HiveProtect.ai » Italiano » blog » Leroy Merlin sta crollando, il tuo WordPress potrebbe essere il prossimo

Quando Leroy Merlin crollerà, il tuo WordPress potrebbe essere il prossimo: il temibile rapporto di sicurezza 2025

Leroy Merlin sta crollando, il tuo WordPress potrebbe essere il prossimo

Mercoledì 4 dicembre 2025, ore 14:30. Ricevi un’email da Leroy Merlin. Non una promozione alle esercitazioni, ma un riconoscimento del fallimento: « I tuoi dati personali sono trapelati. » Centinaia di migliaia di clienti nella stessa situazione. La causa? Un semplice errore umano, sfruttato da un gruppo emergente di criminali informatici. Nel frattempo, il tuo sito WordPress funziona con plugin obsoleti, password condivise via email e accesso amministrativo mai visto prima. HiveProtect.ai non ha impedito l’attacco di Leroy Merlin, ma previene esattamente questo tipo di difetto sulla tua piattaforma. La domanda non è più « se » verrai attaccato, ma « quando ».

L’anno 2025: un anno nero per la cybersecurity francese

Un’ondata senza precedenti

Il panorama cibernetico francese è cambiato nel 2025. I dati sono implacabili: la CNIL ha ricevuto 5.629 notifiche di violazioni dei dati personali, un aumento del 20% rispetto al 2023. Ancora più allarmante, il numero di attacchi che hanno colpito più di un milione di persone è raddoppiato in un solo anno. L’ANSSI, dal canto suo, ha gestito 4.386 eventi di sicurezza nel 2024, il 15% in più rispetto al 2023. Tra novembre 2024 e settembre 2025, la crescita del numero di attacchi informatici in Francia supera il 50%.

Quest’anno, l’hacking informatico rappresenta il 62% del totale delle notifiche inviate alla CNIL. Gli attacchi ransomware dominano con il 34,1% degli incidenti, seguiti dagli attacchi DDoS (28,2%) e dal furto di dati (17,2%). Il costo medio di una chiusura di un sistema informativo supera i €200.000 per una PMI/ETI.

Le vittime del 2025: dall’impero Mulliez allo Stato

Leroy Merlin ha annunciato il 3 dicembre di aver subito un attacco informatico tramite il gruppo Dumpsec, compromettendo i dati di « poche centinaia di migliaia » di clienti. Cognomi, nomi di battesimo, numeri di telefono, email e indirizzi postali, date di nascita, informazioni sulla fedeltà. I dati bancari sarebbero risparmiati, ma il marchio ha avvisato la CNIL e ha presentato un reclamo.

Auchan, un altro peso pesante dell’impero Mulliez, visse uno scenario simile il 21 agosto. Stessi tipi di dati rubati, stesso metodo di attacco, stessa promessa di sicurezza dei dati bancari. Questa è la seconda volta in un anno per il marchio, già preso di mira a novembre 2024.

France Travail ha subito almeno tre attacchi gravi nel 2025. L’ultima volta, rilevata il 30 novembre, ha messo in luce i dati di 1,6 milioni di giovani seguiti da missioni locali. Il 23 luglio, un primo attacco aveva già paralizzato i suoi sistemi. Il 12 agosto, un portale di lavoro per le aziende è stato compromesso.

Bouygues Telecom ha visto coinvolti più di sei milioni di conti clienti all’inizio di agosto, questa volta inclusi i dati bancari. Anche l’Urssaf, le federazioni francesi di calcio e tiro a tiro, e il Colis Privé sono stati vittime di intrusioni.

VSE/PME nel mirino

Nonostante questo focus mediatico sulle grandi aziende, le PMI sono le più esposte. Nel 2025, il 16% delle aziende intervistate dichiara di essere stato vittima di uno o più incidenti negli ultimi 12 mesi. Le organizzazioni francesi hanno subito 385.000 attacchi informatici nel 2022, ovvero più di 1.050 attacchi al giorno. Il 67% delle aziende francesi afferma di aver subito almeno un attacco informatico nel 2024, rispetto al 53% nel 2023.

