Posso attivare gli aggiornamenti automatici?

Sì per gli aggiornamenti minori di WordPress (correzioni di sicurezza) e per plugin di poco impatto. No per aggiornamenti maggiori e per plugin critici (e-commerce, gestione utenti, page builder): potrebbero rompere il sito senza che te ne accorga. Configura caso per caso da Plugin → Aggiornamenti automatici.

Cosa rischio se non aggiorno il sito?

Tre rischi reali: vulnerabilità di sicurezza non corrette (account violati, malware iniettato, sito defacciato), incompatibilità progressive (plugin nuovi che non funzionano con versioni vecchie), perdita di funzionalità o prestazioni. La maggior parte dei siti WordPress hackerati ha versioni di plugin con vulnerabilità note da mesi.

Cos'è un ambiente di staging e perché mi serve?

È una copia del sito (stesso contenuto, stessa configurazione) accessibile solo a te, dove provare aggiornamenti prima di applicarli al sito vero. Se rompe lo staging, sistemi lì. Se non rompe, applichi al sito live in tutta tranquillità. Molti hosting offrono lo staging con un click. Per siti delicati (e-commerce, traffico alto) è imprescindibile.

Come aggiornare WordPress, plugin e tema in sicurezza

Aggiornare WordPress è una di quelle cose che spaventano chi non lo fa di mestiere. Si sente sempre la storia di "ho aggiornato e mi è esploso il sito". È vero, capita. Ma è quasi sempre evitabile con un metodo corretto: backup prima, ordine giusto, test dopo.

In questa guida vediamo come gestire gli aggiornamenti — del core di WordPress, dei plugin, del tema — minimizzando i rischi e mantenendo il sito sicuro nel tempo.

Cosa si aggiorna in WordPress

Su un sito WordPress ci sono tre cose che ricevono aggiornamenti:

Il core di WordPress: il software base. Aggiornamenti minori (es. 6.4.1 → 6.4.2) sono di solito correzioni rapide, raramente rompono. Aggiornamenti maggiori (es. 6.x → 7.x) sono più impegnativi
I plugin: ognuno ha il suo ciclo di rilascio. WooCommerce, plugin SEO, page builder rilasciano spesso. Plugin minori meno
Il tema: aggiornamenti di solito meno frequenti, ma importanti per compatibilità con il core. Se il tema è personalizzato, gli aggiornamenti vanno gestiti dall'agenzia

A questi si aggiungono le traduzioni e a volte la versione di PHP del server, che però è una scelta dell'hosting.

Step-by-step: aggiornamento sicuro

1. Verifica i backup

Prima di toccare qualsiasi cosa, controlla che l'ultimo backup sia recente (max 24 ore) e funzionante. Se non lo è, fai un backup manuale ora. Vedi la guida dedicata sui backup.

2. Controlla le note di rilascio

Sul pannello Bacheca → Aggiornamenti vedi cosa è disponibile. Per aggiornamenti importanti, clicca sul nome del plugin/tema/core per leggere il changelog: ti dice cosa è cambiato. Se vedi "breaking changes" o "richiede PHP 8.1+" stai attento.

3. Lavora prima sui plugin "secondari"

Ordine consigliato:

Plugin minori (form di contatto, widget, utility)
Tema
Plugin critici (WooCommerce, plugin SEO, sicurezza, page builder)
Core di WordPress

Aggiornare uno alla volta (non tutti insieme) ti permette di capire chi rompe se rompe.

4. Aggiornamento di un plugin

Vai su Plugin → Plugin installati. I plugin con aggiornamento disponibile mostrano un avviso giallo. Clicca Aggiorna ora. Aspetta che finisca. Apri il sito in un'altra scheda: verifica che funzioni.

Se rompe, Plugin → Plugin installati → Disattiva sul plugin rotto. Il sito torna a funzionare. Avvisa l'agenzia.

5. Aggiornamento del tema

Da Aspetto → Temi, il tema con aggiornamento mostra "Aggiornamento disponibile". Clicca Aggiorna ora.

6. Aggiornamento del core di WordPress

Da Bacheca → Aggiornamenti vedi se c'è una nuova versione di WordPress. Per aggiornamenti minori (6.4.1 → 6.4.2) clicca Aggiorna ora senza preoccupazioni. Per aggiornamenti maggiori (6.x → 7.x) prima fai test su staging se ce l'hai.

7. Verifica post-aggiornamento

Dopo ogni aggiornamento, controlla:

Home page si carica correttamente
Una pagina interna a caso
Un articolo del blog
La pagina contatti (form funzionante)
Il backend (Bacheca, Pagine, Plugin)
Se hai e-commerce: aggiungi un prodotto al carrello, simula un checkout

Se tutto va bene, hai finito. Se qualcosa è strano, ripristina dal backup e indaga.

