Come validare un plugin WordPress per la pubblicazione su WordPress.org

Luca Borghese - 29/05/2026

Un web developer analizza il suo plugin WordPress che viene approvato

Introduzione

Pubblicare un plugin su WordPress.org non significa solo "caricare dei file". Il repository ufficiale ha regole precise, controlli automatici e una revisione manuale che può bloccare il tuo plugin se non rispetta gli standard.

Molti sviluppatori scoprono questi requisiti solo dopo aver inviato il plugin… e si ritrovano con email di rifiuto, richieste di modifica e settimane di ritardo.

In questo articolo ti spiego come validare correttamente un plugin WordPress, quali controlli fare prima dell’upload e quali sono gli errori più comuni da evitare.

Conosci le linee guida ufficiali del repository

Prima di tutto, WordPress.org richiede che ogni plugin rispetti alcune regole fondamentali:

Sicurezza

Niente SQL injection, XSS, CSRF o funzioni non sanificate.

Privacy

Nessun tracciamento senza consenso esplicito.

Branding

Non puoi usare "WordPress" nel nome del plugin (solo "WP").

Codice aperto

Il plugin deve essere rilasciato con licenza GPL compatibile.

Niente contenuti malevoli

Ovviamente.

Queste linee guida non sono opzionali: se non le rispetti, il plugin viene rifiutato.

Struttura del plugin: deve essere chiara e standard

Un plugin WordPress deve avere una struttura minima:

/mio-plugin/ ---mio-plugin.php ---readme.txt ---/assets ---/includes

Il file principale deve contenere l’header standard:

/* Plugin Name: Nome del Plugin Plugin URI: https://example.com Description: Descrizione breve del plugin. Version: 1.0.0 Author: Il tuo nome Author URI: https://example.com License: GPLv2 or later Text Domain: mio-plugin */

Se l’header è sbagliato, il plugin non viene nemmeno processato.

Il file readme.txt è fondamentale (e molti lo ignorano)

Il readme.txt determina:

  • la pagina del plugin su WordPress.org
  • le sezioni "Description", "FAQ", "Installation", "Changelog"
  • la compatibilità con le versioni di WordPress
  • i tag di ricerca

Un readme scritto male significa:

  • meno visibilità
  • meno download
  • meno credibilità

WordPress usa un formato specifico chiamato readme standard. Seguirlo è obbligatorio.

Sicurezza: il punto più importante della validazione

La maggior parte dei rifiuti avviene per problemi di sicurezza.

Devi controllare:

Sanitizzazione dei dati

Ogni input deve essere filtrato:

sanitize_text_field() sanitize_email() sanitize_url()

Escape dell’output

Ogni dato mostrato deve essere "escaped":

esc_html() esc_attr() esc_url()

Non usare query SQL dirette

Usa $wpdb->prepare()

Non usare $_GET o $_POST senza controlli

È uno dei motivi più comuni di rifiuto.

Non caricare file esterni senza validazione

Altro motivo di rifiuto.

Internationalization (i18n): obbligatoria

Il plugin deve essere traducibile.

Devi usare:

  • __()
  • _e()
  • _x()

E definire un text domain coerente con il nome del plugin.

Se il plugin non è internazionalizzato, viene rifiutato.

Niente codice offuscato o minificato

WordPress richiede che il codice sia:

  • leggibile
  • commentato
  • non offuscato

Puoi minificare CSS e JS, ma non il PHP.

Test automatici prima dell’upload

Prima di inviare il plugin, puoi testarlo con strumenti utilissimi:

Plugin Check (WP‑CLI)

Controlla sicurezza, standard e best practice.

PHP_CodeSniffer + WordPress Coding Standards

Verifica che il codice rispetti gli standard WP.

Theme/Plugin Check plugin

Controllo rapido direttamente da WordPress.

Questi strumenti ti evitano il 90% dei rifiuti.

Come inviare il plugin su WordPress.org

Il processo è semplice:

  1. Vai su: https://wordpress.org/plugins/developers/add/
  2. Carica il file ZIP del plugin
  3. Attendi la revisione (da poche ore a qualche giorno)
  4. Se approvato, ricevi accesso SVN
  5. Carichi la versione ufficiale tramite SVN o GitHub Actions

Se ci sono problemi, riceverai un’email con le modifiche richieste.

Errori comuni che causano rifiuto immediato

  • usare "WordPress" nel nome del plugin
  • mancanza di sanitizzazione
  • codice offuscato
  • funzioni deprecated
  • readme incompleto
  • text domain errato
  • URL falsi o non funzionanti
  • tracking senza consenso
  • licenza non GPL

Evitarli ti fa risparmiare giorni di attesa.

Conclusione

Validare un plugin WordPress non è complicato, ma richiede attenzione. Se segui le linee guida, usi gli strumenti giusti e scrivi codice pulito, la pubblicazione su WordPress.org diventa un processo semplice e veloce.

E soprattutto: un plugin validato correttamente è più sicuro, più professionale e più affidabile.

👉 Hai bisogno di sviluppare o validare un plugin WordPress per il repository ufficiale? Posso aiutarti a creare un plugin sicuro, conforme e pronto per la pubblicazione.

Scrivimi quando vuoi.