InspectWP Logo
Buena práctica

Lanzar un nuevo sitio WordPress: qué comprobar

8 de febrero de 2026 Actualizado el 19 abr 2026

Lanzar un nuevo sitio WordPress sin una revisión previa exhaustiva es como abrir una tienda sin comprobar si las puertas cierran o las luces funcionan. Muchos problemas que aparecen tras el lanzamiento, desde vulnerabilidades de seguridad hasta errores de configuración SEO, son mucho más difíciles y embarazosos de corregir cuando ya han llegado visitantes reales y los buscadores. Esta checklist cubre todo lo que necesitas verificar antes de pulsar el botón, organizado por categoría. Un único análisis de InspectWP puede comprobar la mayoría de estos puntos automáticamente.

Checklist de seguridad de WordPress previa al lanzamiento

Las brechas de seguridad en el lanzamiento son especialmente problemáticas porque los bots automatizados rastrean nuevas instalaciones de WordPress y pueden explotar configuraciones por defecto en cuestión de horas.

  • Certificado SSL instalado y verificado: abre tu sitio en el navegador y confirma que aparece el icono del candado. Haz clic para verificar que el certificado es válido, no ha caducado y se ha emitido para el dominio correcto. Prueba tanto https://example.com como https://www.example.com (la versión que uses).
  • Redirección HTTP a HTTPS funcionando: escribe manualmente http://tudominio.com en el navegador y confirma que redirige a la versión HTTPS con una redirección 301 (permanente), no 302 (temporal). Prueba tanto la variante con www como la que no la lleva.
  • Cabeceras de seguridad configuradas: verifica que estén presentes las siguientes cabeceras en las respuestas de tu servidor: HSTS (Strict-Transport-Security), X-Frame-Options, X-Content-Type-Options, Referrer-Policy y Permissions-Policy. Una Content-Security-Policy es opcional en el lanzamiento, pero debería estar en tu hoja de ruta. InspectWP comprueba todas estas automáticamente.
  • Núcleo de WordPress, todos los plugins y todos los temas totalmente actualizados: aunque acabes de instalar todo hace una semana, comprueba si hay actualizaciones. WordPress y los desarrolladores de plugins publican parches de seguridad con frecuencia. Ve a Escritorio > Actualizaciones y asegúrate de que todo está al día.
  • Nombre de usuario "admin" por defecto cambiado: si creaste la cuenta inicial con el nombre de usuario "admin", crea una nueva cuenta de administrador con un nombre distinto, reasigna todo el contenido y elimina la cuenta antigua "admin". Los atacantes prueban este nombre de usuario primero en los ataques de fuerza bruta.
  • Contraseñas fuertes y únicas en todas las cuentas: cada cuenta de usuario debería tener una contraseña de al menos 16 caracteres, generada aleatoriamente y no reutilizada de ningún otro sitio. Usa un gestor de contraseñas. Activa la autenticación de dos factores (2FA) en todas las cuentas de administrador.
  • XML-RPC deshabilitado si no se necesita: a menos que uses Jetpack o la app móvil de WordPress, deshabilita XML-RPC por completo. Es un objetivo habitual para ataques de amplificación de fuerza bruta. Bloquéalo a nivel de servidor o con un plugin de seguridad.
  • Endpoint de usuarios de la REST API restringido: comprueba visitando tudominio.com/wp-json/wp/v2/users en tu navegador. Si devuelve una lista de nombres de usuario, debes restringir este endpoint solo a usuarios autenticados.
  • Edición de archivos en el admin deshabilitada: añade define('DISALLOW_FILE_EDIT', true); a tu wp-config.php. Esto impide que cualquiera (incluidos atacantes que accedan al admin) edite archivos de tema o plugin desde el escritorio de WordPress.
  • debug.log no accesible públicamente: navega a tudominio.com/wp-content/debug.log en tu navegador. Si ves la salida del log, elimina el archivo o bloquea el acceso a través de la configuración del servidor. En producción, establece WP_DEBUG en false y WP_DEBUG_LOG en false en tu wp-config.php.
  • Contenido por defecto innecesario eliminado: borra la entrada de ejemplo "Hola mundo", la página de ejemplo y el comentario de ejemplo. Elimina los temas no usados (mantén solo tu tema activo y un tema por defecto como respaldo). Elimina cualquier plugin que instalaras para pruebas pero no necesites en producción.
  • Solución de copias de seguridad configurada y probada: configura copias de seguridad automáticas antes del lanzamiento, no después. Configura un plugin como UpdraftPlus para hacer copias en una ubicación externa (Amazon S3, Google Drive, Dropbox). Ejecuta una copia de prueba y verifica que puedes restaurar desde ella.

Configuración SEO de WordPress previa al lanzamiento

Los errores de configuración SEO en el lanzamiento pueden tener consecuencias duraderas. Si los buscadores indexan tu sitio incorrectamente en las primeras semanas, recuperarse puede llevar meses.

  • Sitemap XML creado y enviado: instala un plugin SEO (Yoast SEO, Rank Math o SEOPress) y confirma que genera un sitemap. Envía la URL del sitemap a Google Search Console. Si tu sitio aún no está en Search Console, añádelo ahora y verifica la propiedad.
  • robots.txt revisado: visita tudominio.com/robots.txt y verifica que no bloquea contenido importante. Un error habitual es dejar reglas del entorno de staging que bloquean todo el rastreo. Tu robots.txt debería incluir una referencia a tu sitemap.
  • "Disuadir a los motores de búsqueda" está DESACTIVADO: ve a Ajustes > Lectura en tu admin de WordPress. Asegúrate de que "Disuadir a los motores de búsqueda de indexar este sitio" no está marcado. Esta casilla se activa con frecuencia durante el desarrollo y se olvida al lanzar. Cuando está activa, WordPress añade una metaetiqueta noindex a todas las páginas y bloquea a los buscadores mediante robots.txt.
  • Meta descriptions definidas en las páginas clave: como mínimo, escribe meta descriptions únicas para tu página de inicio, página "sobre", páginas de servicios/productos y otras páginas prioritarias. Son los fragmentos que aparecen en los resultados de búsqueda e influyen directamente en la tasa de clics.
  • Una etiqueta H1 por página con jerarquía de encabezados correcta: revisa tu página de inicio y todas las páginas principales. Asegúrate de que cada página tiene exactamente un H1 (normalmente el título de la página) y que los encabezados siguen la jerarquía correcta (H1 > H2 > H3, sin saltos). Algunos temas y maquetadores generan problemas de encabezados que no son evidentes en el editor visual.
  • Etiquetas canonical presentes en todas las páginas: verifica que cada página incluye una etiqueta <link rel="canonical"> que apunta a su propia URL. La mayoría de los plugins SEO lo gestionan automáticamente, pero revisa unas cuantas páginas para confirmarlo. Etiquetas canonical incorrectas pueden hacer que los buscadores ignoren tus páginas por completo.
  • Datos estructurados JSON-LD añadidos: como mínimo, añade el esquema Organization (para tu negocio o marca) y el esquema Article (para entradas de blog). El esquema Breadcrumb también es valioso para sitios con mucha navegación. Prueba tus datos estructurados con la herramienta Rich Results Test de Google.
  • Etiquetas Open Graph y Twitter Card configuradas: comparte un enlace a tu sitio en Facebook y Twitter (X) y verifica que la previsualización se ve correcta: título, descripción e imagen destacada adecuados. Usa el Sharing Debugger de Facebook y el Card Validator de Twitter para probar y limpiar cachés si es necesario.
  • Permalinks con estructura amigable para SEO: ve a Ajustes > Enlaces permanentes y selecciona "Nombre de la entrada" (la estructura /%postname%/). Evita estructuras basadas en fecha o numéricas. Si cambias este ajuste tras publicar contenido, configura redirecciones 301 de las URL antiguas a las nuevas.
  • Sin etiquetas noindex accidentales: revisa el código fuente HTML de tus páginas clave en busca de <meta name="robots" content="noindex">. Algunos plugins SEO permiten establecer noindex en páginas individuales y a veces se aplica accidentalmente al crear contenido.

Optimización del rendimiento de WordPress previa al lanzamiento

Las primeras impresiones importan. Si los visitantes llegan a un sitio lento en el lanzamiento, se irán y puede que no vuelvan.