Lavorare in staging (ambiente di test)

Per siti dove un down-time è costoso (e-commerce, traffico alto), gli aggiornamenti vanno testati prima in staging.

Cos'è uno staging

Una copia del sito identica al live, su un sottodominio nascosto (es. staging.miosito.it protetto da password). Puoi fare modifiche, aggiornare, sperimentare senza toccare il sito reale.

Come crearlo

Hosting con staging integrato (SiteGround, WP Engine, Kinsta, alcuni piani Aruba/Register): un click crea lo staging, due click lo aggiorna dal live
Plugin staging (WP Staging, Duplicator): creano una copia, ma con setup più manuale
Staging gestito dall'agenzia: noi spesso teniamo uno staging permanente per i clienti con e-commerce

Workflow staging → live

Aggiorna lo staging dall'ultima versione del live
Esegui gli aggiornamenti su staging
Testa: pagine, form, checkout, login
Se ok, replica gli stessi aggiornamenti sul live (con backup pre-aggiornamento)
Se non ok, indaga su staging finché non capisci cosa rompe

Aggiornamenti automatici: sì o no?

Da Plugin → Plugin installati trovi accanto a ogni plugin la voce Abilita aggiornamenti automatici. Pro e contro:

Pro	Contro
Sicurezza sempre aggiornata	Rischio di rottura silenziosa
Niente da ricordare	Non sai esattamente cosa cambia
Buoni per plugin minori	Pessimi per plugin critici (e-commerce)

Strategia consigliata:

Abilita auto-update per: WordPress core (versioni minori), plugin di sicurezza, plugin di backup, plugin minori
Disabilita auto-update per: WooCommerce, page builder, plugin SEO, plugin di pagamento, tema custom

Per il core, da Bacheca → Aggiornamenti scegli "Mantieni il mio sito aggiornato automaticamente per le versioni di manutenzione e sicurezza" (di default attivo).

Errori comuni

Aggiornare tutto insieme. Se rompe, non sai cosa è stato. Uno alla volta.
Aggiornare senza backup. Roulette russa. Sempre backup prima.
Aggiornare il venerdì pomeriggio. Se rompe sei nel weekend senza supporto. Aggiorna lunedì-mercoledì in mattinata.
Ignorare un aggiornamento per mesi. Le vulnerabilità si accumulano. Almeno una sessione di update ogni 2 settimane.
Non leggere il changelog. Alcuni aggiornamenti richiedono azioni post-update (configurazione nuova, migrazione dati). Leggi.
Aggiornare un tema personalizzato senza child theme. Cancelli mesi di personalizzazione.
Cliccare 'Aggiorna' su un plugin con licenza scaduta. Spesso non funziona o rompe. Rinnova la licenza prima.

Cadenza consigliata

Per la maggior parte dei siti aziendali medi:

Settimanale (15-20 minuti): controllo aggiornamenti minori, verifica backup, scansione sicurezza
Mensile (1-2 ore): aggiornamenti maggiori di plugin/tema, test su staging
Trimestrale (mezza giornata): pulizia plugin inutilizzati, ottimizzazione database, audit sicurezza

Per e-commerce o siti con traffico alto, raddoppia la frequenza.

Quando chiamare l'agenzia

Aggiornamento di WordPress maggiore (6.x → 7.x) su sito complesso
Plugin che rompe e non riesci a tornare indietro
Sito che non si carica più dopo un update
Avvisi di compatibilità che non capisci
Vulnerabilità segnalata su un plugin che usi
Migrazione di hosting o cambio versione PHP

Pochi minuti dell'agenzia ti risparmiano ore di stress.

In sintesi

Gli aggiornamenti sono il lavoro di manutenzione più importante di un sito WordPress. Saltarli è pericoloso, farli male anche. La regola d'oro: backup prima, uno alla volta, verifica dopo, staging per le cose grosse.

Se non vuoi pensarci, sottoscrivi un contratto di manutenzione con l'agenzia: noi (o chi ti ha consegnato il sito) ce ne occupiamo per te, con cadenza fissa, registro delle modifiche, e responsabilità chiara se qualcosa rompe. Per molti clienti è la scelta che dà più tranquillità.

Domande frequenti

Per aggiornamenti minori e di sicurezza sì, entro pochi giorni. Per aggiornamenti maggiori (es. WordPress 6.x → 7.x) meglio aspettare 1-2 settimane: lascia che gli early adopter scoprano problemi e che plugin/tema rilascino versioni compatibili. Mai aspettare mesi: vulnerabilità note non corrette sono il principale vettore di attacco.