Tuttavia, il 78% delle VSE/PMI afferma di non essere sufficientemente preparato alle minacce online. Solo un terzo è adeguatamente preparato alle minacce informatiche. Il 72% delle VSE/PMI non ha dipendenti dedicati alla sicurezza. La mancanza di conoscenza e competenza (63%), vincoli di bilancio (61%) e mancanza di tempo (59%) ostacolano qualsiasi miglioramento.

Il mercato francofono sotto stretto esame

Svizzera: nono paese più preso di mira in Europa

La Svizzera rappresenta il 3,3% delle vittime europee di attacchi informatici, classificandosi nona in Europa. Nel 2024 sono stati segnalati circa 63.000 incidenti, con un aumento del 28% rispetto al 2023. Il phishing è in aumento: l’Ufficio Federale per la Sicurezza Informatica (FOCS) ha registrato più di 975.000 messaggi nel 2024, rispetto a meno di 500.000 nel 2023.

Da aprile 2025, gli operatori delle infrastrutture critiche sono tenuti a segnalare qualsiasi attacco informatico entro 24 ore. I settori finanziario, IT ed energetico sono i più colpiti. Gli attacchi basati sull’identità sono aumentati del 32% nella prima metà del 2025, di cui più del 97% sono stati attacchi tramite password.

Belgio e altri territori francofoni

I dati specifici per il Belgio sono meno centralizzati, ma le tendenze possono essere osservate in tutto il mondo francofono. Gli attacchi ransomware si diffondono attraverso le catene di approvvigionamento, colpendo i fornitori IT che servono clienti in più paesi francofoni contemporaneamente. Band come Cl0p, Akira o Black Basta non si fermano ai confini.

Gli obblighi normativi europei (NIS2, GDPR) si applicano in modo uniforme, creando un mercato in cui la non conformità è costosa. Le aziende francofone devono ora rispettare scadenze di segnalazione da 24 a 72 ore, sotto pena di pesanti sanzioni.

Metodi di attacco che sfruttano l’errore umano

Dumpsec e la nuova ondata di cybercriminali

Il gruppo Dumpsec, responsabile dell’attacco a Leroy Merlin, illustra una tendenza importante: lo sfruttamento dell’errore umano. Secondo l’esperto Clément Domingo, Dumpsec ha utilizzato l’accesso compromesso di un dipendente per circolare nei sistemi interni. Il frontman della band ha detto: « Abbiamo avuto accesso da un mese e la settimana scorsa abbiamo iniziato a scaricare… errore umano come di consueto per intranet come questa ».

Questo gruppo emergente è sospettato di essere dietro diversi attacchi recenti: fornitori di servizi IT per centinaia di assemblee cittadine francesi, Colis Privé e altri obiettivi francesi. Dumpsec rappresenta una nuova generazione di cybercriminali che non cercano di sfruttare vulnerabilità tecniche complesse, ma di approfittare della negligenza umana.

Phishing: l’arma preferita

Circa il 60% degli attacchi informatici registrati in Francia nel 2024 è iniziato con un tentativo di phishing. Questa proporzione è simile in Svizzera, dove il phishing rappresenta la maggior parte degli incidenti. La cosiddetta tecnica  » ClickFix  » sta registrando una crescita esplosiva del 500% nella prima metà del 2025.

I deepfake, utilizzati nel 9% degli attacchi, rendono possibile simulare la voce o il volto di un manager per richieste di trasferimento fraudolente. Gli attacchi basati sull’identità rappresentano più del 97% dei tentativi di password di utilizzo.

Sfruttamento delle identità e dell’accesso

Le intrusioni tramite Active Directory sono aumentate del 37% in un anno. Gli attacchi di esfiltrazione dati sono raddoppiati. I cybercriminali prendono di mira meno i server rispetto agli account utente, specialmente gli account privilegiati.