  • Plugin de caché instalado y configurado: la caché de páginas es la optimización de rendimiento de mayor impacto. Instala WP Rocket, LiteSpeed Cache o WP Super Cache y verifica que funciona comprobando las cabeceras de respuesta o el código fuente de la página en busca de indicadores de caché. Consulta la guía de rendimiento (KB-58) para instrucciones detalladas de configuración.
  • Compresión Gzip o Brotli activada: revisa tus cabeceras de respuesta en busca de Content-Encoding: gzip o Content-Encoding: br. La mayoría de los plugins de caché activan la compresión automáticamente. Si no, configúrala a nivel de servidor.
  • Imágenes optimizadas antes del lanzamiento: pasa todas las imágenes subidas por un plugin de optimización (ShortPixel, Imagify, Smush). Convierte a formato WebP donde sea posible. Activa la carga diferida para imágenes fuera del área visible. Verifica que no se sirven imágenes sobredimensionadas comprobando las dimensiones en las herramientas para desarrolladores del navegador.
  • HTTP/2 activado: suele activarse automáticamente cuando HTTPS está activo. Verifícalo comprobando la columna de protocolo en la pestaña de red de tu navegador o ejecutando un análisis con InspectWP. Si todavía estás en HTTP/1.1, contacta con tu proveedor de alojamiento.
  • Sin plugins innecesarios instalados: revisa tu lista de plugins una última vez. Elimina cualquier plugin que se instalara con fines de desarrollo, prueba o evaluación. Cada plugin innecesario añade tiempo de carga, aumenta tu superficie de ataque y crea sobrecarga de mantenimiento.
  • Core Web Vitals superados: prueba tus páginas clave con Google PageSpeed Insights. Apunta a un Largest Contentful Paint (LCP) por debajo de 2,5 segundos, Interaction to Next Paint (INP) por debajo de 200 ms y Cumulative Layout Shift (CLS) por debajo de 0,1. Soluciona cualquier problema importante antes del lanzamiento.
  • CSS y JavaScript minificados: activa la minificación en tu plugin de caché y verifica que tu sitio sigue funcionando correctamente. Prueba formularios, sliders, acordeones y cualquier elemento interactivo para asegurarte de que la minificación no ha roto la funcionalidad de JavaScript.

Cumplimiento del RGPD y la privacidad antes del lanzamiento

Tener bien la privacidad desde el primer día es fundamental. Las correcciones retroactivas tras una denuncia o multa son mucho más caras y estresantes que configurar las cosas bien desde el inicio.

  • Banner de consentimiento de cookies instalado y bien configurado: instala un plugin de gestión del consentimiento (Complianz, Real Cookie Banner o Cookiebot). Verifica que las cookies y scripts no esenciales están realmente bloqueados antes de obtener el consentimiento. Pruébalo abriendo tu sitio en una ventana de incógnito, rechazando todas las cookies y revisando la pestaña de red del navegador en busca de peticiones a terceros.
  • Google Fonts alojadas localmente: abre la pestaña de red de tu navegador y busca peticiones a fonts.googleapis.com o fonts.gstatic.com. Si aparece alguna, cambia a fuentes alojadas localmente. Plugins como OMGF o Local Google Fonts lo gestionan automáticamente.
  • Gravatar deshabilitado o con carga basada en consentimiento: comprueba Ajustes > Comentarios. Deshabilita Gravatar por completo o utiliza un plugin que muestre un marcador de posición local y solo cargue las imágenes de Gravatar tras el consentimiento.
  • Página de política de privacidad publicada y enlazada: crea una política de privacidad completa que cubra todo el tratamiento de datos en tu sitio. Enlázala desde el pie de cada página y desde cualquier formulario que recopile datos personales. Establécela como página de política de privacidad en Ajustes > Privacidad.
  • Aviso legal / Impressum publicado (Alemania/Austria): si tu sitio se dirige a visitantes alemanes o austriacos, debes tener una página Impressum con tu nombre legal completo, dirección postal, email y teléfono. Hazla accesible desde cada página mediante un enlace en el pie o la cabecera.
  • Sin recursos externos cargándose sin consentimiento: más allá de Google Fonts y Gravatar, comprueba si hay jQuery alojado en CDN, Font Awesome, Google Analytics, Google Maps, píxel de Facebook, vídeos de YouTube embebidos y cualquier otro servicio externo. Cada uno necesita un mecanismo de consentimiento o una alternativa de alojamiento local.
  • Los formularios de contacto incluyen avisos de privacidad: cada formulario que recopile datos personales debe incluir una casilla sin marcar con un enlace a tu política de privacidad. Configura tu plugin de formularios para incluir un campo de consentimiento de tratamiento de datos.

Pruebas de funcionalidad antes del lanzamiento

La perfección técnica no significa nada si las funciones básicas no funcionan para tus visitantes.

  • Todos los enlaces internos funcionan: navega por tu sitio sistemáticamente o usa una herramienta como Broken Link Checker para encontrar errores 404. Presta especial atención a los menús de navegación, los enlaces del pie y los enlaces dentro del contenido. Corrige o redirige cualquier URL rota.
  • Los formularios de contacto envían correos correctamente: envía entradas de prueba a través de cada formulario de tu sitio. Comprueba que los correos de confirmación llegan a la bandeja de entrada prevista (no a la carpeta de spam). Prueba con varios proveedores de correo (Gmail, Outlook, correo corporativo). Si los correos de los formularios no llegan, instala WP Mail SMTP para enviar los correos a través de un servidor SMTP adecuado en lugar de PHP mail.
  • Diseño responsivo en móvil verificado en dispositivos reales: no te bases solo en las herramientas para desarrolladores del navegador para probar en móvil. Prueba en móviles y tabletas reales si es posible. Comprueba que el texto se lee sin hacer zoom, que los botones son lo bastante grandes para tocarlos y que no hay desplazamiento horizontal. Prueba tanto en orientación vertical como horizontal.
  • Pruebas multi-navegador completadas: prueba tu sitio como mínimo en Chrome, Firefox, Safari y Edge. Presta atención a fuentes, diseño, formularios y funcionalidad de JavaScript. Si tu audiencia incluye usuarios corporativos, plantéate probar versiones más antiguas de los navegadores.
  • Solución de copias de seguridad configurada y primera copia completada: no lances sin una copia de seguridad funcional. Configura copias de seguridad diarias automáticas en una ubicación externa. Ejecuta la primera copia manualmente y verifica que el archivo de copia está completo y se puede descargar. Si es posible, prueba a restaurar en un entorno de staging.
  • Analítica configurada con consentimiento adecuado: configura Google Analytics, Matomo o tu herramienta de analítica preferida tras tu mecanismo de consentimiento de cookies. Verifica que el seguimiento solo se activa después de que el visitante dé su consentimiento. Comprueba que las páginas vistas se registran correctamente visitando tu sitio y revisando el panel de analítica en tiempo real.
  • Página de error 404 personalizada: la página 404 por defecto de WordPress es genérica y poco útil. Crea una página 404 personalizada que incluya la navegación de tu sitio, una barra de búsqueda y enlaces a tu contenido más importante. Esto ayuda a los visitantes a encontrar lo que buscan en lugar de marcharse.
  • Notificaciones por correo configuradas: verifica que el correo de admin de WordPress es correcto (Ajustes > Generales). Comprueba que recibes notificaciones de envíos de formularios, registros de usuarios, alertas de actualización y alertas del plugin de seguridad. Estas notificaciones son tu sistema de alerta temprana ante problemas.

Ejecuta un análisis con InspectWP antes de salir en directo

Antes de pulsar el botón, ejecuta un análisis completo con InspectWP en tu sitio. Comprueba la configuración SSL, las cabeceras de seguridad HTTP, la versión y configuración de WordPress, los plugins instalados, las metaetiquetas SEO y la estructura de encabezados, las métricas de rendimiento incluyendo compresión y versión HTTP, los recursos externos relevantes para el RGPD y mucho más. Todo en un único análisis que dura menos de un minuto. Esto te da una revisión completa de la salud de tu sitio antes de que lleguen los visitantes reales, para que puedas corregir cualquier problema pendiente cuando aún hay poco en juego. Tras el lanzamiento, configura análisis automáticos para monitorizar tu sitio de forma continua y recibir alertas cuando algo cambie.

Artículo anterior

Guía de optimización del rendimiento de WordPress

Artículos relacionados

Guía de optimización del rendimiento de WordPress

Lista de comprobación de SEO para WordPress

Lista de comprobación de cumplimiento del RGPD para WordPress

Ver todos los artículos

Analiza tu sitio de WordPress ahora

InspectWP analiza tu sitio de WordPress en busca de problemas de seguridad, SEO, cumplimiento del RGPD y rendimiento, gratis.

Analiza tu sitio gratis