Come Aggiornare WordPress in Sicurezza: Core, Temi e Plugin
Aggiornare WordPress è una delle attività di manutenzione più importanti per la sicurezza, le performance e la stabilità del tuo sito web. Ogni aggiornamento del core, dei temi e dei plugin porta correzioni di vulnerabilità, miglioramenti delle prestazioni e nuove funzionalità. Tuttavia, un aggiornamento eseguito senza le dovute precauzioni può causare incompatibilità, errori e persino rendere il sito inaccessibile. In questa guida completa ti spiegheremo come aggiornare WordPress in modo sicuro e professionale, minimizzando ogni rischio.
Secondo le statistiche di WordFence, oltre il 60{6fb8dad3a9c483f1a21adb5997a0bd0fb65a4b2f8344003d223c5d2f2542798c} dei siti WordPress compromessi utilizza versioni obsolete di almeno un componente (core, tema o plugin). Questo dato rende chiaro che gli aggiornamenti non sono opzionali: sono una necessità per la sopravvivenza del tuo sito. Ma aggiornare in modo sbagliato può essere altrettanto dannoso quanto non aggiornare. Vediamo come farlo nel modo giusto.
Perché è fondamentale aggiornare WordPress
Ogni aggiornamento di WordPress, dei temi e dei plugin ha uno scopo preciso e spesso urgente:
Sicurezza: le vulnerabilità scoperte vengono corrette tramite patch di sicurezza. Un sito con componenti non aggiornati è esposto a exploit noti che gli hacker possono sfruttare con strumenti automatizzati. Alcune vulnerabilità vengono sfruttate entro poche ore dalla loro divulgazione pubblica.
Compatibilità: nuove versioni di WordPress possono introdurre cambiamenti nelle API che richiedono aggiornamenti dei plugin e dei temi per funzionare correttamente. Restare indietro con un componente mentre gli altri si aggiornano può creare conflitti.
Performance: gli aggiornamenti spesso includono ottimizzazioni del codice, query database più efficienti e supporto per tecnologie più recenti. WordPress 6.x ha introdotto miglioramenti significativi nelle performance dell’editor a blocchi e del caricamento delle pagine.
Funzionalità: nuove versioni portano funzionalità che migliorano l’esperienza di gestione del sito e le possibilità creative per i contenuti.
Tipi di aggiornamento WordPress
Non tutti gli aggiornamenti sono uguali. WordPress segue il versionamento semantico (major.minor.patch):
Aggiornamenti major (es. 6.7 → 6.8): introducono nuove funzionalità significative e possono includere cambiamenti che influenzano la compatibilità con temi e plugin. Richiedono la massima attenzione e test approfonditi. Vengono rilasciati 2-3 volte l’anno.
Aggiornamenti minor e di sicurezza (es. 6.8 → 6.8.1): contengono correzioni di bug e patch di sicurezza. Sono generalmente sicuri e dovrebbero essere applicati il prima possibile. WordPress li applica automaticamente per impostazione predefinita.
Aggiornamenti dei plugin: variano enormemente per impatto. Un aggiornamento minore di un plugin piccolo è generalmente innocuo; un aggiornamento major di un plugin complesso come WooCommerce o Elementor può richiedere attenzione e test.
Aggiornamenti dei temi: aggiornano il tema attivo o i temi installati. Se hai personalizzato il tema direttamente (senza child theme), le personalizzazioni verranno sovrascritte dall’aggiornamento.
Prima di aggiornare: la checklist di preparazione
Segui sempre questa procedura prima di eseguire qualsiasi aggiornamento significativo:
1. Esegui un backup completo
Questa è la regola d’oro, non negoziabile: prima di ogni aggiornamento, esegui un backup completo del sito che includa sia i file che il database. Il backup deve essere verificato (assicurati che sia funzionante e ripristinabile) e salvato in una posizione diversa dal server del sito.
Plugin come UpdraftPlus, BlogVault e All-in-One WP Migration rendono il backup un’operazione di pochi clic. Alcuni hosting managed offrono backup automatici con ripristino istantaneo, che rappresentano il metodo più comodo e affidabile.
2. Controlla la compatibilità
Prima di aggiornare WordPress a una nuova versione major, verifica che i tuoi plugin e il tuo tema siano compatibili. La maggior parte dei plugin indica la versione di WordPress testata nella propria pagina sulla directory ufficiale. Controlla anche i changelog dei plugin per eventuali note sulla compatibilità con la nuova versione di WordPress.
3. Utilizza un ambiente di staging
Un ambiente di staging è una copia esatta del tuo sito dove puoi testare gli aggiornamenti senza rischi. Se qualcosa va storto, il sito di produzione resta intatto. Molti hosting managed offrono la creazione di staging con un clic. In alternativa, puoi creare un ambiente di staging locale con strumenti come Local (by Flywheel) o DevKinsta.
Il workflow ideale è: aggiorna sullo staging → testa tutte le funzionalità critiche → se tutto funziona, aggiorna la produzione.