Una volta all’interno, gli aggressori usano tecniche come il pass-the-hash per aumentare i privilegi, spesso in meno di due ore. Disattivano le difese (Windows Defender, firewall) prima di criptare i file o di estrarre dati.

Perché le piattaforme WordPress sono particolarmente vulnerabili

WordPress alimenta il 43% dei siti web mondiali, ma questo dominio comporta una vulnerabilità strutturale. Il 78% dei VSE/PME non sufficientemente preparati usa principalmente WordPress per la propria presenza online. Il 72% non ha dipendenti dedicati alla sicurezza.

Le minacce specifiche di WordPress nel 2025 includono:

  • Plugin obsoleti non aggiornati (il 63% delle aziende cita la mancanza di tempo come ostacolo)
  • Password deboli condivise via email
  • Accesso amministrativo mai visto o disabilitato
  • Mancanza di autenticazione a due fattori (solo il 26% dei VSE/SME l’ha implementata)
  • Mancanza di una soluzione di rilevamento degli attacchi (l’84% delle aziende non ne ha una)

L’utente medio di WordPress installa 5-10 plugin, ma non controlla mai da dove provengono o la loro cronologia di sicurezza. Gli aggiornamenti vengono posticipati per « mancanza di tempo ». I backup sono inesistenti o non testati. I log delle connessioni non vengono mai visualizzati.

Questa trascuratezza crea un terreno ideale per gruppi come i Dumpsec. Una semplice fuga di credenziali da amministratore, accesso FTP compromesso o un plugin poco sicuro sono sufficienti a trasformare un sito WordPress in un gateway verso l’intero sistema informativo dell’azienda .

HiveProtect.ai: prevenzione piuttosto che cura

Il principio della sicurezza proattiva

HiveProtect.ai non solo reagisce agli attacchi, ma li previene. Progettato specificamente per l’ecosistema WordPress, il plugin affronta le cause profonde dei problemi che hanno permesso a Dumpsec e altri di compromettere Leroy Merlin e molti altri.

Gestione degli accessi e autenticazione a due fattori : mentre solo il 26% dei VSE/SME ha l’autenticazione a due fattori, HiveProtect.ai la richiede di default per tutti gli account amministratori. Rileva connessioni insolite, IP sospetti e blocca automaticamente tentativi ripetuti. Se Dumpsec avesse preso di mira una piattaforma protetta da HiveProtect.ai, l’accesso compromesso di un dipendente sarebbe stato neutralizzato in pochi minuti.

Monitoraggio continuo e rilevamento di intrusioni : A differenza dell’84% delle aziende senza una soluzione di rilevamento, HiveProtect.ai analizza comportamenti anomali in tempo reale. Tentativi di aumentare i privilegi, accesso a file sensibili, esecuzione di script sospetti: ogni azione viene esaminata. La tecnica pass-the-hash usata dal ransomware moderno viene rilevata e bloccata prima che causi danni.

Protezione contro phishing e ingegneria sociale : sebbene il 60% degli attacchi inizi con il phishing, HiveProtect.ai incorpora meccanismi per verificare le identità e convalidare azioni sensibili. Una richiesta di cambio di password, un cambio di indirizzo email, l’aggiunta di un nuovo amministratore: ogni azione critica attiva una validazione a più fasi. I deepfake e il furto d’identità, in aumento del 9%, non sono sufficienti a aggirare queste protezioni.

Gestione dei plugin e delle vulnerabilità : Il plugin scansiona automaticamente le estensioni installate, ne verifica la cronologia di sicurezza, avvisa vulnerabilità note e può bloccare l’accesso a plugin compromessi. Essa previene l’installazione di codice malevolo tramite aggiornamenti manomessi, una tecnica usata dai gruppi ransomware moderni.

