Guia basica de mantenimiento de WordPress
Una instalación de WordPress requiere un mantenimiento cada cierto tiempo, quizás no requiere un mantenimiento diario ni semanal, pero sí que es importante realizar una revisión manual cada mes al menos.
Sin embargo, el período de tiempo entre revisiones o mantenimientos debe ser más corto cuanto más importante y crítica sea la instalación, de hecho, cuanto más se trabaje con la instalación de WordPress, más pendiente hay que estar del mantenimiento.
En principio un buen plan de mantenimiento de Worpdress debería constar de los siguientes puntos como mínimo:
- Copias de seguridad diarias como mínimo.
- Actualizaciones de plugins.
- Actualizaciones del theme.
- Actualizaciones del núcleo de WordPress.
- Limpieza y optimización de la base de datos.
- Comprobación de los métodos anti-spam.
- Comprobación de los métodos de protección contra ataques.
- Comprobación del rendimiento y del cache.
- Comprobación de malware del sitio web.
- Comprobación de que Google puede visualizar la web.
- Comprobación de enlaces rotos externos e internos.
- Revisión del tráfico y las estadísticas de tráfico.
- Limpieza de plugins no utilizados.
- Revisión de fechas de actualización de los plugins y del theme.
- Revisión de consumo de recursos si es posible.
En principio, si tenemos en cuenta las características anteriores, podremos programar mantenimientos completos y garantizando que nuestro sitio web se encuentra siempre en buen estado.
Vamos a explicar cada punto del mantenimiento por separado en este artículo.
- Copias de seguridad de Wordpress
- Actualización de plugins
- Actualización del Theme
- Actualización de Wordpress
- Limpieza y optimización de la base de datos
- Comprobación de los métodos Antispam
- Comprobación de la seguridad de Wordpress
- Comprobación del rendimiento y del cache
- Comprobación de malware en el sitio web
- Comprobación de que Google pueda acceder al sitio
- Comprobación de enlaces rotos
- Revisión del tráfico y las estadísticas de visitantes
- Limpieza de plugins no utilizados
- Revisión de fechas de actualización de los plugins
- Revisión del consumo de recursos de Wordpress
- Comprobar el espacio libre en el hosting o servidor
- Extra: Checklist de mantenimiento de WordPress
Copias de seguridad de Wordpress
Las copias de seguridad son el método básico de protección contra catástrofes, es decir, aunque nuestro sitio web reviente, si tenemos una copia de seguridad siempre podremos recurrir a ella para volver a poner nuestro sitio web en funcionamiento.
En Wordpress es relativamente fácil realizar copias de seguridad completamente automatizadas y guardándolas en servidores externos, es más, es posible subir automáticamente copias de seguridad a servicios como Google Drive o Dropbox, aunque también es posible subirlas fácilmente a un servidor FTP.
Uno de los plugins más utilizados para realizar copias de seguridad programadas en Wordpress de forma fácil y eficiente es BackWPup.
BackWPup es un plugin totalmente gratuito que podemos descargar desde el repositorio de plugins de Wordpress, de hecho, configurarlo es mucho más fácil que otros plugins y apenas requiere seguir un asistente de configuración para crear una nueva tarea.
En el siguiente video puedes ver como automatizar los backups de tu Wordpress y subirlos automáticamente a una cuenta de Dropbox configurada previamente:
BackWPup no es el único plugin para Wordpress que permite realizar este proceso, también existen otros muy potentes y totalmente gratuitos como es el caso de Updraft Plus o Wordpress Backup to Backup.
Actualización de plugins
Actualizar los plugins que tienes en tu instalación de Wordpress es una de las cosas más importantes que debes hacer, ya que con las actualizaciones de plugins se resuelven fallos de seguridad que pueden ser más o menos importantes dependiendo de los bugs descubiertos.
Aunque actualmente existen formas de actualizar automáticamente los plugins del repositorio de plugins de Wordpress utilizando herramientas como por ejemplo nuestro Installatron o InfiniteWP, es recomendable realizar las actualizaciones de plugins de forma manual para tener constancia siempre de lo que se instala, y si en algún momento algún plugin llega a dañar la instalación, al menos saber “por donde vienen los tiros”.
