MonsterInsights è stato davvero hackerato?

Sì. Il sito ufficiale MonsterInsights.com è stato compromesso e sostituito con un avviso che conferma l'attacco in corso. L'azienda ha portato il sito offline mentre gestisce l'incidente.

Cosa fa la vulnerabilità CVE-2026-5371 di MonsterInsights?

La vulnerabilità (CVSS 7.1 — alta severità) colpisce tutte le versioni fino alla 10.1.2. A causa di controlli mancanti su due funzioni del plugin, un attaccante potrebbe accedere ai token OAuth di Google e alle impostazioni di integrazione con Google Ads.

Cosa devo fare se ho MonsterInsights installato?

Prima di tutto, non scaricare aggiornamenti da siti di terze parti — il sito ufficiale è offline e ci sono download falsi in circolazione. Verifica nel repository ufficiale WordPress.org se è disponibile una versione aggiornata. Controlla il tuo account Google Analytics per accessi sospetti.

Il plugin è sicuro da usare?

Fino a quando non viene rilasciata una patch ufficiale e il sito viene ripristinato, è consigliabile disabilitare temporaneamente il plugin o monitorare attentamente le attività di autenticazione Google collegate.

MonsterInsights hackerato phishing 2026 — CVE-2026-5371 vulnerabilità plugin WordPress

Se hai MonsterInsights installato sul tuo sito WordPress, leggi questo articolo prima di fare qualsiasi altra cosa.

Il plugin — uno dei più diffusi per integrare Google Analytics in WordPress, con oltre 3 milioni di installazioni attive — è al centro di un incidente di sicurezza serio. Il sito ufficiale è stato compromesso, sono in corso campagne di phishing verso gli utenti, e una vulnerabilità critica nel codice del plugin mette a rischio i token OAuth di Google.

Cosa sta succedendo

Il sito ufficiale MonsterInsights.com è stato attaccato e portato offline. Al posto della homepage, appare questo avviso:

"Il nostro sito è offline mentre gestiamo un attacco. Le tue analisi e il tracking non sono interessati. NON scaricare MonsterInsights da siti di terze parti: è in corso un tentativo di phishing."

Questo avviso è importante per due motivi:

Conferma ufficialmente l'attacco
Mette in guardia esplicitamente sui download falsi — se stai cercando un aggiornamento del plugin su siti non ufficiali, stai probabilmente scaricando malware

La vulnerabilità CVE-2026-5371

Parallelamente all'attacco al sito, è stata scoperta e pubblicata una vulnerabilità nel codice del plugin: CVE-2026-5371, con un punteggio CVSS di 7.1 su 10 (alta severità).

Il problema riguarda due funzioni nel codice:

get_ads_access_token()
reset_experience()

Entrambe mancano dei controlli sulle autorizzazioni necessarie. In pratica, un utente con accesso limitato al sito potrebbe sfruttare queste funzioni per accedere ai token OAuth di Google che collegano il tuo sito a Google Analytics e Google Ads — e potenzialmente disconnettere o manipolare quelle integrazioni.

Tutte le versioni di MonsterInsights fino alla 10.1.2 sono vulnerabili.

Cosa fare ora

Se hai MonsterInsights installato, queste sono le azioni prioritarie:

Immediato:

Non scaricare aggiornamenti del plugin da nessun sito che non sia WordPress.org
Controlla se nel tuo pannello WordPress è disponibile un aggiornamento dal repository ufficiale
Non cliccare su link in email che sembrano provenire da MonsterInsights — le campagne di phishing sono attive

Verifica degli account:

Accedi a Google Analytics e controlla gli accessi recenti
In Google Search Console, controlla se ci sono proprietà non autorizzate aggiunte
Revoca i token OAuth di MonsterInsights se noti attività sospette (Google Account → Sicurezza → App di terze parti)

Monitoraggio:

Tieni d'occhio i siti ufficiali di WPScan e WordPress.org per aggiornamenti sulla patch

Perché questa storia riguarda chiunque usi WordPress

MonsterInsights è installato su 3 milioni di siti. Non è una nicchia — è una buona fetta dell'ecosistema WordPress. Un incidente di questa portata ricorda che la sicurezza di un sito non dipende solo da quello che installi, ma anche dalla solidità delle infrastrutture dei plugin che usi.

Un plugin popolare e apparentemente affidabile può diventare un vettore di attacco proprio perché è popolare. Più installazioni significa più superficie di attacco per chi vuole sfruttare una vulnerabilità.

Per aggiornamenti in tempo reale sulla situazione, segui WPScan e il thread ufficiale su WordPress.org. Appena disponibile una versione patchata, aggiorna immediatamente.

MonsterInsights hackerato: sito offline e phishing attivo su 3 milioni di siti WordPress

Cosa sta succedendo

La vulnerabilità CVE-2026-5371

Cosa fare ora

Perché questa storia riguarda chiunque usi WordPress