InspectWP Logo
Best Practice

Lanciare un nuovo sito WordPress — cosa controllare

8 febbraio 2026 Aggiornato il 19 apr 2026

Lanciare un nuovo sito WordPress senza una revisione pre-lancio approfondita è come aprire un negozio senza controllare se le porte si chiudono o se le luci funzionano. Molti problemi che emergono dopo il lancio, dalle vulnerabilità di sicurezza alle configurazioni errate SEO, sono significativamente più difficili e imbarazzanti da risolvere una volta che visitatori reali e motori di ricerca sono già arrivati. Questa checklist copre tutto ciò che dovresti verificare prima di accendere l'interruttore, organizzato per categoria. Una singola scansione InspectWP può controllare automaticamente la maggior parte di questi elementi.

Checklist di sicurezza pre-lancio per WordPress

Le falle di sicurezza al lancio sono particolarmente problematiche perché i bot automatizzati scansionano per nuove installazioni WordPress e possono sfruttare configurazioni predefinite in poche ore.

  • Certificato SSL installato e verificato: apri il tuo sito nel browser e conferma che l'icona del lucchetto appaia. Cliccala per verificare che il certificato sia valido, non scaduto ed emesso per il dominio corretto. Testa sia https://example.com che https://www.example.com (qualunque sia quello che usi).
  • Redirect HTTP-a-HTTPS funzionante: digita manualmente http://tuodominio.com nel browser e conferma che reindirizzi alla versione HTTPS con un redirect 301 (permanente), non 302 (temporaneo). Testa con entrambe le varianti www e non-www.
  • Intestazioni di sicurezza configurate: verifica che le seguenti intestazioni siano presenti nelle risposte del tuo server: HSTS (Strict-Transport-Security), X-Frame-Options, X-Content-Type-Options, Referrer-Policy e Permissions-Policy. Una Content-Security-Policy è opzionale al lancio, ma dovrebbe essere nella tua roadmap. InspectWP controlla tutte queste automaticamente.
  • WordPress core, tutti i plugin e tutti i temi completamente aggiornati: anche se hai installato tutto una settimana fa, controlla gli aggiornamenti. WordPress e gli sviluppatori di plugin rilasciano regolarmente patch di sicurezza. Vai a Dashboard > Aggiornamenti e assicurati che tutto sia aggiornato.
  • Nome utente "admin" predefinito modificato: se hai creato l'account utente iniziale con il nome utente "admin", crea un nuovo account amministratore con un nome utente diverso, riassegna tutto il contenuto ed elimina il vecchio account "admin". Gli attaccanti provano questo nome utente per primo negli attacchi brute-force.
  • Password forti e univoche per tutti gli account: ogni account utente deve avere una password lunga almeno 16 caratteri, generata casualmente e non riutilizzata da nessun altro sito. Usa un password manager. Abilita l'autenticazione a due fattori (2FA) per tutti gli account amministratore.
  • XML-RPC disabilitato se non richiesto: a meno che non utilizzi Jetpack o l'app mobile di WordPress, disabilita completamente XML-RPC. È un bersaglio comune per gli attacchi di amplificazione brute-force. Bloccalo a livello di server o con un plugin di sicurezza.
  • Endpoint utenti REST API limitato: testa visitando tuodominio.com/wp-json/wp/v2/users nel tuo browser. Se restituisce un elenco di nomi utente, devi limitare questo endpoint solo agli utenti autenticati.
  • Modifica file in admin disabilitata: aggiungi define('DISALLOW_FILE_EDIT', true); al tuo wp-config.php. Questo impedisce a chiunque (compresi gli attaccanti che ottengono l'accesso admin) di modificare file di tema o plugin tramite il dashboard WordPress.
  • debug.log non accessibile pubblicamente: naviga a tuodominio.com/wp-content/debug.log nel tuo browser. Se vedi l'output del log, elimina il file o blocca l'accesso ad esso tramite la configurazione del tuo server. In produzione, imposta WP_DEBUG su false e WP_DEBUG_LOG su false nel tuo wp-config.php.
  • Contenuti predefiniti non necessari rimossi: elimina il post di esempio "Hello World", la pagina di esempio e il commento di esempio. Rimuovi i temi non utilizzati (mantieni solo il tuo tema attivo e uno predefinito come backup). Elimina eventuali plugin che hai installato per i test ma non hai bisogno in produzione.
  • Soluzione di backup configurata e testata: imposta backup automatizzati prima del lancio, non dopo. Configura un plugin come UpdraftPlus per fare il backup in una posizione off-site (Amazon S3, Google Drive, Dropbox). Esegui un backup di test e verifica di poter ripristinare da esso.

Configurazione SEO pre-lancio per WordPress

Le configurazioni errate SEO al lancio possono avere conseguenze durature. Se i motori di ricerca indicizzano il tuo sito in modo errato nelle prime settimane, possono volerci mesi per recuperare.

  • Sitemap XML creata e inviata: installa un plugin SEO (Yoast SEO, Rank Math o SEOPress) e conferma che generi una sitemap. Invia l'URL della sitemap a Google Search Console. Se il tuo sito non è ancora in Search Console, aggiungilo ora e verifica la proprietà.
  • robots.txt rivisto: visita tuodominio.com/robots.txt e verifica che non blocchi contenuti importanti. Un errore comune è lasciare le regole dell'ambiente di staging che bloccano tutto il crawling. Il tuo robots.txt dovrebbe includere un riferimento alla tua sitemap.
  • "Scoraggia i motori di ricerca" è DESELEZIONATO: vai a Impostazioni > Lettura nel tuo admin WordPress. Assicurati che "Scoraggia i motori di ricerca dall'indicizzare questo sito" non sia selezionato. Questa casella di controllo è spesso attivata durante lo sviluppo e dimenticata al lancio. Quando attivata, WordPress aggiunge un meta-tag noindex a tutte le pagine e blocca i motori di ricerca tramite robots.txt.
  • Meta description impostate per tutte le pagine importanti: come minimo, scrivi meta description uniche per la tua homepage, pagina chi siamo, pagine di servizio/prodotto e altre pagine ad alta priorità. Questi sono gli snippet che appaiono nei risultati di ricerca e influiscono direttamente sui tassi di clic.
  • Un tag H1 per pagina con corretta gerarchia delle intestazioni: controlla la tua homepage e tutte le pagine importanti. Assicurati che ogni pagina abbia esattamente un H1 (di solito il titolo della pagina) e che le intestazioni seguano la corretta gerarchia (H1 > H2 > H3, senza saltare). Alcuni temi e page builder causano problemi di intestazione che non sono evidenti nell'editor visivo.
  • Tag canonical presenti su tutte le pagine: verifica che ogni pagina includa un tag <link rel="canonical"> che punta al proprio URL. La maggior parte dei plugin SEO gestisce questo automaticamente, ma controlla alcune pagine per confermare. Tag canonical errati possono far ignorare completamente le tue pagine ai motori di ricerca.
  • Dati strutturati JSON-LD aggiunti: come minimo, aggiungi lo schema Organization (per la tua attività o marchio) e lo schema Article (per i post del blog). Anche lo schema Breadcrumb è prezioso per i siti con navigazione pesante. Testa i tuoi dati strutturati con lo strumento Rich Results Test di Google.
  • Tag Open Graph e Twitter Card configurati: condividi un link al tuo sito su Facebook e Twitter (X) e verifica che l'anteprima appaia correttamente: titolo, descrizione e immagine in evidenza corretti. Usa il Sharing Debugger di Facebook e il Card Validator di Twitter per testare e svuotare le cache se necessario.
  • Permalink impostati su struttura SEO-friendly: vai a Impostazioni > Permalink e seleziona "Nome articolo" (la struttura /%postname%/). Evita strutture basate sulla data o numeriche. Se cambi questa impostazione dopo che i contenuti sono stati pubblicati, imposta redirect 301 dai vecchi URL ai nuovi.
  • Nessun tag noindex non intenzionale: controlla il codice sorgente HTML delle tue pagine più importanti per <meta name="robots" content="noindex">. Alcuni plugin SEO consentono di impostare noindex su singole pagine, e questo viene a volte applicato accidentalmente durante la creazione di contenuti.

Ottimizzazione delle prestazioni pre-lancio per WordPress

Le prime impressioni contano. Se i visitatori arrivano a un sito lento al lancio, se ne vanno e potrebbero non tornare.

  • Plugin di caching installato e configurato: il caching delle pagine è l'ottimizzazione delle prestazioni più impattante. Installa WP Rocket, LiteSpeed Cache o WP Super Cache e verifica che funzioni controllando l'intestazione di risposta o la sorgente della pagina per indicatori di cache. Vedi la guida alle prestazioni (KB-58) per istruzioni di configurazione dettagliate.
  • Compressione Gzip o Brotli abilitata: controlla l'intestazione di risposta per Content-Encoding: gzip o Content-Encoding: br. La maggior parte dei plugin di caching abilita automaticamente la compressione. In caso contrario, configurala a livello di server.
  • Immagini ottimizzate prima del lancio: fai passare tutte le immagini caricate attraverso un plugin di ottimizzazione (ShortPixel, Imagify, Smush). Converti in formato WebP dove possibile. Abilita il lazy loading per le immagini sotto la fold. Verifica che non vengano servite immagini sovradimensionate controllando le dimensioni delle immagini negli strumenti di sviluppo del browser.
  • HTTP/2 abilitato: questo è di solito automatico quando HTTPS è attivo. Verifica controllando la colonna del protocollo nella scheda di rete del tuo browser o eseguendo una scansione InspectWP. Se sei ancora su HTTP/1.1, contatta il tuo provider di hosting.
  • Nessun plugin non necessario installato: rivedi la tua lista di plugin un'ultima volta. Rimuovi tutti i plugin installati per scopi di sviluppo, test o valutazione. Ogni plugin non necessario aggiunge tempo di caricamento, aumenta la tua superficie di attacco e crea overhead di manutenzione.
  • Core Web Vitals superati: testa le tue pagine più importanti con Google PageSpeed Insights. Mira a Largest Contentful Paint (LCP) sotto 2,5 secondi, Interaction to Next Paint (INP) sotto 200 ms e Cumulative Layout Shift (CLS) sotto 0,1. Risolvi i problemi principali prima del lancio.
  • CSS e JavaScript minificati: abilita la minificazione nel tuo plugin di caching e verifica che il tuo sito funzioni ancora correttamente. Testa moduli, slider, accordion e altri elementi interattivi per assicurarti che la minificazione non abbia rotto la funzionalità JavaScript.

Conformità GDPR e privacy pre-lancio

Sistemare la privacy correttamente fin dal primo giorno è cruciale. Le correzioni retroattive dopo un reclamo o una multa sono molto più costose e stressanti rispetto a configurare le cose correttamente fin dall'inizio.

  • Banner del consenso ai cookie installato e configurato correttamente: installa un plugin di gestione del consenso (Complianz, Real Cookie Banner o Cookiebot). Verifica che i cookie e gli script non essenziali siano effettivamente bloccati prima che venga dato il consenso. Testa aprendo il tuo sito in una finestra in incognito, rifiutando tutti i cookie e controllando la scheda di rete del browser per richieste di terze parti.
  • Google Fonts ospitati localmente: apri la scheda di rete del tuo browser e cerca le richieste a fonts.googleapis.com o fonts.gstatic.com. Se ne appare qualcuna, passa a font ospitati localmente. Plugin come OMGF o Local Google Fonts gestiscono questo automaticamente.
  • Gravatar disabilitato o impostato su caricamento basato sul consenso: controlla Impostazioni > Discussione. Disabilita completamente Gravatar o usa un plugin che mostra un placeholder locale e carica immagini Gravatar solo dopo il consenso.
  • Pagina della politica sulla privacy pubblicata e collegata: crea una politica sulla privacy completa che copra tutto il trattamento dei dati sul tuo sito. Collegala dal footer di ogni pagina e da qualsiasi modulo che raccoglie dati personali. Impostala come pagina della politica sulla privacy in Impostazioni > Privacy.
  • Pagina Imprint / Avviso legale pubblicata (Germania/Austria): se il tuo sito si rivolge a visitatori tedeschi o austriaci, devi avere una pagina Impressum con il tuo nome legale completo, indirizzo postale, email e numero di telefono. Rendila accessibile da ogni pagina tramite un link nel footer o nell'header.
  • Nessuna risorsa esterna caricata senza consenso: oltre a Google Fonts e Gravatar, controlla jQuery ospitato su CDN, Font Awesome, Google Analytics, Google Maps, Facebook pixel, video YouTube incorporati e altri servizi esterni. Ogni servizio ha bisogno di un meccanismo di consenso o di un'alternativa di hosting locale.
  • I moduli di contatto includono avvisi sulla privacy: ogni modulo che raccoglie dati personali deve includere una casella di controllo non selezionata con un link alla tua politica sulla privacy. Configura il tuo plugin di moduli per includere un campo di consenso al trattamento dei dati.

Test di funzionalità pre-lancio

La perfezione tecnica non significa nulla se le funzioni di base non funzionano per i tuoi visitatori.

  • Tutti i link interni funzionano: clicca sistematicamente attraverso il tuo sito o usa uno strumento come Broken Link Checker per trovare errori 404. Presta particolare attenzione ai menu di navigazione, ai link del footer e ai link in-content. Ripara o reindirizza gli URL rotti.
  • I moduli di contatto inviano email correttamente: invia invii di test attraverso ogni modulo sul tuo sito. Verifica che le email di conferma raggiungano la casella di posta prevista (non la cartella spam). Testa con più provider di email (Gmail, Outlook, email aziendale). Se le email del modulo non arrivano, installa WP Mail SMTP per instradare le email attraverso un server SMTP corretto invece di PHP mail.
  • Design responsive mobile verificato su dispositivi reali: non fare affidamento esclusivamente sugli strumenti di sviluppo del browser per i test mobile. Testa su telefoni e tablet reali dove possibile. Controlla che il testo sia leggibile senza zoom, che i pulsanti siano abbastanza grandi da toccare e che non si verifichi scorrimento orizzontale. Testa sia gli orientamenti verticale che orizzontale.
  • Test cross-browser completati: testa il tuo sito almeno in Chrome, Firefox, Safari ed Edge. Presta attenzione a font, layout, moduli e funzionalità JavaScript. Se il tuo pubblico include utenti aziendali, considera di testare versioni più vecchie del browser.
  • Soluzione di backup configurata e primo backup completato: non lanciare senza un backup funzionante. Configura backup automatizzati giornalieri in una posizione off-site. Esegui il primo backup manualmente e verifica che il file di backup sia completo e scaricabile. Testa il ripristino in un ambiente di staging dove possibile.
  • Analytics configurato con il consenso corretto: configura Google Analytics, Matomo o il tuo strumento di analytics preferito dietro il tuo meccanismo di consenso ai cookie. Verifica che il tracking si attivi solo dopo che il visitatore ha dato il consenso. Controlla che le visualizzazioni di pagina vengano registrate correttamente visitando il tuo sito e visualizzando il dashboard analytics in tempo reale.
  • Pagina di errore 404 personalizzata: la pagina 404 predefinita di WordPress è generica e poco utile. Crea una pagina 404 personalizzata che includa la navigazione del tuo sito, una barra di ricerca e link ai tuoi contenuti più importanti. Questo aiuta i visitatori a trovare quello che stavano cercando invece di andarsene.
  • Notifiche email configurate: verifica che l'email admin di WordPress sia corretta (Impostazioni > Generali). Testa di ricevere notifiche per gli invii di moduli, le registrazioni utente, gli avvisi di aggiornamento e le notifiche dei plugin di sicurezza. Queste notifiche sono il tuo sistema di allerta precoce per i problemi.

Esegui una scansione InspectWP prima di andare live

Prima di accendere l'interruttore, esegui una scansione InspectWP completa sul tuo sito. Controlla la configurazione SSL, le intestazioni di sicurezza HTTP, la versione e la configurazione di WordPress, i plugin installati, i meta-tag SEO e la struttura delle intestazioni, le metriche di prestazioni inclusi compressione e versione HTTP, le risorse esterne rilevanti per il GDPR e molto altro. Tutto in una scansione che richiede meno di un minuto. Questo ti dà un controllo completo della salute del tuo sito prima che arrivino visitatori reali, in modo da poter risolvere eventuali problemi residui mentre la posta in gioco è ancora bassa. Dopo il lancio, imposta scansioni automatiche per monitorare continuamente il tuo sito e ricevere notifiche quando qualcosa cambia.

Articolo precedente

Guida all'ottimizzazione delle prestazioni di WordPress

Articoli correlati

Guida all'ottimizzazione delle prestazioni di WordPress

Checklist SEO per WordPress

Checklist di conformità GDPR per WordPress

Vedi tutti gli articoli

Controlla subito il tuo sito WordPress

InspectWP analizza il tuo sito WordPress per problemi di sicurezza, problemi SEO, conformità GDPR e prestazioni — gratuitamente.

Analizza gratis il tuo sito