Los plugins Premium también se deben actualizar, si has comprado un theme que traía varios plugins Premium pre-empaquetados puede que necesites comprar la versión completa del plugin para poder actualizarlos. Llegados a ciertos momentos, puede ser estrictamente necesario realizar este paso.
Evidentemente, se da por hecho, que los plugins nulled quedan totalmente descartados debido a que normalmente traen regalos en forma de malware y otro tipo de código malicioso que puede ayudar a los hackers y atacantes entrar a tu sitio web.
Sin duda, la actualización de plugins es uno de los puntos clave del mantenimiento de Wordpress.
Actualización del Theme
El theme, al igual que los plugins, necesita actualizarse. Aunque normalmente el theme tiene menos actualizaciones ya que tiene menos código con posibilidades de fallos de seguridad al ser código mucho más simple.
El problema que nos encontramos en muchas ocasiones es que muchos administradores de sitios web Wordpress tienen modificaciones hechas en el código para adaptar el theme a las necesidades del sitio web, y esto puede llegar a dificultar bastantes las actualizaciones, ya que debemos implementar el código modificado en los nuevos archivos del theme.
En esta ocasión volvemos a repetir que quedan totalmente descartados los themes nulled debido a que normalmente vienen infectados con malware que puede dañar nuestro sitio web.
Actualización de Wordpress
Actualizar Wordpress es otro punto básico del mantenimiento de Wordpress, ya que Automattic suele liberar de vez en cuando pequeñas actualizaciones de seguridad que nos ayudaran a mantener nuestro Wordpress protegido contra inyecciones de código e intrusiones por parte de hackers.
Aunque actualizar Wordpress es una tarea importante en el mantenimiento de cualquier instalación, debemos tener en cuenta que todos los plugins y el theme tienen que tener compatibilidad total con la versión de Wordpress que vamos a instalar.
Al igual que en el caso de los themes y los plugins, en el caso de Wordpress también existen herramientas que nos permiten autoactualizar el nucleo de Wordpress, pero no solo eso, sino que el propio Wordpress desde hace unas versiones es capaz de actualizar su núcleo de forma automática (Se puede desactivar desde el wp-config.php de Wordpress).
Limpieza y optimización de la base de datos
La base de datos de Wordpress es la encargada de guardar todos los datos del sitio web, eso incluye todos los artículos publicados, todas las páginas publicadas, todas las configuraciones de Wordpress y muchos más datos.
El problema viene cuando se usa de forma continua durante mucho tiempo y sin realizar una limpieza a la DB MySQL, ya que se van acumulando datos inservibles como revisiones muy antiguas y otros elementos que si los eliminamos conseguiremos reducir el tamaño que ocupa la base de datos de Wordpress.
Aunque muchos no lo entienden, la base de datos de Wordpress es mejor cuanta más pequeña sea, ¿Por qué? Pues la razón es realmente simple, porque una base de datos muy grande puede complicar mucho las copias de seguridad y una posible restauración en caso de que fuera necesaria.
Existen muchos plugins para limpiar la base de datos de Wordpress, de hecho hace ya bastante tiempo en este blog listamos una serie de plugins para realizar limpieza de Wordpress.
En Raiola Networks normalmente utilizamos el plugin WP-Optimize para realizar optimizaciones y limpiezas básicas de la base de datos.
WP-Optimize es un plugin totalmente gratuito y que puede ser descargado desde el repositorio de plugins de Wordpress, permite realizar limpieza general de los elementos más comunes que se guardan temporalmente en la base de datos de Wordpress:
- Limpiar todas las revisiones de publicaciones (posts, paginas, custom-posts, etc..).
- Limpiar guardados automáticos y la papelera del editor de Wordpress.
- Eliminar comentarios marcados como SPAM y comentarios en la papelera.
- Eliminar comentarios sin aprobar.
- Eliminar “transients” u opciones transitorias de la tabla wp_options.
- Eliminar pingbacks de las publicaciones de Wordpress.
- Eliminar trackbacks de las publicaciones de Wordpress.
- Optimizar la base de datos (solo tablas MyISAM).
