Cómo instalar WordPress: La guía técnica completa

WordPress impulsa más del 43% de todos los sitios web en internet — una estadística que refleja tanto su flexibilidad como la madurez de su ecosistema de instalación. Ya sea que estés implementando un blog personal, un sitio empresarial de alto tráfico o una tienda WooCommerce, el proceso de instalación sigue un conjunto predecible de pasos que pueden completarse en menos de 15 minutos cuando se realizan correctamente.

El requisito fundamental para cualquier instalación de WordPress es una pila LAMP o LEMP: un servidor web (Apache o Nginx), PHP 7.4 o superior (se recomienda 8.1+ para mayor rendimiento), y una base de datos MySQL 5.7+ o MariaDB 10.4+. Cada método descrito en esta guía — un clic, cPanel o FTP — en última instancia configura estos mismos tres componentes.

Requisitos previos: Lo que necesitas antes de comenzar

Antes de usar un instalador o un cliente FTP, confirma que lo siguiente esté en su lugar:

• Una cuenta de alojamiento con acceso SSH, cPanel o FTP — VPS Hosting te brinda acceso root completo para la configuración más flexible
• Un nombre de dominio registrado apuntado a la IP de tu servidor mediante un registro A — consulta Registro de Dominios si necesitas uno
• Un certificado SSL válido — WordPress nunca debe ejecutarse sobre HTTP simple en producción; instala un certificado SSL antes o inmediatamente después de la configuración de WordPress a través de Certificados SSL
• PHP 8.1 o superior con las extensiones mysqli, curl, gd, mbstring, xml, zip y imagick habilitadas
• MySQL 5.7+ o MariaDB 10.4+ con una base de datos y usuario dedicados para WordPress (nunca uses el usuario root de la base de datos)

Un error común que los principiantes pasan por alto: instalar WordPress en un dominio que todavía tiene la página de marcador de posición predeterminada del alojamiento. Limpia el directorio public_html de cualquier archivo stub index.html o index.php antes de subir los archivos de WordPress, de lo contrario el instalador nunca se activará.

Método 1: Instalación con un clic mediante Softaculous (Recomendado para principiantes)

La mayoría de los entornos de alojamiento administrado — incluyendo los planes de VPS con cPanel y Alojamiento Web Compartido — incluyen Softaculous, el instalador automático estándar de la industria. Este método gestiona la creación de la base de datos, la extracción de archivos y la generación de wp-config.php de forma automática.

Paso 1: Acceder al instalador de Softaculous

Inicia sesión en cPanel y localiza la sección Softaculous Apps Installer. Haz clic en el icono de WordPress. Alternativamente, navega directamente a la sección WordPress Tools o Website Installers si tu proveedor usa un panel de control personalizado.

Paso 2: Configurar los parámetros de instalación

Haz clic en Install Now y completa los siguientes campos con cuidado:

• Elegir protocolo: Selecciona https:// — nunca http://. Si tu certificado SSL aún no está activo, instálalo primero.
• Elegir dominio: Selecciona el dominio de destino del menú desplegable.
• En directorio: Deja este campo en blanco para instalar WordPress en la raíz (yourdomain.com). Introducir un subdirectorio como blog lo instala en yourdomain.com/blog.
• Nombre y descripción del sitio: Estos rellenan blogname y blogdescription en wp-options y pueden cambiarse más tarde desde el panel de control.
• Nombre de usuario del administrador: No uses admin — este es el primer nombre de usuario que intentan los bots de fuerza bruta. Usa algo único.
• Contraseña del administrador: Usa una contraseña de mínimo 16 caracteres con mayúsculas, minúsculas, números y símbolos.
• Correo electrónico del administrador: Usa una dirección real y monitoreada. WordPress envía notificaciones críticas de seguridad y actualizaciones aquí.
• Seleccionar idioma: Elige tu idioma preferido para la interfaz de administración de WordPress.
• Seleccionar plugins: Softaculous puede ofrecer preinstalar plugins. Rechaza a menos que los necesites específicamente — una instalación limpia es más fácil de auditar.

