Shopping Cart Analysis

In e-commerce, understanding the user journey isn’t just about what they bought, but how they arrived at that decision.

This chapter explores a traceability strategy designed specifically to capture, log, and relate every action a visitor takes in a WooCommerce store—whether they complete a purchase or abandon their cart.

The solution is based on a dual identification model that clearly distinguishes between:

- the lifecycle of a cart

- and the persistent identity of the visitor

…even when the visitor remains anonymous.

Two Dimensions of User Identity

The architecture hinges on recognizing two distinct entities that must be tracked independently yet relationally:

1. The shopping cart as a unit of intent:  

   Every time a user begins a purchase process—whether by adding a product for the first time or returning after abandonment—it’s treated as a separate purchase attempt.

   Each attempt has:

   - a start

   - a sequence of actions

   - and an end (completed purchase or prolonged abandonment)

   This attempt is assigned a unique identifier that lives only during its lifecycle.  

   Once the purchase is completed or the cart is emptied, this identifier is discarded, and any new interaction generates a new one.

2. The visitor as a persistent entity:  

   Regardless of how many carts they initiate, the same anonymous user may return days later.

   To recognize them, a persistent identifier is assigned via a cookie with a defined duration (e.g., 12 hours).

   This identifier:

   - does not reset upon purchase

   - is not deleted when the browser closes

   - remains active while the cookie is valid

This allows multiple purchase attempts to be linked to the same individual.

It enables key business questions:

- How many carts has this visitor initiated recently?

- What products were explored in previous attempts and which were purchased?

- Is there a pattern of abandonment at a specific step?

Event Capture Along the Conversion Funnel

The system integrates non-intrusively at key points in the user journey, leveraging WooCommerce’s native hooks.

Each meaningful interaction is logged as a structured event, tied to both the current cart and the persistent visitor.

The typical flow begins when the user views a product—this is logged as a “view” event, marking the potential start of a new purchase attempt.

If the user adds the product to the cart, a new event captures:

- product ID

- quantity

- cart context

Subsequent actions—changing quantities, removing items, or navigating to the cart—are logged as additional events.

Entering the checkout page marks a key milestone.  

If the user begins payment, a “checkout start” event is logged.  

If the transaction succeeds, the purchase is recorded and the cart cycle is closed.

Crucially, if the user abandons at any point—even before adding anything—all prior actions are logged and tied to that failed attempt.

Thanks to the persistent visitor ID, if they return later, new events are linked to their previous history, revealing a fuller behavioral pattern.

Behavior-Oriented Data Model

Captured events are stored in a relational structure with two main entities:

- Session headers: Each row represents a unique purchase attempt (i.e., a cart), with metadata like:

  - cart ID

  - persistent visitor ID

  - authentication status (logged in or anonymous)

  - device used

  By business rule, each new cart—even from the same visitor—generates a new header.

- Interaction events: Each row represents a specific action within a purchase attempt, linked to its header and detailing:

  - action type (view, add, remove, etc.)

  - product involved

  - quantities

  - other relevant attributes

This structure supports analysis:

- Micro-level: what a user did in a specific cart

- Macro-level: how many carts an anonymous visitor initiated, their conversion rate, recurring products

Controlled Cart Cycle Reset

A core design aspect is handling the end of a cart cycle.

When a purchase is completed, the system removes the current cart ID.

This ensures any subsequent interaction—even minutes later—is treated as a new purchase attempt, avoiding data contamination between transactions.

This reset also applies to scenarios like manual cart emptying, ensuring consistency in defining what constitutes an “attempt.”

Decision-Making Benefits

With this traceability in place, marketing, product, and UX teams can:

- Identify bottlenecks in the funnel (e.g., high drop-off at shipping step)

- Segment audiences by behavioral history (e.g., users who viewed a product in three different carts but never purchased)

- Measure effectiveness of abandoned cart recovery campaigns

- Personalize recommendations based on the visitor’s full history, not just the current session

> In short, this strategy transforms the shopping cart from a simple product container into a rich behavioral data unit, revealing the user’s intentions, hesitations, and decisions over time—even when they choose to remain anonymous.

Interface WP ⇄ Laravel

Prólogo

Esta arquitectura fue originalmente concebida, propuesta e implementada por el autor en el Sistema de Votaciones Online del Poder Judicial de Chile (PJUD), específicamente para el Área de Bienestar, con el objetivo de garantizar integridad, trazabilidad y seguridad en procesos electorales internos.

En dicho entorno —una intranet controlada, sin exposición a internet y con servidores dedicados— se descartó la comunicación vía APIs REST por considerarla innecesariamente compleja, con mayor superficie de ataque y dependiente de mecanismos de autenticación frágiles. En su lugar, se diseñó un canal de comunicación directo entre WordPress (frontend y autenticación) y Laravel (lógica de negocio), utilizando exclusivamente comandos CLI y el protocolo SSH como transporte cifrado.

El éxito operativo, la estabilidad y la facilidad de auditoría de dicha implementación validaron el enfoque. Hoy, este patrón se propone como solución genérica para cualquier integración entre WordPress y Laravel en entornos autohospedados donde el control total del sistema, la simplicidad y la seguridad son prioritarios.

Objetivo

Permitir la comunicación segura, eficiente y extensible entre WordPress (frontend, autenticación, UX) y Laravel (lógica de negocio, modelos, procesamiento) en entornos autohospedados, sin exponer APIs HTTP, usando exclusivamente comandos CLI (wp-cli + artisan) y canales IPC (stdin/stdout o SSH).

Alcance

• Soporta cualquier operación delegable: sincronización de carritos, creación de cursos, votaciones, notificaciones, etc.
• Funciona en:
  • Mismo servidor (IPC local)
  • Servidores distintos en red privada (SSH)
• No requiere:
  • APIs REST
  • Bases de datos compartidas
  • Plugins de autenticación cruzada

Arquitectura

+----------------+ CLI Call +------------------+
|                | --------------------->     |
|  WordPress     | (wp-cli → artisan)         | Laravel |
| (Frontend)     | <---------------------     | (Business Logic) |
|                | JSON via stdout            |
+----------------+         +------------------+

Flujo de ejecución

1. WordPress dispara un hook (ej. woocommerce_cart_updated).
2. Plugin de WordPress ejecuta un comando wp-cli personalizado.
3. wp-cli llama a artisan bridge:dispatch (local o vía SSH).
4. Laravel ejecuta la acción registrada, procesa y devuelve JSON por stdout.
5. WordPress recibe la respuesta y actúa (mostrar mensaje, log, etc.).

Componentes

1. WordPress: Plugin wp-laravel-bridge

Comando CLI
wp laravel:call --user= --data=

Función helper (PHP)
function wp_laravel_call(string $action, array $data, int $user_id = null): array;

Internamente

• Usa proc_open() para ejecutar artisan.
• Escapa parámetros con escapeshellarg().
• Captura stdout y parsea JSON.
• Maneja errores (timeout, comandos fallidos).

2. Laravel: Comando bridge:dispatch

Uso
php artisan bridge:dispatch --user= --payload=

Registro de acciones (routes/bridge.php)
return [
'cart.sync' => \\App\\Actions\\SyncCart::class,
'vote.register' => \\App\\Actions\\RegisterVote::class,
'course.enroll' => \\App\\Actions\\EnrollInCourse::class,
// ...
];

Contrato de acción
interface BridgeAction { public function handle(array $data): array; }

Salida

• Éxito: echo json_encode($result);
• Error: fwrite(STDERR, json_encode($error)); exit(1);

Seguridad

Medida	Implementación
Autenticación	El user_id lo provee WordPress (sesión validada). Laravel confía en él.
Validación	Cada acción valida entrada con Laravel Validator o clases propias.
Ejecución	Solo comandos CLI permitidos. Nada de eval() ni ejecución dinámica.
Red	Si es remoto, solo vía SSH con clave pública y ForceCommand.
Permisos	Usuario del servidor (www-data) con acceso mínimo a rutas de Laravel/WordPress.

