. Spesso si tratta di plugin installati anni fa per una funzionalità specifica, usati raramente e mai aggiornati perché “funzionano ancora”. Funzionano, ma hanno vulnerabilità note che i bot sfruttano sistematicamente.
Credenziali di accesso deboli sono il secondo problema. Ancora nel 2026 troviamo siti con username “admin” e password semplici. È il tipo di protezione che un attacco brute force automatizzato supera in pochi minuti.
Nessun sistema di blocco dei tentativi di login è il terzo. Senza un meccanismo che limiti i tentativi di accesso o blocchi gli IP dopo un certo numero di tentativi falliti, la pagina di login di WordPress è esposta a attacchi brute force continui che non generano nessun alert fino a quando non hanno già avuto successo.
SSL non configurato correttamente emerge ancora su siti più datati: HTTP e HTTPS che coesistono, contenuti misti, certificati scaduti. Non è solo un problema SEO: è una vulnerabilità che espone le comunicazioni tra il sito e i suoi utenti.
La situazione specifica dell’Italia nel 2026
Il dato italiano ha una caratteristica peculiare che il Rapporto CLUSIT 2026 sottolinea: l’Italia nel 2025 ha ospitato il 64% di tutti gli incidenti di hacktivism censiti a livello globale. Attacchi motivati da ragioni ideologiche e geopolitiche, principalmente DDoS e defacement dei siti, orchestrati da collettivi che prendono di mira infrastrutture italiane in risposta a eventi internazionali.
Questo significa che i siti web dei clienti delle agenzie italiane sono esposti non solo agli attacchi opportunistici automatizzati che colpiscono WordPress ovunque nel mondo, ma anche ad attacchi mirati che scelgono l’Italia come bersaglio per ragioni che non hanno nulla a che fare con la qualità tecnica del sito. Un sito tecnicamente perfetto può essere vittima di un attacco DDoS semplicemente perché ha un IP italiano.
Il costo medio di un attacco ransomware per una PMI italiana è stimato intorno ai 35.000 euro, tra riscatto, ripristino dei sistemi e perdita di produttività. Per un cliente che gestisce un ecommerce attivo, anche un downtime di 24 ore ha un impatto diretto sulle vendite che supera spesso il costo di anni di manutenzione professionale.
Cosa significa per le agenzie che gestiscono siti WordPress
Il tema della sicurezza dei siti web non è un argomento tecnico separato dalla relazione con il cliente: è un rischio che, se si materializza, ricade sull’agenzia indipendentemente da chi ha causato la vulnerabilità. Un cliente che scopre che il proprio sito è stato hackerato chiama l’agenzia, non il provider del plugin vulnerabile.
Lavorare con uno stack tecnico selezionato riduce il rischio in modo strutturale. Usare pochi plugin mantenuti attivamente, affidarsi a Cloudflare come layer di sicurezza perimetrale che blocca il traffico malevolo prima che raggiunga il server WordPress, mantenere aggiornamenti sistematici con testing su staging prima dell’applicazione in produzione: sono scelte che noi di Blurr abbiamo consolidato nel tempo proprio perché i dati sugli attacchi ci dicono che la superficie di attacco si riduce drasticamente con la disciplina operativa più che con i tool sofisticati.
Il secondo elemento è la manutenzione come presidio attivo, non come lista di aggiornamenti mensili. Monitorare l’uptime, verificare i log di accesso, controllare i tentativi di login non autorizzati, testare i backup con ripristini periodici: sono attività che separano una manutenzione professionale da una che esiste solo sulla carta.
Blurr include questo presidio nei piani di manutenzione per le agenzie partner: monitoraggio attivo, aggiornamenti testati su staging, Cloudflare come layer di sicurezza su tutti i siti, backup verificati con test di ripristino periodici. Le agenzie che affidano la manutenzione a Blurr non devono gestire questa complessità in autonomia. Su blurr.it/servizi/ trovi come strutturiamo la sicurezza nei piani di manutenzione.
Per approfondire lo stack tecnico che usiamo per la sicurezza dei siti WordPress, leggi plugin WordPress essenziali per siti professionali nel 2026.
FAQ
Perché i siti WordPress sono così vulnerabili agli attacchi? Non per debolezze intrinseche di WordPress, ma per la combinazione di diffusione massima e gestione spesso approssimativa. Con il 43% del web mondiale su WordPress, i bot automatizzati scansionano sistematicamente internet alla ricerca di installazioni con plugin non aggiornati o configurazioni deboli. Il 97% delle vulnerabilità WordPress nel 2025 riguardava plugin e temi di terze parti, non il core di WordPress.
Quanto costa in media un attacco informatico a una PMI italiana? Secondo i dati disponibili, il costo medio di un attacco ransomware per una PMI italiana si aggira intorno ai 35.000 euro, considerando riscatto, ripristino dei sistemi e perdita di produttività. Per un ecommerce attivo, il downtime associato all’attacco aggiunge costi diretti in vendite perse che possono superare significativamente quella cifra.
Cloudflare è sufficiente per proteggere un sito WordPress? Cloudflare è un layer di sicurezza perimetrale molto efficace perché blocca traffico malevolo, attacchi DDoS e tentativi di brute force prima che raggiungano il server WordPress. Non è sufficiente da solo: va combinato con aggiornamenti sistematici dei plugin, credenziali di accesso solide, backup verificati e un sistema di monitoraggio attivo. È il primo strato di una difesa a più livelli, non l’unico.
Come si verifica se un sito WordPress è stato compromesso? I segnali più comuni sono reindirizzamenti improvvisi verso siti sconosciuti, avvisi di sito pericoloso da Google, calo improvviso del traffico organico, comparsa di pagine o link mai creati, e notifiche dall’hosting di attività anomale. Google Search Console nella sezione Problemi di sicurezza segnala le compromissioni rilevate da Google. Un controllo periodico di questi indicatori dovrebbe essere parte di qualsiasi piano di manutenzione professionale.