Tu página web no es un producto que compras una vez y olvidas. Es una infraestructura digital que opera 24/7, expuesta a ataques automatizados, cambios en los algoritmos de Google y vulnerabilidades que los fabricantes de software descubren y parchean constantemente. Ignorar el mantenimiento no significa que nada pase — significa que los problemas se acumulan en silencio hasta que algo falla de manera visible y costosa.
En Perú, la mayoría de negocios con web propia no tienen un plan de mantenimiento. Contratan el desarrollo, publican el sitio y asumen que "si funciona, está bien". Esta guía te explica qué riesgos concretos estás asumiendo y qué debe incluir un plan de mantenimiento profesional.
Qué incluye el mantenimiento web (y qué no)
El mantenimiento web abarca todas las tareas técnicas necesarias para que tu sitio funcione de forma segura, rápida y correcta a lo largo del tiempo. Dependiendo del tipo de sitio, estas tareas varían en frecuencia e intensidad:
- Backups periódicos: copias de seguridad automatizadas de archivos y base de datos. Sin backup, un ataque exitoso o un error de servidor puede significar la pérdida total del sitio
- Actualizaciones de seguridad: parches del CMS (WordPress, por ejemplo), plugins, temas y versiones de PHP. Cada actualización cierra vulnerabilidades documentadas en bases de datos públicas como el CVE (Common Vulnerabilities and Exposures, cve.mitre.org)
- Renovación de certificado SSL: el protocolo HTTPS es obligatorio. Let's Encrypt, el emisor gratuito más usado, emite certificados con validez de 90 días que deben renovarse antes de vencer. Si tu hosting no configura la renovación automática, tu sitio mostrará advertencias de seguridad
- Monitoreo de disponibilidad (uptime): verificación automática de que el sitio responde correctamente. Un sitio caído que nadie detecta puede estar perdiendo clientes durante horas o días
- Revisión de velocidad y Core Web Vitals: los servidores acumulan logs, las bases de datos crecen y la velocidad puede degradarse con el tiempo sin que nadie lo note
- Actualizaciones de contenido: precios, horarios, información de contacto, productos. Contenido desactualizado genera desconfianza y puede perjudicar el SEO
- Monitoreo de seguridad: revisión de intentos de acceso no autorizado, inyecciones de código malicioso y archivos modificados sin autorización
Lo que el mantenimiento no incluye típicamente: rediseños, nuevas funcionalidades, campañas de marketing o creación de contenido. Esos son proyectos separados con su propio alcance y costo.
Los riesgos reales de una web sin mantenimiento
Estos no son escenarios hipotéticos. Son consecuencias documentadas y verificables:
Vulnerabilidades de seguridad acumuladas
El CVE (Common Vulnerabilities and Exposures) es una base de datos pública mantenida por MITRE Corporation que registra vulnerabilidades de seguridad conocidas en software. WordPress, sus plugins más populares (WooCommerce, Contact Form 7, Yoast SEO) y sus dependencias aparecen regularmente en esta base de datos con puntuaciones de criticidad que van de baja a crítica.
Cada vez que los desarrolladores de un plugin publican una actualización de seguridad, están básicamente anunciando públicamente que la versión anterior tiene una vulnerabilidad. Si no actualizas, dejas esa puerta abierta a cualquier atacante automatizado que escanee versiones vulnerables — y estos escaneos ocurren constantemente en toda la web.
Penalización por contenido malicioso
Google Search Central documenta explícitamente que puede mostrar advertencias en los resultados de búsqueda para sitios comprometidos, con mensajes como "Este sitio puede dañar tu ordenador" o "Este sitio puede haber sido hackeado". Estas advertencias aparecen debajo del título en los resultados de Google y destruyen el tráfico orgánico instantáneamente — incluso si el hack fue solucionado, la advertencia puede permanecer hasta que completes el proceso de revisión en Google Search Console.
Versiones de PHP obsoletas y sin soporte
PHP, el lenguaje de servidor que usa WordPress, publica su calendario oficial de soporte en php.net/supported-versions.php. Las versiones fuera de soporte no reciben parches de seguridad. PHP 7.4, por ejemplo, llegó al fin de su vida útil (EOL) en noviembre de 2022. Muchos hostings económicos en Perú siguen ejecutando versiones obsoletas de PHP porque los clientes no solicitan actualizaciones y ellos no las realizan de forma proactiva.