Ejemplo: Sincronización de carrito (WooCommerce)

WordPress (plugin)
add_action('woocommerce_cart_updated', function() {
if (!is_user_logged_in()) return;
$items = array_column(WC()->cart->get_cart(), 'product_id');
$result = wp_laravel_call('cart.sync', [
'items' => $items,
'total' => WC()->cart->get_total('numeric')
]);
if ($result['success'] ?? false) {
WC()->session->set('cart_tracked', true);
}
});

Laravel (SyncCart.php)
class SyncCart implements BridgeAction {
public function handle(array $data): array {
CartTracker::updateOrCreate(
['user_id' => $data['user_id']],
['items' => $data['items'], 'total' => $data['total']]
);
return ['success' => true, 'tracked_at' => now()];
}
}

Comunicación bidireccional (opcional)

Para notificaciones Laravel → WordPress:
// En Laravel shell_exec("wp --path=/var/www/wordpress user meta set {$userId} last_action " . time());
→ Requiere que Laravel pueda ejecutar wp-cli.

Requisitos del sistema

• WordPress: con wp-cli instalado y accesible.
• Laravel: >= 8.x, con comandos Artisan.
• PHP: proc_open() habilitado.
• Servidor: acceso SSH entre nodos (si es distribuido).
• Permisos: usuario común con acceso a ambas rutas.

Escalabilidad

• Para alta carga: reemplazar proc_open() por cola asíncrona (Redis, DB).
• Para auditoría: loggear cada llamada en Laravel (bridge.log).
• Para idempotencia: incluir request_id en el payload.

Anti-patrones a evitar

• No usar shell_exec() sin sanitización.
• No pasar credenciales en la línea de comandos
• No pasar credenciales en la línea de comandos.
• No asumir que Laravel y WordPress comparten base de datos.
• No exponer el comando bridge:dispatch a HTTP.

Estructura de archivos sugerida

wordpress/
├── wp-content/
│   └── plugins/
│       └── wp-laravel-bridge/
│           ├── wp-laravel-bridge.php
│           ├── includes/
│           │   └── BridgeClient.php
│           └── commands/
│               └── CallLaravel.php

laravel/
├── app/
│   └── Actions/
│       ├── SyncCart.php
│       ├── RegisterVote.php
│       └── EnrollInCourse.php
├── routes/
│   └── bridge.php
├── app/
│   └── Console/
│       └── Commands/
│           └── BridgeDispatch.php

Licencia

Este patrón puede ser implementado libremente en cualquier sistema autohospedado. No se recomienda su uso en entornos compartidos, multisite o con exposición pública sin adaptaciones adicionales.

Autor

Benjamin Sánchez
Desarrollador y Analista de Sistemas
github.com/benjasanchez

Shopping Cart Analysis capítulo 2

Capítulo 2: Del rastro al insight — convertir el comportamiento en acción

Análisis avanzado del recorrido del comprador en el comercio electrónico

Comprender el recorrido del usuario es solo el primer paso. La verdadera ventaja competitiva surge cuando ese entendimiento se traduce en respuestas concretas: ajustes en la experiencia, mensajes personalizados, intervenciones oportunas. Para ello, no basta con registrar eventos; es necesario organizarlos en narrativas analíticas que respondan preguntas reales del negocio.

La arquitectura de trazabilidad descrita en el capítulo anterior no solo captura el qué y el cuándo, sino que diseña intencionalmente la separación entre el intento de compra y la identidad persistente del visitante. Esta distinción no es técnica; es estratégica. Y es precisamente esta dualidad la que permite construir informes que van más allá del conteo de transacciones, para revelar patrones de intención, frustración y lealtad.

Carritos que hablan: el diagnóstico del abandono

Uno de los primeros impulsos al implementar esta trazabilidad es identificar los carritos abandonados. Pero el verdadero valor no está en la lista de carritos perdidos, sino en lo que esos carritos contienen y cómo llegaron a quedar inconclusos.

Un informe bien diseñado no solo señala cuáles sesiones no culminaron en compra, sino que contextualiza ese abandono: ¿qué productos estaban en el carrito? ¿cuál era la cantidad final? ¿cuál fue la última acción antes de la desaparición? ¿cuánto tiempo transcurrió desde que se agregó el primer ítem?

Esta información convierte el abandono de un hecho pasivo en una oportunidad activa. Un mensaje genérico como “¿Olvidó algo?” pierde fuerza frente a uno que dice: “Todavía tiene 4 unidades de Byte Pulse #8576 en su carrito. ¿Necesita ayuda para finalizar su pedido?”. La personalización nace del detalle, y el detalle nace de la trazabilidad precisa.

El embudo revelado: secuencias que definen la conversión

Mientras el abandono muestra dónde se rompe el camino, el análisis de los flujos exitosos revela cómo se construye. Al reconstruir la secuencia de acciones que preceden a cada compra completada, emergen patrones sorprendentemente consistentes.

En muchos casos, la conversión no es el resultado de un acto impulsivo, sino de un ritual: el usuario ve un producto, lo agrega al carrito, regresa para revisarlo, navega al resumen y solo entonces inicia el proceso de pago. Cada paso es una validación implícita.

Identificar esta secuencia típica permite hacer dos cosas fundamentales:
Primero, protegerla. Cualquier cambio en la interfaz que interrumpa este flujo —por ejemplo, eliminar el botón “Ver carrito” tras agregar un producto— puede tener un impacto desproporcionado en la conversión.
Segundo, detectar desviaciones. Si un segmento de usuarios salta directamente al checkout sin revisar el carrito, quizás confían plenamente en el proceso… o quizás no pueden ver el contenido del carrito, lo que generaría frustración silenciosa.

El embudo no es una abstracción; es una huella conductual que puede leerse, respetarse y optimizar.

Interés versus acción: la brecha que define la oportunidad

No todos los productos que atraen atención terminan en una transacción. Y no todos los productos que se venden generan curiosidad previa. Esta discrepancia —entre lo que se mira y lo que se compra— es una de las fuentes más ricas de insights estratégicos.

Un informe que compara visualizaciones con compras reales permite identificar dos categorías críticas:

• Los productos con alto interés y baja conversión: generan tráfico, despiertan curiosidad, pero algo en el camino —precio, descripción, disponibilidad, reseñas— los convierte en decepciones. Son candidatos ideales para pruebas A/B, ajustes de posicionamiento o campañas de incentivo.
• Los productos con baja visibilidad y alta conversión: quizás no aparecen en banners ni en búsquedas destacadas, pero quienes los encuentran los compran casi sin dudar. Son joyas ocultas que merecen mayor exposición, ya que su tasa de conversión sugiere una intención de compra muy clara.

Este contraste transforma el catálogo de una lista estática en un mapa dinámico de oportunidades, donde cada producto cuenta una historia sobre la relación entre deseo y decisión.

El contexto del abandono: no todos los visitantes son iguales

El abandono no es un fenómeno uniforme. Un usuario en un dispositivo móvil puede abandonar por una experiencia de pago lenta; otro en una región con altos costos de envío puede desistir al ver los gastos adicionales; un tercero, usando un navegador antiguo, podría encontrarse con un error invisible.

Al segmentar la tasa de abandono por entorno —dispositivo, ubicación geográfica, tipo de conexión— se revelan brechas de experiencia que de otro modo permanecerían ocultas. Lo que parece un problema generalizado (“muchos abandonan el carrito”) se disuelve en causas específicas y, por tanto, solucionables.

Esta segmentación también permite priorizar esfuerzos: si el 80% del abandono ocurre en móviles, optimizar la versión desktop tiene menor impacto. La trazabilidad contextual convierte la intuición en evidencia.

Más allá de la sesión: la persistencia del interés

Finalmente, la verdadera innovación de este enfoque radica en su capacidad para trascender la sesión aislada. Gracias al identificador persistente, es posible observar cómo un mismo visitante anónimo interactúa con la tienda a lo largo del tiempo.

¿Regresó tres veces en una semana, cada vez con un carrito diferente, pero siempre con el mismo producto? Eso no es casualidad; es intención reiterada.
¿Inició un carrito como anónimo y, días después, volvió logueado para completar la compra? Eso revela un proceso de decisión que incluye investigación externa o comparación de precios.

Estos patrones no se capturan con cookies de sesión ni con métricas de tráfico tradicionales. Requieren una arquitectura que respete la continuidad del individuo, incluso en el anonimato. Y es esa continuidad la que permite construir relaciones más inteligentes, anticipadas y humanas.

En conjunto, estos informes no son meros reportes de datos. Son lentes que amplifican la intención del usuario, traducen el silencio del abandono en señales de acción y convierten cada interacción —exitosa o no— en una pieza de un rompecabezas conductual.

El siguiente paso ya no es observar, sino intervenir: con mensajes más relevantes, flujos más intuitivos y ofertas más alineadas. Porque en el comercio electrónico moderno, quien entiende el porqué detrás del carrito, no solo vende más, sino que construye confianza.

© 2025 — Análisis de Comportamiento en Comercio Electrónico

Shopping Cart Analysis

En el comercio electrónico, comprender el recorrido del usuario no se limita a saber qué compró, sino cómo llegó a esa decisión.

Este capítulo explora una estrategia de trazabilidad diseñada específicamente para capturar, registrar y relacionar cada acción que un visitante realiza en una tienda WooCommerce, ya sea que complete una compra o abandone su carrito.

La solución se basa en un modelo dual de identificación que permite distinguir claramente entre:

• el ciclo de vida de un carrito
• y la identidad persistente del visitante

...incluso cuando este permanece anónimo.

Dos dimensiones de la identidad del usuario

Obten la version gratuita de ClientPulse , donde se aplica lo expuesto en el artículo.

 

La clave de esta arquitectura radica en reconocer que existen dos entidades distintas que deben rastrearse de forma independiente, pero relacionada:

1. El carrito de compra como unidad de intento:
   Cada vez que un usuario inicia un proceso de compra —ya sea añadiendo un producto por primera vez o regresando tras un abandono— se considera un intento de compra independiente.

   Este intento tiene:

   • un inicio
   • una secuencia de acciones
   • y un final (compra completada o abandono prolongado).

   A este intento se le asigna un identificador único que vive únicamente durante su ciclo de vida.

   Al finalizar la compra o al vaciar el carrito, este identificador se descarta, y cualquier nueva interacción generará uno nuevo.

2. El visitante como entidad persistente:
   Independientemente de cuántos carritos inicie, el mismo usuario anónimo puede regresar días después.

   Para reconocerlo como tal, se le asigna un identificador persistente mediante una cookie con una duración definida (por ejemplo, 12 horas).

   Este identificador:

   • no se reinicia al comprar
   • no se borra al cerrar el navegador
   • permanece mientras la cookie esté vigente

   Esto permite vincular múltiples intentos de compra al mismo individuo.

Esta separación permite responder preguntas críticas para el negocio:

• ¿Cuántos carritos ha iniciado este visitante en los últimos días?
• ¿Qué productos exploró en intentos anteriores y cuáles terminó comprando?
• ¿Existe un patrón de abandono en un paso específico del flujo?

Captura de eventos a lo largo del funnel de conversión

El sistema se integra de forma no intrusiva en los puntos de inflexión del recorrido del usuario, aprovechando los ganchos (hooks) nativos de WooCommerce.

Cada interacción significativa se registra como un evento estructurado, asociado tanto al carrito actual como al visitante persistente.

El flujo típico comienza cuando el usuario visualiza un producto.
Este primer contacto se registra como un evento de “visualización”, marcando el inicio potencial de un nuevo intento de compra.

Si el usuario decide añadir el producto al carrito, se genera un nuevo evento que captura:

• el ID del producto
• la cantidad
• el contexto del carrito

A partir de ahí, cualquier modificación —como cambiar cantidades, eliminar productos o navegar al carrito— se registra como un evento adicional.

Al ingresar a la página de checkout, se marca un hito clave: el usuario ha avanzado hasta la etapa final del funnel.

Si inicia el proceso de pago, se registra un evento de “inicio de checkout”.
Finalmente, si la transacción se completa con éxito, se registra la compra y se cierra el ciclo del carrito actual.

