WordPress è un’applicazione PHP. Ogni richiesta di pagina passa attraverso l’interprete PHP del tuo server, e la versione di PHP fornita dal tuo hosting ha un enorme effetto su quanto è veloce, sicuro e stabile il tuo sito WordPress. La versione di PHP è una delle parti dello stack a cui i proprietari di siti pensano di meno, e una di quelle che gli hosting lasciano più spesso intatte se non viene richiesto il contrario. Questo è un problema.
Questo articolo spiega perché la versione di PHP conta, come verificare quale stai usando e come aggiornare senza rompere il tuo sito.
Come funzionano le versioni di PHP
PHP ha un calendario di rilascio pubblico. Una nuova versione principale esce all’incirca ogni novembre. Ogni versione riceve supporto completo per due anni, poi solo supporto di sicurezza per un terzo anno, poi nulla. Da quel momento, non verrà più rilasciata alcuna patch di sicurezza per quella versione, qualunque falla venga scoperta.
Quest’ultimo punto è importante. Un sito WordPress che gira su PHP 7.4, da anni a fine vita, sta funzionando su un software che non riceverà mai più una correzione. Se domani viene trovata una vulnerabilità critica, il tuo sito ce l’avrà, e non arriverà alcuna patch.
Perché gli hosting lasciano in funzione vecchie versioni di PHP
Gli hosting di solito sono restii a forzare gli aggiornamenti di PHP perché non vogliono rompere i siti dei clienti. Alcuni hosting condivisi ti inviano un’email, poi un’altra, e poi lasciano silenziosamente invariata l’impostazione predefinita per anni. Altri rendono disponibile una nuova versione ma richiedono che la attivi tu da un pannello di controllo.
L’approccio prudente è ragionevole, ma lascia a te la responsabilità di premere davvero il pulsante. Molti siti che controlliamo girano su una versione di PHP che il loro hosting si è offerto discretamente di aggiornare un anno fa.
Il costo per la sicurezza di un PHP vecchio
PHP, come qualsiasi software, ha dei bug. Alcuni di questi bug sono rilevanti per la sicurezza. Quando PHP rilascia un aggiornamento di sicurezza, di solito si applica alla versione principale attuale e a una o due precedenti. Le versioni più vecchie restano vulnerabili. Gli aggressori sanno quali versioni sono ancora molto usate, quali vulnerabilità si applicano e quali scanner puntare sui siti che le usano.
Peggio ancora, alcune correzioni di sicurezza di WordPress stesso dipendono da funzionalità del linguaggio che esistono solo in versioni più recenti di PHP. Un WordPress corretto su una vecchia versione di PHP può comportarsi in modo silenziosamente diverso dallo stesso WordPress corretto su una versione attuale, lasciando lacune che il team di sicurezza non aveva previsto.
Il costo in termini di prestazioni
PHP ha migliorato notevolmente le proprie prestazioni nelle versioni recenti. I benchmark reali su WordPress mostrano costantemente miglioramenti percentuali a doppia cifra passando da PHP 7 a PHP 8, e ulteriori guadagni all’interno della serie 8.x. Per un sito ricco di contenuti, questo si traduce in caricamenti più rapidi, minori costi del server e migliori punteggi Core Web Vitals.
Se il tuo sito è sembrato lento nonostante un buon hosting e un elenco di plugin pulito, la versione di PHP è una delle prime cose da controllare. C’è velocità gratuita lì, in attesa di essere reclamata.
Come verificare la tua versione di PHP
Il modo più rapido è dall’interno di WordPress. Vai su Strumenti, poi Salute del sito, quindi sulla scheda Informazioni. Espandi la sezione Server. Lì è indicata la versione di PHP, insieme alla versione del database, al server web e ad altri dettagli.
Se non hai accesso alla bacheca, chiedi al tuo hosting. Potrà dirti quale versione è attiva e quali versioni sono disponibili per l’aggiornamento. Gli hosting seri pubblicano sul proprio sito le versioni di PHP supportate.
Il controllo di compatibilità prima dell’aggiornamento
Aggiornare PHP non è solo premere un pulsante. Vecchi temi e plugin possono usare funzioni rimosse nelle versioni più recenti di PHP, o comportamenti resi più rigorosi, o schemi che ora generano errori fatali invece di avvisi. Un aggiornamento alla cieca può mandare giù un sito.
L’approccio sicuro è eseguire prima un controllo di compatibilità. Il plugin ufficiale PHP Compatibility Checker può analizzare il tuo tema e i plugin attivi rispetto a una versione di PHP target e segnalare i potenziali problemi. Meglio ancora, uno sviluppatore può eseguire l’equivalente moderno direttamente sul codice.
Qualunque cosa segnali la scansione, la vera prova è applicare l’aggiornamento prima su una copia di staging. L’ambiente di staging ti permette di vedere il comportamento reale con dati reali, inclusi i problemi che un controllo statico potrebbe non rilevare.
Cosa fare quando un plugin non è compatibile
Se l’aggiornamento in staging rivela che un plugin si rompe con la nuova versione di PHP, hai tre scelte. Trovare un plugin alternativo che supporti la nuova versione. Correggere tu stesso il plugin problematico se hai la capacità di sviluppo. Oppure accettare che il plugin sia abbandonato e o pagare qualcuno per mantenerlo o migrare del tutto e smettere di usarlo.
Ciò che non dovresti fare è restare sulla vecchia versione di PHP per tenere in vita il plugin. Significa lasciare che l’anello più debole del tuo stack freni tutto il resto.
Un calendario pratico per gli aggiornamenti di PHP
La regola più semplice è essere al massimo una versione principale indietro rispetto al rilascio attuale di PHP. A metà 2026, la linea stabile attuale è PHP 8.4, con la 8.3 in supporto solo di sicurezza. Tutto ciò che è più vecchio della 8.3 dovrebbe essere nella tua lista di cose da fare. Tutto ciò che appartiene alla serie 7.x va trattato come urgente.
Pianifica di testare e aggiornare una volta all’anno, idealmente nel primo trimestre, quando l’ultima versione si è assestata. La maggior parte degli hosting rende l’aggiornamento un singolo clic, ma i test contano più del clic.
Hai bisogno di una mano?
Se non sei sicuro di quale versione di PHP usi il tuo sito, o se hai rimandato l’aggiornamento per paura di rompere qualcosa, Defyn può eseguire un controllo di compatibilità, preparare un sito di staging e accompagnarti nell’aggiornamento in sicurezza. Mettiti in contatto e porteremo all’altezza dei tempi le fondamenta del tuo sito WordPress.
