Checklist Mantenimiento WordPress Mensual: 25 Tareas

Por qué importa un checklist mensual (y no uno anual)

WordPress lanza actualizaciones de seguridad cada 2–4 semanas. Los plugins más populares actualizan cada semana. Un checklist anual equivale a dejar la puerta abierta 11 meses seguidos.

Datos reales: según Sucuri, el 61% de las webs WordPress infectadas en 2025 tenían plugins desactualizados con vulnerabilidades publicadas hacía más de 30 días. No fueron exploits de día cero. Fueron descuidos de mantenimiento.

Un checklist mensual bien ejecutado reduce el riesgo a prácticamente cero en webs corporativas estándar. En tiendas WooCommerce, la frecuencia mínima recomendada es semanal para los puntos críticos (backups, seguridad).

Lo que sigue es el checklist que aplicamos en WebsBarcelona a todas las webs bajo mantenimiento. Dividido en 5 bloques: actualizaciones, backups, seguridad, rendimiento y SEO técnico.

Bloque 1: Actualizaciones (6 tareas)

Las actualizaciones son el núcleo del mantenimiento. Hazlas siempre en este orden para evitar conflictos.

Tarea 1 — Backup previo

Antes de actualizar cualquier cosa, backup completo. Sin excepción.

wp db export backup-$(date +%Y%m%d).sql
wp eval 'echo ABSPATH;' | xargs -I{} tar -czf backup-files-$(date +%Y%m%d).tar.gz {}

Tarea 2 — Actualizar WordPress core

wp core update
wp core update-db

Tarea 3 — Actualizar plugins

# Ver qué tiene actualizaciones pendientes
wp plugin list --update=available --format=table
# Actualizar todos
wp plugin update --all

Tarea 4 — Actualizar temas

wp theme update --all

Importante: nunca edites el tema padre directamente. Solo el tema hijo. Si no tienes tema hijo, créalo antes de cualquier actualización de tema.

Tarea 5 — Verificar web post-actualización

Revisa manualmente: homepage, menú, formularios de contacto, página de pago si es tienda. Las actualizaciones automáticas sin verificación causan el 40% de las roturas reportadas.

Tarea 6 — Actualizar traducciones

wp language core update
wp language plugin update --all
wp language theme update --all

Bloque 2: Backups (5 tareas)

Un backup que solo existe en el mismo servidor que la web no es un backup. Es una copia local que desaparece si el servidor cae o te hackean.

Tarea 7 — Verificar que UpdraftPlus ejecutó el backup

Ve a Ajustes > UpdraftPlus > Copias de Seguridad Existentes. Comprueba fecha y tamaño. Un backup de 0 KB o de hace más de 7 días es una alarma.

Tarea 8 — Confirmar almacenamiento remoto

UpdraftPlus debe enviar backups a un destino remoto: Google Drive, S3, Dropbox o similar. Verifica que el archivo apareció allí, no solo en el servidor local.

Tarea 9 — Test de restauración trimestral

Una vez al trimestre, restaura el backup en un entorno de staging. Si no puedes restaurarlo, no es un backup: es un archivo ZIP inútil. UpdraftPlus Premium permite restaurar con un clic desde el panel.

Tarea 10 — Backup manual de base de datos antes de cambios críticos

wp db export --add-drop-table backup-prechanges-$(date +%Y%m%d-%H%M).sql

Tarea 11 — Revisar retención de backups

UpdraftPlus gratuito guarda los últimos 2 backups por defecto. Para producción, configura retención mínima de 30 días (requiere UpdraftPlus Premium o usar un destino externo con su propia retención como S3).

Bloque 3: Seguridad (7 tareas)

La seguridad en WordPress no es un plugin: es un proceso. Estos 7 puntos son los que marcan la diferencia entre una web que se hackea una vez al año y una que lleva 3 años sin incidentes.

Tarea 12 — Escaneo de malware con Wordfence

Wordfence > Scan > Start New Scan. Revisa el informe. Cualquier archivo marcado como 'Modified WordPress core file' requiere acción inmediata.

# Via WP-CLI con Wordfence
wp wordfence scan --type=all

Tarea 13 — Revisar usuarios administradores

wp user list --role=administrator --format=table

¿Hay usuarios que no reconoces? Elimínalos. Los hackeos de WordPress frecuentemente crean usuarios admin fantasma para mantener acceso backdoor.

Tarea 14 — Verificar intentos de login fallidos

Wordfence > Firewall > Blocked IPs. Si hay IPs bloqueando con intentos de fuerza bruta, activa el bloqueo de país si el tráfico legítimo es solo España.

Tarea 15 — Revisar plugins inactivos

wp plugin list --status=inactive --format=table

Los plugins inactivos siguen siendo vulnerabilidades. Si llevan más de 3 meses inactivos sin plan de uso, desinstálalos.

Tarea 16 — Verificar permisos de archivos

# Los permisos correctos para WordPress
find /var/www/tudominio -type d -exec chmod 755 {} \;
find /var/www/tudominio -type f -exec chmod 644 {} \;
chmod 600 wp-config.php

Tarea 17 — Comprobar SSL y headers de seguridad

Usa curl -I https://tudominio.com y verifica que aparecen: Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options. Si no aparecen, añádelos en el .htaccess o via plugin (Headers and Method Override).

Tarea 18 — Revisar logs de acceso por anomalías

# Buscar intentos de acceso a wp-login.php
grep 'wp-login.php' /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | sort -rn | head -20

Bloque 4: Rendimiento (4 tareas)

Una web lenta pierde posicionamiento en Google y convierte menos. Core Web Vitals son factor de ranking desde 2021. Estos 4 puntos mantienen el rendimiento estable mes a mes.

