Checklist manutenzione WordPress mensile: fai-da-te per non farsi hackerare
Checklist operativa mensile per la manutenzione WordPress fai-da-te: aggiornamenti, backup, utenti, plugin, database, log e sicurezza. Cosa controllare ogni mese per ridurre il rischio di compromissione.
Una manutenzione WordPress mensile di 60-90 minuti riduce drasticamente il rischio di compromissione. La maggior parte dei siti che bonifichiamo avrebbe potuto evitare il problema con aggiornamenti regolari, backup verificati e un controllo periodico degli utenti. Questa checklist copre esattamente queste operazioni.
La sicurezza WordPress non è un evento puntuale - è una routine. I siti si compromettono perché un plugin rimane non aggiornato per mesi, perché nessuno controlla chi ha accesso, perché il backup non è mai stato testato.
Questa checklist è pensata per chi gestisce il proprio sito WordPress senza un tecnico dedicato. Richiede circa 60-90 minuti al mese e non richiede SSH o conoscenze avanzate, anche se alcune operazioni opzionali le presuppongono.
Settimana 1 - Aggiornamenti
Aggiorna WordPress core
Da Bacheca > Aggiornamenti, controlla se c'è una nuova versione di WordPress. Prima di aggiornare:
- verifica che il tema e i plugin principali siano compatibili con la nuova versione (controlla il changelog del plugin sul repository WordPress.org)
- fai un backup completo (vedi sezione backup)
- aggiorna in un orario di basso traffico
Per siti critici o WooCommerce, testa sempre su staging prima di aggiornare il live. Guida dettagliata: aggiornare plugin WordPress senza rompere il sito.
Aggiorna plugin e temi
- Aggiorna tutti i plugin con aggiornamenti disponibili
- Aggiorna il tema attivo (e il tema padre se usi un child theme)
- Rimuovi i plugin disattivati che non usi: ogni plugin installato (anche disattivato) è una superficie d'attacco potenziale
Cosa NON fare: aggiornare tutto in blocco su un sito WooCommerce con ordini attivi senza un backup preventivo.
Controlla plugin vulnerabili
Vai su WPScan Vulnerability Database o Patchstack e cerca i plugin che hai installato. Se trovi vulnerabilità note su versioni che stai usando, aggiorna immediatamente o rimuovi il plugin.
Settimana 2 - Backup e ripristino
Verifica che i backup esistano
Non basta che il backup sia configurato: verifica che stia girando. Da UpdraftPlus, Jetpack Backup o il tuo plugin di backup preferito, controlla:
- data dell'ultimo backup completato
- dimensione del backup (un backup troppo piccolo potrebbe non includere tutto)
- errori nel log del plugin di backup
Testa il ripristino
Una volta al mese (o almeno ogni trimestre), testa concretamente il ripristino su un ambiente di staging. Un backup che non si ripristina non vale niente. Il test minimo:
- Scarica il backup in locale
- Crea un sottodominio di test
- Ripristina file e database
- Verifica che il sito funzioni correttamente
Controlla dove sono salvati i backup
I backup non devono stare solo sull'hosting del sito. Se l'hosting viene compromesso o sospeso, potresti perdere sia il sito che i backup. Usa uno storage esterno: Google Drive, Dropbox, Amazon S3 o Backblaze B2. UpdraftPlus e molti altri plugin supportano l'invio automatico a storage remoto.
Settimana 3 - Utenti e accessi
Controlla la lista utenti admin
Da Bacheca > Utenti, filtra per Amministratore. Verifica che:
- non ci siano utenti che non hai creato
- le email degli admin corrispondano a persone reali che hanno ancora necessità di accesso
- non ci siano utenti con accesso che non serve più (ex collaboratori, ex agenzie)
Se trovi utenti sconosciuti, leggi utenti admin sconosciuti WordPress: come rimuoverli.
Controlla le password degli admin
Assicurati che tutti gli admin usino password forti (almeno 16 caratteri, casuali, uniche per questo sito). Usa un password manager. Se non sai se la password è robusta, cambiala.
Verifica il 2FA
Controlla che il 2FA sia abilitato per tutti gli utenti con ruolo Administrator e Editor. Se non ce l'hai, installa WP 2FA (gratuito) e abilitalo oggi.
Verifica gli accessi FTP e hosting
- Chi ha accesso FTP al tuo sito? C'è qualcuno che non dovrebbe averlo più?
- Chi ha accesso al pannello hosting (cPanel)?
- Le credenziali FTP sono condivise con qualcuno che non lavora più con te?
Settimana 4 - Database e performance
Pulizia base del database
WordPress accumula dati inutili nel tempo: revisioni degli articoli, transient scaduti, spam nei commenti. Usa WP-Optimize o un plugin simile per:
- eliminare le revisioni vecchie (tieni le ultime 3-5 per articolo)
- eliminare i transient scaduti
- svuotare la tabella spam dei commenti
- ottimizzare le tabelle (OPTIMIZE TABLE)
Non esagerare: su siti WooCommerce attenzione a non cancellare dati di ordini o sessioni attive.
Controlla le dimensioni del database
Se il database cresce in modo anomalo (decine di MB al mese senza corrispondente crescita dei contenuti), potrebbe essere spam nel database o meta dati accumulati da plugin problematici.
SELECT table_name,
ROUND((data_length + index_length) / 1024 / 1024, 2) AS size_mb
FROM information_schema.tables
WHERE table_schema = 'nome_database'
ORDER BY size_mb DESC;
Verifica uptime e performance
Usa uno strumento gratuito come UptimeRobot per monitorare che il sito risponda correttamente. Se non ce l'hai, configuralo adesso: riceverai un'email ogni volta che il sito va giù.
Controlla anche i Core Web Vitals in Google Search Console (sezione "Esperienza > Core Web Vitals"): se i valori stanno peggiorando, c'è un problema da investigare.
Controlli mensili veloci (15 minuti)
Questi controlli richiedono pochi minuti ma individuano problemi comuni:
Search Console: controlla sezione "Sicurezza e azioni manuali". Se Google ha rilevato malware o contenuti spam, comparirà qui.
Google Safe Browsing: verifica su https://transparencyreport.google.com/safe-browsing/search?url=tuodominio.it che il dominio non sia segnalato.
Certificato SSL: controlla la data di scadenza del certificato. Un sito con SSL scaduto perde fiducia e potenzialmente traffico organico.
Link rotti: una volta al trimestre, usa uno strumento come Broken Link Checker per trovare link rotti nel contenuto.
File recentemente modificati (se hai SSH):
find wp-content/ -name "*.php" -mtime -30 -not -path "*/cache/*" | head -20
Se vedi file PHP modificati di recente che non riconosci, indaga.
Registro manutenzione
Tieni un documento (anche solo un foglio Google) con queste colonne:
| Data | Azione | Note | Fatto da |
|---|---|---|---|
| 2026-05-01 | Aggiornamenti plugin | 8 plugin aggiornati, nessun problema | Nome |
| 2026-05-01 | Backup verificato | Backup 2026-04-30 ripristinato su staging OK | Nome |
Avere un registro ti permette di rispondere rapidamente alla domanda "quando è stato fatto l'ultimo aggiornamento?" in caso di compromissione.
Quando la manutenzione fai-da-te non basta
Questa checklist copre la manutenzione ordinaria. Non sostituisce:
- un audit di sicurezza professionale (verifica configurazioni server, header HTTP, permessi file, vulnerabilità specifiche del contesto)
- la bonifica in caso di compromissione già avvenuta
- la configurazione iniziale di staging, WAF, e monitoraggio avanzato
Se vuoi manutenzione gestita senza pensarci ogni mese, il piano WPsec Care include aggiornamenti controllati, backup verificati, monitoraggio 24/7 e SLA su emergenze a partire da 29 EUR/mese.
Con quale frequenza devo fare i backup?
Dipende da quanto spesso cambia il contenuto del sito. Un blog che pubblica un articolo a settimana può fare backup settimanali. Un WooCommerce con ordini giornalieri deve fare backup giornalieri (o anche più frequenti per il database). La regola pratica: quanto puoi permetterti di perdere? Se la risposta è "un giorno di ordini", il backup deve essere giornaliero. Se la risposta è "una settimana di contenuti", il backup settimanale può bastare.
Quale plugin di backup consigiate?
UpdraftPlus (versione free è sufficiente per la maggior parte dei siti) per il backup su storage esterno. Per backup automatici più avanzati con ripristino one-click, Jetpack Backup (a pagamento) o BlogVault. L'importante è che il plugin supporti backup su storage esterno (non solo sull'hosting) e che il ripristino sia stato testato almeno una volta. Un backup non testato è una promessa, non una garanzia.
Posso fare tutti questi controlli con un plugin all-in-one?
Parzialmente. Plugin come Wordfence, Solid Security o iThemes Security automatizzano alcune verifiche (scansione malware, controllo aggiornamenti, monitoraggio login). Ma non sostituiscono il controllo umano sulla lista utenti, la verifica del backup, il test di ripristino e la revisione dei log. Un plugin ti avvisa di problemi che rientrano nei suoi pattern; non ti dice che hai lasciato un ex collaboratore con accesso admin da 8 mesi.
Scritto dal team WPsec
Team WPsec.it
Bonifica malware, hardening, performance e manutenzione WordPress.
Continua a leggere
Articoli correlati.
Manutenzione WordPress per aziende: cosa deve includere
Una manutenzione WordPress professionale deve coprire aggiornamenti, backup, sicurezza, performance, report, test e responsabilità operative.
Migrazione sito WordPress ed email: checklist tecnica completa
Come migrare un sito WordPress e le caselle email a un nuovo hosting senza downtime. Checklist operativa con DNS, propagazione, MX records, IMAP, test e rollback.
WordPress 7.0 RC2: checklist di test su staging
Checklist operativa per verificare tema, plugin, checkout, editor, log e rollback su staging prima di aggiornare un sito WordPress a 7.0.