Mantenimiento mensual de WordPress: checklist completo para no perder tu sitio

Un sitio WordPress sin mantenimiento acumula problemas hasta que uno de ellos se vuelve crítico: un hackeo, una actualización que rompe el sitio, un disco lleno que impide los backups, o un plugin desactualizado con vulnerabilidades conocidas.

El mantenimiento preventivo mensual es más barato y menos estresante que reparar un sitio caído en producción. Este checklist cubre todo lo que debes revisar.

Frecuencia de mantenimiento

No todo requiere la misma frecuencia:

Checklist mensual completo

1. Actualizar WordPress, plugins y temas

Por qué importa: Las actualizaciones no son solo funcionalidades nuevas. La mayoría corrigen vulnerabilidades de seguridad que los atacantes explotan activamente.

Cómo hacerlo:

1. Haz un backup completo ANTES de actualizar (ver punto 3).
2. Ve a Escritorio → Actualizaciones en WordPress.
3. Actualiza primero el núcleo de WordPress, luego los plugins, luego los temas.
4. Después de cada actualización, navega por el sitio en modo incógnito y verifica que nada se rompió.

Riesgo: Actualizar puede romper compatibilidad entre plugins. Si algo falla, usa el historial de Wordfence o el plugin WP Rollback para revertir a la versión anterior.

2. Revisar usuarios administradores

Con el tiempo, los sitios acumulan cuentas de administrador que ya no deberían existir: ex empleados, freelancers, agencias anteriores.

Cómo hacerlo:

1. Ve a Usuarios → Todos los usuarios y filtra por rol "Administrador".
2. Revisa que todos los administradores activos sean personas que deben tener ese acceso.
3. Cambia el rol a "Suscriptor" o elimina las cuentas que ya no correspondan.
4. Verifica que ningún usuario tenga el nombre de usuario "admin" (es el primero que intentan los atacantes).

3. Verificar los backups

Tener un plugin de backup instalado no garantiza que los backups funcionen. Los discos se llenan, las credenciales de Google Drive expiran, las cuotas se agotan.

Cómo hacerlo:

1. Revisa en UpdraftPlus → Backups existentes que el último backup se completó.
2. Verifica la fecha del backup más reciente.
3. Comprueba que el backup esté almacenado externamente (Google Drive, Dropbox, S3), no solo en el servidor.
4. Una vez al trimestre: descarga un backup y verifica que puedes restaurarlo en un entorno de prueba.

Si usas el backup de Elevocloud: Verifica en cPanel → Jetbackup que el último backup automático esté disponible y sea reciente.

4. Revisar errores en los logs

Los errores de PHP y WordPress que no se muestran en pantalla (modo producción) pueden estar acumulándose en los logs e indicar problemas latentes.

Cómo acceder a los logs:

• En cPanel: Herramientas → Logs de errores PHP
• En WordPress con WP_DEBUG habilitado: /wp-content/debug.log
• Con Wordfence: hay un registro de actividad sospechosa

Qué buscar:

• Errores PHP críticos (Fatal error, Parse error)
• Intentos de login fallidos repetidos (posible ataque de fuerza bruta)
• Archivos modificados recientemente en zonas que no deberían cambiar (wp-includes/, wp-admin/)

5. Revisar velocidad del sitio

El rendimiento se degrada gradualmente: más imágenes sin optimizar, más plugins, caché que no purga correctamente.

Cómo hacerlo:

1. Ejecuta tu URL principal en pagespeed.web.dev.
2. Anota los valores de LCP, INP, CLS y la puntuación general.
3. Compara con el mes anterior.
4. Si la puntuación bajó más de 10 puntos, investiga qué cambió.

Señales de alerta:

• LCP mayor a 3 segundos en mobile
• Puntuación PageSpeed móvil menor a 60
• Aumento progresivo del tiempo de carga mes a mes

6. Optimizar la base de datos

Con el tiempo, la base de datos de WordPress acumula datos innecesarios: revisiones de entradas, comentarios spam, sesiones expiradas, tablas huérfanas de plugins desinstalados.

Cómo hacerlo:

1. Ve a Herramientas → Optimizar base de datos (requiere el plugin WP-Optimize o similar).
2. Elimina revisiones de entradas antiguas (guarda máximo 5 revisiones por entrada).
3. Limpia comentarios spam y papelera.
4. Elimina datos transitorios expirados.
5. Optimiza las tablas para desfragmentar el almacenamiento.

