Ogni sito web è costruito su tecnologie che evolvono. Il linguaggio PHP — alla base di oltre il 77% dei siti con CMS identificabile nel mondo, inclusi WordPress, Joomla, Prestashop e Magento — rilascia nuove versioni maggiori ogni 1-2 anni e dichiara il fine vita (End of Life, EOL) per le versioni precedenti dopo un periodo di supporto di circa 2-3 anni. Una volta che una versione PHP raggiunge l'EOL, non riceve più patch di sicurezza: ogni vulnerabilità scoperta successivamente rimane aperta e sfruttabile.
Eppure, secondo i dati di W3Techs, una percentuale significativa di siti web WordPress gira ancora su versioni PHP dichiarate obsolete. La ragione principale non è l'ignoranza del problema, ma la paura di aggiornare e rompere qualcosa. Una paura comprensibile, ma affrontabile con il metodo giusto.
Il Ciclo di Vita di PHP: Versioni Attuali e EOL
| Versione PHP | Fine supporto attivo | End of Life (EOL) | Stato 2026 |
|---|---|---|---|
| PHP 7.4 | 28/11/2021 | 28/11/2022 | ? EOL – Nessuna patch sicurezza |
| PHP 8.0 | 26/11/2022 | 26/11/2023 | ? EOL – Nessuna patch sicurezza |
| PHP 8.1 | 25/11/2023 | 31/12/2025 | ?? EOL dal 31/12/2025 |
| PHP 8.2 | 31/12/2024 | 31/12/2026 | ? Supporto sicurezza attivo |
| PHP 8.3 | 31/12/2025 | 31/12/2027 | ? Versione raccomandata |
| PHP 8.4 | 31/12/2026 | 31/12/2028 | ? Ultima release stabile |
Un sito su PHP 7.4 o PHP 8.0 nel 2026 è un sito con vulnerabilità di sicurezza potenzialmente note e non patchate. Non è una questione teorica: gli scanner automatici che cercano siti vulnerabili da attaccare non distinguono tra grandi aziende e piccole PMI.
Perché l'Aggiornamento PHP Spaventa (e Perché Non Dovrebbe)
La preoccupazione principale è la compatibilità del codice: le nuove versioni PHP introducono cambiamenti che possono rendere incompatibile il codice scritto per versioni precedenti. PHP 8.x in particolare ha introdotto:
- Rimozione di funzioni deprecate da anni (es.
mysql_*, già rimossa in PHP 7.0) - Modifiche al comportamento di confronti tra tipi di dato
- Nuova gestione degli errori (più stretta, che trasforma warning silenziosi in errori fatali)
- Deprecazioni di sintassi che verranno rimosse nelle versioni future
Questi cambiamenti possono rompere plugin, temi o codice personalizzato non aggiornato. Ma il problema non è l'aggiornamento in sé: è farlo senza preparazione e senza ambiente di test.
Il Processo Corretto per Aggiornare PHP
Un aggiornamento PHP professionale segue un protocollo preciso che elimina il rischio di interruzione del sito in produzione:
- Inventario tecnologico: identificazione della versione PHP attuale, del CMS, dei plugin/temi e delle loro versioni. Verifica della compatibilità di ciascun componente con la versione PHP target.
- Backup completo: snapshot del database e di tutti i file prima di qualsiasi intervento. Non solo il backup ordinario: un backup esplicito pre-aggiornamento con etichetta e data.
- Test in ambiente di staging: clonazione del sito su un ambiente di test identico alla produzione (stesso hosting, stessa versione del CMS). Aggiornamento PHP nell'ambiente di staging e verifica completa del funzionamento: frontend, backend, form, checkout, integrazioni esterne.
- Identificazione e risoluzione delle incompatibilità: analisi dei log PHP per warning e fatal error. Aggiornamento dei plugin/temi incompatibili o sostituzione con alternative compatibili. Se è presente codice custom, revisione e adeguamento alla nuova versione.
- Aggiornamento in produzione in finestra manutenzione: esecuzione dell'aggiornamento nella fascia oraria con meno traffico. Verifica immediata post-aggiornamento di tutte le funzionalità critiche.
- Monitoraggio post-aggiornamento: analisi dei log PHP nelle 24-48 ore successive per rilevare errori non emersi nel testing, con possibilità di rollback rapido se necessario.
Altre Tecnologie da Aggiornare Regolarmente
PHP non è l'unica tecnologia soggetta a cicli di vita e aggiornamenti critici. Un piano di manutenzione completo deve considerare anche:
- MySQL/MariaDB: le versioni del database hanno anch'esse cicli EOL. MySQL 5.7 è in EOL dal 2023; MariaDB 10.4 dal 2024. Versioni obsolete del database espongono a vulnerabilità e mancano di ottimizzazioni per le query.
- CMS (WordPress, Joomla, Prestashop): aggiornamenti del core da pianificare e testare, non da applicare automaticamente in produzione senza verifica.
- Plugin e temi: ogni plugin non aggiornato è una potenziale superficie di attacco. Gli audit di sicurezza mostrano che la maggior parte delle compromissioni WordPress avviene tramite plugin obsoleti.
- Librerie JavaScript: dipendenze npm con vulnerabilità note, identificabili tramite audit automatico.
- Certificati SSL: non una tecnologia, ma un componente con scadenza fissa — si veda la FAQ dedicata.
Il Costo dell'Inazione
Molte PMI rimandano l'aggiornamento PHP per paura di disruption. Ma il rischio dell'inazione è strutturalmente più alto di quello dell'aggiornamento pianificato:
- Vulnerabilità di sicurezza non patchate ? rischio compromissione sito
- Plugin che abbandonano il supporto alle versioni obsolete ? funzionalità che smettono di funzionare
- Impossibilità di aggiornare il CMS (WordPress richiede PHP minimo 7.4, le versioni recenti richiedono 8.0+)
- Hosting provider che dismettono le versioni EOL ? aggiornamento forzato senza preparazione
Pianificare l'aggiornamento con anticipo è sempre meno costoso e rischioso che gestirlo in emergenza. NEO WEB gestisce gli aggiornamenti tecnologici con un processo strutturato che include ambiente di staging, testing e rollback. Contattaci per verificare la versione PHP del tuo sito e pianificare l'aggiornamento.