4. Scegli il momento giusto
Non aggiornare durante i picchi di traffico o nei periodi critici per il business. Scegli un orario con poco traffico (ad esempio la mattina presto o il weekend) quando puoi dedicare tempo a verificare che tutto funzioni correttamente dopo l’aggiornamento.
Come aggiornare il core di WordPress
Aggiornare il core di WordPress è il procedimento più delicato perché coinvolge i file fondamentali del sistema. Ecco i metodi disponibili:
Aggiornamento automatico dalla dashboard: vai su Dashboard → Aggiornamenti. Se è disponibile un aggiornamento, vedrai un pulsante "Aggiorna ora". WordPress scaricherà e installerà automaticamente i nuovi file, eseguirà eventuali aggiornamenti del database e ti riporterà alla dashboard aggiornata. Questo metodo funziona nel 99{6fb8dad3a9c483f1a21adb5997a0bd0fb65a4b2f8344003d223c5d2f2542798c} dei casi.
Aggiornamento manuale via FTP: scarica l’ultima versione di WordPress da wordpress.org, decomprimi l’archivio e carica i file sul server via FTP/SFTP, sovrascrivendo i file esistenti (ma NON la cartella wp-content e il file wp-config.php). Poi accedi a tuodominio.it/wp-admin per completare l’eventuale aggiornamento del database. Usa questo metodo se l’aggiornamento dalla dashboard fallisce.
Aggiornamento via WP-CLI: se hai accesso SSH al server, WP-CLI è il metodo più rapido ed efficiente. Il comando wp core update aggiorna il core, e wp core update-db aggiorna il database. WP-CLI è ideale per aggiornamenti in batch di più siti.
Come aggiornare i plugin
L’aggiornamento dei plugin segue un processo simile ma con alcune precauzioni specifiche:
Un plugin alla volta: non aggiornare tutti i plugin contemporaneamente. Aggiornali uno alla volta e verifica il funzionamento del sito dopo ogni aggiornamento. Se si verifica un problema, saprai immediatamente quale plugin lo ha causato.
Leggi il changelog: prima di aggiornare, leggi le note di rilascio del plugin per capire cosa cambia. Presta attenzione a indicazioni come "breaking change", "requires PHP X.X" o "database migration".
Plugin critici prima: aggiorna per primi i plugin di sicurezza (che spesso rilasciano patch urgenti), poi i plugin critici per il funzionamento del sito (WooCommerce, page builder, form) e infine i plugin meno importanti.
Plugin premium: molti plugin premium richiedono una licenza attiva per ricevere aggiornamenti. Verifica che le licenze siano in regola e che il sistema di aggiornamento sia configurato correttamente (API key, token).
Come aggiornare i temi
L’aggiornamento dei temi è generalmente semplice, ma c’è una trappola comune: le personalizzazioni dirette.
Se usi un child theme: puoi aggiornare il tema parent senza problemi. Le personalizzazioni nel child theme non vengono toccate. Questo è il motivo per cui raccomandiamo sempre l’uso di un child theme per qualsiasi personalizzazione.
Se hai modificato il tema direttamente: l’aggiornamento sovrascriverà tutte le modifiche. Prima di aggiornare, annota tutte le personalizzazioni fatte, aggiorna il tema, poi riapplica le personalizzazioni (idealmente questa volta tramite un child theme).
Temi con licenza: come per i plugin premium, verifica che la licenza sia attiva per ricevere gli aggiornamenti.
Aggiornamento di PHP
L’aggiornamento della versione PHP del server è altrettanto importante ma spesso trascurato. Nel 2026, le versioni PHP consigliate sono 8.2, 8.3 e 8.4. Le versioni 7.x sono a fine vita e non ricevono più patch di sicurezza.
Per aggiornare PHP: accedi al pannello di controllo del tuo hosting (Plesk, cPanel) e seleziona la nuova versione PHP per il dominio. Non tutti i plugin e temi sono compatibili con le versioni più recenti di PHP: testa sempre in staging prima di cambiare la versione PHP in produzione.
Un aggiornamento PHP può migliorare significativamente le performance del sito: PHP 8.x è fino al 3 volte più veloce di PHP 7.x per alcune operazioni, grazie al compilatore JIT e alle ottimizzazioni del motore.
Aggiornamenti automatici: sì o no?
WordPress offre la possibilità di abilitare gli aggiornamenti automatici per il core, i plugin e i temi. Ecco la nostra raccomandazione:
Core minor e di sicurezza: aggiornamento automatico ATTIVO. Queste patch sono critiche per la sicurezza e sono ampiamente testate prima del rilascio. WordPress li abilita automaticamente per impostazione predefinita.
Core major: aggiornamento automatico DISATTIVATO per siti di produzione importanti. Testa prima in staging e aggiorna manualmente. Per blog personali o siti non critici, puoi abilitarli.
