InspectWP Logo
Guida di risoluzione

Come mantenere i plugin WordPress aggiornati e sicuri

8 febbraio 2026 Aggiornato il 19 apr 2026

I plugin WordPress obsoleti sono tra i vettori di attacco più comuni per gli hacker. Secondo vari report di sicurezza, oltre il 50% delle vulnerabilità WordPress proviene dai plugin. Aggiornarli è essenziale per la sicurezza e la stabilità del tuo sito. Ma cliccare semplicemente su "Aggiorna" senza un piano può introdurre nuovi problemi. Questa guida copre tutto ciò che devi sapere per gestire correttamente gli aggiornamenti dei plugin WordPress.

Perché gli aggiornamenti dei plugin WordPress sono cruciali per la sicurezza

Ogni plugin WordPress aggiunge codice al tuo sito, e ogni riga di codice è un potenziale punto di ingresso per gli aggressori. Quando viene scoperta una vulnerabilità in un plugin, gli sviluppatori rilasciano una patch. La finestra temporale tra la divulgazione pubblica e il tuo aggiornamento è quando il tuo sito è più vulnerabile. I bot automatizzati scansionano Internet alla ricerca di siti con versioni vulnerabili note, a volte entro poche ore dalla pubblicazione di un CVE.

  • Patch di sicurezza: la maggior parte degli aggiornamenti dei plugin contiene correzioni per vulnerabilità scoperte. Rimandare gli aggiornamenti espone il tuo sito a exploit già documentati in database pubblici come WPScan e la National Vulnerability Database (NVD).
  • Compatibilità con il core di WordPress: il core di WordPress viene aggiornato regolarmente e ogni rilascio importante può deprecare funzioni o modificare API interne. I plugin obsoleti che dipendono da codice deprecato possono rompersi completamente o produrre avvisi PHP che trapelano informazioni sulla configurazione del tuo server.
  • Ottimizzazione delle prestazioni: gli sviluppatori ottimizzano regolarmente le query del database, riducono l'uso della memoria e migliorano il caricamento degli asset nelle versioni più recenti. Eseguire codice di plugin vecchio significa perdere questi vantaggi.
  • Nuove funzionalità e correzioni di bug: oltre alla sicurezza, gli aggiornamenti affrontano bug segnalati e introducono funzionalità richieste dagli utenti. Restare aggiornati significa meno problemi e una migliore esperienza per i tuoi visitatori.
  • Supporto per le versioni PHP: man mano che il tuo provider di hosting aggiorna PHP (cosa che dovresti incoraggiare per prestazioni e sicurezza), il codice dei plugin più vecchi può generare avvisi di deprecazione o errori fatali su PHP 8.x.

Come aggiornare in sicurezza i plugin WordPress passo dopo passo

Cliccare ciecamente su "Aggiorna tutto" nella dashboard di WordPress è rischioso. Un approccio metodico ti protegge da downtime imprevisti e rende molto più facile risolvere i problemi se qualcosa va storto.

  1. Esegui prima un backup completo: esegui sempre il backup del database e dei file prima di aggiornare qualsiasi cosa. Usa un plugin di backup come UpdraftPlus, BlogVault o lo strumento di backup integrato del tuo provider di hosting. Verifica che il backup sia stato completato con successo e che tu possa ripristinarlo. Un backup che non hai mai testato non è un backup di cui ti puoi fidare.
  2. Leggi attentamente il changelog: prima di aggiornare, visita la pagina del plugin su WordPress.org o il sito dello sviluppatore e leggi il changelog. Presta particolare attenzione ai salti di versione importanti (es. da 2.x a 3.x), che spesso contengono modifiche di rottura, migrazioni del database o funzionalità rimosse. Se il changelog menziona "breaking changes" o "minimum requirements", pianifica più tempo per i test.
  3. Aggiorna un plugin alla volta: resisti alla tentazione di aggiornare tutti i plugin contemporaneamente. Se aggiorni dieci plugin in una volta e il tuo sito si rompe, non saprai quale ha causato il problema. Aggiornane uno, controlla il tuo sito, poi passa al successivo. Sì, richiede più tempo. Sì, ne vale la pena.
  4. Testa prima su un ambiente di staging: se il tuo provider di hosting offre lo staging (la maggior parte degli host WordPress gestiti lo fa), clona il tuo sito di produzione e applica prima gli aggiornamenti lì. Controlla tutte le funzionalità critiche: form di contatto, checkout WooCommerce, login degli abbonati, custom post type e qualsiasi layout di page builder. Esegui il push in produzione solo quando sei sicuro che tutto funzioni.
  5. Verifica le funzionalità chiave dopo ogni aggiornamento: dopo l'aggiornamento in produzione, percorri i flussi più importanti del tuo sito. Invia un form di test, completa un acquisto di prova, verifica che il tuo plugin di cache funzioni ancora e che il tuo plugin SEO produca i meta tag corretti. Controlla la console del browser per errori JavaScript che potrebbero indicare un conflitto.
  6. Monitora i log degli errori: dopo l'aggiornamento, controlla il tuo log degli errori PHP e il log di debug di WordPress. Abilita temporaneamente il logging di debug se non è attivo:
// In wp-config.php
define('WP_DEBUG', true);
define('WP_DEBUG_LOG', true);
define('WP_DEBUG_DISPLAY', false);

Questo scrive gli errori in wp-content/debug.log senza mostrarli ai visitatori. Esamina questo file dopo ogni aggiornamento e disabilita la modalità debug una volta che sei soddisfatto che tutto sia stabile.

Gestire gli aggiornamenti automatici per i plugin WordPress

WordPress 5.5 ha introdotto il supporto integrato per gli aggiornamenti automatici dei plugin. Questa funzionalità è comoda, ma comporta dei compromessi che dovresti comprendere prima di abilitarla.

Abilita gli aggiornamenti automatici in modo selettivo tramite la dashboard di amministrazione:

  1. Vai a Plugin > Plugin installati.
  2. Clicca su "Abilita aggiornamenti automatici" accanto a ogni plugin che desideri aggiornare automaticamente.

Per abilitare gli aggiornamenti automatici per tutti i plugin in modo programmatico, aggiungi questo al functions.php del tuo tema o a un plugin personalizzato:

add_filter('auto_update_plugin', '__return_true');

Per un controllo più granulare, puoi aggiornare automaticamente solo plugin specifici:

add_filter('auto_update_plugin', function ($update, $item) {
    // Auto-update only these plugins
    $auto_update_plugins = [
        'wordfence/wordfence.php',
        'akismet/akismet.php',
        'wp-mail-smtp/wp_mail_smtp.php',
    ];
    return in_array($item->plugin, $auto_update_plugins, true);
}, 10, 2);

Una strategia pratica: abilita gli aggiornamenti automatici per i plugin critici per la sicurezza (firewall, antispam, protezione del login) dove rimandare le patch è pericoloso. Mantieni gli aggiornamenti automatici disabilitati per plugin complessi come page builder, WooCommerce o plugin sviluppati su misura dove gli aggiornamenti hanno maggiori probabilità di introdurre modifiche di rottura.

Importante: gli aggiornamenti automatici funzionano tramite WordPress-cron, che dipende dal traffico del sito. Se il tuo sito ha pochissimo traffico, gli aggiornamenti automatici possono essere ritardati. Considera l'impostazione di un vero cronjob server per attivare in modo affidabile wp-cron.php:

# Run WordPress cron every 5 minutes
*/5 * * * * wget -q -O - https://yoursite.com/wp-cron.php?doing_wp_cron > /dev/null 2>&1

Come gestire i plugin rimossi dal repository WordPress

A volte i plugin vengono rimossi dal repository WordPress.org. Questo può accadere per diversi motivi: falle di sicurezza non patchate, violazioni della licenza GPL, violazioni delle linee guida o lo sviluppatore che richiede la rimozione. Quando InspectWP segnala un plugin rimosso sul tuo sito, trattalo come un problema ad alta priorità.

  1. Disattiva ed elimina immediatamente il plugin: i plugin rimossi spesso hanno vulnerabilità non patchate che non saranno mai corrette. Ogni giorno in cui li mantieni attivi è un giorno in cui il tuo sito è a rischio. Non aspettare un "momento adatto" per affrontare questo problema.
  2. Trova un'alternativa mantenuta: cerca nel repository dei plugin WordPress un sostituto che offra la stessa funzionalità. Esamina il numero di installazioni attive, la data dell'ultimo aggiornamento e l'attività sul forum di supporto per valutare se l'alternativa è ben mantenuta. Alternative popolari per funzionalità comuni includono:
    • Form di contatto: WPForms, Gravity Forms, Formidable Forms
    • SEO: Yoast SEO, Rank Math, The SEO Framework
    • Sicurezza: Wordfence, Solid Security, Sucuri
    • Cache: WP Rocket, W3 Total Cache, LiteSpeed Cache
  3. Pulisci i dati residui: molti plugin lasciano tabelle del database, opzioni nella tabella wp_options e file in wp-content. Dopo aver eliminato un plugin, pulisci questi dati residui. Puoi farlo manualmente tramite phpMyAdmin, usare un plugin come WP-Optimize o Advanced Database Cleaner, o eseguire comandi WP-CLI:
# List all options matching a plugin prefix
wp option list --search='*pluginprefix*' --format=table

# Delete specific options
wp option delete pluginprefix_settings
wp option delete pluginprefix_version

# Drop leftover database tables
wp db query "DROP TABLE IF EXISTS wp_pluginprefix_data;"

Best practice per la sicurezza dei plugin WordPress

Mantenere i plugin aggiornati è solo una parte di una solida strategia di sicurezza. Queste pratiche aggiuntive riducono il tuo rischio complessivo:

  • Installa plugin solo da fonti affidabili: attieniti al repository ufficiale WordPress.org per i plugin gratuiti e acquista plugin premium direttamente dal sito web dello sviluppatore. Non scaricare mai plugin premium "nulled" o ottenuti illegalmente. Contengono quasi sempre backdoor, miner di criptovaluta o codice di iniezione spam.
  • Elimina i plugin inutilizzati e disattivati: un plugin disattivato può ancora essere sfruttato se contiene una vulnerabilità in un file accessibile direttamente tramite un URL. Elimina ogni plugin che non stai usando attivamente. Se pensi che ti servirà in seguito, annota il nome del plugin e reinstallalo quando arriverà il momento.
  • Controlla la data dell'ultimo aggiornamento prima di installare: un plugin che non è stato aggiornato da più di un anno potrebbe essere abbandonato. Controlla il campo "Ultimo aggiornamento" sulla pagina WordPress.org del plugin. Guarda anche il forum di supporto: se lo sviluppatore non risponde alle richieste di supporto da mesi, il plugin potrebbe essere di fatto morto. Considera alternative prima di impegnarti con un plugin non mantenuto.
  • Esamina cosa fa il plugin all'attivazione: alcuni plugin registrano endpoint REST API personalizzati, aggiungono regole di rewrite o creano nuove tabelle del database. Sii consapevole di cosa aggiunge ogni plugin al tuo sito. I plugin che richiedono accesso in scrittura al filesystem, effettuano richieste HTTP esterne o modificano il tuo file .htaccess meritano un'attenzione extra.
  • Limita il numero totale di plugin: non esiste un numero magico, ma ogni plugin aumenta la tua superficie di attacco, aggiunge potenziale overhead prestazionale e crea un'altra dipendenza da mantenere. Prima di installare un plugin, chiediti: posso ottenere questo risultato con i plugin esistenti, un piccolo frammento di codice o una funzionalità del tema? Se un plugin fa solo una piccola cosa, considera se poche righe di codice personalizzato siano più appropriate.
  • Usa un plugin di sicurezza WordPress: strumenti come Wordfence, Solid Security o Sucuri forniscono protezione firewall, scansioni malware e hardening del login. Possono anche avvisarti quando un plugin installato ha una vulnerabilità nota, anche prima che tu lo aggiorni.
  • Monitora proattivamente le vulnerabilità dei plugin: iscriviti al feed delle vulnerabilità di WPScan o usa il plugin Patchstack per ricevere notifiche quando vengono divulgate vulnerabilità per i plugin che usi. Questo ti permette di reagire rapidamente, a volte prima che gli aggressori inizino a sfruttare il problema.

Usare WP-CLI per una gestione efficiente dei plugin

Se gestisci più siti WordPress o preferisci lavorare dalla riga di comando, WP-CLI rende la gestione dei plugin molto più rapida e scriptabile.

# Check for available plugin updates
wp plugin list --update=available --format=table

# Update a specific plugin
wp plugin update contact-form-7

# Update all plugins at once (use with caution)
wp plugin update --all

# Check plugin status and version
wp plugin status akismet

# Install and activate a plugin in one command
wp plugin install wordfence --activate

# Deactivate and delete an unused plugin
wp plugin deactivate hello-dolly && wp plugin delete hello-dolly

# Verify plugin checksums against WordPress.org
wp plugin verify-checksums --all

Il comando verify-checksums è particolarmente utile per gli audit di sicurezza. Confronta i file dei plugin installati con gli originali su WordPress.org e segnala eventuali modifiche. Questo aiuta a rilevare file manomessi che possono indicare una compromissione.

Impostare un workflow di aggiornamento plugin per i team

Se più persone gestiscono il tuo sito WordPress, stabilisci un processo chiaro per gli aggiornamenti dei plugin per evitare conflitti e garantire la responsabilità:

  1. Pianifica una finestra regolare di aggiornamento: scegli uno slot settimanale o bisettimanale per gli aggiornamenti non critici. Le patch di sicurezza dovrebbero essere applicate il prima possibile, indipendentemente dal programma.
  2. Documenta il processo di aggiornamento: scrivi quali pagine e funzionalità testare dopo ogni tipo di aggiornamento del plugin. Ad esempio: dopo aver aggiornato WooCommerce, testa sempre il carrello, il checkout e l'elaborazione dei pagamenti.
  3. Usa il controllo versione per i plugin personalizzati: se hai plugin sviluppati su misura, conservali in un repository Git. Tagga le release e usa il repository come fonte autoritativa per i deploy.
  4. Imposta il monitoraggio dell'uptime: usa un servizio come UptimeRobot o Pingdom per avvisarti se il tuo sito va offline dopo un aggiornamento. Prima lo sai, prima puoi fare il rollback.
  5. Tieni pronto un piano di rollback: sapere come ripristinare rapidamente il backup. Esercita il processo di ripristino almeno una volta, così non lo imparerai per la prima volta durante un'emergenza.

Come InspectWP monitora i tuoi plugin WordPress

InspectWP rileva i plugin WordPress installati analizzando il sorgente della pagina, i file CSS e JavaScript caricati sul tuo sito. Controlla la versione di ogni plugin rilevato rispetto al repository WordPress.org e segnala i plugin obsoleti. Identifica anche i plugin completamente rimossi dal repository, che è un indicatore di sicurezza critico che molti proprietari di siti trascurano. Con i report automatici di InspectWP puoi pianificare scansioni regolari che ti avvisano quando un plugin rimane indietro o scompare dal repository, così puoi agire prima che una vulnerabilità venga sfruttata.

Articolo precedente

Risolvere i flag di sicurezza dei cookie in WordPress

Articolo successivo

Come aggiornare in sicurezza i temi WordPress

Articoli correlati

Aumentare la dimensione massima di upload dei file in WordPress

Bloccare readme.html e license.txt in WordPress

Disabilitare il directory listing in WordPress (Apache e nginx)

Vedi tutti gli articoli

Controlla subito il tuo sito WordPress

InspectWP analizza il tuo sito WordPress per problemi di sicurezza, problemi SEO, conformità GDPR e prestazioni — gratuitamente.

Analizza gratis il tuo sito