Mantenimiento de CMS: guía para proteger tu web

Cuando una web ya está creada y publicada, mucha gente piensa que el trabajo importante ha terminado. En realidad, ahí empieza una de las partes más delicadas: el mantenimiento de CMS.

Un CMS puede funcionar perfectamente hoy y darte problemas mañana si no revisas extensiones, actualizaciones, usuarios, permisos, copias de seguridad o avisos del sistema. Y lo digo desde la práctica: después de más de 5 años administrando dos sitios en WordPress, he aprendido que el mantenimiento no se nota cuando todo va bien, pero se echa muchísimo de menos cuando algo falla.

Mantener un CMS no consiste solo en entrar al panel y pulsar “actualizar”. Es una rutina de control para reducir riesgos: evitar fallos, proteger accesos, prevenir errores después de cambios importantes y tener una copia lista si algo se rompe. En WordPress hablamos de plugins; en Joomla, de extensiones; y en Drupal, de módulos y temas. Cambia el nombre, pero la idea es la misma: todo lo que amplía el sistema también debe vigilarse.

En esta guía voy a explicarte cómo hacer un mantenimiento de CMS completo, práctico y realista: qué revisar, cuándo actualizar, cómo gestionar permisos, qué copias hacer, cómo restaurar y qué comprobar después de cada cambio.

Qué es el mantenimiento de CMS y por qué empieza después de publicar la web

El mantenimiento de CMS es el conjunto de tareas que permiten que una web siga funcionando de forma segura, estable y recuperable después de estar publicada.

No hablamos solo de diseño ni de publicar contenidos nuevos. Hablamos de revisar el estado técnico del sitio, controlar extensiones, aplicar actualizaciones, gestionar usuarios, comprobar avisos, hacer copias de seguridad y preparar una posible restauración.

En una web real, el CMS está vivo. Tiene plugins, temas, usuarios, formularios, comentarios, zonas privadas, permisos, archivos, base de datos y configuraciones. Cada elemento puede convertirse en una ayuda o en un problema, según cómo se mantenga.

Mantener un CMS no es solo actualizar plugins

Uno de los errores más comunes es reducir el mantenimiento a actualizar plugins. Es importante, claro, pero no suficiente.

Un buen mantenimiento incluye:

• revisar qué extensiones siguen siendo necesarias;
• eliminar lo que ya no se usa;
• comprobar usuarios y permisos;
• hacer copias antes de cambios relevantes;
• revisar errores o avisos del sistema;
• probar el sitio después de actualizar;
• confirmar que existe una copia útil para volver atrás.

En mi caso, administrar dos sitios WordPress durante años me ha dejado clara una cosa: el mantenimiento debe ser una rutina, no una reacción desesperada cuando la web ya está rota.

El objetivo real: reducir riesgos

La seguridad de un CMS no consiste en conseguir un sistema perfecto. Eso no existe. La idea es reducir riesgos razonablemente.

Por ejemplo, instalar solo los plugins necesarios reduce posibles fallos. Usar contraseñas robustas reduce accesos no deseados. Separar usuarios por roles evita que una cuenta corriente tenga demasiados permisos. Hacer copias completas permite recuperar el sitio si algo sale mal.

Mantener un CMS es, en el fondo, anticiparte al fallo.

Extensiones, plugins y módulos: cómo revisar lo que tienes instalado

Cada CMS tiene su propio vocabulario. En WordPress se habla de plugins; en Joomla, de extensiones; y en Drupal, de módulos y temas. Pero la lógica es común: sirven para ampliar funciones sin tocar directamente el núcleo del sistema.

Eso es muy útil, pero también exige control. Cada extensión añade código, opciones, dependencias y posibles puntos débiles. Por eso, una regla básica del mantenimiento de CMS es sencilla: instala poco, instala bien y revisa a menudo.

Plugins en WordPress, extensiones en Joomla y módulos en Drupal

Un plugin puede añadir un formulario, una tienda, un foro, un sistema antispam, una galería, una mejora SEO o una capa de seguridad. Una extensión en Joomla o un módulo en Drupal cumplen funciones similares.

El problema no es usar extensiones. El problema es instalarlas sin criterio, olvidarlas durante años o mantener activas herramientas que ya no aportan nada.

En mis sitios WordPress he visto que la tentación de instalar “un plugin para cada cosa” es grande. Pero con el tiempo aprendes que cada plugin extra también es una responsabilidad extra.

Qué revisar antes de instalar una extensión

Antes de instalar o actualizar una extensión, conviene comprobar:

Revisión	Por qué importa
Compatibilidad	Evita conflictos con la versión del CMS
Necesidad real	Reduce peso y complejidad
Fuente fiable	Disminuye riesgos de seguridad
Actualizaciones disponibles	Indica si el proyecto sigue vivo
Función concreta	Evita duplicar herramientas
Posible impacto	Ayuda a prever fallos tras instalar

La pregunta clave no es “¿puedo instalarlo?”, sino “¿realmente lo necesito?”.

Qué hacer con lo que ya no usas

Si una extensión ya no se necesita, no conviene dejarla olvidada. Lo ideal es desactivarla y eliminarla correctamente, siempre comprobando antes que no afecte a ninguna función importante.

Un plugin inactivo, abandonado o innecesario puede convertirse en una carga. Aunque no lo uses a diario, sigue formando parte del ecosistema técnico del sitio.

Por eso, dentro de cualquier checklist de mantenimiento de CMS, debería haber una revisión periódica de plugins, temas, extensiones o módulos instalados.

Roles y permisos en un CMS: quién puede hacer qué

La gestión de usuarios es una parte clave del mantenimiento. Un CMS no solo tiene contenidos; también tiene personas accediendo, editando, publicando, moderando o administrando.

Por eso es importante distinguir entre acceso y permiso. Una cosa es lo que un usuario puede ver y otra muy distinta lo que puede hacer.

Un alumno puede leer una zona privada. Un profesor puede subir materiales. Un editor puede publicar noticias. Un administrador puede instalar plugins o modificar configuraciones. No todos necesitan entrar al mismo nivel.

Administrador, editor, autor y suscriptor

Aunque cada CMS lo organiza a su manera, la lógica suele ser parecida:

Perfil	Debería poder hacer	No debería hacer
Administrador	Configurar el sitio, instalar, actualizar, gestionar usuarios, restaurar copias	Usar esa cuenta para tareas rutinarias
Editor o moderador	Crear, corregir, publicar y moderar contenidos	Instalar plugins o cambiar configuración global
Autor o profesor	Crear y editar su propio contenido	Cambiar permisos o tocar extensiones
Suscriptor o alumnado	Leer contenido restringido y participar si procede	Acceder a opciones internas

Esta separación evita errores. También reduce daños si una cuenta se usa mal o se ve comprometida.

El principio de mínimo privilegio

El principio de mínimo privilegio significa dar a cada usuario solo los permisos que necesita para hacer su trabajo.

Parece una idea básica, pero en la práctica se descuida mucho. Por comodidad, se tiende a crear usuarios con permisos altos. El problema es que una cuenta con permisos críticos puede borrar contenido, cambiar configuración o instalar elementos que afecten a todo el sitio.

Después de años administrando sitios WordPress, tengo una regla muy clara: una cuenta de uso diario no debería tener más poder del necesario. Si solo vas a escribir o editar, no necesitas acceso completo a la administración.

Cómo evitar permisos excesivos

Para mantener los roles bajo control:

• revisa usuarios activos;
• elimina cuentas que ya no se usan;
• evita cuentas compartidas;
• separa tareas editoriales y técnicas;
• reserva el perfil de administrador para cambios importantes;
• revisa permisos después de actualizaciones o cambios de estructura.

Un CMS bien mantenido no solo depende del software. También depende de quién puede tocar qué.

Actualización segura de un CMS: antes, durante y después

Actualizar es una de las tareas más importantes del mantenimiento de CMS. Las versiones antiguas pueden quedarse sin correcciones, los plugins pueden dejar de ser compatibles y los temas pueden provocar errores si no se revisan.

Pero actualizar sin preparación también puede romper cosas. Por eso, una actualización segura tiene tres momentos: antes, durante y después.

Antes de actualizar

Antes de tocar núcleo, tema o plugins, conviene revisar:

Antes de actualizar	Motivo
Compatibilidad	Evita conflictos con el CMS
Notas de cambio	Ayuda a saber qué se modifica
Copia completa	Permite volver atrás
Entorno de pruebas	Reduce riesgos en producción
Plugins críticos	Detecta funciones sensibles
Usuarios y permisos	Evita sorpresas tras el cambio

En mis sitios WordPress nunca trato una actualización importante como un simple clic. Primero reviso, hago copia y después compruebo. Puede parecer lento, pero es mucho más rápido que arreglar una web rota sin copia.

