InspectWP Logo
Guida di risoluzione

Come aggiornare in sicurezza i temi WordPress

8 febbraio 2026 Aggiornato il 19 apr 2026

Mantenere aggiornato il tuo tema WordPress è importante quanto aggiornare i plugin. Le vulnerabilità dei temi possono esporre l'intero sito ad attacchi e i temi obsoleti spesso causano problemi di compatibilità con le versioni più recenti di WordPress. Tuttavia, gli aggiornamenti dei temi richiedono attenzione extra, perché possono sovrascrivere le tue personalizzazioni se hai modificato direttamente i file del tema. Questa guida ti accompagna attraverso l'intero processo di aggiornamento sicuro dei temi WordPress, dalla preparazione alla verifica.

Perché gli aggiornamenti dei temi WordPress sono importanti per sicurezza e compatibilità

Il tuo tema determina tutto ciò che i visitatori vedono sul tuo sito, dal layout alla tipografia, fino a come viene visualizzato il contenuto. Esegue anche codice PHP a ogni caricamento di pagina, rendendolo un potenziale bersaglio per gli aggressori. Ecco perché è importante restare aggiornati:

  • Patch per vulnerabilità di sicurezza: i temi possono contenere vulnerabilità come Cross-Site Scripting (XSS), SQL injection, bug di file inclusion o gestione insicura del caricamento file. Una singola vulnerabilità non patchata nel tuo tema può dare a un aggressore l'accesso completo al tuo sito. Le vulnerabilità dei temi sono particolarmente pericolose perché i temi sono attivi su ogni pagina, il che significa che il codice vulnerabile viene eseguito a ogni richiesta.
  • Compatibilità con il core di WordPress: il core di WordPress viene aggiornato regolarmente e ogni rilascio importante può deprecare funzioni PHP, modificare i template hook o cambiare il comportamento dell'editor a blocchi. Un tema obsoleto che dipende da funzioni rimosse causa avvisi PHP, rompe i layout o non riesce a renderizzare correttamente i blocchi.
  • Compatibilità con la versione PHP: i provider di hosting aggiornano regolarmente PHP per prestazioni e sicurezza. PHP 8.0 e 8.1 hanno introdotto la gestione rigorosa dei tipi, e PHP 8.2 ha deprecato le proprietà dinamiche. Codice di temi più vecchi che funzionava perfettamente su PHP 7.4 può generare avvisi di deprecazione o errori fatali su PHP 8.x. Mantenere il tema aggiornato garantisce che supporti l'ultima versione PHP del tuo server.
  • Miglioramenti di prestazioni e Core Web Vitals: gli sviluppatori di temi ottimizzano il loro codice nel tempo, riducendo le risorse che bloccano il rendering, migliorando il lazy loading delle immagini, aggiungendo strategie native di caricamento dei font e ottimizzando la consegna del CSS. Questi miglioramenti influiscono direttamente sul tuo Largest Contentful Paint (LCP), Cumulative Layout Shift (CLS) e altre metriche Core Web Vitals che Google usa come segnali di ranking.
  • Supporto per l'editor a blocchi e Full Site Editing: WordPress si sta muovendo verso il Full Site Editing (FSE) con i temi a blocchi. Gli aggiornamenti dei temi spesso aggiungono supporto per nuove funzionalità dell'editor a blocchi come stili globali, parti di template e pattern di blocchi personalizzati. Restare aggiornati significa che il tuo tema beneficia delle più recenti capacità di modifica.

Usare un child theme WordPress per proteggere le tue personalizzazioni

Il passo più importante che puoi fare prima di aggiornare un tema è assicurarti che le tue personalizzazioni siano in un child theme, non nei file del tema parent. Quando il tema parent viene aggiornato, ogni file nella directory del tema parent viene sovrascritto. Se hai modificato direttamente quei file, le tue modifiche sono perse.

