Manutenzione sito WordPress: perché il tuo sito ha bisogno di un meccanico (non di miracoli)

Scritto da: Fabrizio Gabrielli

Blog

WordPress non è “installa e dimentica”. Richiede manutenzione costante: backup, aggiornamenti, sicurezza. Ti spiego cosa fare davvero, settimana per settimana, per evitare brutte sorprese. Esperienza reale da chi ci lavora ogni giorno.

Tempo di lettura: 15 minuti

Settembre 2025, ore 9,30 del mattino.
Mi squilla il telefono:

“Fabrizio, aiuto! Il sito non si apre più!”

Era un cliente con un e-commerce su WordPress. Prodotti online, vendite attive, tutto regolare. O almeno, così sembrava.
Apro il sito: schermata bianca. Provo il backend: errore 500. Controllo il server: tutto acceso, ma WordPress è in tilt.

Vado a vedere quando è stato fatto l’ultimo aggiornamento: 18 mesi prima.
Plugin? 23 installati, di cui 19 con aggiornamenti disponibili. Alcuni con vulnerabilità note segnalate da mesi.
Backup? “Sì, dovrebbe esserci… da qualche parte.”
Spoiler: non c’era.

Vi ho presentato uno stra-classico del mio lavoro.

Tre giorni di lavoro per rimettere tutto in piedi. Tre giorni di sito offline, vendite ferme, clienti che chiamano arrabbiati.

Tutto questo per una cosa semplice: manutenzione zero.

Perché molti pensano ancora che WordPress sia “installa e dimentica” (e siccome pare sia comune, gli americani hanno anche creato il “metodo” “Install and Forget”) 😁. Come se fosse un sito statico, un file HTML caricato su un server. Ma WordPress non funziona così. E in questo articolo ti spiego cosa serve davvero per tenerlo in piedi senza brutte sorprese.

Il mito del sito WordPress che “si mantiene da solo”

Facciamo un passo indietro.

Ti ricordi quando ti parlavo di WordPress vs Canva? Ti dicevo che WordPress è come una Maserati: potente, flessibile, scalabile. Ma che va portata dal meccanico.

Ecco, siamo arrivati alla parte del meccanico.

Perché WordPress non è un sistema “installa e dimentica” come può essere un sito fatto con Canva o altre piattaforme chiuse. WordPress è un CMS vivo: core che si aggiorna, plugin che cambiano, temi che evolvono, server che si modificano.

Ogni mese escono nuove versioni. Ogni settimana qualche plugin riceve patch di sicurezza. E se tu non aggiorni, non monitori, non controlli, prima o poi qualcosa si rompe.

Non è terrorismo. È esperienza.

Il caso del cliente con 23 plugin non aggiornati

Torniamo al cliente di settembre 2025.
Aveva un sito WordPress ben fatto, sviluppato da un’agenzia seria. Ma dopo il lancio, nessuno aveva più messo mano alla manutenzione.

Risultato:

  • Core WordPress: versione 6.2, mentre siamo già alla 6.9
  • Plugin obsoleti: WooCommerce fermo a una versione con vulnerabilità nota (CVE pubblicata)
  • Tema non aggiornato: compatibilità rotta con PHP 7.4!!!
  • Backup assenti: l’ultimo risaliva a 11 mesi prima, su un disco esterno che nessuno sapeva dov’era. Tra parentesi: se spendi 20 €/anno per un hosting, poi non ti lamentare se perdi tutto, perché nessuno ti ha consigliato un hosting di qualità come quello di Pistakkio® e che offriamo anche ai nostri clienti.

Cosa è successo? Un attacco automatizzato ha sfruttato una vulnerabilità vecchia di 8 mesi. Il sito è stato compromesso, i file corrotti, il database danneggiato.

Tre giorni offline.
Vendite perse: stimate in 4.500€. Costo intervento emergenza: 1.200€. Danno reputazionale: incalcolabile.