Paso 3: Opciones avanzadas (No omitir)

Expande el panel de Opciones avanzadas:

• Nombre de la base de datos y prefijo de tabla: Cambia el prefijo de tabla predeterminado wp_ por algo aleatorio como xk7_. Este es un paso de refuerzo significativo contra ataques de inyección SQL que apuntan a nombres de tabla predecibles.
• Copias de seguridad automatizadas: Actívalas si tu proveedor lo admite.
• Deshabilitar WordPress Cron: Si estás en un VPS de alto tráfico, considera deshabilitar el WP-Cron integrado y reemplazarlo con un trabajo cron del sistema real más adelante.

Paso 4: Completar y acceder al panel de control

Haz clic en Install. Softaculous creará la base de datos, extraerá los archivos de WordPress en el directorio de destino, configurará wp-config.php y ejecutará la instalación del esquema de la base de datos. Todo el proceso tarda entre 30 y 90 segundos.

Accede a tu panel de control en https://yourdomain.com/wp-admin/ usando las credenciales que configuraste.

Método 2: Instalación manual mediante cPanel (Intermedio)

La instalación manual te da control explícito sobre cada parámetro de configuración y es el enfoque recomendado cuando necesitas configuraciones no predeterminadas — intercalación de base de datos personalizada, una versión específica de PHP o una instalación en subdirectorio con reglas de reescritura personalizadas.

Paso 1: Descargar WordPress

Descarga siempre desde la fuente oficial:

wget https://wordpress.org/latest.tar.gz
tar -xzf latest.tar.gz

Si trabajas localmente, descarga desde wordpress.org/download y extrae el archivo zip. El resultado es una carpeta llamada wordpress que contiene todos los archivos principales.

Paso 2: Crear una base de datos MySQL y un usuario

En cPanel, navega a MySQL Databases:

1. En Create New Database, introduce un nombre como wp_production y haz clic en Create Database.
2. En MySQL Users, crea un nuevo usuario con una contraseña segura y única. No reutilices contraseñas de otros servicios.
3. En Add User to Database, selecciona tanto el usuario como la base de datos, haz clic en Add y en la siguiente pantalla otorga All Privileges.

Nota crítica: El usuario de la base de datos solo necesita los siguientes privilegios para el funcionamiento normal de WordPress: SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, INDEX, ALTER. Otorgar ALL PRIVILEGES es conveniente pero concede más acceso del necesario. En un servidor de producción con múltiples sitios, usa el conjunto mínimo de privilegios.

Paso 3: Subir los archivos de WordPress

En el File Manager de cPanel, navega a public_html (o la raíz de documentos de tu dominio). Sube el contenido de la carpeta wordpress — no la carpeta en sí — directamente en public_html. Después de la subida, el directorio debe contener wp-login.php, wp-config-sample.php y los directorios wp-content, wp-admin y wp-includes en el nivel raíz.

Paso 4: Configurar wp-config.php

En el File Manager, localiza wp-config-sample.php, haz clic derecho y renómbralo a wp-config.php. Ábrelo para editarlo y actualiza los siguientes valores:

define( 'DB_NAME',     'your_database_name' );
define( 'DB_USER',     'your_database_user' );
define( 'DB_PASSWORD', 'your_database_password' );
define( 'DB_HOST',     'localhost' );
define( 'DB_CHARSET',  'utf8mb4' );
define( 'DB_COLLATE',  '' );

Además, reemplaza las claves de autenticación y sales de marcador de posición visitando https://api.wordpress.org/secret-key/1.1/salt/ y pegando el bloque generado en wp-config.php. Estas sales protegen las cookies de sesión y frecuentemente se pasan por alto en las instalaciones manuales.