Tarea 19 — Limpiar caché de WP Rocket

# WP Rocket via WP-CLI
wp rocket clean --confirm
# O si usas W3 Total Cache
wp w3-total-cache flush all

Tarea 20 — Optimizar base de datos

wp db optimize
# Limpiar revisiones antiguas (guardar máximo 5 por post)
wp post delete $(wp post list --post_type=revision --posts_per_page=1000 --format=ids) --force 2>/dev/null || true
# Limpiar transients expirados
wp transient delete --expired

Tarea 21 — Verificar tiempo de carga

Usa Google PageSpeed Insights o GTmetrix. Objetivo: LCP <2.5s, FID <100ms, CLS <0.1. Si el LCP supera 3s en móvil, revisa imágenes sin WebP, plugins que bloquean render y falta de caché de página activa.

Tarea 22 — Revisar uso de disco

# Ver tamaño de uploads y base de datos
du -sh /var/www/tudominio/wp-content/uploads/
wp db size --size_format=mb

Si uploads supera 5 GB, considera mover medios a S3 con el plugin WP Offload Media. Una base de datos superior a 500 MB en un sitio sin e-commerce es señal de revisiones sin limpiar o tablas basura de plugins.

Bloque 5: SEO técnico (3 tareas)

El SEO técnico se degrada sin mantenimiento. Los tres puntos siguientes son los que impactan directamente en el rastreo de Google.

Tarea 23 — Verificar sitemap

Accede a https://tudominio.com/sitemap.xml (con Yoast SEO) o https://tudominio.com/sitemap_index.xml. Debe cargar correctamente y listar las URLs principales. Si da 404, el plugin SEO tiene un problema de rewrite rules.

# Regenerar reglas de rewrite
wp rewrite flush --hard

Tarea 24 — Comprobar robots.txt

Accede a https://tudominio.com/robots.txt. Verifica que Disallow: /wp-admin/ está presente y que no hay un Disallow: / accidental (bloquea todo el rastreo).

Tarea 25 — Revisar errores 404 en Google Search Console

Search Console > Cobertura > Error. Los 404 acumulados sin redirigir queman crawl budget y dan mala señal. Redirige los que tengan URLs lógicas con 301, deja los bots o URLs inválidas.

# Ver 404 recientes en logs
grep ' 404 ' /var/log/apache2/access.log | awk '{print $7}' | sort | uniq -c | sort -rn | head -20

Plugins imprescindibles para automatizar el checklist

Ejecutar 25 tareas manualmente cada mes no es realista. Estos plugins automatizan la mayoría:

Con UpdraftPlus + Wordfence + WP Rocket cubre los bloques 2, 3 y 4 prácticamente de forma automática. Solo necesitas revisión manual mensual de los informes que generan.

Checklist rápida en WP-CLI: script completo de 5 minutos

Si tienes acceso SSH al servidor, este script ejecuta los puntos más críticos en un solo comando:

#!/bin/bash
# maintenance.sh — mantenimiento mensual WordPress
SITE_PATH='/var/www/tudominio'
BACKUP_DIR='/var/backups/wordpress'
DATE=$(date +%Y%m%d)

cd $SITE_PATH

# Backup previo
mkdir -p $BACKUP_DIR
wp db export $BACKUP_DIR/db-$DATE.sql --allow-root
tar -czf $BACKUP_DIR/files-$DATE.tar.gz wp-content/uploads/ --allow-root

# Actualizaciones
wp core update --allow-root
wp core update-db --allow-root
wp plugin update --all --allow-root
wp theme update --all --allow-root
wp language core update --allow-root

# Limpieza BBDD
wp db optimize --allow-root
wp transient delete --expired --allow-root

# Caché
wp rocket clean --confirm --allow-root 2>/dev/null || wp cache flush --allow-root

# Rewrite rules
wp rewrite flush --hard --allow-root

echo "Mantenimiento completado: $DATE"

Guarda este script en /opt/maintenance.sh, dale permisos de ejecución con chmod +x y añádelo al cron del servidor:

# Ejecutar el día 1 de cada mes a las 3:00 AM
0 3 1 * * /opt/maintenance.sh >> /var/log/wp-maintenance.log 2>&1

Mantenimiento DIY vs contratar: tabla de decisión

No todas las webs necesitan el mismo nivel de atención ni el mismo tipo de gestor.

La regla: si una caída de 24 horas te genera un problema de negocio, externaliza. Si la web es informativa y puedes asumir ese riesgo, DIY con este checklist es perfectamente válido.

Qué pasa si saltas el mantenimiento un mes

Saltarte un mes no es catastrófico si el mes anterior estaba todo bien. El riesgo se acumula de forma exponencial, no lineal.

• 1 mes sin actualizar: bajo riesgo si no hay vulnerabilidades críticas publicadas ese mes
• 2–3 meses sin actualizar: riesgo medio. Hay probabilidad alta de que al menos un plugin tenga una vulnerabilidad publicada y explotada activamente
• 6+ meses sin actualizar: riesgo alto. A partir de aquí, Wordfence clasifica estas webs como 'at risk' y el número de intentos de explotación automatizada se multiplica
• 12+ meses sin actualizar: es cuestión de tiempo. El 80% de webs WordPress en este estado han tenido al menos un incidente de seguridad, según datos de Patchstack 2025

Si estás en la situación de 6+ meses sin mantenimiento, no basta con ejecutar el checklist mensual. Necesitas una auditoría de seguridad completa primero: escaneo de malware, revisión de todos los usuarios, verificación de integridad de core y plugins.

En WebsBarcelona incluimos esta auditoría inicial sin coste cuando contratas un plan de mantenimiento.