Artículos · soporte ·

Planes de soporte que realmente valen la pena: qué esperar de un hosting WordPress gestionado

Qué debe incluir un plan de soporte serio para WordPress, comparado con lo que realmente compras con hosting a €5/mes. Cifras reales, CVEs nombradas, SLA honestos, y el coste de descubrirlo por las malas.

  • #soporte
  • #wordpress
  • #hosting
  • #hosting-gestionado

En resumen

  • Hosting a €5/mes no es un plan de soporte — es un ordenador alquilado sin nadie mirándolo.
  • Un plan de soporte real incluye actualizaciones en staging, backups diarios fuera del host, monitorización de uptime cada 60 segundos, parches de seguridad seguidos y una persona respondiendo a incidentes.
  • Un hotel en Bled perdió varios miles en reservas en tres días tras una actualización automática de Elementor — porque unos pocos euros al mes de hosting no incluían a nadie que revisara.
  • Si llevas WordPress o WooCommerce sin IT interno, el soporte se paga solo la primera vez que evita un incidente.

Ejemplo compuesto ilustrativo a partir de patrones repetidos con clientes; los detalles están anonimizados. En marzo de 2024 un pequeño hotel en Bled tomó cero reservas online durante tres días. No porque no hubiera huéspedes. Porque Elementor Pro empujó una actualización automática nocturna que rompió la plantilla de la portada, el formulario de reservas devolvía una página en blanco, y nadie en el equipo se dio cuenta hasta el miércoles por la mañana — cuando un huésped llamó por teléfono preguntando por qué no cargaba la web. Tres días perdidos. Fuera de temporada alta, la pérdida rondó los varios miles en reservas no capturadas. Su factura de hosting era de unos pocos euros al mes.

Es un precio justo por el hosting. Y un precio carísimo por la ausencia de soporte.

Aviso: El hosting WordPress a €5/mes parece un ahorro hasta que una actualización automática rompe el checkout un sábado. El compuesto de arriba perdió varios miles en tres días — varias veces su factura anual de hosting — porque nadie estaba mirando.

FotoEmpty hotel lobby, illustrating a small hotel that lost three days of bookings after an unattended WordPress update
Un hotel de Bled no tomó ninguna reserva online durante tres días tras una actualización automática de Elementor que rompió la plantilla de portada. Hosting económico, varios miles en reservas perdidas fuera de temporada.

Qué es realmente “solo hosting”

Hosting a €4–15/mes con cualquier proveedor razonable no es un servicio pequeño — es una definición pequeña. Compras espacio en disco, un intérprete de PHP, una base MySQL y un certificado SSL auto-renovado vía Let’s Encrypt. Algunos añaden un cPanel básico y una instalación WordPress con un clic. Se acabó.

En serio.

Nadie mira cuando tu sitio se cae a las 22:47 de un domingo. Las copias de seguridad se guardan en el mismo servidor que tu web, así que pierdes las dos cosas si el disco falla. Nadie comprueba si la actualización nocturna del core de WordPress ha roto tu pasarela de pago. No hay monitorización de si un plugin de seguridad está bloqueando ataques — porque no hay plugin de seguridad instalado, salvo que lo hayas instalado tú.

Eres el sysadmin. Está bien, hasta que no lo sabías.

Qué se rompe primero cuando el sysadmin eres tú

Unas cuantas cosas se rompen de forma fiable en un WordPress desatendido durante el primer año. El orden es casi siempre el mismo.

Actualizaciones automáticas de plugins. Elementor saca la 3.24.0, tu CSS personalizado se rompe, las llamadas a la acción desaparecen del header. WordPress core salta a la 6.7 y dos plugins antiguos ya no son compatibles — el panel de administración devuelve “There has been a critical error”. El certificado SSL debería auto-renovarse, salvo que la validación de Let’s Encrypt falla porque alguien movió un registro DNS hace seis meses y nadie lo comprobó. La tarjeta de crédito de la factura del hosting caduca. La factura queda impagada.

Un patrón que hemos visto más de una vez: un sitio WooCommerce suspendido durante más de una semana porque una factura de hosting impagada iba al correo de un ex-contable. La factura en cuestión era de decenas de euros; las ventas perdidas, cuando calculamos los promedios del propio cliente, estaban en los cuatro dígitos bajos. Las cuentas de care-vs-no-care rara vez salen de la sala.

