Mantenimiento WordPress en Barcelona

El mantenimiento de WordPress en Barcelona no consiste en aplicar parches a ciegas el martes por la noche. Consiste en mantener un sitio que factura, capta leads o vende en línea funcionando de forma estable mientras WordPress, WooCommerce y la normativa española siguen cambiando bajo los pies. Damos soporte continuo a empresas de Barcelona y del resto de Cataluña que ya tienen un sitio en producción y no quieren que cada actualización sea una tirada de dados.

#Mantenimiento WordPress en Barcelona

La mayoría de los sitios que asumimos en Barcelona no nacieron mal: envejecieron sin cuidado. Plugins que la agencia original dejó de actualizar, una versión de PHP que el hosting ya marca como obsoleta, copias de seguridad que nadie ha restaurado nunca para comprobar que funcionan. El mantenimiento serio empieza por revertir esa deriva y después mantenerla a raya mes a mes, con un registro escrito de qué se tocó y por qué.

#Qué incluye el mantenimiento mensual

• Actualizaciones de WordPress core, plugins y temas probadas primero en un entorno de pruebas idéntico al de producción, con un plan de reversión documentado antes de cada despliegue
• Copias de seguridad diarias con retención de 30 días, almacenadas fuera del propio servidor, con restauraciones de prueba periódicas (una copia que nunca se ha restaurado no es una copia, es una suposición)
• Monitorización de seguridad: escaneo de malware, verificación de integridad de ficheros, vigilancia de intentos de acceso y reglas de Web Application Firewall ajustadas a los vectores típicos de WordPress
• Monitorización de uptime y de Core Web Vitals (LCP, INP, CLS) con avisos cuando una métrica se sale del presupuesto acordado
• Horas mensuales de desarrollo para cambios pequeños: ajustes de contenido, correcciones, retoques de plantilla, sin necesidad de abrir un presupuesto aparte
• Informe mensual con lo aplicado, lo detectado y lo que conviene planificar para el mes siguiente

#Por qué el contexto de Barcelona cambia el trabajo

Barcelona concentra una parte desproporcionada del tejido digital español. El distrito 22@ de Poblenou, levantado sobre el antiguo suelo industrial de Sant Martí, reúne hoy más de 1.500 empresas vinculadas a tecnología, medios y diseño, con sedes como la de Glovo (Yellow Park) y la presencia de la Universitat Politècnica de Catalunya y la Pompeu Fabra alimentando talento. Cada marzo, el Mobile World Congress y el 4YFN en la Fira de Gran Via traen más de 100.000 visitantes y centenares de startups a la ciudad.

Esto importa para el mantenimiento por una razón muy concreta: los picos de tráfico no son hipotéticos. Una agencia, un SaaS o un comercio de Barcelona que aparezca en prensa durante la semana del MWC, o que lance una campaña coincidiendo con el evento, recibe una carga que un hosting compartido sin caché de objetos no aguanta. Parte de nuestro trabajo de mantenimiento es preparar el sitio para esas ventanas: revisar la caché, el TTFB y los límites de PHP antes de que el tráfico llegue, no durante la caída.

#Mantenimiento de WooCommerce y cumplimiento de pagos en España

Buena parte de los sitios WordPress que mantenemos en Barcelona venden con WooCommerce, y ahí el mantenimiento se cruza de lleno con la realidad de pagos española. Redsys es la pasarela bancaria dominante en España (la usan Santander, BBVA y CaixaBank, entre otros), y Bizum, con decenas de millones de usuarios, se ha vuelto un método de cobro que los clientes esperan ver en el checkout. Mantener un WooCommerce aquí significa, en la práctica:

• Vigilar que la integración de Redsys siga firmando correctamente tras cada actualización del plugin de pasarela o de WooCommerce (un cambio de versión que rompe la firma HMAC deja el checkout muerto sin avisar)
• Comprobar que Bizum sigue activo como método independiente y que su flujo de redirección no se rompe con cambios de tema o de caché de página
• Probar el checkout completo en el entorno de pruebas después de cada ciclo de actualización, no solo cargar la home y dar por bueno el despliegue