Conformità normativa automatizzata : con NIS2 e GDPR, le aziende devono segnalare gli incidenti in tempi brevi. HiveProtect.ai genera automaticamente rapporti sugli incidenti, mappa dati sensibili e fornisce gli elementi necessari alla CNIL. Non c’è bisogno di preoccuparsi di una violazione: le prove vengono raccolte, le procedure attivate.

L’approccio specifico per VSE/PMI

HiveProtect.ai capire che il 61% delle piccole imprese è frenato da vincoli di budget. A differenza delle soluzioni enterprise che costano migliaia di euro al mese, il plugin si integra in un modello SaaS accessibile, con un freemium per iniziare senza alcun investimento iniziale.

L’interfaccia è pensata per utenti non specialisti: nessun gergo tecnico, raccomandazioni chiare, azioni automatizzate. La mancanza di conoscenza (63% delle aziende) non è più un ostacolo, ma un problema risolto.

Tabella riassuntiva degli incidenti principali 2025 in Francia

Azienda/Organizzazione Data dell’attacco Compromessa Numero dati delle vittime Gruppo sospetto
Leroy Merlin 30 novembre 2025 Nomi, contatti, date di nascita, dati di fedeltà « Qualche centinaio di migliaia » Dumpsec
Auchan 21 agosto 2025 Nomi, contatti, numeri di carte fedeltà « Qualche centinaio di migliaia » Non rivendicato
France Travail 30 novembre 2025 Dati personali dei giovani nelle missioni locali 1,6 milioni Non rivendicato
Bouygues Telecom Inizio agosto 2025 Dati bancari e dati dei clienti Più di 6 milioni Non rivendicato
Parcella privata 2025 Dati clienti non specificati Non divulgato Dumpsec (sospetto)
URSSAF 2025 Dati non specificati Non divulgato Non rivendicato
Federazioni sportive 2025 Dati dei membri Non divulgato Non rivendicato
Fornitori di servizi IT per il municipio 2025 Dati amministrativi Diverse centinaia di municipi Dumpsec (sospetto)

Raccomandazioni per sopravvivere all’ondata del 2025

1. Adottare una postura di sicurezza predefinita

Il 58% dei VSE/PMI che pensa di beneficiare di un buon livello di protezione spesso si sbaglia. La sicurezza non è decretata, è implementata. Abilita l’autenticazione a due fattori su tutti i tuoi account critici, non solo su WordPress. Usa gestori di password (solo il 46% delle aziende li ha).

2. Automatizzare il monitoraggio

Non puoi supervisionare 24 ore su 24. HiveProtect.ai fa per te. Imposta avvisi immediati su qualsiasi attività sospetta: nuovo accesso amministratore, modifica di file critici, tentativo di accedere ad aree riservate. Il 15% delle aziende che prevede di aumentare il proprio budget per la cybersecurity nel 2025 investe nell’automazione, non nelle soluzioni manuali.

3. Formazione continua e sensibilizzazione

Il phishing prospera nell’ignoranza. I deepfake (9% degli attacchi) e la tecnica ClickFix (+500%) richiedono formazione continua. Raduna le tue squadre ogni mese. HiveProtect.ai fornisce rapporti di tentativi bloccati: utilizzali come materiali didattici concreti.

4. Metti alla prova i tuoi piani di recupero

Il ransomware cripta i dati in meno di due ore. Hai un backup recente? Collaudato? Conservati offline? Il 75% delle aziende che pagano il riscatto non recupera tutti i propri dati. HiveProtect.ai integra backup automatici e sicuri, con ripristino con un solo clic.

5. Anticipare gli obblighi normativi

Il NIS2 richiede la segnalazione entro 24-72 ore. Il GDPR punisce fino al 4% del fatturato. Preparate subito le vostre procedure. HiveProtect.ai genera report automaticamente, evitandoti errori e omissioni di segnalazione.

6. Privilegi di segmentazione e limite

L’escalation dei privilegi è la tecnica preferita del ransomware. Concedete a ogni utente solo i diritti strettamente necessari. Un collaboratore non ha bisogno di accesso amministratore. HiveProtect.ai analizza i ruoli e suggerisce restrizioni, impedendo l’accesso laterale una volta che un account viene compromesso.

