Aggiornare WordPress: la pratica del martedì

Apriamo un sito di un cliente che non ha più aggiornato nulla da otto mesi. Schermata di amministrazione costellata di pallini rossi: WordPress 6.5, tema con due major release indietro, 14 plugin con update pending. Il cliente: “non l’ho aggiornato perché ho paura di rompere tutto”. È esattamente per non rompere tutto che bisogna aggiornare — solo, fatto bene. Cinque passi, dieci minuti la prima volta, due minuti le successive.

Perché aggiornare un sito WordPress è obbligatorio (non opzionale)

Il 43% dei siti del web gira su WordPress. È la piattaforma più amata dai content manager e — proprio per questo — la più attaccata. Ogni vulnerabilità scoperta in un plugin diffuso diventa un bersaglio per gli script automatici entro 24-48 ore. Se il tuo sito non riceve patch, è solo questione di tempo prima che venga compromesso.

Gli update non servono solo per la sicurezza. Servono anche per: compatibilità PHP (le versioni vecchie smettono di ricevere security fix), performance (ogni release di WordPress core ottimizza la query del database), nuove funzionalità (gestione media più snella, blocchi nuovi, editor migliorato), SEO (Google premia siti veloci e sicuri).

Skippare gli aggiornamenti per “paura di rompere” produce esattamente l’opposto: prima o poi si rompe, ma in produzione, senza preavviso, dopo un attacco o un’incompatibilità improvvisa.

I 5 passi che facciamo prima di toccare un sito

Questo è il protocollo che usiamo sui siti dei nostri clienti — gli stessi cinque step, ogni mese, sempre nello stesso ordine. Le prime volte spendi mezz’ora; quando entri in routine, due minuti.

Passo 1 — Backup completo del sito

Niente backup, niente aggiornamento. Mai. Anche se “è solo un plugin piccolo”. Anche se “tanto cosa vuoi che succeda”.

Il backup deve includere: database (tutti i tuoi articoli, ordini, utenti, impostazioni) e file (tema, plugin, immagini, upload). Se sei su Hostinger, SiteGround, Kinsta o un buon hosting WordPress, hai il backup automatico giornaliero — verifica che sia effettivamente attivo dal pannello. Se sei su hosting economico, installa UpdraftPlus (gratuito) e configura un backup settimanale verso Google Drive o Dropbox.

Prima di un aggiornamento “importante” (core, tema, plugin critico tipo WooCommerce), fai un backup manuale aggiuntivo proprio in quel momento. Tempo: 30 secondi via UpdraftPlus.

Passo 2 — Aggiorna prima su staging, mai direttamente su live

Se il sito è un blog personale o una vetrina semplice, puoi aggiornare direttamente in produzione. Se è un e-commerce, un sito con form di prenotazione, un’area clienti, devi avere un ambiente di staging: una copia identica del sito su un sottodominio (es. staging.tuosito.it) dove testare prima.

Gli hosting WordPress-managed offrono lo staging in un click. Su Hostinger lo trovi in WordPress > Strumenti > Staging; su SiteGround in Site Tools > WordPress > Staging. Lo crei, ci aggiorni tutto, verifichi che funzioni, e — solo se ok — fai il push verso il live.

Quando un nostro cliente non ha staging configurato, glielo configuriamo noi prima di toccare qualunque update. È due ore di lavoro che evita due giorni di firefighting.

Passo 3 — Aggiorna nell’ordine giusto

L’ordine conta. Aggiornare alla rinfusa fa litigare il sito con sé stesso.

1. PHP del server — se sei su PHP 7.4 o inferiore, passa a 8.2/8.3 prima di toccare qualsiasi altro update. Lo fai dal pannello dell’hosting, non da WordPress.
2. Core WordPress — sempre per primo nel pannello WP. Le release security vanno applicate entro 24h dall’annuncio.
3. Plugin uno alla volta — non in bulk. Aggiorni il primo, verifichi che il sito gira, passi al secondo. Quando trovi quello che rompe, sai esattamente quale.
4. Tema — per ultimo. Se hai un child theme, aggiorni il parent senza paura. Se hai personalizzato il tema senza child theme, fermati e chiama il tuo sviluppatore.