Tiempo de caída sin detección
Sin monitoreo de uptime, si tu servidor cae a las 2am del sábado, puedes enterarte el lunes cuando un cliente te escribe preguntando por qué no puede acceder a tu web. Herramientas como UptimeRobot ofrecen monitoreo gratuito con notificaciones por email — pero alguien tiene que configurarlas y revisar las alertas.
Backups: el seguro que nadie contrata hasta que lo necesita
Un backup es una copia completa y funcional de tu sitio web — archivos, base de datos, configuraciones — almacenada en un lugar diferente al servidor principal. Su única función es permitirte restaurar el sitio a un estado anterior si algo sale mal.
Las situaciones donde un backup se vuelve crítico incluyen: ataques de ransomware o malware que cifran o eliminan archivos, errores humanos durante una actualización que rompen el sitio, fallos de hardware en el servidor de hosting, y eliminación accidental de contenido.
Lo que muchos negocios descubren tarde es que su hosting "incluye backups" pero con condiciones: backups semanales (no diarios), retención de solo 7 días, o restauración con costo adicional. Para un e-commerce con pedidos diarios, perder una semana de datos puede ser devastador. El plan de backup debe definir: frecuencia (diaria para e-commerce, semanal para sitios de menor actividad), retención (cuántos días hacia atrás puedes restaurar) y destino (idealmente en un servidor o servicio diferente al hosting principal).
Actualizaciones de CMS y plugins: por qué "si funciona no lo toques" es peligroso
Este es el argumento más común contra las actualizaciones: "mi sitio funciona bien, no quiero arriesgar que una actualización lo rompa". El razonamiento tiene sentido superficialmente, pero ignora un aspecto clave: las actualizaciones de seguridad no son opcionales en el mismo sentido que las actualizaciones de funcionalidad.
Cuando los desarrolladores de WordPress o de un plugin publican una actualización marcada como "security release", están reconociendo públicamente que la versión anterior tiene una vulnerabilidad conocida. Esa vulnerabilidad ya estaba ahí — la actualización simplemente la cierra. No actualizar significa operar con una vulnerabilidad conocida durante todo el tiempo que pases sin actualizar.
El riesgo de que una actualización rompa algo es real, pero manejable: los entornos de staging (copias de prueba del sitio) permiten probar actualizaciones antes de aplicarlas en producción. Un proveedor de mantenimiento profesional hace exactamente eso — prueba antes de actualizar, no actualiza a ciegas.
Cómo el mantenimiento web impacta tu posición en Google
El mantenimiento tiene un impacto directo en varios factores de SEO:
- HTTPS: es un factor de ranking confirmado por Google desde 2014. Un certificado SSL vencido convierte tu sitio de HTTPS a efectivamente inaccesible, con el consecuente impacto en posicionamiento y en la confianza del usuario
- Core Web Vitals: Google usa LCP, INP y CLS como factores de ranking desde 2021. Sin mantenimiento, bases de datos no optimizadas, imágenes sin comprimir que se acumulan y plugins innecesarios degradan estas métricas con el tiempo
- Contenido desactualizado: Google favorece contenido actualizado y relevante. Páginas con información obsoleta (precios incorrectos, servicios descontinuados, horarios erróneos) señalizan falta de cuidado tanto a Google como a los usuarios
- Sitios comprometidos: si Google detecta malware o código malicioso en tu sitio, puede desindexarlo parcial o totalmente. Recuperar ese posicionamiento después de un hack no resuelto es un proceso lento y costoso
- Tiempo de carga: las bases de datos de WordPress crecen con el tiempo con revisiones, logs y datos temporales. Sin optimización periódica, la velocidad se degrada — y una web lenta pierde posiciones en Google
Monitoreo de disponibilidad: saber cuándo tu web está caída
El monitoreo de uptime es la práctica de verificar automáticamente, a intervalos regulares, que tu sitio web responde correctamente. La mayoría de herramientas de monitoreo envían una petición HTTP a tu sitio cada 1-5 minutos y alertan por email, SMS o WhatsApp si no reciben respuesta o si reciben un código de error (como HTTP 500 o 503).