Añade estas constantes de refuerzo mientras el archivo está abierto:

define( 'DISALLOW_FILE_EDIT', true );     // Disables the theme/plugin editor in the dashboard
define( 'WP_DEBUG',           false );    // Set to true only during development
define( 'FORCE_SSL_ADMIN',    true );     // Forces HTTPS for all admin sessions

También cambia el prefijo de tabla predeterminado de $table_prefix = 'wp_'; a un valor aleatorio:

$table_prefix = 'xk7_';

Paso 5: Ejecutar el instalador basado en web

Navega a https://yourdomain.com en un navegador. WordPress detectará el wp-config.php configurado y lanzará el asistente de instalación. Completa los siguientes campos:

• Título del sitio
• Nombre de usuario (evita admin)
• Contraseña
• Tu correo electrónico
• Visibilidad en motores de búsqueda: Marca "Desalentar a los motores de búsqueda" solo si el sitio aún no está listo para la indexación pública. Olvidar desmarcar esta opción más tarde es una de las causas más comunes de que los nuevos sitios WordPress no aparezcan en Google.

Haz clic en Install WordPress. El instalador crea todas las tablas de la base de datos e inserta los datos predeterminados. Verás una pantalla de éxito con un botón Log In.

Método 3: Instalación manual mediante SSH y FTP (Avanzado)

Este método es preferido por los administradores de sistemas que implementan WordPress en un Servidor Dedicado o un VPS básico sin panel de control. El acceso SSH te permite realizar toda la instalación desde la línea de comandos, lo que es más rápido y automatizable.

Instalación completa basada en SSH

# Navigate to the web root
cd /var/www/html

# Download and extract WordPress
wget https://wordpress.org/latest.tar.gz
tar -xzf latest.tar.gz
mv wordpress/* .
rm -rf wordpress latest.tar.gz

# Set correct ownership and permissions
chown -R www-data:www-data /var/www/html
find /var/www/html -type d -exec chmod 755 {} ;
find /var/www/html -type f -exec chmod 644 {} ;

# Create the database (run as root or a MySQL admin user)
mysql -u root -p <<EOF
CREATE DATABASE wp_production CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
CREATE USER 'wp_user'@'localhost' IDENTIFIED BY 'StrongPassword123!';
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, INDEX, ALTER ON wp_production.* TO 'wp_user'@'localhost';
FLUSH PRIVILEGES;
EOF

# Configure wp-config.php
cp wp-config-sample.php wp-config.php
sed -i "s/database_name_here/wp_production/" wp-config.php
sed -i "s/username_here/wp_user/" wp-config.php
sed -i "s/password_here/StrongPassword123!/" wp-config.php

Después de ejecutar estos comandos, completa la instalación a través del navegador como se describe en el Método 2, Paso 5.

Subida mediante FTP (Cuando SSH no está disponible)

Si SSH no está disponible, usa un cliente FTP como FileZilla:

1. Conéctate usando las credenciales FTP de tu panel de control de alojamiento. Usa SFTP (SSH File Transfer Protocol) o FTPS (FTP over TLS) — nunca FTP simple, que transmite las credenciales en texto claro.
2. Navega al directorio remoto public_html.
3. Arrastra el contenido de la carpeta local wordpress a public_html.
4. Edita wp-config-sample.php localmente, añade tus credenciales de base de datos, guárdalo como wp-config.php y súbelo.
5. Completa el instalador basado en navegador.

Referencia de permisos de archivos

Los permisos de archivo incorrectos son una de las principales causas de incidentes de seguridad en WordPress y fallos en la instalación de plugins y temas. Usa esta referencia:

Nunca establezcas permisos 777 en ningún directorio. Esto hace que todos los archivos de ese directorio sean escribibles por cualquier proceso en el servidor — una vulnerabilidad crítica en entornos de alojamiento compartido.

Comparación de métodos

Refuerzo y configuración post-instalación

Una instalación nueva de WordPress es funcional pero no está lista para producción. Las siguientes tareas deben completarse antes de que el sitio reciba tráfico público.

Refuerzo de seguridad

• Cambia la URL de inicio de sesión: La ruta predeterminada wp-admin es atacada constantemente por bots automatizados. Usa un plugin como WPS Hide Login para moverla a una ruta personalizada.
• Instala un Firewall de Aplicaciones Web: Wordfence o Sucuri Security proporcionan reglas de firewall, análisis de malware y protección de inicio de sesión.
• Deshabilita XML-RPC si no usas la aplicación móvil de WordPress o Jetpack: añade add_filter('xmlrpc_enabled', '__return_false'); a functions.php o bloquéalo a nivel de servidor.
• Limita los intentos de inicio de sesión: Usa un plugin o configura Fail2Ban a nivel de servidor para bloquear IPs después de repetidos intentos fallidos de inicio de sesión.
• Configura la autenticación de dos factores para todas las cuentas de administrador usando un plugin como WP 2FA o Google Authenticator.

Configuración de rendimiento

• Configura una capa de caché: W3 Total Cache, WP Super Cache o LiteSpeed Cache (si tu servidor ejecuta LiteSpeed) reducen drásticamente el tiempo hasta el primer byte.
• Configura un CDN: El nivel gratuito de Cloudflare o un CDN dedicado descarga los activos estáticos y reduce la carga del servidor.
• Reemplaza WP-Cron con un trabajo cron real: El pseudo-cron integrado de WordPress solo se activa en las cargas de página, lo que es poco fiable en sitios de bajo tráfico e ineficiente en los de alto tráfico.

# Add to server crontab (run as the web server user)
*/5 * * * * php /var/www/html/wp-cron.php --allow-root > /dev/null 2>&1

Luego deshabilita el cron integrado en wp-config.php:

define( 'DISABLE_WP_CRON', true );

Plugins esenciales para instalar

Configuración de permalinks y SEO

Navega a Ajustes > Enlaces permanentes y selecciona Nombre de la entrada (/%postname%/). Esta estructura es legible por humanos y óptima para SEO. Después de guardar, WordPress reescribe el archivo .htaccess (en Apache) o actualiza las reglas de configuración de Nginx.

Si estás ejecutando Nginx, WordPress no puede actualizar automáticamente la configuración del servidor. Debes añadir manualmente las reglas de reescritura a tu bloque de servidor Nginx:

location / {
    try_files $uri $uri/ /index.php?$args;
}

Configuración del correo electrónico de WordPress

De forma predeterminada, WordPress usa la función mail() de PHP para enviar correos electrónicos, que frecuentemente es bloqueada por los proveedores de alojamiento o marcada como spam. Configura la entrega SMTP usando un plugin como WP Mail SMTP con credenciales de un servicio de correo dedicado. Para correo electrónico transaccional profesional, considera una solución dedicada de Alojamiento de Correo Electrónico para garantizar la entrega fiable de restablecimientos de contraseña, confirmaciones de pedidos y notificaciones de administración.

Matriz de decisión práctica: Qué método de instalación usar

Usa los siguientes criterios para seleccionar el enfoque adecuado para tu situación:

• Eres principiante o estás construyendo un sitio personal en alojamiento compartido — usa la instalación con un clic de Softaculous a través de cPanel.
• Necesitas una instalación limpia con configuración de base de datos personalizada en un servidor cPanel — usa el método manual de cPanel.
• Estás implementando en un VPS o servidor dedicado sin panel de control — usa el método SSH; es más rápido, auditable y automatizable.
• Solo tienes acceso FTP y no tienes SSH — usa el método FTP, pero asegúrate de usar SFTP o FTPS.
• Estás implementando múltiples instancias de WordPress — usa WP-CLI con un script de shell; esto está fuera del alcance de esta guía pero es el estándar profesional para implementaciones multi-sitio.
• Necesitas máximo control del servidor, versiones PHP personalizadas o infraestructura de alto tráfico — un Servidor Dedicado con una instalación manual SSH es la arquitectura correcta.