Tutto evitabile con 30 minuti al mese di manutenzione ordinaria.

WordPress non è il nemico: è la mancanza di cura

Chiariamolo subito: WordPress è un’ottima piattaforma. Potente, versatile, collaudata da milioni di siti.
Ma proprio perché è potente, richiede attenzione.

Non è colpa di WordPress se il tuo sito va in panne. È colpa di chi pensa che basti installarlo e lasciarlo lì, come fosse un mobile IKEA montato una volta per tutte.

Invece è più simile a una macchina: se non fai il tagliando, prima o poi ti lascia a piedi.

E qui arriviamo al punto: cosa significa davvero “fare manutenzione” a un sito WordPress?

Cosa significa davvero “manutenzione WordPress”

Quando dico “manutenzione WordPress, molti pensano subito a roba complicata: codice, server, terminali neri con scritte verdi.

In realtà, la manutenzione è prevenzione, non emergenza.
È fare le cose giuste al momento giusto, così da non doverti svegliare alle 3 di notte con il sito offline e il panico che sale.

La manutenzione di un sito WordPress si basa su tre pilastri fondamentali: sicurezza, performance e continuità.

1. Sicurezza: chiudere le porte prima che entrino i ladri

Un sito WordPress non aggiornato è come una casa con le finestre aperte e nessuno dentro. Come minimo ti ci entrano le rondini o i pipistrelli.
Ogni vulnerabilità nota è un invito a nozze per bot, script automatizzati e attaccanti.

La sicurezza si fa così:

  • Aggiornamenti regolari di core, plugin e temi (appena disponibili, dopo test)
  • Scan periodici con strumenti come Wordfence Plus per individuare malware, file modificati, accessi sospetti
  • Permessi utente ben configurati: chi deve modificare cosa, e niente di più
  • Firewall e protezione login: limitare i tentativi di accesso, bloccare IP sospetti

Non serve essere hacker. Serve essere costanti.

2. Performance: un sito lento è un sito morto

Google lo dice chiaro: i Core Web Vitals sono un fattore di ranking.
Ma anche senza SEO, un sito lento fa scappare le persone. Se una pagina ci mette 5 secondi a caricare, il 50% degli utenti se ne va.

La performance si mantiene così:

  • Pulizia database: elimina revisioni vecchie, spam nei commenti, transient inutili
  • Ottimizzazione immagini: formati moderni (WebP), compressione, lazy loading
  • Cache: plugin tipo WP Rocket o W3 Total Cache, in Pistakkio® li usiamo entrambi a seconda dei progetti, perché WP Rocket è spettacolare, ma qualche volta dà dei problemi su hosting “base” da 10€/anno (come direbbe Peppino: “E ho detto tutto!”).
  • Monitoraggio velocità: test regolari con Catchpoint (ex Webpagetest.org) o Google PageSpeed Insights
  • CDN attiva: distribuisci i contenuti su server globali, che sia Cloudflare o altro non importa, ma pensaci prima che sia troppo tardi.

Un sito veloce non è un lusso: è il minimo sindacale.

3. Continuità: se il backup non c’è, non esisti

Terzo pilastro, il più sottovalutato: i backup.

Tutti dicono “Sì sì, ho i backup automatici”.
Poi gli chiedi: “Quando li hai testati l’ultima volta?” Silenzio.

Un backup che non hai mai provato a ripristinare non è un backup: è un file che speri funzioni.

La continuità si garantisce così:

  • Backup automatici giornalieri (almeno settimanali per siti piccoli)
  • Salvataggio offsite: non sullo stesso server del sito, ma su storage esterno (Dropbox, AWS S3, Google Drive)
  • Test di restore almeno ogni 3 mesi: verifica che il backup funzioni davvero
  • Monitoraggio uptime: usa strumenti come UptimeRobot o Pingdom per sapere subito se il sito va giù. Noi li usiamo entrambi ed entrambi sono fantastici e affidabili. Stiamo usando anche MonSpark e anch’esso è validissimo.