Passo 4 — Verifica funzionalità critiche dopo ogni gruppo

Dopo l’update, non basta vedere che la home si apre. Devi controllare le funzionalità che il tuo business usa davvero. Per un e-commerce: aggiungi un prodotto al carrello, vai al checkout, completa un ordine di test (modalità “Cash on delivery” + cancella subito dopo). Per un sito con prenotazioni: fai una prenotazione di prova. Per un blog: pubblica un articolo di test, controlla che si veda corretto sul mobile.

Apri anche la console di Chrome (F12 > Console). Se vedi errori JavaScript rossi che prima non c’erano, un update ha rotto qualcosa. Risali al colpevole disattivando un plugin alla volta.

Passo 5 — Documenta cosa hai aggiornato

Un foglio Excel basta. Una riga per update: data, cosa hai aggiornato (core/tema/plugin), versione precedente, versione nuova, eventuali problemi riscontrati. Sembra burocrazia, è oro: tra sei mesi quando qualcosa si romperà, avrai la timeline esatta di cosa è cambiato e quando.

Per i siti dei nostri clienti tracciamo tutto in un file di manutenzione condiviso. Trasparenza totale: il cliente sa sempre cosa è stato fatto e quando.

Quanto spesso aggiornare

Ritmo che funziona per la maggior parte dei siti business:

• Security release WP core — entro 24-48h dall’uscita (notifica via email da WordPress).
• Minor release plugin/tema — settimanale, un giorno fisso (per noi è il martedì mattina, da qui il nome di questa rubrica).
• Major release plugin critici (WooCommerce, Elementor, plugin di booking) — quando esce, aspetti 7-10 giorni per vedere se ci sono bug segnalati dalla community, poi aggiorni su staging, testi, e applichi al live.
• PHP del server — controlla 2 volte all’anno: WP avverte quando la tua versione PHP sta per uscire dal supporto.

Cosa fare se qualcosa si rompe

Capita. Anche con tutti i passi seguiti. Tre scenari, tre risposte secche.

• Schermata bianca della morte (WSOD) — un plugin in conflitto con un altro. Guida dedicata qui. In sintesi: disattiva tutti i plugin via FTP rinominando la cartella plugins, riattivi uno alla volta dal pannello.
• Errore 500 — quasi sempre incompatibilità PHP. Controlla in Strumenti > Salute del sito se WordPress segnala una versione PHP non più supportata.
• Pagine bianche su mobile, ok su desktop — cache del browser o di un plugin di cache. Svuota tutto.

Se non vai a capo in 15 minuti, ripristina il backup. Non insistere a debuggare in produzione. Riprovi il giorno dopo, con la testa fresca, su staging.

Cosa portarsi a casa

• Backup PRIMA di ogni update. Sempre. Anche per “un plugin piccolo”. Anche se sei di fretta.
• Staging per qualsiasi sito con e-commerce, form, area clienti. Non è opzionale: è il prerequisito per dormire la notte.
• Ordine giusto: PHP → Core WP → Plugin uno alla volta → Tema. Mai bulk update senza staging.

“La strategia si aggiusta sui risultati reali.” Vale anche per la manutenzione: il tuo protocollo di update va affinato in base ai problemi che incontri sul tuo sito specifico.

Conclusione

Un sito WordPress aggiornato regolarmente è veloce, sicuro, indicizzato meglio da Google, e — soprattutto — non ti sveglia alle tre di notte con una mail dal cliente. Cinque minuti il martedì, e il sito gira da solo per i sei giorni successivi.

Se non vuoi gestirlo in autonomia, è esattamente quello che facciamo per i nostri clienti come servizio continuativo: manutenzione mensile, monitoraggio, backup, recovery. Niente vetrine, solo strumenti che vendono — e che continuano a vendere anche tra un anno.

Domande frequenti