Lista de verificación técnica antes de publicar

Antes de dirigir tráfico de producción a una nueva instalación de WordPress, verifica cada elemento:

• [ ] Certificado SSL instalado y FORCE_SSL_ADMIN establecido en true en wp-config.php
• [ ] Permisos de wp-config.php establecidos en 440
• [ ] Claves de autenticación y sales generadas desde la API de WordPress e insertadas en wp-config.php
• [ ] Prefijo de tabla wp_ predeterminado cambiado a una cadena aleatoria
• [ ] Nombre de usuario admin no utilizado para la cuenta de administrador
• [ ] "Desalentar a los motores de búsqueda" desmarcado en Ajustes > Lectura (si el sitio está activo)
• [ ] Estructura de permalinks establecida en Nombre de la entrada
• [ ] Correo electrónico SMTP configurado y probado
• [ ] Al menos un plugin de copia de seguridad configurado con almacenamiento remoto
• [ ] Plugin de seguridad instalado y reglas de firewall activas
• [ ] DISALLOW_FILE_EDIT establecido en true en wp-config.php
• [ ] XML-RPC deshabilitado si no es necesario
• [ ] WP-Cron reemplazado con un trabajo cron del sistema en entornos VPS/dedicados

Preguntas frecuentes

¿Cuáles son las versiones mínimas de PHP y MySQL requeridas para instalar WordPress?

WordPress 6.x requiere PHP 7.4 como mínimo absoluto, pero se recomienda encarecidamente PHP 8.1 o 8.2 para rendimiento y seguridad. MySQL 5.7 o MariaDB 10.4 son las versiones mínimas de base de datos. Ejecutar versiones inferiores a estas resultará en fallos de instalación o problemas de compatibilidad silenciosos con plugins modernos.

¿Por qué el instalador de WordPress muestra una página en blanco o un error de conexión a la base de datos?

Una pantalla blanca en blanco generalmente indica un error fatal de PHP — revisa el registro de errores PHP del servidor. Un mensaje de "Error al establecer una conexión con la base de datos" significa que las credenciales en wp-config.php son incorrectas, la base de datos no existe o al usuario de la base de datos no se le han otorgado privilegios. Verifica los tres en tu interfaz de administración de MySQL.

¿Puedo instalar WordPress en un subdirectorio mientras lo sirvo desde el dominio raíz?

Sí. Instala WordPress en un subdirectorio como /wordpress, luego en Ajustes > General establece la Dirección de WordPress en https://yourdomain.com/wordpress y la Dirección del sitio en https://yourdomain.com. Copia index.php del subdirectorio a la raíz y edítalo para actualizar la ruta de require. Esta es una configuración legítima y ampliamente utilizada.

¿Cuál es la forma correcta de mover WordPress de HTTP a HTTPS después de la instalación?

Actualiza tanto la Dirección de WordPress como la Dirección del sitio en Ajustes > General para usar https://. Añade define('FORCE_SSL_ADMIN', true); a wp-config.php. Ejecuta una búsqueda y reemplazo en la base de datos para actualizar las URLs http:// codificadas — usa el comando WP-CLI wp search-replace 'http://yourdomain.com' 'https://yourdomain.com' --all-tables o un plugin como Better Search Replace. Finalmente, configura una redirección 301 en .htaccess o en tu bloque de servidor Nginx.

¿Es seguro instalar WordPress en alojamiento compartido para un sitio empresarial?

El alojamiento compartido es aceptable para sitios empresariales de bajo tráfico, pero tiene limitaciones inherentes: procesos PHP compartidos, configuración de servidor restringida y exposición a cuentas vecinas. Para sitios que gestionan comercio electrónico, datos de usuarios o tráfico significativo, un entorno de VPS Hosting proporciona aislamiento de procesos, recursos dedicados y la capacidad de aplicar reglas de seguridad a nivel de servidor que el alojamiento compartido no puede ofrecer.