Plugin: aggiornamento automatico SELETTIVO. Abilita l’aggiornamento automatico per plugin piccoli e affidabili. Mantieni l’aggiornamento manuale per plugin complessi come WooCommerce, Elementor, e plugin che gestiscono dati critici.
Temi: aggiornamento automatico generalmente SICURO da abilitare, a patto di usare un child theme per le personalizzazioni.
Per gestire gli aggiornamenti automatici, dalla pagina Plugin puoi abilitare l’auto-update per singolo plugin cliccando "Abilita aggiornamenti automatici" nella colonna dedicata. Per il core, puoi controllare il comportamento aggiungendo costanti a wp-config.php o usando il filtro auto_update_core.
Cosa fare quando un aggiornamento causa problemi
Nonostante tutte le precauzioni, a volte un aggiornamento può causare problemi. Ecco come gestire le situazioni più comuni:
Schermo bianco della morte (White Screen of Death): il sito mostra una pagina bianca. Causa più comune: conflitto tra plugin o tema. Soluzione: accedi via FTP e rinomina la cartella del plugin o tema aggiornato per disattivarlo. Se non sai quale componente causa il problema, rinomina la cartella wp-content/plugins in plugins_disabled e riattiva i plugin uno alla volta.
Errore di database: il messaggio "Error establishing a database connection" dopo un aggiornamento del core indica che l’aggiornamento del database non è stato completato. Accedi a tuodominio.it/wp-admin e segui la procedura di aggiornamento del database. Se non funziona, ripristina il backup.
Errore 500 (Internal Server Error): può essere causato da un file .htaccess corrotto, un limite di memoria PHP insufficiente o un errore di codice in un plugin aggiornato. Controlla il log degli errori PHP del server per identificare il problema specifico.
Incompatibilità di stile: il sito funziona ma l’aspetto è alterato. Causa: il tema o un plugin CSS-intensive ha cambiato i suoi stili. Pulisci la cache (plugin di cache e browser) e verifica se il problema persiste. Se sì, controlla il changelog dell’aggiornamento per breaking changes nel CSS.
Rollback: se un aggiornamento causa problemi irrisolvibili rapidamente, la soluzione più veloce è ripristinare il backup eseguito prima dell’aggiornamento. Plugin come WP Rollback permettono di tornare alla versione precedente di un singolo plugin o tema senza ripristinare l’intero sito.
Procedura di aggiornamento professionale passo-passo
Ecco la procedura completa che seguiamo per ogni aggiornamento dei siti dei nostri clienti:
1. Eseguire backup completo (file + database) e verificarne l’integrità.
2. Creare o aggiornare l’ambiente di staging con una copia fresca della produzione.
3. Applicare tutti gli aggiornamenti sull’ambiente di staging.
4. Testare sullo staging: navigazione, moduli di contatto, processo d’acquisto (se e-commerce), area riservata, funzionalità personalizzate.
5. Se i test passano, procedere con l’aggiornamento in produzione.
6. Mettere il sito in modalità di manutenzione durante l’aggiornamento.
7. Aggiornare nell’ordine: core WordPress → plugin (uno alla volta) → temi.
8. Verificare il sito di produzione: home page, pagine principali, funzionalità critiche.
9. Pulire tutte le cache (plugin, server, CDN).
10. Rimuovere la modalità di manutenzione e monitorare il sito per 24-48 ore.
Plugin e temi abbandonati: come gestirli
Un plugin o un tema non aggiornato da più di un anno è potenzialmente un rischio per la sicurezza. Ecco come gestire questa situazione:
Controlla regolarmente la data dell’ultimo aggiornamento di tutti i plugin installati. Se un plugin non riceve aggiornamenti da oltre 12 mesi, cerca un’alternativa attivamente mantenuta. Prima di rimuovere un plugin, assicurati di avere un sostituto funzionante o che la funzionalità non sia più necessaria. Rimuovi completamente i plugin inutilizzati (disattiva E elimina): un plugin disattivato ma presente sul server può comunque essere sfruttato per vulnerabilità nei suoi file.
Conclusioni
Aggiornare WordPress è un equilibrio tra tempestività e prudenza. Aggiornamenti di sicurezza vanno applicati il prima possibile; aggiornamenti major richiedono test e pianificazione. Con la procedura corretta — backup, staging, test, aggiornamento, verifica — puoi mantenere il tuo sito sempre aggiornato minimizzando ogni rischio di downtime o malfunzionamento.
Se non hai il tempo o le competenze per gestire gli aggiornamenti in modo professionale, affidati a un servizio di manutenzione WordPress che se ne occupi per te. Il costo della manutenzione preventiva è sempre inferiore al costo di un sito compromesso o fuori servizio.
Approfondisci e ricevi assistenza
Hai bisogno di assistenza professionale? Il team di G Tech Group è a tua disposizione per supporto tecnico e consulenza personalizzata.
Migliora il Tuo Sito WordPress
Scopri le nostre guide complete sugli altri plugin essenziali per WordPress: