Cuando se lanza un sitio web, el coste de desarrollo es fácil de ver. Los costes recurrentes son los que pillan desprevenidas a las empresas.
Facturas de alojamiento. Renovaciones de plugins. Parches de seguridad que rompen el diseño. Correcciones de emergencia cuando una actualización falla. Un desarrollador que cobra €120/hora por editar un párrafo porque el flujo de trabajo del CMS es opaco para el equipo de marketing. Sistemas de copia de seguridad cuya existencia no está del todo clara.
Esta guía desglosa lo que cuesta realmente el mantenimiento web, por plataforma y por lo que se obtiene a cambio.
Las cinco capas de coste del mantenimiento web
Todo sitio web comparte las mismas categorías básicas de mantenimiento. Lo que varía de forma considerable es el coste y la complejidad dentro de cada una.
- Alojamiento: donde vive el sitio. Hosting compartido frente a WordPress gestionado frente a CDN de borde: diferencias de €5/mes a €150/mes con rendimiento y fiabilidad muy distintos.
- Seguridad: certificados SSL, análisis de malware, reglas de firewall, actualizaciones de software. Especialmente problemático en WordPress, el CMS más atacado de la red.
- Actualizaciones: plataforma base, plugins, temas, dependencias. En WordPress, las actualizaciones requieren pruebas, ya que con frecuencia rompen cosas.
- Copias de seguridad: copias diarias automatizadas con capacidad de restauración probada. A menudo se olvidan hasta que algo falla.
- Edición de contenido: cambios de texto, sustitución de imágenes, nuevas páginas. Ya sea por cuenta propia, contratando un desarrollador por horas o pagando un contrato de mantenimiento con una agencia.
Lo que cuesta realmente el mantenimiento de WordPress
WordPress impulsa aproximadamente el 43% de la web, por lo que la mayoría de las empresas empiezan por ahí. La carga de mantenimiento es real y sistemáticamente subestimada.
| Tarea | Frecuencia | Coste externalizado |
|---|---|---|
| Actualizaciones del núcleo y plugins (con pruebas) | Mensual | €50-120/mes |
| Monitorización de seguridad y firewall | Continuo | €20-50/mes |
| Copias de seguridad diarias con prueba de restauración | Revisión mensual | €10-30/mes |
| Monitorización del rendimiento | Continuo | €10-20/mes |
| Edición de contenido | Según necesidad | €60-150/hora |
| Corrección de emergencia tras actualización fallida | 2-4×/año | €200-800/incidente |
Un sitio WordPress correctamente mantenido cuesta €100-350/mes en mantenimiento externalizado, o entre 5 y 10 horas mensuales del propio tiempo. La mayoría de las empresas no asumen ninguno de los dos, y terminan pagando mucho más cuando algo finalmente falla.
Lo que cuesta mantener un sitio estático
Un sitio construido con Next.js y desplegado en una CDN (Vercel, Netlify, Cloudflare Pages) tiene un perfil de mantenimiento radicalmente diferente.
| Tarea | Frecuencia | Coste |
|---|---|---|
| Alojamiento (Vercel/Netlify) | Mensual | €0-20 para la mayoría de sitios empresariales |
| SSL y seguridad | Automático | €0: gestionado por la plataforma |
| Sin PHP, sin base de datos, sin plugins | - | Sin superficie de ataque que parchear |
| Actualizaciones de dependencias del framework | Trimestral | 1-2 horas, una vez por trimestre |
| Edición de contenido (CMS headless) | Según necesidad | Autoservicio o tiempo mínimo de desarrollo |
| Correcciones de emergencia | Poco frecuentes | Bajo: sin conflictos de plugins |
Un sitio estático con Next.js cuesta habitualmente €20-80/mes de mantenimiento. La diferencia respecto a WordPress se amplía aún más cuando se tienen en cuenta los incidentes de seguridad, considerablemente más raros en arquitecturas estáticas sin ejecución del lado del servidor.
El mito del «configura y olvida»
Ningún sitio web está libre de mantenimiento. Pero hay una diferencia real entre un sistema que necesita gestión activa para mantenerse seguro y uno que solo requiere actualizaciones de contenido ocasionales y revisiones trimestrales de dependencias.
WordPress depende en gran medida de plugins de terceros. El ecosistema de plugins aporta flexibilidad, pero también amplía la superficie de mantenimiento y seguridad. Cada plugin es un vector de ataque potencial, una fuente de conflictos potencial y un punto de ruptura posible cuando llega la próxima actualización mayor.
Los sitios estáticos modernos pertenecen a la segunda categoría. Una vez desplegados, no hay PHP ejecutándose en cada solicitud, no hay base de datos que inyectar y no hay plugins abandonados de terceros en la ruta crítica.
Qué debe incluir un contrato de mantenimiento
Si se externaliza el mantenimiento, estos son los mínimos que debe cubrir cualquier contrato:
- Actualizaciones mensuales de la plataforma y todas las dependencias
- Copias de seguridad diarias automatizadas con proceso de restauración probado
- Monitorización de seguridad y protocolo de respuesta ante incidentes definido
- Monitorización del rendimiento: disponibilidad y Core Web Vitals
- Un número definido de horas de edición de contenido al mes
- Vía de escalado clara para problemas de emergencia
Si su proveedor actual no puede responder a «¿cuándo probaron por última vez una restauración?», eso es un problema que conviene resolver antes de que se convierta en una crisis.
El coste real de no mantener el sitio
Los sitios WordPress sin mantenimiento tienen una alta probabilidad de verse comprometidos con el tiempo; los informes anuales de Patchstack muestran que las vulnerabilidades en plugins son la causa principal de la mayoría de los incidentes. Coste medio de recuperación: €500-2.000. Tiempo de inactividad medio: 24-72 horas. Daños colaterales habituales: oportunidades de negocio perdidas, pérdida de posicionamiento en buscadores y daño reputacional que puede llevar meses recuperar.
Invertir €150/mes en un contrato de mantenimiento adecuado es un seguro económico. Siempre que el contrato cubra lo que realmente importa y no se limite a ejecutar actualizaciones de plugins tratando eso como mantenimiento completo.
¿No está seguro de qué tecnología usa su sitio o de si está correctamente atendido? Obtenga un informe gratuito de salud web en webvise.io/wp-health-report. Detecta software desactualizado, riesgos de seguridad y problemas de rendimiento en 60 segundos, sin registro previo.
Las prácticas de webvise están alineadas con las normas ISO 27001 e ISO 42001.