Perché il momento in cui scopri che il backup è corrotto non deve essere dopo il disastro.

L’analogia che funziona sempre, quando si parla di WordPress (e non solo)

Pensa alla manutenzione WordPress come alla revisione dell’auto.

Non la fai quando sei in panne sul ciglio dell’autostrada. La fai prima, ogni tot mesi, per evitare di restare a piedi.

E se pensi “Ma a me non è mai successo niente”, beh: è esattamente quello che diceva il cliente di cui ti ho parlato prima. Fino a settembre 2025.

Sul mio blog personale fabri.news, che è su WordPress ed è comunque ottimizzato manualmente, faccio controlli simili.

Risultato: 900 visite al mese, Core Web Vitals perfetti, zero downtime in 4 anni. La manutenzione paga sempre, qualsiasi piattaforma tu usi.

Pagespeed insights fabri news 6 gennaio 2026
Manutenzione sito wordpress: perché il tuo sito ha bisogno di un meccanico (non di miracoli) 2

La checklist operativa (mensile e settimanale)

Basta teoria. Ora vediamo cosa fare davvero, settimana per settimana, mese per mese.

Questa è la checklist che uso io per i siti WordPress dei clienti di Pistakkio®. Funziona. È testata. E soprattutto, non ti porta via la vita.

Manutenzione settimanale di WordPress(10-15 minuti)

Ogni settimana, fai questi 4 controlli. Sì, ogni settimana. Sembra tanto, ma sono 10 minuti ben spesi.

  • Aggiornamenti plugin e temi: controlla se ci sono update disponibili. Leggi velocemente il changelog (cosa cambia), poi applica. Se un plugin è fermo da mesi senza aggiornamenti, valuta alternative.
  • Verifica backup automatici: assicurati che il sistema di backup stia girando. Controlla che i file siano stati salvati correttamente. Non serve scaricarli ogni volta, ma almeno guarda che ci siano.
  • Controlla uptime: usa strumenti come UptimeRobot o Pingdom. Se il sito va offline anche solo per 10 minuti, vuoi saperlo subito, non dopo 3 giorni.
  •  Monitora Core Web Vitals: vai su Google Search Console, sezione “Esperienza pagina”. Controlla che LCP, CLS e INP siano nella zona verde. Se peggiorano, indaga.

Fatto. In 10 minuti hai coperto il 70% dei problemi che potrebbero succedere.

Manutenzione mensile di WordPress(30-45 minuti)

Una volta al mese, dedica mezz’ora abbondante a una manutenzione più profonda.

  • Aggiornamento core WordPressmai in produzione direttamente. Sempre prima su staging, poi — se tutto funziona — su produzione. Se non hai staging, crealo. Costa zero e ti salva la vita.
  • Pulizia database: usa plugin come WP-Optimize per eliminare revisioni vecchie, spam, transient inutilizzati. Un database pulito è un database veloce.
  • Scan sicurezza completo: avvia Wordfence Plus (o equivalente) e fai una scansione completa. Controlla file modificati, malware, vulnerabilità note. Se trovi qualcosa, agisci subito.
  • Test velocità: usa Catchpoint (ex Webpagetest.org) o Google PageSpeed Insights. Adesso i test di velocità sono anche sull’Inspect di tutti i browser basati su Chromium (attivabile con il tasto F12). Non hai più scuse, perché non ti serve nemmeno un tool specifico supplementare. Salva i risultati e confrontali mese per mese. Se il sito rallenta, capisci subito dove intervenire.
  • Verifica link rotti: usa Ahrefs Site Audit o strumenti simili. I link rotti peggiorano l’esperienza utente e danneggiano la SEO.
  • Controllo log errori: vai nei log del server (o usa plugin come Query Monitor o il Log Analyser di Screaming Frog). Cerca errori 404, 500, problemi PHP. Se vedi pattern ripetuti, indaga.
  • Review utenti e permessi: disattiva account inutilizzati. Verifica che nessuno abbia permessi amministratore se non serve. La sicurezza parte anche da qui.