La ventaja de WP-Optimize es que además nos permite programar la limpieza cada cierto periodo de tiempo para que podamos olvidarnos del mantenimiento de la base de datos de Wordpress.
En el siguiente video vas a poder ver un poco más explicada la limpieza de WP-Optimize de la base de datos de Wordpress:
Si quieres más información acerca del plugin WP-Optimize para Wordpress puedes encontrarla en el repositorio de plugins en la siguiente dirección URL: plugins para realizar limpieza de Wordpress.
Comprobación de los métodos Antispam
Personalmente yo no tengo que preocuparme de los métodos anti-spam, ya que todos los sitios web y blogs Wordpress que tengo utilizan el mismo plugin para protegerme del SPAM.
Aunque Wordpress trae de forma predeterminada Akismet (han hablado varias veces de que lo iban a sacar), Akismet no es un buen plugin, su funcionamiento es realmente malo y anticuado para los métodos que existen actualmente para luchar contra el SPAM.
El método que nosotros usamos es un plugin llamado Anti-SPAM que puede ser descargado de forma totalmente gratuita desde el repositorio de plugins de Wordpress y que básicamente lo que hace es añadir un campo oculto que por defecto los visitantes no lo ven, ese campo oculto SIEMPRE debe quedar vacío, pero los bots intentan rellenarlo, y ahí es donde Anti-SPAM los bloquea no dejándoles comentar.
Anti-Spam no tiene ninguna configuración y es válido tanto para formularios de comentarios como para formularios de contacto y otro tipo de sistemas de interacción con el visitante que estén creados en código HTML.
Como decía, Anti-SPAM es un plugin totalmente gratuito y puede ser descargado desde la siguiente dirección URL: https://wordpress.org/plugins/anti-spam/
Existen otras alternativas para pelear contra el SPAM en Wordpress como por ejemplo el plugin Anti-Spam Bee o directamente no utilizar el sistema de comentarios de Wordpress, cambiándolo por algo más avanzado como por ejemplo el plugin Disqus o los comentarios de Facebook.
Aun así, todo esto nos protege contra bots spammers, pero contra los spammers manuales debemos pelear nosotros.
Comprobación de la seguridad de Wordpress
La seguridad de Wordpress es uno de los puntos básicos del mantenimiento, ya que últimamente muchos Wordpress están siendo hackeados debido a una serie de problemas y agujeros de seguridad que pueden hacer que nuestro sitio web sea hackeado.
Existen algunos tweaks que podemos hacer para que nuestro Wordpress este securizado y siempre este al 100%, para ello podemos utilizar algunos plugins gratuitos:
- WordFence Security: Se trata de una de las suites de seguridad para Wordpress más potentes que además nos permite realizar desinfecciones de archivos, consiguiendo la garantía de que todos los archivos estén totalmente limpios de código inyectado o malicioso.
Puedes encontrar más información acerca de WordFence Security aquí: https://wordpress.org/plugins/wordfence/
- All in One Security & Firewall: Se trata de un plugin todo en uno (como su nombre indica) que tiene diversos apartados para la securización y mantenimiento de Wordpress, permitiendo tener nuestra instalación siempre segura y funcionando.
Puedes encontrar más información acerca de All in One Security & Firewall aquí: https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/
- Config Interface: Se trata de un nuevo plugin para Wordpress que nos permite realizar ciertos tweaks en el wp-config.php de Wordpress, es un plugin del que hable hace unas semanas y para mí ya es imprescindible.
Puedes encontrar más información sobre el plugin en la siguiente dirección URL: https://raiolanetworks.com/blog/tweaking-avanzado-del-wp-config-php-de-wordpress/
Evidentemente existen otros plugins que nos permiten hacer las mismas funciones que los anteriores, pero nosotros en Raiola Networks siempre utilizamos los plugins listados anteriormente.
Comprobación del rendimiento y del cache
Los plugins de cache para Wordpress suelen funcionar siempre sin problemas si no se les toca, pero algunos tan complejos como W3 Total Cache pueden dar problemas en las actualizaciones si no se procede como debería.