Precaución: Haz un backup de la base de datos antes de optimizarla. Aunque es infrecuente, las operaciones de optimización pueden fallar en bases de datos con datos corruptos.

7. Verificar formularios y emails de contacto

Los formularios de contacto dejan de funcionar por múltiples razones: cambios en el servidor de email, bloqueos de spam, actualizaciones de plugins.

Cómo hacerlo:

1. Ve a cada formulario activo en tu sitio y envía un mensaje de prueba.
2. Verifica que el email llegue a la dirección configurada (revisa también la carpeta de spam).
3. Si usas WooCommerce: verifica que el email de confirmación de compra funcione con una orden de prueba.

Si el email no llega: El problema más común es que el servidor de hosting tiene el envío de PHP mail limitado o bloqueado. Configura un servicio SMTP externo (Resend, SendGrid, Gmail SMTP).

8. Revisar páginas con error 404

Las URLs rotas afectan la experiencia del usuario y el SEO si tenían links entrantes.

Cómo hacerlo:

1. En Google Search Console → Indexación → Páginas, filtra por "No indexado" → "Error 404".
2. Con el plugin Redirection: revisa el log de errores 404 para identificar URLs rotas frecuentes.
3. Crea redirecciones 301 desde las URLs rotas hacia la URL correcta o a la home si no hay equivalente.

9. Revisar posicionamiento en Google Search Console

Qué revisar:

1. Rendimiento: Compara las impresiones y clics del último mes con el mes anterior.
2. Cobertura: Verifica que no hayan aparecido nuevos errores de indexación.
3. Experiencia en la página: Revisa el informe de Core Web Vitals para detectar páginas con problemas.
4. Seguridad y acciones manuales: Si Google detectó malware o spam, aparece un aviso urgente aquí.

10. Revisar el certificado SSL

Un certificado SSL vencido hace que Chrome muestre un aviso de "Conexión no segura" que aleja a los visitantes inmediatamente.

Cómo verificar:

1. En el navegador, haz clic en el candado junto a la URL de tu sitio.
2. Revisa la fecha de vencimiento del certificado.
3. Si vence en menos de 30 días y no se renueva automáticamente, renuévalo manualmente desde cPanel → SSL/TLS.

En Elevocloud, los certificados Let's Encrypt se renuevan automáticamente cada 90 días. Si la renovación automática falla (por un problema de DNS o una restricción del servidor), recibirás un aviso por email.

Checklist rápido en una página

☐ Backup completo realizado y verificado en destino externo
☐ WordPress, plugins y temas actualizados
☐ Revisión de usuarios administradores activos
☐ Logs de errores PHP revisados
☐ PageSpeed Insights ejecutado y valores anotados
☐ Base de datos optimizada
☐ Formularios de contacto probados
☐ Certificado SSL con fecha de vencimiento verificada
☐ Google Search Console revisado (errores, Core Web Vitals)
☐ Redirecciones de 404s frecuentes creadas

Cuánto tiempo toma el mantenimiento mensual

Para un sitio corporativo estándar (sin WooCommerce):

• Checklist básico: 20 a 30 minutos al mes
• Con optimización de base de datos e imágenes: 45 a 60 minutos

Para una tienda WooCommerce activa:

• Checklist completo + revisión de pedidos: 60 a 90 minutos al mes

Automatizar parte del mantenimiento

Algunas tareas puedes automatizarlas:

• Actualizaciones automáticas: Activa las actualizaciones automáticas de WordPress para versiones menores de seguridad. Los plugins de seguridad críticos (Wordfence) también pueden actualizarse automáticamente.
• Backups automáticos: UpdraftPlus y los backups del hosting ya son automáticos. Solo necesitas verificar que funcionaron.
• Monitoreo de uptime: Servicios como UptimeRobot (gratuito) te avisan por email si tu sitio se cae.
• Monitoreo de velocidad: SpeedVitals o GTmetrix pueden programar chequeos mensuales automáticos.

Conclusión

El mantenimiento mensual de WordPress no requiere conocimientos avanzados. Con 30 minutos al mes y este checklist como guía, puedes mantener tu sitio seguro, rápido y funcionando correctamente.

Los sitios que se hackean o se caen en producción casi siempre tienen en común semanas o meses sin actualizaciones de seguridad, backups que nunca se verificaron, o cuentas de administrador abandonadas. El mantenimiento preventivo evita el 90% de esos problemas.