Fatto questo, dormi tranquillo per un altro mese.

Gli errori che costano caro (e che vedo ogni mese)

Ora ti racconto gli errori che vedo continuamente. Non sono casi isolati: sono pattern ricorrenti che portano sempre allo stesso risultato: sito offline, perdita di dati, panico.

Errore #1: “Aggiorno tutto in blocco senza testare”

Scenario classico: entri nella dashboard WordPress, vedi 15 aggiornamenti disponibili, clicchi “Aggiorna tutto” e vai a prenderti un caffè.

Torni: schermata bianca.

Cosa è successo? Due plugin in conflitto. Oppure il tema non è compatibile con la nuova versione di WordPress. Oppure PHP è troppo vecchio.

Risultato: sito rotto, in produzione, davanti agli utenti.

Soluzione: sempre testare su staging prima. Sempre. Anche se hai fretta. Anche se “l’altra volta è andato tutto bene”. Una volta basta per perdere una settimana di lavoro.

Errore #2: “Ho i backup… da qualche parte”

Altro classico: “Sì sì, ho i backup automatici attivi”.
Benissimo. Quando li hai testati l’ultima volta?
Silenzio.

I backup servono solo se funzionano. E l’unico modo per saperlo è provarli.

Caso reale: cliente con backup automatico su server condiviso. Il backup girava, i file venivano salvati. Tutto ok.
Poi il sito va giù. Proviamo a ripristinare: file corrotti. Backup inutilizzabile.

Motivo? Plugin di backup mal configurato, disco quasi pieno, compressione fallita. Nessuno se n’era accorto perché nessuno aveva mai fatto un test di restore.

Soluzione: una volta ogni 3 mesi, scarica il backup e prova a ripristinarlo in locale o su ambiente di test. Se non si ripristina, cambia sistema.

Errore #3: “I plugin vecchi funzionano ancora”

“Ma se funziona, perché devo aggiornare?”

Perché ogni plugin non aggiornato è una porta aperta.
Le vulnerabilità vengono pubblicate. I bot le scansionano automaticamente. E appena trovano un sito con quella versione vecchia, attaccano.

Non è fantascienza. È routine.

Soluzione: aggiorna sempre. Se un plugin non riceve update da più di 6 mesi, sostituiscilo. Se è critico e non ha alternative, considera di farlo sviluppare custom.

Errore #4: “Non ho staging”

Ultimo errore, il più diffuso: testare direttamente in produzione.

“Vediamo se funziona…” — clicca — sito rotto.

Staging significa ambiente di test identico alla produzione, dove puoi sbagliare senza conseguenze. È gratis (o quasi), si configura in 20 minuti, e ti evita disastri.

Soluzione: crea un ambiente di staging. Sempre. Anche per siti piccoli. Costa zero e vale oro.

Quando conviene delegare (e quando farlo da soli)

Arriviamo alla domanda che tutti si fanno: “Ma posso fare manutenzione da solo o devo pagare qualcuno?”

Risposta semplice: dipende.

Fai da te se…

Puoi gestire la manutenzione WordPress in autonomia se:

  • Hai un sito piccolo: blog personale, portfolio, massimo 5-10 pagine.
  • Usi pochi plugin: meno di 10, tutti mainstream e ben supportati.
  • Hai tempo da dedicarci: almeno 30-40 minuti al mese. Non sono tanti, ma ti ci devi mettere e devi anche stare bello concentrato.
  • Hai competenza minima: sai distinguere un plugin da un tema, sai fare backup manuale, non ti spaventa leggere un changelog.

In questo caso, segui la checklist che ti ho dato sopra e sei a posto.