Comprobar el rendimiento de Wordpress es muy fácil, todo lo que tenemos que hacer es tener previamente una referencia de rendimiento de la instalación de Wordpress y volver a probar la velocidad de carga con Pingdom Tools: http://tools.pingdom.com/fpt/
También debemos fijarnos en el tiempo firstbyte de la carga para saber si el sistema de cache está funcionando perfectamente:
Si el rendimiento de antes y el de después no es el mismo debemos revisar completamente el plugin de cache, algunos plugins de cache traen pantallas de información que nos ofrecen información sobre el cache, como es el caso de Flexicache para Wordpress:
Este tipo de pantallas de información pueden ayudarnos a identificar problemas importantes en los sistemas de cache, ya sean a nivel servidor o a nivel plugin aunque revisar el log de errores del hosting o servidor también puede ser interesante para resolver este tipo de problemas técnicos.
Aunque el rendimiento de un sitio web puede no venir dado simplemente por el plugin de cache, el plugin de cache juega un papel muy importante en los tiempos de carga de cualquier sitio web ya que nos permite ahorrar recursos y tiempo de proceso.
Algunas actualizaciones de plugins pueden dañar el rendimiento del sitio web, este tipo de problemas es fácil identificarlos estando atento a las fechas de actualizaciones (esto está directamente ligado a un punto del mantenimiento listado anteriormente).
Comprobación de malware en el sitio web
La comprobación del malware del sitio web puede realizarse de distintas formas, una de ellas, es utilizando el plugin WordFence para Wordpress combinándolo con limpieza manual si hiciese falta.
En el siguiente video que hemos grabado hace ya algún tiempo puedes ver cómo detectar malware e inyecciones de código utilizando WordFence Security:
Como puedes ver, con WordFence Security es relativamente fácil detectar malware en Wordpress, aunque su eliminación es más complicada y es recomendable que este tipo de tareas de desinfección de Wordpress sean hechas por profesionales debido a que puede dañarse el sitio web si no sabemos lo que hacemos.
Pero además de WordFence Security existen otras herramientas para detectar malware, algunas más potentes que otras. Estas son algunas herramientas que nosotros utilizamos a diario en nuestro trabajo:
- PyxSoft Anti-Malware: Se trata de una aplicación para servidores de hosting que ejecuten cPanel que utiliza el motor de análisis de ClamAV para funcionar y que está especializado en código malicioso para sitios web, es bastante potente a la hora de detectar malware en sitios web.
- Maldet (Malware Detect): Se trata de una herramienta para ejecutar en línea de comandos en el servidor y que es bastante potente a la hora de detectar todo tipo de malware en servidores Linux. Al igualque la solución de PyxSoft, Maldet utiliza el motor de análisis de ClamAV.
- WPHardening: Se trata de una herramienta desarrollada en Python que es capaz de ocuparse de todas las tareas de securizacion y hardening de Wordpress.
Con esta aplicación podemos decir que nuestro Wordpress está completamente seguro ya que nos permite ajustar permisos y nos descarga plugins que nos ayudaran con la seguridad de nuestro sitio web.
Si durante un análisis te encuentras que tu sitio web tiene malware es importante limpiar el problema antes de que el código malicioso pueda infectar todo el sitio web y otros sitios web que se encuentren en el mismo directorio o cuenta de hosting.
Comprobación de que Google pueda acceder al sitio
Es importante que Google pueda acceder al sitio web ya que sino nuestro sitio desaparecerá de los buscadores.
Pueden existir muchas razones por las que un sitio web puede estar bloqueando a los bots de los principales buscadores de Internet, una de las principales es por malware o por una incorrecta configuración del archivo robots.txt que parece que nadie consigue configurar correctamente.
Existen dos formas básicas de comprobar que Google pueda acceder al sitio web:
- Mediante Google PageSpeed y su herramienta: Si el bot de la herramienta de Google PageSpeed puede acceder al sitio web y no da error, el bot del buscador también puede acceder sin problemas a no ser que este específicamente bloqueado.
- Mediante la herramienta “Explorar como Google” de Google Webmaster Tools: La herramienta “Explorar como Google” ayuda a forzar a que Google vuelva a pasar por nuestro sitio, si detecta un error cuando el bot escanee el sitio va a avisarnos y podremos ver que realmente existe un problema.