Un child theme eredita tutte le funzionalità del tema parent e mantiene le tue modifiche in una directory separata. Ecco come configurarne uno:

Crea una nuova directory in wp-content/themes/ con il nome del tuo child theme (es. flavor-child). All'interno, crea un file style.css:

/*
 Theme Name: Flavor Child
 Template: flavor
 Description: Child theme for Flavor
 Version: 1.0.0
*/

La riga Template deve corrispondere esattamente al nome della directory del tema parent. Successivamente, crea un file functions.php per caricare gli stili del tema parent:

<?php
add_action('wp_enqueue_scripts', function () {
    wp_enqueue_style(
        'flavor-parent-style',
        get_template_directory_uri() . '/style.css'
    );
}, 5);

Attiva il child theme tramite Aspetto > Temi. Da questo punto in poi, qualsiasi file template che vuoi personalizzare deve essere copiato dal tema parent alla directory del child theme e modificato lì. Ad esempio, per personalizzare l'header, copia header.php dal tema parent alla cartella del tuo child theme e apporta le modifiche in quella copia. WordPress usa automaticamente la versione del child theme rispetto a quella del tema parent.

Guida passo passo per aggiornare i temi WordPress

Segui questo processo per ogni aggiornamento del tema, che si tratti di una piccola patch o di un upgrade di versione importante:

  1. Esegui un backup dell'intero sito: crea un backup completo del tuo database e di tutti i file. Usa un plugin di backup come UpdraftPlus, BlogVault o la funzione snapshot del tuo provider di hosting. Se usi WP-CLI, puoi esportare rapidamente il database:
    wp db export backup-before-theme-update.sql
    Esegui anche un backup specifico della directory del tema nel caso tu debba confrontare i file in seguito:
    cp -r wp-content/themes/flavor wp-content/themes/flavor-backup
  2. Leggi il changelog del tema: controlla la pagina del tema su WordPress.org o il sito web dello sviluppatore per il changelog. Cerca menzioni di breaking changes, file template rimossi, hook modificati o requisiti minimi aggiornati (versione WordPress, versione PHP). I salti di versione importanti meritano particolare attenzione.
  3. Confronta i file modificati del tema parent: se hai modificato direttamente il tema parent (senza child theme), prima di aggiornare devi identificare esattamente quali file hai cambiato. Usa uno strumento di diff o WP-CLI per confrontare:
    # Compare your theme files against the repository version
diff -r wp-content/themes/flavor /tmp/flavor-original/
    Documenta ogni modifica che trovi. Dovrai riapplicare queste modifiche dopo l'aggiornamento, idealmente spostandole in un child theme.
  4. Testa l'aggiornamento su un ambiente di staging: clona il tuo sito di produzione in un ambiente di staging e applica prima lì l'aggiornamento del tema. Controlla ogni area critica: layout della homepage, archivio del blog, pagine dei singoli articoli, template di pagine personalizzate, header e footer, menu di navigazione, aree widget, pagine prodotto WooCommerce (se applicabile) e responsività mobile.
  5. Applica l'aggiornamento in produzione: vai a Aspetto > Temi, clicca sul tuo tema attivo e clicca su "Aggiorna". Se usi WP-CLI:
    wp theme update flavor
  6. Verifica accuratamente il tuo sito: dopo l'aggiornamento, controlla quanto segue:
    • La homepage si visualizza correttamente con tutte le sezioni e le immagini
    • I menu di navigazione si visualizzano correttamente su desktop e mobile
    • I post del blog e le pagine archivio mantengono il loro layout
    • I template di pagine personalizzate funzionano ancora
    • I widget e le sidebar appaiono nelle posizioni corrette
    • Form, pulsanti ed elementi interattivi funzionano
    • La console del browser non mostra nuovi errori JavaScript
    • Il log degli errori PHP non contiene nuovi avvisi o notifiche

Come recuperare le personalizzazioni del tema perse dopo un aggiornamento

Se hai modificato direttamente il tema parent e un aggiornamento sovrascrive le tue modifiche, non farti prendere dal panico. Segui questi passaggi per recuperare:

  1. Ripristina la versione precedente del tema dal tuo backup: se hai eseguito il backup della directory del tema prima dell'aggiornamento (come raccomandato sopra), copia i vecchi file del tema al loro posto. Se hai usato un backup completo del sito, puoi estrarre solo la cartella del tema.
  2. Identifica tutti i file personalizzati: confronta la vecchia versione ripristinata con la versione originale (non modificata) di quella stessa release. Questo rivela esattamente quali file hai modificato e quali erano le modifiche. Usa diff o uno strumento di confronto visivo come Meld o il visualizzatore diff integrato di VS Code.
  3. Crea un child theme e migra le tue modifiche: per ogni file che hai modificato, copialo dal tema parent in una nuova directory di child theme e applica lì le tue modifiche. In questo modo, i futuri aggiornamenti del tema parent non sovrascriveranno il tuo lavoro.
  4. Aggiorna nuovamente il tema parent: con le tue personalizzazioni al sicuro nel child theme, aggiorna il tema parent all'ultima versione.
  5. Verifica che tutto funzioni insieme: testa accuratamente il tuo sito. Presta particolare attenzione ai file template in cui il tema parent ha apportato modifiche strutturali. Le sovrascritture dei template del tuo child theme potrebbero dover essere adattate per corrispondere a nuovo markup o modifiche di hook nel tema parent.

Come gestire temi WordPress obsoleti e abbandonati

Quando InspectWP segnala che il tuo tema è obsoleto, la risposta corretta dipende da quanto è obsoleto e se è ancora mantenuto:

  • Controlla la data dell'ultimo aggiornamento su WordPress.org: se il tema non è stato aggiornato da più di due anni, potrebbe essere abbandonato. Controlla il forum di supporto: se lo sviluppatore non risponde più alle domande, il tema probabilmente non è più mantenuto.
  • Cerca vulnerabilità di sicurezza note: controlla il database delle vulnerabilità di WPScan, il database di Patchstack e il forum di supporto del tema per problemi di sicurezza segnalati. Un tema abbandonato con vulnerabilità note rappresenta un serio rischio.
  • Considera la migrazione a un tema attivamente mantenuto: se il tuo tema è abbandonato, pianifica una migrazione a un tema moderno e attivamente mantenuto. Opzioni popolari ben mantenute includono GeneratePress, Flavor, Kadence e Flavor Theme. Per i temi a blocchi puoi considerare Twenty Twenty-Five o Flavor.
  • Mantieni installato l'ultimo tema predefinito di WordPress: WordPress viene fornito con temi predefiniti (Twenty Twenty-Five, Twenty Twenty-Four, ecc.) che fungono da temi di fallback. Mantieni sempre installato almeno l'ultimo tema predefinito. Se il tuo tema attivo va in crash o viene disattivato automaticamente da un errore fatale, WordPress ripiega sul tema predefinito, in modo che il tuo sito rimanga accessibile.
  • Elimina i temi inutilizzati: come i plugin, i temi inattivi nella tua directory wp-content/themes/ possono essere sfruttati se contengono vulnerabilità. Conserva solo il tuo tema attivo, il tema parent (se usi un child theme) e l'ultimo tema predefinito di WordPress. Elimina tutto il resto.

Configurare gli aggiornamenti automatici dei temi WordPress

WordPress 5.5 ha introdotto il supporto integrato per gli aggiornamenti automatici dei temi. Ecco come abilitarli:

  1. Vai a Aspetto > Temi.
  2. Clicca sul tuo tema attivo per aprire i dettagli.
  3. Clicca su "Abilita aggiornamenti automatici".

Per abilitare gli aggiornamenti automatici per tutti i temi in modo programmatico:

add_filter('auto_update_theme', '__return_true');

Per aggiornamenti automatici selettivi, puoi targetizzare temi specifici:

add_filter('auto_update_theme', function ($update, $item) {
    // Only auto-update these themes
    $auto_update_themes = ['flavor', 'flavor-child'];
    return in_array($item->theme, $auto_update_themes, true);
}, 10, 2);

Gli aggiornamenti automatici funzionano bene per temi che ricevono regolarmente piccole patch. Per temi che apportano grandi modifiche strutturali tra le versioni (specialmente temi premium con page builder integrati), gli aggiornamenti manuali con test di staging sono più sicuri.