Durante la actualización

Durante la actualización, lo ideal es trabajar con orden.

Primero conviene actualizar lo más crítico según el caso, evitar hacer varios cambios a ciegas y, si procede, usar modo mantenimiento. También es recomendable no actualizar todo de golpe si el sitio tiene muchas extensiones sensibles.

Una buena práctica es aplicar cambios de forma controlada:

1. hacer copia;
2. actualizar núcleo si corresponde;
3. actualizar tema;
4. actualizar plugins o extensiones;
5. revisar avisos;
6. probar funciones importantes.

No se trata de complicarse, sino de saber qué ha cambiado si algo falla.

Después de actualizar

La actualización no termina cuando el panel dice “completado”. Termina cuando compruebas que el sitio funciona.

Después de actualizar deberías revisar:

• acceso al sitio;
• acceso al panel de administración;
• menús;
• formularios;
• zona privada;
• permisos;
• publicación de contenido;
• comentarios o foro;
• avisos del sistema;
• errores visibles;
• rendimiento básico;
• copia reciente disponible.

Un cambio puede parecer correcto en el panel y, aun así, romper una función concreta. Por eso la comprobación posterior es parte del mantenimiento, no un extra opcional.

Seguridad básica en CMS: medidas simples que reducen muchos problemas

La seguridad básica de un CMS empieza con decisiones de administración. No depende únicamente de instalar una herramienta de seguridad.

Un plugin puede ayudar, pero no sustituye una gestión correcta. De poco sirve instalar una capa de protección si después usas contraseñas débiles, mantienes extensiones abandonadas o das permisos de administrador a cualquier usuario.

Contraseñas robustas y autenticación reforzada

Una contraseña débil puede abrir la puerta a problemas graves. Por eso, cada cuenta debería usar claves seguras y, cuando sea posible, autenticación reforzada.

También es recomendable evitar usuarios genéricos o compartidos. Si varias personas usan la misma cuenta, después es más difícil saber quién hizo qué.

En una web con varios perfiles, cada usuario debería tener su propia cuenta y su propio nivel de permisos.

Fuentes fiables y menos código innecesario

Otro punto clave es instalar solo desde fuentes fiables. No todo lo que se puede descargar conviene instalarlo.

Una extensión mal mantenida, desconocida o innecesaria puede aumentar la superficie de ataque. Cuanto más código añades, más cosas tienes que revisar.

La seguridad también consiste en simplificar:

• menos plugins innecesarios;
• menos temas instalados sin usar;
• menos cuentas con permisos altos;
• menos funciones activas sin motivo;
• más control sobre lo que realmente necesita la web.

Ningún plugin sustituye una buena administración

Es fácil caer en la idea de que un plugin de seguridad lo resolverá todo. Pero el mantenimiento de CMS requiere criterio.

Una administración responsable incluye revisar avisos, actualizar con cuidado, separar roles, hacer copias y comprobar restauraciones.

Después de más de 5 años con WordPress, mi conclusión es simple: las herramientas ayudan, pero el hábito de revisar es lo que marca la diferencia.

Espacios de interacción: foros, comentarios y zonas privadas

Muchos CMS incluyen o permiten añadir espacios de interacción: comentarios, foros, zonas de preguntas, tablones, áreas privadas o comunidades internas.

Estos espacios son útiles, pero también requieren normas. No basta con instalarlos. Hay que decidir quién puede entrar, quién puede escribir, quién puede editar y quién puede moderar.

Quién puede leer, escribir, editar y moderar

Antes de activar una zona participativa, conviene responder cuatro preguntas:

1. ¿Quién puede ver este contenido?
2. ¿Quién puede publicar?
3. ¿Quién puede editar mensajes?
4. ¿Quién puede moderar o borrar contenido?

Esta diferencia entre ver y hacer es clave. Un visitante puede leer una zona pública, pero no escribir. Un alumno puede participar en una zona privada, pero no moderar. Un profesor puede responder dudas, pero no instalar extensiones.

El mantenimiento de CMS también consiste en mantener estos límites claros.

Reglas básicas para una comunidad segura

Un espacio de interacción debería tener reglas mínimas:

• respeto entre usuarios;
• asuntos claros en los mensajes;
• prohibición de publicar datos personales;
• límites en archivos adjuntos;
• control antispam;
• moderación de hilos inadecuados;
• uso de cuentas editoriales para avisos importantes.

Estas reglas no son burocracia. Protegen la comunidad, ordenan la participación y evitan problemas de privacidad o seguridad.

Moderación y control

Un foro o zona de comentarios sin moderación puede convertirse en una fuente de ruido, spam o conflictos.

Por eso, los moderadores deben tener permisos suficientes para mover, cerrar o borrar hilos inadecuados, pero no necesariamente acceso a la configuración global del CMS.

Es otra aplicación práctica del mínimo privilegio: dar poder suficiente para cumplir una tarea, pero no más.

Informes de actividad y salud del sitio: cómo saber si algo va mal

Para mantener un CMS no basta con mirar la portada y comprobar que carga. Una web puede verse bien y tener avisos internos, errores registrados, extensiones pendientes o problemas de permisos.

Por eso son tan útiles los informes de estado, la salud del sitio y los registros de actividad.

Qué mirar en la salud del sitio o informe de estado

Un informe técnico puede ayudarte a detectar:

• problemas críticos;
• mejoras recomendadas;
• plugins activos e inactivos;
• estado del servidor;
• versión de base de datos;
• permisos del sistema de archivos;
• errores recientes;
• avisos tras una actualización.

En WordPress, por ejemplo, revisar la salud del sitio se ha convertido en una tarea muy útil para detectar problemas antes de que sean evidentes para los usuarios.

Logs, errores y avisos

Los logs o registros son como una libreta interna del CMS. Ahí pueden aparecer errores, intentos fallidos, avisos técnicos o problemas después de una actualización.

No hace falta obsesionarse con cada aviso, pero sí conviene revisar si algo cambia después de tocar el sitio.

Preguntas útiles:

• ¿Hay errores nuevos?
• ¿Algún usuario ha intentado acceder donde no debía?
• ¿Hay extensiones pendientes?
• ¿El sistema marca fallos críticos?
• ¿La zona de interacción genera avisos raros?
• ¿Algo ha dejado de funcionar tras actualizar?

Revisar antes de que el problema crezca

El mantenimiento de CMS funciona mejor cuando detectas pequeños avisos antes de que se conviertan en incidencias graves.

En mis sitios, revisar avisos del panel forma parte de la rutina. No todos los avisos son urgentes, pero ignorarlos todos es una mala estrategia.

Copias de seguridad en CMS: qué guardar y cuándo hacerlo

Una copia de seguridad es una de las piezas más importantes del mantenimiento de CMS. Pero no todas las copias sirven para lo mismo.

Un CMS suele necesitar dos grandes partes para recuperarse bien: archivos y base de datos.

Los archivos pueden incluir núcleo, temas, plugins, imágenes y otros ficheros. La base de datos suele incluir contenidos, usuarios y configuración. Si tienes solo una parte, quizá no puedas restaurar todo correctamente.

Tipos de copia de seguridad

Tipo de copia	Qué contiene	Cuándo conviene
Completa	Archivos + base de datos	Antes de actualizar, migrar o restaurar
Solo base de datos	Contenidos, usuarios y configuración	Antes de grandes cambios de contenido
Solo archivos	Núcleo, temas, plugins y medios	Antes de cambios de código o archivos
Automática	Según la herramienta configurada	Rutina diaria o semanal
Manual puntual	Copia hecha por el administrador	Antes de un cambio delicado

La copia completa suele ser la más útil antes de una actualización importante.

Una copia solo sirve si puedes restaurarla

Esta es una de las lecciones más importantes. Guardar archivos no basta. Tener una copia no basta. Lo importante es que esa copia pueda usarse para recuperar el sitio.

La experiencia me ha enseñado que una copia de seguridad solo vale de verdad si sabes dónde está, qué contiene y cómo restaurarla.

Por eso conviene:

• guardar copias en una ubicación separada;
• comprobar que se generan correctamente;
• saber si incluyen archivos y base de datos;
• probar restauraciones cuando sea posible;
• no depender de una única copia antigua.

Cuándo hacer copias

Como mínimo, deberías hacer copia antes de:

• actualizar el núcleo;
• actualizar plugins importantes;
• cambiar tema o plantilla;
• modificar permisos;
• instalar una extensión crítica;
• migrar el sitio;
• tocar base de datos;
• hacer cambios grandes de contenido.

Una copia previa puede ahorrarte horas de trabajo y muchos sustos.

Restauración de un CMS: cómo volver a un estado estable

Restaurar un CMS significa recuperar el sitio desde una copia anterior.

A veces se intenta arreglar un fallo tocando más y más cosas. Pero si después de una actualización desaparece un menú, falla una zona privada o se rompe una función importante, quizá lo más sensato sea volver al último estado estable.

Cuándo conviene restaurar

Puede convenir restaurar cuando:

• una actualización rompe funciones críticas;
• un plugin genera errores graves;
• desaparecen elementos importantes;
• se pierden contenidos;
• la web queda inaccesible;
• no se identifica rápido la causa del fallo;
• hay una copia reciente y fiable.

Restaurar no es fracasar. Es una medida de recuperación.

Pasos básicos para restaurar

Una restauración sencilla puede seguir este orden:

1. localizar la última copia buena;
2. restaurar archivos;
3. importar base de datos;
4. revisar configuración;
5. limpiar cachés si procede;
6. comprobar acceso al sitio;
7. revisar menús, formularios, usuarios y permisos;
8. probar las funciones críticas.

Lo importante es no improvisar. Una restauración debe hacerse con método.

Qué comprobar después de restaurar

Después de restaurar, no basta con ver la portada. Hay que probar:

• inicio de sesión;
• panel de administración;
• navegación;
• formularios;
• contenido reciente;
• usuarios;
• permisos;
• zona privada;
• comentarios o foro;
• enlaces internos;
• avisos técnicos;
• copia nueva del estado recuperado.

La restauración termina cuando confirmas que el sitio vuelve a funcionar como debería.

Checklist de mantenimiento de CMS

Una checklist ayuda a no depender de la memoria. Y en mantenimiento, eso importa mucho.

Aquí tienes una lista práctica para revisar tu CMS de forma ordenada.

Revisión técnica

• El sitio carga correctamente.
• El panel de administración abre sin errores.
• El núcleo está en la versión prevista.
• El tema o plantilla funciona correctamente.
• Los plugins, extensiones o módulos están revisados.
• No hay avisos críticos en el informe de estado.
• No hay errores visibles después de actualizar.

Revisión de extensiones

• Solo están instaladas las extensiones necesarias.
• No hay plugins abandonados o duplicados.
• Las extensiones vienen de fuentes fiables.
• Se han eliminado correctamente las que no se usan.
• Se ha revisado compatibilidad antes de actualizar.
• Se ha hecho copia antes de cambios importantes.

Revisión de usuarios y permisos

• Cada usuario tiene su propio acceso.
• No hay cuentas compartidas innecesarias.
• Los administradores son solo los imprescindibles.
• Los editores no tienen permisos técnicos críticos.
• Los autores solo gestionan su propio contenido.
• Los usuarios inactivos se eliminan o desactivan.
• Se aplica el principio de mínimo privilegio.

Revisión de seguridad

• Las contraseñas son robustas.
• La autenticación reforzada está activada si procede.
• No hay extensiones innecesarias aumentando riesgo.
• Los accesos importantes están controlados.
• Las fuentes de instalación son fiables.
• Se revisan avisos del sistema.

Revisión de copias y restauración

• Existe una copia reciente.
• La copia incluye archivos y base de datos si es necesario.
• La copia está guardada en una ubicación segura.
• Se sabe cómo restaurarla.
• Se ha comprobado que puede recuperarse.
• Hay copia antes de actualizar o hacer cambios delicados.

Revisión funcional

• Los menús funcionan.
• Los formularios envían correctamente.
• El inicio de sesión funciona.
• La zona privada mantiene sus permisos.
• Los comentarios, foros o espacios de interacción funcionan.
• Los usuarios ven solo lo que deben ver.
• No aparecen errores tras navegar por secciones clave.

Esta checklist resume muy bien el espíritu del mantenimiento de CMS: no mirar solo si la web “se ve”, sino confirmar que sigue siendo segura, estable y recuperable.

Buenas prácticas para administrar un CMS sin complicarte

El mantenimiento no tiene por qué ser caótico. Con unas cuantas reglas claras, puedes evitar la mayoría de problemas habituales.