#VeriFactu: el cambio normativo que conviene anticipar

El sistema VeriFactu de la Agencia Tributaria obliga a que el software de facturación genere registros encadenados, inalterables y con código QR en la factura. Tras la prórroga aprobada por el Real Decreto-ley 15/2025, los sujetos del Impuesto sobre Sociedades deberán tener adaptados sus sistemas antes del 1 de enero de 2027, y el resto de obligados antes del 1 de julio de 2027; los fabricantes de software ya debían ofrecer versiones adaptadas desde julio de 2025.

Para un comercio o una empresa de servicios de Barcelona que emite facturas desde WooCommerce o desde un plugin de facturación sobre WordPress, esto no es un detalle contable lejano: es una dependencia que hay que tener en el radar de mantenimiento. Cuando llegue el plugin o la actualización que añada el registro VeriFactu y el QR, habrá que probarla en el entorno de pruebas contra una factura real antes de tocar producción. Anticipar ese cambio dentro del plan de mantenimiento evita la prisa de última hora cuando la fecha apriete.

#RGPD y privacidad, gestionadas en el mantenimiento

El cumplimiento del RGPD (y de la LOPDGDD española) no se resuelve una vez y se olvida. Cada plugin nuevo, cada herramienta de analítica o de marketing que se añade, puede cambiar qué datos se recogen y qué cookies se cargan antes del consentimiento. En el mantenimiento revisamos que el banner de consentimiento siga bloqueando scripts no esenciales hasta la aceptación, que los formularios sigan registrando la base legal y que las integraciones con terceros no introduzcan transferencias de datos no declaradas tras una actualización.

#Cómo hacemos el onboarding de un sitio existente

No empezamos cobrando una cuota mensual sobre un sitio que no conocemos. El primer paso es siempre una auditoría:

1. Inventario y diagnóstico: listamos plugins y temas, versión de PHP, configuración de hosting, estado real de las copias de seguridad y postura de seguridad. Aquí salen casi siempre sorpresas (un plugin abandonado con CVE conocido, un cron de WordPress que nunca dispara, una base de datos hinchada de transients).
2. Referencia de rendimiento: medimos Core Web Vitals y TTFB en estado actual para tener una línea base contra la que comparar.
3. Lista de remediación: separamos lo crítico (vulnerabilidades, backups rotos, PHP sin soporte) de lo que puede esperar. El primer mes de un sitio descuidado suele ser más remediación que mantenimiento, y lo decimos por adelantado.
4. Cadencia estable: una vez saneado, pasamos al ritmo mensual de actualizaciones probadas, backups, escaneos e informe.

#Problemas que nos llegan con más frecuencia

• Una actualización rompió el sitio y nadie sabe cuál fue. Sin entorno de pruebas ni control de versiones, recuperar un sitio caído es arqueología. Nosotros probamos cada ciclo en el entorno de pruebas y mantenemos puntos de reversión, así que volver atrás es cuestión de minutos, no de noches en vela.
• El checkout de WooCommerce falla de forma intermitente. Suele ser una combinación de caché de página sirviendo el carrito cacheado, un conflicto entre la pasarela Redsys y otro plugin, o un timeout de PHP en la confirmación del pedido. Se diagnostica con logs, no adivinando.
• La base de datos se ha vuelto lenta tras años de uso. Limpiamos opciones autoload pesadas, purgamos transients caducados, archivamos revisiones antiguas de entradas y revisamos índices. En sitios maduros esto recorta de forma notable la carga de consultas.
• El equipo editorial rompe maquetaciones sin querer. Configuramos roles, flujos de revisión y publicación programada para que un cambio de contenido no tumbe una plantilla.