Considerazioni per aggiornare temi a blocchi per Full Site Editing

Se usi un tema a blocchi (Full Site Editing), il processo di aggiornamento funziona diversamente, perché le tue personalizzazioni di design sono memorizzate separatamente dai file del tema:

  • Gli stili globali sono memorizzati nel database: colori, tipografia, spaziatura e altri token di design che imposti tramite il Site Editor sono memorizzati come un custom post type (wp_global_styles), non in theme.json. Gli aggiornamenti del tema non sovrascrivono queste impostazioni.
  • Anche i template personalizzati sono memorizzati nel database: quando crei o modifichi template nel Site Editor, WordPress li memorizza nel database come custom post type wp_template e wp_template_part. Queste personalizzazioni sopravvivono agli aggiornamenti del tema.
  • Tuttavia, controlla le modifiche ai template: quando lo sviluppatore del tema aggiunge nuovi template, ristruttura quelli esistenti o modifica i pattern di blocchi, le tue personalizzazioni memorizzate nel database potrebbero non raccogliere automaticamente quei miglioramenti. Dopo aver aggiornato un tema a blocchi, confronta i tuoi template personalizzati con i nuovi predefiniti (puoi ripristinare i singoli template nel Site Editor) per vedere se il tema ha introdotto modifiche utili che vorresti adottare.
  • Il file theme.json viene comunque sovrascritto: sebbene le tue personalizzazioni del Site Editor siano al sicuro, il file theme.json di base nella directory del tema viene sostituito durante un aggiornamento. Se hai modificato manualmente theme.json invece di usare il Site Editor, quelle modifiche andranno perse. Best practice: usa il theme.json di un child theme per personalizzazioni JSON manuali, oppure usa l'interfaccia del Site Editor, che memorizza tutto nel database.

Gestire gli aggiornamenti dei temi WordPress con WP-CLI

WP-CLI fornisce comandi efficienti per gestire gli aggiornamenti dei temi dalla riga di comando:

# Check for available theme updates
wp theme list --update=available --format=table

# Update a specific theme
wp theme update flavor

# Update all themes
wp theme update --all

# Get detailed theme information
wp theme get flavor --fields=name,version,status,update

# Verify theme file checksums against WordPress.org
wp theme verify-checksums flavor

# Install and activate a theme in one command
wp theme install flavor --activate

# List all installed themes with their status
wp theme list --format=table

Come InspectWP monitora il tuo tema WordPress

InspectWP rileva il tuo tema WordPress attivo e il child theme analizzando il sorgente della pagina e i riferimenti agli stylesheet. Controlla la versione del tema installata rispetto al repository WordPress.org e segnala i temi che eseguono versioni obsolete. InspectWP identifica anche se stai usando un child theme (cosa raccomandata per aggiornamenti sicuri) e mostra la relazione parent-child del tema. Se il tuo tema è stato rimosso dal repository WordPress, InspectWP lo segnala come potenziale problema di sicurezza. Con i report automatici pianificati, ricevi notifiche quando la versione del tuo tema rimane indietro, dandoti tempo per pianificare e testare gli aggiornamenti prima che diventino un rischio di sicurezza.

Articolo precedente

Come mantenere i plugin WordPress aggiornati e sicuri

Articolo successivo

Aggiungere una meta description in WordPress

Articoli correlati

Aumentare la dimensione massima di upload dei file in WordPress

Bloccare readme.html e license.txt in WordPress

Disabilitare il directory listing in WordPress (Apache e nginx)

Vedi tutti gli articoli

Controlla subito il tuo sito WordPress

InspectWP analizza il tuo sito WordPress per problemi di sicurezza, problemi SEO, conformità GDPR e prestazioni — gratuitamente.

Analizza gratis il tuo sito