Instalar poco y bien

No instales una extensión solo porque promete mucho. Pregúntate:

• ¿La necesito?
• ¿La voy a usar de verdad?
• ¿Está actualizada?
• ¿Es compatible?
• ¿Puedo conseguir lo mismo con algo que ya tengo?
• ¿Qué riesgo añade?

Muchas veces, mantener un CMS limpio es más efectivo que llenarlo de herramientas.

Actualizar con copia previa

Actualizar sin copia es jugar con fuego. Puede salir bien muchas veces, hasta que un día sale mal.

La rutina ideal es:

1. revisar compatibilidad;
2. hacer copia;
3. actualizar;
4. comprobar;
5. revisar avisos;
6. confirmar que todo funciona.

En mis sitios WordPress, esta rutina me ha evitado más de un problema. La copia previa da tranquilidad porque convierte un error grave en algo recuperable.

Eliminar lo que no usas

Un CMS no debería acumular restos eternamente.

Plugins antiguos, temas sin uso, cuentas olvidadas o funciones abandonadas aumentan complejidad. Y cuanto más complejo es un sitio, más difícil es mantenerlo.

Eliminar correctamente lo que no se usa también es mantenimiento.

Revisar antes de que algo falle

No esperes a que la web se rompa.

Revisa avisos, logs, permisos, copias y actualizaciones de forma periódica. No hace falta hacerlo todo cada día, pero sí tener una rutina.

Mantener un CMS es como revisar un coche: puede que hoy arranque bien, pero eso no significa que no necesite mantenimiento.

Conclusión: mantener un CMS es anticiparse al fallo

El mantenimiento de CMS es lo que permite que una web siga funcionando después de publicarse. No es una tarea secundaria ni algo que se hace solo cuando aparece un error.

Un CMS necesita revisiones constantes: extensiones, actualizaciones, usuarios, permisos, seguridad, informes, copias y restauración. Todo está conectado. Un plugin abandonado puede afectar a la seguridad. Un usuario con permisos excesivos puede provocar un error grave. Una copia incompleta puede no servir cuando más la necesitas.

Después de más de 5 años administrando dos sitios WordPress, mi forma de verlo es sencilla: una web bien mantenida no es la que nunca falla, sino la que está preparada para fallar sin convertirse en un desastre.

Instala solo lo necesario. Actualiza con copia previa. Revisa permisos. Controla avisos. Guarda copias útiles. Comprueba que puedes restaurar. Y, sobre todo, no trates el mantenimiento como una tarea puntual: conviértelo en parte normal de la administración del sitio.

Preguntas frecuentes sobre mantenimiento de CMS

¿Qué es el mantenimiento de CMS?

El mantenimiento de CMS es el conjunto de tareas necesarias para que una web creada con un sistema de gestión de contenidos siga funcionando de forma segura y estable. Incluye actualizaciones, revisión de extensiones, control de usuarios, copias de seguridad, restauración, informes de actividad y pruebas funcionales.

¿Cada cuánto hay que revisar un CMS?

Depende del tipo de sitio, pero conviene revisar el CMS de forma periódica. Las actualizaciones, avisos críticos, usuarios, permisos y copias de seguridad no deberían dejarse durante meses sin comprobar.

¿Qué debo hacer antes de actualizar plugins?

Antes de actualizar plugins, revisa compatibilidad, lee los cambios importantes, haz una copia de seguridad completa y comprueba después que la web sigue funcionando. En cambios delicados, lo ideal es probar antes fuera del sitio en producción.

¿Qué copia de seguridad necesita un CMS?

Una copia realmente útil suele incluir archivos y base de datos. Los archivos guardan temas, plugins, medios y otros ficheros; la base de datos guarda contenidos, usuarios y configuraciones. Si falta una parte, la restauración puede quedar incompleta.

¿Por qué es importante probar una restauración?

Porque una copia que no se puede restaurar no sirve de mucho. Probar la restauración permite confirmar que la copia está completa, localizada y preparada para recuperar el sitio si algo falla.

¿Qué revisar después de una actualización?

Después de actualizar, revisa acceso al sitio, panel de administración, menús, formularios, permisos, zona privada, comentarios o foros, errores visibles, avisos del sistema y funcionamiento general.

¿Por qué son importantes los roles y permisos?

Porque limitan lo que cada usuario puede hacer. Si todos tienen permisos altos, cualquier error puede afectar a todo el sitio. Aplicar el principio de mínimo privilegio reduce riesgos y mejora el control del CMS.