#Cómo trabajamos día a día

La comunicación va por un canal de tickets escrito, de modo que cada decisión queda trazada y cualquier persona del equipo cliente puede leer el histórico. Las llamadas se reservan para lo que de verdad necesita voz: un incidente en curso o una decisión de arquitectura. Cada mes llega un informe con lo aplicado, lo detectado y las recomendaciones.

El trato es directo con quien hace el trabajo técnico, sin capas intermedias que transmitan mensajes ni perfiles junior aprendiendo sobre tu sitio en producción. Si surge un cambio de alcance, se habla antes con sus implicaciones claras; la facturación es individual y se acuerda por adelantado, sin sorpresas.

#Seguridad y respuesta a incidentes

La seguridad de un WordPress en mantenimiento se sostiene en capas: servidor endurecido, WAF con reglas ajustadas a los patrones de ataque habituales contra WordPress, escapado de salida y consultas parametrizadas en cualquier código a medida, verificación de nonces en formularios y limitación de intentos en el login. Cuando aparece una vulnerabilidad en un plugin en uso, el objetivo es aplicar el parche lo antes posible tras su publicación, probándolo primero en el entorno de pruebas salvo que la gravedad obligue a un despliegue de urgencia con vigilancia posterior.

Ante un incidente confirmado (malware, defacement, caída de producción) seguimos un protocolo: contener, documentar la cronología y la causa raíz, remediar y dejar constancia auditable en el informe. Un incidente mal documentado es un incidente que vuelve a ocurrir.

#Rendimiento, medido antes y después

La velocidad influye directamente en la conversión, y en un comercio que cobra con Redsys y Bizum cada segundo de checkout cuenta. El trabajo de rendimiento dentro del mantenimiento es continuo, no un sprint puntual:

• Caché en capas: caché de página, caché de objetos (Redis) para consultas repetidas, y una CDN delante para servir estáticos cerca del visitante
• Imágenes: conversión a WebP/AVIF y srcset responsivo, que en sitios cargados de fotografía de producto suele ser la mayor palanca de mejora de LCP
• Base de datos: limpieza periódica de autoload y transients, que es donde más se degrada un WordPress veterano
• Red: HTTP/2 o HTTP/3, compresión Brotli y resource hints donde aportan

Medimos Core Web Vitals antes y después de cada intervención y dejamos las cifras en el informe, para que la mejora sea verificable y no una afirmación de marketing.

#Preguntas frecuentes de empresas en Barcelona

¿Podéis asumir un sitio que ya tiene problemas? Sí. De hecho es lo más habitual. La auditoría inicial saca a la luz lo crítico y producimos una lista de remediación antes de pasar al mantenimiento estable.

¿Mantenéis WooCommerce con Redsys y Bizum? Sí. Tratamos el checkout como el punto más sensible del sitio: cada ciclo de actualización se prueba contra un pedido real en el entorno de pruebas antes de tocar producción.

¿El servicio se presta en remoto? Sí. Trabajamos por tickets con informes mensuales; la mayoría de clientes de Barcelona y de fuera no necesitan reuniones presenciales para un mantenimiento que funciona.

¿Qué pasa con VeriFactu cuando llegue su fecha? Lo seguimos dentro del plan: cuando el plugin de facturación publique la versión adaptada, la probamos en el entorno de pruebas contra una factura real antes de desplegarla, sin esperar al último día del plazo.

¿Cuánto cuesta? La cuota depende del tamaño del sitio, del stack y de cuánta remediación arrastre. La valoración es individual y se cierra tras la auditoría inicial, no antes.

#Empezar

Si tienes un WordPress o un WooCommerce en producción en Barcelona y quieres dejar de improvisar cada actualización, el primer paso es una auditoría de tu instalación actual: estado de plugins, hosting, copias de seguridad, seguridad y rendimiento. Con ese diagnóstico sobre la mesa decidimos juntos qué remediar primero y qué cadencia de mantenimiento tiene sentido para tu sitio.