Checklist 2026 de mantenimiento WordPress profesional para agencias

El mantenimiento WordPress no es una tarea que se hace cuando algo falla. Es un proceso preventivo que determina si los sitios de los clientes de una agencia siguen funcionando correctamente dentro de seis meses o si generan incidencias que consumen tiempo no facturable y dañan la relación con el cliente.

Este checklist está organizado por frecuencia de ejecución: tareas semanales, mensuales, trimestrales y anuales. Cubre seguridad, rendimiento, contenido, backups y documentación. Está diseñado para que una agencia lo aplique internamente o lo use como base para definir el alcance de un plan de mantenimiento que externaliza a un partner.

Todas las tareas incluidas responden a incidencias reales documentadas en los sitios que llegan a Kalyma Studio después de periodos sin mantenimiento activo.

Por qué el mantenimiento WordPress no es opcional en 2026

WordPress alimenta el 43% de los sitios web activos a nivel global según los datos de W3Techs de 2025. Esa cuota de mercado lo convierte en el objetivo más frecuente de ataques automatizados. Un sitio sin mantenimiento activo no es un sitio seguro: es un sitio con vulnerabilidades conocidas que los atacantes escanean de forma sistemática.

Para una agencia que gestiona los sitios de sus clientes, el riesgo no es solo técnico. Un hackeo o una caída de un sitio que la agencia gestiona daña la relación con el cliente independientemente de quién sea el responsable técnico. El cliente no distingue entre un fallo del hosting y un fallo de mantenimiento. Lo que percibe es que su web no funciona y que la agencia es quien debería haberlo evitado.

Según los datos internos de Kalyma Studio de 2025, el 90% de los hackeos en sitios WordPress que el equipo interviene tienen como causa raíz plugins desactualizados, versiones de PHP sin soporte o contraseñas débiles. Los tres son prevenibles con mantenimiento activo.

Tareas semanales

Las tareas semanales son las de mayor impacto en seguridad y disponibilidad. Son las que detectan problemas antes de que se conviertan en incidencias.

Verificación de disponibilidad
Confirmar que el sitio responde correctamente en su URL principal. Un monitor de uptime automatizado (UptimeRobot, Freshping) puede hacer esta tarea de forma continua y enviar alertas en menos de 5 minutos desde que el sitio cae.

Revisión de alertas de seguridad
Si el sitio tiene un plugin de seguridad activo (Wordfence, MalCare, Solid Security), revisar el panel de alertas semanalmente. Los intentos de fuerza bruta, los escaneos de vulnerabilidades y los accesos sospechosos aparecen ahí antes de convertirse en un problema real.

Revisión de formularios
Verificar que los formularios de contacto, presupuesto o suscripción del sitio envían correctamente y que los mensajes llegan al destino acordado. Los formularios dejan de funcionar con más frecuencia de lo que parece: por cambios en el servidor de correo, por actualizaciones del plugin de formularios o por filtros de spam que bloquean el dominio.

Revisión de errores en consola
Una revisión rápida de los errores de JavaScript en el navegador y de los errores PHP en el log del servidor detecta problemas que no son visibles para el usuario pero que degradan el rendimiento o rompen funcionalidades secundarias.

Tareas mensuales

Las tareas mensuales son el núcleo del mantenimiento WordPress. Son las que mantienen el entorno actualizado y el rendimiento estable.

Actualización de WordPress core
Actualizar WordPress a su versión estable más reciente. Las actualizaciones de seguridad (minor updates) deben aplicarse de forma inmediata. Las actualizaciones de versión mayor (major updates) deben aplicarse tras verificar la compatibilidad con los plugins activos en un entorno de staging.

Actualización de plugins
Actualizar todos los plugins activos a sus versiones más recientes. Antes de actualizar en producción, verificar si alguna actualización tiene notas de cambios que puedan afectar a la funcionalidad del sitio. Los plugins de WooCommerce, Elementor Pro y plugins de seguridad son los que más frecuentemente generan conflictos tras una actualización mayor.

Actualización de temas
Actualizar el tema activo y los temas inactivos instalados. Los temas inactivos con versiones antiguas son un vector de ataque habitual porque muchas agencias los olvidan al actualizar el resto del entorno.

Revisión de usuarios administradores
Verificar que solo tienen acceso de administrador las cuentas autorizadas. Eliminar usuarios inactivos o con permisos que ya no corresponden. Verificar que las contraseñas de los usuarios administradores cumplen los criterios de complejidad mínima.

Backup verificado
Confirmar que el sistema de backup está funcionando correctamente y que el backup más reciente es restaurable. Un backup que existe pero no es restaurable no protege de nada. La verificación implica descargar el backup más reciente y comprobar que los archivos están completos y no están corruptos.

Revisión de PageSpeed
Medir el score de PageSpeed con Google Lighthouse en móvil. Documentar el resultado y compararlo con el mes anterior. Una degradación progresiva del score indica que se han añadido plugins, scripts de terceros o imágenes no optimizadas que están afectando al rendimiento. El umbral mínimo recomendado es 85/100 en móvil.

Revisión de espacio en disco
Verificar que el hosting no está cerca del límite de espacio asignado. Los sitios con logs de error que crecen de forma descontrolada o con librerías de medios sin limpiar pueden llegar al límite sin que nadie lo detecte hasta que el sitio deja de funcionar.

Tareas trimestrales

Las tareas trimestrales son las que mantienen el entorno técnico saludable a medio plazo y las que generan el informe que la agencia puede entregar al cliente como prueba del trabajo realizado.

Revisión de la versión de PHP
Verificar que el servidor ejecuta una versión de PHP con soporte oficial activo. En 2026, las versiones soportadas son PHP 8.1, 8.2 y 8.3. Las versiones sin soporte (PHP 7.4 y anteriores) no reciben parches de seguridad y son un riesgo creciente. Si el hosting ejecuta una versión sin soporte, coordinar con el cliente la actualización.

Revisión de plugins desactualizados o abandonados
Identificar los plugins que no han recibido actualizaciones en más de 12 meses. Un plugin abandonado por su desarrollador es un riesgo de seguridad que no va a corregirse. Si no existe una alternativa mantenida, documentarlo y planificar la sustitución.

Revisión de Core Web Vitals en Search Console
Acceder a Google Search Console y revisar el informe de Core Web Vitals. Los errores de LCP, INP o CLS que aparecen ahí afectan directamente al posicionamiento orgánico del sitio. Documentarlos y planificar las correcciones en el siguiente ciclo de mantenimiento.

Revisión de errores de indexación
Revisar el informe de cobertura en Search Console para detectar páginas con errores de indexación (404, redireccionamiento incorrecto, páginas bloqueadas por robots.txt o noindex involuntario).

Prueba de restauración del backup
Una vez al trimestre, restaurar el backup completo en un entorno de staging para verificar que el proceso de recuperación funciona correctamente. No es suficiente con que el backup exista: hay que saber cuánto tiempo tarda la restauración y que el resultado es un sitio funcional.

Informe trimestral para el cliente
Documentar las tareas realizadas, las actualizaciones aplicadas, el score de PageSpeed del mes más reciente y cualquier incidencia resuelta durante el trimestre. Este informe es la prueba tangible del valor del plan de mantenimiento y el argumento más efectivo para retener al cliente en la renovación.

Tareas anuales

Las tareas anuales son las de mayor alcance y las que requieren más coordinación con el cliente.

Renovación de dominio y SSL
Verificar las fechas de expiración del dominio y del certificado SSL. Un dominio caducado o un SSL expirado tumban el sitio de forma inmediata y dañan la reputación del cliente ante sus usuarios. Configurar la renovación automática cuando sea posible o establecer alertas con 60 días de antelación.

Auditoría técnica completa
Una revisión profunda del entorno técnico: stack de plugins, estructura de archivos, configuración del servidor, logs de error acumulados y comparación del rendimiento actual con el del año anterior. Esta auditoría identifica la deuda técnica acumulada y las mejoras que deben planificarse para el siguiente año.

Revisión del plan de copias de seguridad
Verificar que la política de backups sigue siendo adecuada para el volumen de contenido y la frecuencia de actualizaciones del sitio. Un sitio que se actualiza diariamente necesita backups diarios. Un sitio que se actualiza mensualmente puede funcionar con backups semanales.

Actualización de la documentación del proyecto
Actualizar el documento interno de la agencia con los accesos actuales al sitio, los plugins instalados con sus versiones, las configuraciones específicas del proyecto y cualquier decisión técnica tomada durante el año. Esta documentación es crítica si el proyecto cambia de manos dentro del equipo o se traspasa a otro partner técnico.

Cómo estructurar el mantenimiento como servicio recurrente

Para una agencia, el mantenimiento WordPress no es solo un coste técnico: es una fuente de ingresos recurrentes que estabiliza la facturación mensual.

Un plan de mantenimiento bien definido incluye:

Alcance claro: qué tareas están incluidas y cuáles no. Los cambios de diseño, el desarrollo de nuevas funcionalidades y la creación de contenido no son mantenimiento técnico y deben facturarse por separado.

SLA de respuesta: cuánto tiempo tarda la agencia en responder a una incidencia. La diferencia entre un SLA de 24 horas y uno de 72 horas es relevante para los clientes con sitios de alta visibilidad.

Informe mensual o trimestral: un documento que el cliente recibe de forma regular con las tareas realizadas y el estado técnico del sitio. Es el argumento más efectivo para justificar el precio del plan en cada renovación.

Precio por sitio o por bolsa de sitios: el modelo más habitual en el mercado es un precio mensual fijo por sitio. Para agencias con muchos clientes, un modelo de bolsa de sitios (precio por bloque de 5 o 10 sitios) tiene mejor margen.

Si la agencia no quiere gestionar el mantenimiento internamente, puede externalizarlo a un partner en modelo marca blanca. El cliente percibe que la agencia gestiona el mantenimiento. El partner técnico lo ejecuta de forma invisible. Kalyma Studio ofrece ese modelo con planes desde 240€ trimestrales.