Delega se…

Devi assolutamente delegare se:

  • Il tuo sito è business-critical: e-commerce, piattaforme di prenotazione, siti che generano fatturato diretto (vale anche per i siti che generano lead o contatti, come ad es. il nostro di Pistakkio®).
  • Hai molti plugin o sviluppi custom: più complessità = più rischio.
  • Non hai tempo: preferisci concentrarti sul tuo lavoro, non sulla manutenzione tecnica.
  • Zero competenza tecnica: e va benissimo così, ognuno fa il suo mestiere.

Perché qui entra in gioco il calcolo vero: quanto ti costa un’ora di sito offline?

Il costo del downtime batte sempre il costo della manutenzione

Facciamo due conti reali.

Un e-commerce che fattura 10.000€ al mese, in media fa circa 330€ al giorno.
Se il sito sta offline per 6 ore, perdi almeno 80-100€ di vendite dirette. Più il danno reputazionale (clienti che non tornano, recensioni negative, fiducia persa).

Costo manutenzione professionale mensile? Tra i 50€ e i 150€ al mese, a seconda della complessità.

Fai tu i conti: un’ora di downtime può costare più di 6 mesi di manutenzione.

Pistakkio® offre servizi di manutenzione WordPress per imprese toscane e non solo: backup automatici, aggiornamenti sicuri, monitoraggio continuo, intervento rapido in caso di emergenza.
Non è pubblicità: è prevenzione intelligente.

La domanda giusta non è “quanto costa”

Come ti dicevo nell’articolo su WordPress vs Canva, anche qui vale lo stesso principio:
La domanda non è “cosa costa meno”, ma “cosa mi fa dormire tranquillo”.

Se la risposta è “fare tutto da solo”, perfetto: usa la checklist e vai.
Se la risposta è “avere qualcuno che se ne occupa mentre io penso al business”, allora delega.

Non c’è una scelta giusta in assoluto. C’è la scelta giusta per te.

WordPress è potente, ma va curato

Ricapitoliamo.

WordPress è uno strumento eccellente: potente, flessibile, capace di far girare siti di ogni tipo e dimensione.
Ma non è “installa e dimentica”. È un sistema che vive, si aggiorna, evolve. E se non lo segui, prima o poi ti presenta il conto.

La manutenzione non è un optional. È prevenzione.
Backup regolari, aggiornamenti costanti, monitoraggio attivo: queste tre cose sole ti evitano il 90% dei problemi.

Ti ricordi quando ti dicevo che WordPress è come una Maserati? Ecco, questa è la parte dove la porti dal meccanico. Non quando è già in panne, ma prima, per evitare di restare a piedi.

E se pensi “Ma a me non succederà mai”, sappi che è esattamente quello che pensava il cliente con 23 plugin non aggiornati. Fino a settembre 2025.

La buona notizia? Bastano 30 minuti al mese per tenere tutto sotto controllo. O, se preferisci, puoi delegare a chi lo fa di mestiere e concentrarti sul tuo business.

In entrambi i casi, l’importante è non fare finta di niente.

Se hai un sito WordPress e non sai da dove partire, parliamone. Meglio prevenire che ricostruire da zero.

Inizia da qui

Contatta Pistakkio e prendi l’iniziativa per dare al tuo sito una botta di vita online!
Fissa una call!
M1t 0467 c1 2 web
Foto dell'autore
Autore

Fabrizio Gabrielli

Mi piace camminare all'aria aperta, amo le penne stilografiche e la mia moto Kawasaki ER6-f. SEO Expert, Growth Hacking Manager e web marketing addicted. Dopo una ventennale collaborazione con svariate multinazionali, soprattutto dalla Germania e dagli USA, nel febbraio 2019 ho fondato Pistakkio®, che è marchio registrato in tutta Europa. Creo Valore nel posizionamento SEO di progetti web e faccio pubblicità online su Google Ads per le piccole e medie imprese del tessuto imprenditoriale local business in Toscana e in tutto il Centro Italia.