C’è una cosa che sento spesso da chi gestisce un sito WordPress da solo: “tanto ogni tanto entro e aggiorno i plugin.”
Non è manutenzione. È sperare che vada bene.
Questo articolo non serve a spaventare nessuno.
Serve a chiarire cosa significa davvero tenere un sito WordPress in salute sia per chi lo gestisce per proprio conto, sia per chi lo fa per lavoro su siti di clienti.
Il problema con “clicca e aggiorna”
WordPress ha un sistema di aggiornamenti che sembra semplice: entri nella dashboard, vedi i pallini rossi, clicchi Aggiorna tutto. In trenta secondi hai finito.
Il problema è che non hai la minima idea di cosa è appena successo.
Ogni aggiornamento di WordPress core, di un plugin, di un tema può introdurre modifiche che conflittano con qualcos’altro. Un aggiornamento di WooCommerce può rompere il checkout. Un aggiornamento di un plugin SEO può cancellare le impostazioni che avevi. Un aggiornamento del tema può sovrascrivere personalizzazioni CSS che avevi fatto a mano.
Queste cose succedono. Non raramente succedono ogni settimana su qualche sito da qualche parte. La maggior parte delle volte non se ne accorge nessuno subito. Se ne accorge il cliente il giorno dopo, quando il form di contatto non funziona più. O peggio, se ne accorgono i visitatori.
Un professionista non clicca Aggiorna tutto. Testa prima.
Lo staging: l’elemento che cambia tutto
La prima cosa che distingue una manutenzione fatta bene da una fatta male è l’ambiente di staging.
Lo staging è un clone del sito una copia identica che vive su un sottodominio o su un server separato, invisibile al pubblico. Ogni aggiornamento viene applicato prima lì. Si testa che tutto funzioni. Solo se tutto passa si va sul sito reale.
Questo non elimina il rischio elimina il rischio che il problema lo scopra un cliente.
La differenza pratica è enorme. Un errore scoperto in staging costa dieci minuti di rollback. Un errore scoperto in produzione alle 11 di sera, mentre il sito del cliente è offline, è un’altra storia.
Non tutti gli hosting forniscono uno staging integrato, ma esistono plugin e workflow che permettono di replicarlo su qualsiasi installazione WordPress. Non è complicato richiede solo di averlo impostato prima che serva.
I backup: non quello che pensi
Quasi tutti i siti WordPress hanno un backup. Il problema è dove.
La maggior parte degli hosting fa backup automatici e li conserva sullo stesso server del sito. Sembra una soluzione finché il server non ha un problema. Se l’hosting è compromesso, il backup che ci sta sopra è compromesso insieme. Se il server va giù in modo definitivo, perdi il sito e il backup insieme.
Un backup professionale è su un server separato dall’hosting. Dropbox, Google Drive, Amazon S3, un server dedicato l’importante è che sia fisicamente altrove.
L’altra cosa che viene trascurata è la verifica. Un backup che non hai mai ripristinato è un backup di cui non sai niente. Potrebbe essere corrotto, incompleto, o salvare file nel formato sbagliato. La verifica periodica ripristinare il backup su un ambiente di test e controllare che tutto funzioni è parte della manutenzione, non un optional.
Il monitoraggio uptime
Un sito può andare offline in qualsiasi momento. Server sovraccarico, errore PHP dopo un aggiornamento, problema con il database, attacco brute force che esaurisce le risorse.
La domanda non è se succederà è come lo scopri.
Senza monitoraggio, lo scopri quando te lo segnala qualcuno. Un cliente, un paziente, un collega. Nel frattempo il sito era offline da ore.
Con un tool di monitoraggio uptime ce ne sono di gratuiti e a pagamento ricevi una notifica sul telefono entro uno o due minuti dal momento in cui il sito smette di rispondere. Puoi intervenire prima che qualcuno se ne accorga.
Non è una tecnologia complicata. È un controllo automatico che interroga il sito ogni pochi minuti e ti avvisa se non risponde. Il setup richiede dieci minuti. Il valore lo capisci la prima volta che ricevi la notifica alle 23:00 e risolvi il problema prima che il cliente lo veda.
La sicurezza non è un plugin
Wordfence è installato su milioni di siti WordPress. È uno strumento utile. Non è una strategia di sicurezza.
La sicurezza di un sito WordPress si costruisce su più livelli, e la maggior parte di questi livelli non richiede plugin aggiuntivi richiede che il sito sia configurato correttamente dall’inizio.
xmlrpc.php dovrebbe essere disabilitato su quasi tutti i siti che non lo usano attivamente è uno dei vettori di attacco più sfruttati. Gli utenti admin non dovrebbero mai chiamarsi “admin”. I permessi dei file sul server dovrebbero essere corretti. HTTPS deve essere attivo e forzato.
Questi non sono interventi straordinari. Sono parte della configurazione base di un sito WordPress gestito bene. Un plugin di sicurezza sopra a una configurazione sbagliata è un cerotto su una ferita aperta.
Gli aggiornamenti PHP e WordPress core
WordPress rilascia aggiornamenti regolari. Alcuni sono di sicurezza vanno applicati rapidamente. Alcuni sono di funzionalità richiedono più attenzione perché possono cambiare comportamenti esistenti.
PHP è il linguaggio su cui gira WordPress. Ogni versione di PHP ha un ciclo di vita: una fase di supporto attivo, poi una fase di security-only, poi fine vita. Girare su una versione PHP a fine vita significa girare su codice che non riceve più patch di sicurezza.
Tenere aggiornata la versione PHP non è banale come aggiornare un plugin richiede di verificare che il tema e tutti i plugin siano compatibili con la versione nuova. Ma è necessario.
Un sito che gira su PHP 7.4 nel 2025 è un sito che stai lasciando indietro.
La documentazione e il report mensile
Una cosa che non viene mai menzionata quando si parla di manutenzione WordPress è la documentazione.
Cosa è stato aggiornato e quando. Quali versioni erano installate prima. Se c’è stato un problema e come è stato risolto. Quando è stato fatto l’ultimo backup verificato.
Per chi gestisce il proprio sito, questa documentazione non è strettamente necessaria ma aiuta enormemente quando qualcosa va storto e devi capire cosa è cambiato di recente.
Per chi gestisce siti per conto di clienti, la documentazione non è optional. Il report mensile non è una formalità burocratica è la prova tangibile che il lavoro è stato fatto, è lo strumento che giustifica il canone mensile, ed è l’unico modo per tenere traccia di cosa succede su ogni sito nel tempo.
Un report mensile non deve essere lungo. Aggiornamenti applicati, stato del backup, uptime del periodo, eventuali problemi e come sono stati gestiti. Due pagine, tutto lì.
Cosa cambia in pratica
La differenza tra manutenzione fatta bene e manutenzione fatta male non si vede nei mesi buoni.
Si vede la prima volta che un aggiornamento rompe qualcosa. Si vede quando il server dell’hosting ha un problema e devi ripristinare il sito. Si vede quando qualcuno tenta di entrare nel sito con un attacco automatico.
In quei momenti, avere un backup recente su un server separato, avere uno staging su cui testare, avere il monitoraggio che ti ha già avvisato fa la differenza tra un’ora di lavoro e tre giorni di stress.
La manutenzione WordPress non è cliccare Aggiorna. È avere un protocollo che funziona quando le cose non vanno come previsto.
Gestisci la manutenzione del tuo sito WordPress da solo e vuoi capire se stai facendo le cose nel modo giusto?
Scrivimi analizzo la situazione gratuitamente in una chiamata di 30 minuti.