Si en estas pruebas Google puede acceder perfectamente al sitio web en principio quiere decir que el bot de Google está funcionando bien en nuestro sitio web, si el sitio ha desaparecido de los resultados de búsqueda en los buscadores puede deberse a otra razón relacionado con el SEO on Page del sitio web o con alguna penalización impuesta.
Es importante revisar este punto durante los mantenimientos programados, ya que es mejor siempre prevenir que curar. Además, aunque no esté directamente ligado al mantenimiento de Wordpress, es recomendable mantener siempre la atención sobre Google Webmaster Tools de forma continua, ya que es ahí donde podremos ver si nuestro sitio está siendo correctamente indexado y podremos corregirlo rápido si fuera necesario, sin que nuestro sitio web desaparezca del buscador en ningún momento.
Comprobación de enlaces rotos
De este tema ya hemos hablado en otra ocasión, ya que la comprobación de enlaces rotos en Wordpress se realiza mediante el uso de un plugin llamado Broken Link Checker que en algunas circunstancias puede llegar a colapsar un servidor o un plan de hosting debido al alto consumo de recursos que puede hacer el plugin.
¿Por qué debemos realizar una comprobación de enlaces rotos? Pues muy simple, los enlaces rotos pueden tener dos efectos adversos en nuestro sitio web:
- Los visitantes pulsan un enlace roto y se van de nuestro sitio web, algo realmente malo ya que los visitantes son la base de cualquier sitio web y un sitio web sin visitas no es nada.
- El SEO puede dañarse si tenemos muchos errores 404 en nuestro sitio web y muchos enlaces externos rotos que no llevan a ninguna parte.
Broken Link Checker es muy fácil de utilizar, ya que entre sus funciones básicas solo se incluye la programación de escaneos de todo nuestro sitio web para encontrar enlaces rotos.
Sin duda, es una suerte que existan plugins como estos para Wordpress, ya que de otra forma es necesario utilizar herramientas externas para analizar el sitio web interno y reconocer los enlaces rotos, pero esto incluso tiene más impacto en el rendimiento que el propio Broken Link Checker y además puede falsificar las estadísticas del sitio web si no tenemos cuidado.
Revisión del tráfico y las estadísticas de visitantes
Es importante revisar que nuestro sitio esté recibiendo el tráfico que debería, aunque este punto del mantenimiento no es exactamente igual en todos los sitios web, es importante revisar que el tráfico siempre es el mismo sin fluctuaciones raras.
Evidentemente todo lo comentado en el párrafo anterior solo tiene validez si hablamos de un sitio web que recibe el tráfico desde Google y los principales buscadores, si hablamos de un sitio web viral las fluctuaciones son normales al tratarse de sitios web que solo reciben tráfico como desencadenante de acciones sociales.
¿Por qué debemos revisar que el tráfico entra correctamente a nuestro sitio web? Pues porque puede que no esté entrando por alguna razón técnica, es importante asegurarse de que realmente los visitantes pueden entrar correctamente a nuestro sitio web y navegar por el sin sobresaltos ni problemas que les puedan hacer abandonar el sitio.
¿Cómo podemos comprobar si entra el tráfico correctamente? Existen varias formas de hacerlo, vamos a detallar algunas:
- Entrando como incógnito en Google Chrome y navegando por el sitio web como si fueras un visitante más, esto te ayudara a ver tu sitio como si fueras un visitante sin tener en cuenta que puedas estar logueado en tu sitio y sin tener en cuenta el cache de tu navegador web.
- Utilizando la herramienta PingDom Tools puedes comprobar si tu sitio web carga desde varios orígenes externos, muy útil cuando existen problemas de enrutamiento en algún proveedor de servicios de Internet.
Puedes encontrar más información sobre esta herramienta aquí: http://tools.pingdom.com/fpt/
- Utilizando la herramienta de Google PageSpeed Insights también puedes comprobar si tu sitio web está cargando correctamente desde los servidores de Google.