Un sitio caído durante una hora en horario pico puede significar decenas o cientos de visitantes perdidos, dependiendo de tu volumen de tráfico. Para un negocio que recibe consultas o pedidos por la web, cada minuto de caída tiene un costo directo.
El monitoreo también sirve para otro propósito: si tu sitio experimenta caídas frecuentes de corta duración que no activan la alerta por duración mínima, el historial de uptime te da evidencia objetiva para exigir a tu proveedor de hosting que resuelva problemas de estabilidad del servidor.
Precios de mantenimiento web en Perú: qué incluye cada plan
El mercado peruano de mantenimiento web tiene una amplitud importante. Estos son los rangos típicos según el tipo de sitio y servicio:
- Sitio estático (HTML/CSS/JS sin CMS): S/150-300/mes. Incluye: monitoreo de uptime, renovación de dominio y SSL, actualizaciones de contenido menores, verificación mensual de velocidad
- WordPress informativo (blog, portafolio, web corporativa): S/250-500/mes. Incluye todo lo anterior más: actualizaciones de WordPress core, temas y plugins, backups semanales, revisión de seguridad mensual
- WordPress con e-commerce (WooCommerce): S/450-800/mes. Incluye todo lo anterior más: backups diarios, monitoreo de seguridad activo, pruebas post-actualización, soporte prioritario ante incidencias
Estos precios no incluyen el costo del hosting (que va por separado) ni cambios de funcionalidad o rediseño. Un plan de mantenimiento bien estructurado es uno de los activos más subestimados para un negocio digital — el costo de recuperar un sitio hackeado o perdido suele superar ampliamente el costo de meses de mantenimiento preventivo.
Checklist: qué debe incluir tu proveedor de mantenimiento web
Antes de contratar un servicio de mantenimiento, verifica que el contrato o propuesta incluya explícitamente:
- Frecuencia y destino de los backups (¿dónde se almacenan? ¿cuántos días de retención?)
- Proceso de actualizaciones: ¿se prueba en staging antes? ¿se notifica antes de aplicar?
- Monitoreo de uptime: ¿qué herramienta usan? ¿cuál es el tiempo máximo de respuesta ante caída?
- Informe mensual: ¿recibirás un reporte de qué se hizo, incidencias detectadas y estado del sitio?
- Qué no incluye: límites de horas de soporte, qué se considera fuera del alcance del plan
- Proceso ante un hack o compromiso de seguridad: ¿quién es responsable de la limpieza? ¿tiene costo adicional?
Preguntas frecuentes
Depende del tipo de sitio. Un sitio estático con HTML/CSS/JS puro requiere mantenimiento ligero: revisión mensual de velocidad, renovación anual del dominio y SSL (si no es Let's Encrypt automático), y actualizaciones de contenido según sea necesario. Un sitio WordPress necesita atención más frecuente: actualizaciones de core, plugins y temas cada 1-2 semanas, backups semanales o diarios si tiene e-commerce, y revisiones de seguridad mensuales.
Los navegadores como Chrome y Firefox muestran una advertencia de "sitio no seguro" que bloquea visualmente el acceso y genera desconfianza inmediata. Google puede bajar tu posición en los resultados. Si usas Let's Encrypt, el certificado vence cada 90 días — si tu hosting no renueva automáticamente, tu sitio quedará marcado como peligroso. Muchos hostings económicos no configuran la renovación automática por defecto.
Algunos aspectos sí: actualizar contenido, renovar el dominio, responder comentarios. Pero las actualizaciones de seguridad de WordPress, la revisión de vulnerabilidades, la configuración de backups automáticos y el monitoreo técnico requieren conocimiento específico. Una actualización de plugin mal gestionada puede romper la web o abrir brechas de seguridad. Si tu web genera ingresos o leads, el mantenimiento profesional es una inversión que se paga sola.
El rango típico en el mercado peruano va de S/150 a S/800 mensuales dependiendo del tipo de sitio, la frecuencia de actualizaciones y qué incluye el plan. Un sitio estático simple puede mantenerse por S/150-300/mes. Un WordPress con e-commerce que necesita backups diarios, revisiones de seguridad y soporte prioritario puede llegar a S/500-800/mes.