CapturaWordPress admin screen showing There has been a critical error on this website with a PHP fatal-error stack trace
La portada clásica tras una actualización rota. HTTP 500, checkout en blanco, y el propietario no recibe ninguna alerta porque no hay monitorización.

La curva de seguridad

WordFence Premium bloqueó 1.200 millones de ataques contra sitios WordPress en 2024 (informe de amenazas WordFence 2024). No un millón. Mil doscientos millones. Son 3,3 millones de ataques al día, distribuidos entre decenas de millones de sitios vulnerables en todo el mundo. Tu hotel, tu clínica dental, tu tienda — todos en esa rotación.

CVEs concretas del último año que fueron explotadas activamente:

  • CVE-2024-28000 — LiteSpeed Cache, un plugin de caché muy popular, vulnerabilidad XSS que afectó a cinco millones de sitios. Una única petición podía otorgar privilegios de administrador.
  • CVE-2024-2879 — LayerSlider, un plugin de slider incluido en muchos temas y activo en más de un millón de sitios, SQL injection crítica (CVSS 9.8). Una sola petición sin autenticar permitía extraer credenciales de administrador de la base de datos. Divulgación pública el 25 de marzo de 2024. Si tenías las actualizaciones automáticas desactivadas y retrasabas el parche, los escáneres te encontraban en 48 horas.
  • CVE-2020-25213 — el plugin File Manager, con cuatro años ya, todavía se explota activamente en 2025. Porque la mitad de los sitios que lo usan nunca lo actualizaron, porque nadie los administra.

¿Qué pilla la versión gratuita WordFence Free? Patrones de ataque conocidos, intentos de login por fuerza bruta, escaneos básicos de integridad de ficheros. ¿Qué no pilla? Vulnerabilidades zero-day (hasta que hay una regla), inserciones maliciosas en ficheros existentes sin cambio de tamaño, uso de una sesión de administrador robada. Sucuri está más o menos igual. Un sitio serio necesita licencias Premium — WordFence Premium unos $119/año — más una persona que se lea los informes.

El uptime no es una curiosidad matemática — se paga en clientes perdidos. 99,9% de uptime significa 8,76 horas de caída al año. Casi una jornada laboral completa. 99,99% son 52,6 minutos al año, la diferencia entre “nos dimos cuenta” y “se dio cuenta un huésped y lo publicó en TripAdvisor”. Los hosts baratos anuncian 99,9% pero sin SLA en contrato — si lo incumplen, recibes disculpas, no un reembolso. (Si estás decidiendo entre hosting local o al otro lado del charco, lo tratamos a fondo en EU vs US hosting para PyMEs eslovenas.) Kinsta a $35/mes Starter se compromete con una cláusula clara. WP Engine a $30/mes Startup es parecido. Cloudways a $14/mes en Vultr HF es más laxo pero realistamente alcanza 99,95%.

Qué debe incluir un plan de soporte serio

FunciónHosting €5/mesPlan de soporte Numen
Actualizaciones de plugins y coreTú (o nadie)Semanales, en staging, con smoke test
Backups diarios fuera del hostSnapshot en el mismo disco, si acasoS3 / Wasabi / Backblaze, test de restauración mensual
Monitorización de uptimeNingunaComprobación cada 60 segundos, alerta SMS a una persona
Parches de seguridadRuleta de auto-updatesCVEs seguidas, despliegue por fases
Respuesta a incidentesCola de ticketsSLA de 4 horas (24/7 en el tier e-commerce)

Ni tres puntos. Ni cinco. Son números redondos que las agencias escriben porque quedan bonitos en la propuesta. El número realista son siete cosas que de verdad previenen una caída.