Puedes encontrar más información acerca de esta herramienta de Google PageSpeed Insights en la siguiente dirección URL: https://developers.google.com/speed/pagespeed/insights/
Limpieza de plugins no utilizados
Los plugins que no utilizas NUNCA deben estar en tu instalación de Wordpress aunque no estén activados, la razón es que si uno de esos plugins se queda ahí olvidado sin actualizar durante mucho tiempo puede llegar a tener un fallo de seguridad importante y puede que un atacante entre en tu sitio web por culpa de que un día dejaste un plugin ahí abandonado.
Debemos comprobar que plugins no utilizamos y eliminarlos completamente de la instalación de Wordpress, y si algún día necesitamos volver a utilizar un plugin en concreto, lo volvemos a instalar y punto.
Aunque parezca una tontería, este es un punto fuerte del mantenimiento de cualquier sitio web y puede ser la diferencia entre un sitio web hackeado y un sitio web completamente limpio y “sano”.
Revisión de fechas de actualización de los plugins
Este punto va directamente ligado a la actualización de plugins que hemos visto en las primeras partes de este artículo.
En muchas ocasiones el problema es que los plugins dejan de desarrollarse y por lo tanto dejan de sacarse actualizaciones, cuando pasa un cierto tiempo esos plugins se convierten en agujeros de seguridad que garantizan la entrada de malware fácilmente.
Cuando un plugin lleva ya un tiempo sin actualizar, puede ser vulnerable o no dependiendo de muchos factores, por ejemplo, nosotros en Raiola Networks utilizamos normalmente el plugin Flexicache para Wordpress que lleva ya algunos años sin actualizar, pero hemos revisado su código para garantizar que por el momento no es vulnerable a nada conocido hasta el momento.
Revisión del consumo de recursos de Wordpress
Este es un tema que ya lo hemos hablado bastantes veces en este blog, hemos hablado largo y tendido del consumo de recursos de Wordpress: https://raiolanetworks.com/blog/solucion-un-alto-consumo-de-recursos-en-wordpress/
Wordpress al ejecutarse consume recursos en el servidor web, y esto es algo que muy poca gente entiende, incluso la mayoría de la gente que hace sitios web Wordpress es incapaz de entender los principios básicos de funcionamiento de un sitio web al ejecutar código PHP en un intérprete PHP instalado en el servidor web.
Cada plugin instalado, cada función que ejecuta el theme impacta directamente en los recursos del servidor web, por eso debemos prestar especial atención al uso de recursos de nuestra instalación de Wordpress.
Debemos estar muy atentos en las actualizaciones de plugins, ya que ya hemos visto casos de plugins que al actualizarse comienzan a “devorar” recursos, si estamos atentos podremos solucionar este tipo de problemas fácilmente y sin perder tiempo.
Si necesitas optimizar el consumo de recursos de tu Wordpress, no dudes en contactar con nosotros sin compromiso ya que estamos especializados en la optimización de Wordpress.
Comprobar el espacio libre en el hosting o servidor
En el día a día en Raiola Networks nos encontramos muchísimos clientes que no se dan cuenta cuando su cuenta de hosting alcanza el máximo de espacio utilizando, lo curioso es que en la mayoría de las ocasiones el problema viene dado por un fallo en un plugin que inunda la cuenta de archivos inútiles que podemos borrar sin ningún problema.
Debemos prestar especial atención a esto, ya que en un hosting llegar al límite simplemente puede dejarnos el sitio web caído, pero en un servidor VPS o servidor dedicado al llegar al límite de espacio del sistema pueden caerse servicios principales como el servidor MySQL causando problemas y pudiendo llegarse a corromper la base de datos de Wordpress.
Evidentemente está claro que si se corrompe la base de datos y no conseguimos repararla perderemos todos los datos de nuestro sitio web.
Aunque parezca una tontería, es importante comprobar de vez en cuando el espacio disponible libre en nuestro hosting o servidor con el fin de garantizar que nuestro sitio siempre se encuentre online y no se caiga por un simple “detalle”.
Extra: Checklist de mantenimiento de WordPress
Ya para terminar el post, te animo a descargarte la checklist que hemos creado a modo de resumen. Así siempre tendrás un documento guardado que podrás utilizar en tus mantenimientos periódicos. Solo tienes que rellenar el siguiente formulario.
Deja una respuesta
Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *