WordPress conviene davvero? Dipende da come lo gestisci

I numeri parlano chiaro: WordPress alimenta circa il 43% di tutti i siti web e detiene oltre il 60% del mercato tra i siti che usano un CMS, e lo usano realtà come CNN, Forbes, la Casa Bianca, Sony ed eBay. Non è quindi "roba da dilettanti": è l'infrastruttura di buona parte del web. Va però notato un segnale interessante: dopo il picco del 65% raggiunto nel 2022, la quota di WordPress tra i CMS è in calo costante ed è tornata ai livelli del 2018, mentre piattaforme SaaS come Shopify, Wix e Squarespace guadagnano terreno offrendo soluzioni gestite con meno carico tecnico. È un indizio del vero nodo della questione: la gestione.

Qui va sfatato un equivoco che si legge spesso, e cioè che WordPress sarebbe insicuro "perché è open source e gli hacker possono leggerne il codice". È un'affermazione fragile su entrambi i fronti. Primo: open source non significa software senza copyright — WordPress è rilasciato sotto licenza GPL, è coperto da copyright, ed è proprio il copyright a rendere vincolante quella licenza. Secondo: un codice aperto, ispezionato da una comunità enorme, può essere più sicuro di uno chiuso, non meno.

I dati raccontano una storia precisa. Nel 2024 sono state scoperte quasi 8.000 nuove vulnerabilità nell'ecosistema WordPress, il 34% in più rispetto al 2023, un numero che a prima vista spaventa. Ma il punto è dove si trovano: il 96% delle vulnerabilità è nei plugin, il 4% nei temi, e solo 7 nel core di WordPress — nessuna di queste abbastanza grave da costituire un rischio reale. Il core, insomma, è robusto, ha un team di sicurezza dedicato e rilascia patch in tempi rapidi. Il rischio vive altrove: nei plugin e nei temi di terze parti, di cui non conosci le pratiche di sviluppo. E il problema è strutturale — un terzo dei bug non viene corretto prima della divulgazione pubblica, e molte vulnerabilità restano in plugin abbandonati che non riceveranno mai una patch ma continuano a essere installati e attivi sui siti; alcune falle critiche, come quella del plugin "Really Simple Security", hanno esposto oltre quattro milioni di siti.

La conclusione è quella del titolo: WordPress è sicuro se gestito correttamente, ma richiede pratiche di sicurezza attente e manutenzione regolare. Pochi plugin, scelti da fonti affidabili e tenuti aggiornati, su un sito monitorato: così è sicuro. Decine di plugin accumulati e mai aggiornati, su un sito fai-da-te lasciato a sé stesso: lì nascono i problemi. Non è "colpa di WordPress" — è una questione di gestione.

WordPress nella sua versione base è gratuito, e questo trae in inganno. Il costo reale non è la licenza: è il tempo e la competenza che la manutenzione richiede in modo continuativo — aggiornare core, plugin e temi senza romperne le interdipendenze, fare backup, monitorare, testare dopo ogni intervento. Per chi lavora in proprio o per una piccola impresa senza una figura tecnica dedicata, quelle ore non ci sono, e quasi sempre si traducono in un sito non aggiornato e quindi esposto. Quando valuti se WordPress "costa poco", il conto va fatto sul costo totale nel tempo, manutenzione inclusa, non sul prezzo dell'hosting.

Non esiste il CMS migliore in assoluto: esiste quello giusto per il progetto e per chi lo manterrà. WordPress è un'ottima scelta quando servono flessibilità e un ecosistema ricco, per siti editoriali e ricchi di contenuti, con un budget di partenza contenuto — a patto che ci sia qualcuno a gestirlo bene. Un CMS proprietario come il nostro Hydra, o un approccio headless, conviene invece quando contano prestazioni e sicurezza "chiavi in mano", requisiti molto specifici, o quando si vuole sollevare del tutto il cliente dalla manutenzione e dal rischio dei plugin di terze parti. La domanda giusta non è "WordPress sì o no", ma "qual è la piattaforma adatta a questo progetto, e chi se ne prende cura".