  1. Actualizaciones semanales de plugins y core de WordPress, probadas primero en staging con una comprobación manual de los flujos críticos.
  2. Backups diarios incrementales vía UpdraftPlus Premium o BackWPup, guardados fuera del host (S3, Wasabi, Backblaze), con un test de restauración mensual.
  3. Monitorización de uptime en intervalo de 60 segundos con alerta SMS — no solo email, SMS, porque nadie lee el email a las 3 de la mañana.
  4. Un entorno de staging dedicado para actualizaciones delicadas, accesible en staging.tusitio.com detrás de autenticación HTTP básica.
  5. Ediciones menores de contenido incluidas — típicamente 2–4 horas/mes para erratas, cambios de foto, añadir un miembro nuevo al equipo.
  6. Monitorización de rendimiento con Query Monitor y revisión semanal del LCP vía PageSpeed Insights.
  7. Un informe mensual con números reales: ataques bloqueados, backups restaurados como test, actualizaciones aplicadas, minutos de caída.

El último importa. Si no recibes informe mensual, no sabes si el mantenimiento está ocurriendo.

Qué no debe incluir

Aquí viven los malentendidos. Care no es desarrollo. Care es mantener vivo. Funciones nuevas no son care. Un rediseño no es care. Migración a otro host no es care. Una integración WooCommerce personalizada con una pasarela nueva no es care. Todo eso son presupuestos aparte, facturados por horas o a precio cerrado — no incluidos en un fee mensual.

Si una agencia te dice “todo va incluido en el mantenimiento”, pregunta qué pasa cuando quieras añadir un segundo idioma dentro de seis meses. Si la respuesta es “sin problema, incluido”, o mienten ahora o mienten entonces.

Las cuentas

Hagamos números honestos para una PyME con una web WordPress con formulario de contacto, WooCommerce con diez productos, y contenido bilingüe.

Hosting a secas: €7/mes, €84/año. Tu tiempo como dueño: 10 minutos semanales para actualizar plugins (si lo haces), 30 minutos al mes para revisar los backups (si lo haces), pánico ocasional cuando algo se rompe. Digamos que tu hora efectiva vale €50 (bajo para un dueño). Eso son unos €433/año de tu tiempo. Suma el coste de un incidente — restaurar una web WordPress hackeada cuesta €800–2.000 en tiempo de agencia, más los ingresos perdidos mientras está caída.

Total: entre €1.400 y €3.000/año, más el riesgo de facturación cero durante la caída.

Care gestionado en una agencia como Numen: €50–80/mes, o sea €600–960/año. Nada de lo anterior — sin tu tiempo, sin pánico, sin incidente. El precio es transparente y aterriza en tu gasto operativo mensual.

Para una tienda que cobra pagos, las cuentas no salen igualadas. El care se paga solo tras un único incidente evitado.

IlustraciónBar chart comparing SLA response times across managed care, business host, shared €5/month, and no plan
Tiempo mediano desde “el sitio cae” hasta “un humano responde” por nivel. El hosting de 5 €/mes no es un plan de soporte — es un ordenador alquilado sin nadie mirándolo.

El tiempo de respuesta importa más que “24/7”

Todos prometen “24/7”. Nadie explica qué significa a las 22:47 de un domingo.

Un “SLA de 4 horas en horario laboral” no es lo mismo que “SLA de 4 horas 24/7”. El primero significa que si la web cae el viernes a las 17:00, quizá recibas un acuse el lunes por la mañana. El segundo significa que alguien tiene un busca encendido. El care de Numen en la modalidad de e-commerce funciona 24/7 con respuesta humana real en cuatro horas, porque tenemos guardias rotativas. El care en la modalidad de web-folleto funciona en horario laboral, porque una imagen que falta en la portada de un despacho de abogados no requiere despertar a nadie el sábado por la noche.

¿Qué aspecto tiene realmente un incidente de monitorización? A las 03:12 salta una alerta porque Pingdom ve un HTTP 500 en dos comprobaciones seguidas. SMS al ingeniero de guardia. Entra por SSH, revisa error_log, descubre que un build nuevo de WooCommerce Payments se ha roto en PHP 8.1, desactiva el plugin vía WP-CLI, reinicia PHP-FPM. La web vuelve en 18 minutos. Por la mañana pasa a un post-mortem serio y una actualización parcheada a mano. Eso es un incidente. No “mandamos un email a support y estamos esperando”.

Cuándo el hosting barato está bien

No queremos exagerar. Para bastantes webs, €4 de hosting en un proveedor económico está perfectamente bien:

  • Un portfolio personal con diez visitas al mes.
  • Una web-folleto estática para un artesano que hace todo por teléfono desde el taller de casa.
  • Subdominios de test y entornos de staging para otros proyectos.
  • Webs familiares, clubs, asociaciones sin transacciones.

Para cualquier cosa que reciba reservas, pedidos o leads que generen ingresos — hosting barato sin care es riesgo aplazado. La pregunta no es si habrá un incidente. Es cuándo.

FAQ

¿Qué diferencia hay entre hosting y care? El hosting es infraestructura — disco, CPU, memoria. Care es una persona vigilando qué pasa con esa infraestructura. Uno es un servicio de ordenador, el otro es el servicio de alguien que entiende el ordenador.

¿Necesito backups si el hosting ya los ofrece? Sí. Los backups que tu hosting guarda en el mismo servidor son como una copia de la llave dejada en la cerradura. Si el disco falla o un atacante entra, se van los dos. Un plan de care serio guarda backups fuera del host — en Wasabi o Backblaze — y hace un test de restauración mensual en staging.

¿Qué pasa si mi web cae a las 3 de la mañana? Depende del plan. Care 24/7 significa SMS al ingeniero de guardia y respuesta en cuatro horas incluso de madrugada. Care en horario laboral significa que esperas hasta la mañana. Para una tienda que cobra en el extranjero, 24/7 se justifica. Para un despacho abierto de 8 a 16, probablemente no.

¿Con qué frecuencia hackean webs WordPress? WordFence bloqueó 1.200 millones de ataques en 2024 (informe de amenazas WordFence 2024). Una web WordPress sin mantenimiento se ve comprometida en 6–18 meses de media, normalmente a través de un plugin popular. Si aceptas tarjetas, PCI-DSS entra en juego, y tu adquirente congela las liquidaciones si detecta compromiso en un WordPress dentro del flujo de pago.

¿Puedo hacer esto yo mismo? Técnicamente sí. Realistamente, rara vez. Requiere 3–5 horas mensuales de trabajo concentrado, disciplina de probar antes de producción, y capacidad técnica para restaurar un backup. Si eres desarrollador, sin duda. Si eres dentista, contable o chef, probablemente no — tu tiempo vale más en otro sitio.

¿Qué SLA de tiempo de respuesta debería buscar? Para una web-folleto, 8 horas laborales está bien. Para una web con reservas o pagos, 4 horas en horario laboral como mínimo, 4 horas 24/7 para tiendas serias. Cualquier cosa por debajo suele estar sobre-vendida.

¿El care de Numen incluye cambios de contenido? Sí, 2–4 horas al mes. Cambiar una foto, corregir un precio, añadir un miembro del equipo, arreglar una errata — incluido. Una sub-página nueva con layout personalizado o un idioma nuevo va en presupuesto aparte.

¿Puedo cancelar cuando quiera? Sí. Care no es un secuestro. Mes a mes, 30 días de preaviso, sin cláusulas ocultas. Si no te funciona, te vas, te entregamos accesos, backups, documentación. Si una agencia te ofrece “mantenimiento” envuelto en un contrato de 12 meses con una penalización alta de salida, no te ofrece un servicio — te ofrece un instrumento financiero.


Si te has reconocido en algún punto de esta guía y estás pensando en un plan de care serio para tu WordPress o WooCommerce, Numen soporte está construido justamente para esto — alcance honesto, sin sorpresas, y una persona real al otro lado. Si estás más al principio del camino — pensando en un nuevo sitio web, un montaje WooCommerce, o quieres ver trabajo que hemos entregado — también están a un clic.

Hablemos

¿Listo para arreglar, construir
o escalar?

30 minutos, conmigo personalmente. Leo tu sistema como un archivo de logs y te digo qué haría primero. Sin presentaciones, sin embudo de ventas.

Davor Majc, fundador, Numen

Qué obtienes en la llamada
→ un diagnóstico de una página
→ 2–3 formas de solución, ordenadas por impacto
→ coste aproximado + plazo para cada una
→ sí/no — ¿soy la elección adecuada?
+386 40 828 474 · Blejska Dobrava, SI