Il mercato della cybersecurity nel 2025: tra maturità e urgenza

La buona notizia (rara bella sorpresa)

Sempre più aziende intervistate nel 2025 ritengono di essere altamente esposte: il 44% rispetto al 38% nel 2024. Questa consapevolezza è essenziale. Il 58% crede di avere un buon o molto buon livello di protezione (39% lo scorso anno). Il numero medio di dispositivi di sicurezza installati è aumentato da 3,62 a 4,06.

Seguono gli investimenti: il 19% delle aziende ha aumentato il proprio budget IT nel 2025 rispetto al 13% nel 2024. Il 15% prevede di aumentare il proprio budget per la cybersecurity, cioè 5 punti in più.

Le cattive notizie (la realtà sul campo)

Nonostante questi progressi, un quarto delle aziende non si avvale di alcun attore specializzato. Quasi 3 aziende su 10 considerano la cybersecurity una non-priorità. Questa cifra aumenta di 11 punti tra le aziende che hanno risposto.

Gli ostacoli persistono: mancanza di conoscenza (63%), vincoli di bilancio (61%), mancanza di tempo (59%). I dirigenti restano all’oscuro, nonostante le preoccupanti segnalazioni della Corte dei Conti e dell’ANSSI.

Previsioni per il 2026

L’ANSSI prevede di intensificare le minacce con l’IA generativa per automatizzare la creazione di malware polimorfi. Gli attacchi alle infrastrutture critiche saranno prioritari, con tempi di segnalazione ridotti a 24 ore. Gruppi come Dumpsec si moltipliceranno, prendendo di mira in particolare aziende francofone e francofone.

I costi degli attacchi informatici dovrebbero superare i 10 miliardi di euro in Francia entro la fine del 2026. Le sanzioni GDPR raggiungeranno livelli storici. Le aziende impreparate scompariranno.

Conclusione: il tuo WordPress non è un’opzione, rappresenta un rischio sistemico

L’attacco di Leroy Merlin non è un incidente. Questo è un sintomo di un’epidemia che colpisce tutte le aziende, indipendentemente dalle loro dimensioni. I tagli di 3000 posti di lavoro ad Auchan, i milioni di dati compromessi a Bouygues Telecom, la ripetizione degli attacchi contro France Travail dipingono un quadro implacabile: nessuno è risparmiato.

Il tuo sito WordPress, gestito ai margini, con password riutilizzate, plugin non aggiornati, backup inesistenti, non è un semplice sito di vetta. È un punto d’ingresso alla tua rete, ai tuoi clienti, ai tuoi dati. Gruppi come Dumpsec non cercano i bersagli più ricchi, ma quelli più facili. Un sito WordPress poco protetto è una porta aperta.

HiveProtect.ai trasforma il tuo WordPress da vulnerabilità a roccaforte. Non sostituisce una politica di sicurezza globale, ma elimina il 90% dei vettori di attacco che compromettono le PMI francesi. Automatizza ciò che non hai tempo di fare, rileva ciò che non puoi vedere, blocca ciò che non sospettavi.

Il 2025 è stato l’anno della consapevolezza. Il 2026 sarà l’anno dei massicci fallimenti per le aziende non protette. Le statistiche sono chiare, le minacce documentate e i gruppi di cybercriminali stanno diventando più strutturati. La scelta è semplice: aspetta l’email CNIL che annuncia la violazione dei tuoi clienti, oppure installa HiveProtect.ai oggi stesso.

PS : Se ricevi un’email da Leroy Merlin, non cliccare su nessun link. Se ricevi un’email dalla tua azienda, assicurati che sia autentica. E se gestisci un sito WordPress, smetti di leggere questo articolo e controlla subito le tue password. Le 10 milioni di righe di dati che Dumpsec afferma di contenere potrebbero già contenere i tuoi.