Crucialmente, si el usuario abandona en cualquier punto —ya sea en el carrito, en el checkout o incluso antes de añadir algo—, todas las acciones previas quedan registradas y asociadas a ese intento fallido.

Gracias al identificador persistente del visitante, si regresa más tarde, sus nuevos eventos se vincularán a su historial previo, revelando un patrón de comportamiento más completo.

Modelo de datos orientado al análisis de comportamiento

Los eventos capturados se almacenan en una estructura relacional compuesta por dos entidades principales:

• Cabeceras de sesión:
  Cada fila representa un intento de compra único (es decir, un carrito).
  Contiene metadatos como:

  • identificador del carrito
  • identificador persistente del visitante
  • estado de autenticación (logueado o anónimo)
  • dispositivo utilizado

  Por regla de negocio, cada nuevo carrito —incluso del mismo visitante— genera una nueva cabecera.

• Eventos de interacción:
  Cada fila representa una acción específica dentro de un intento de compra.
  Estos eventos están vinculados a su cabecera correspondiente y contienen detalles como:

  • tipo de acción (visualización, añadir, eliminar, etc.)
  • producto involucrado
  • cantidades
  • otros atributos relevantes

Esta estructura permite realizar análisis:

• A nivel micro: qué hizo un usuario en un carrito específico
• A nivel macro: cuántos carritos ha iniciado un visitante anónimo, cuál fue su tasa de conversión, qué productos aparecen recurrentemente en sus intentos

Reinicio controlado del ciclo de carrito

Un aspecto fundamental del diseño es el manejo del final del ciclo de un carrito.

Cuando una compra se completa con éxito, el sistema elimina el identificador del carrito actual.

Esto garantiza que cualquier interacción posterior —incluso minutos después— se trate como un nuevo intento de compra, evitando la contaminación de datos entre transacciones independientes.

Este reinicio también puede extenderse a otros escenarios, como el vaciado manual del carrito, asegurando coherencia en la definición de lo que constituye un “intento”.

Beneficios para la toma de decisiones

Con esta trazabilidad implementada, los equipos de marketing, producto y experiencia de usuario pueden:

• Identificar cuellos de botella en el funnel (ej.: alto abandono en el paso de envío)
• Segmentar audiencias basadas en comportamientos históricos (ej.: usuarios que vieron un producto en tres carritos distintos pero nunca compraron)
• Medir la efectividad de campañas de recuperación de carritos abandonados
• Personalizar recomendaciones basadas no solo en la sesión actual, sino en el historial completo del visitante

En resumen, esta estrategia transforma el carrito de compra de un simple contenedor de productos en una unidad rica de información conductual, capaz de revelar las intenciones, dudas y decisiones del usuario a lo largo del tiempo —incluso cuando prefiere permanecer en el anonimato.

 

Obten la version gratuita de ClientPulse , donde se aplica lo expuesto en el artículo.

Manual de Performance y Tuning Avanzado en WordPress

Introducción: Más allá del caché superficial

En el ecosistema WordPress, la mayoría de los artículos sobre rendimiento se limitan a recomendar plugins de caché o CDN. Pero cuando gestionas sitios con tráfico alto, bases de datos complejas o arquitecturas distribuidas, necesitas una estrategia técnica profunda, no soluciones de “clic y olvida”. Este manual, escrito desde la experiencia en seguridad, sockets y PHP de bajo nivel, te guiará a través de los verdaderos puntos de fricción que afectan el rendimiento real de WordPress: la base de datos, el servidor web, las políticas CORS y la gestión eficiente de medios. Además, presentamos un plugin construido desde cero para resolver problemas específicos que ningún otro aborda de forma integrada.

---

## 1. Optimización de la Base de Datos: El Corazón del Rendimiento

WordPress depende de MySQL (o MariaDB) como motor de persistencia. Si la base de datos está mal configurada o fragmentada, ningún caché salvará tu sitio.

### 1.1. Índices inteligentes y consultas lentas

El primer paso es identificar consultas lentas. Activa el *slow query log*:

```ini
# En my.cnf
slow_query_log = 1
slow_query_log_file = /var/log/mysql/slow.log
long_query_time = 1
log_queries_not_using_indexes = 1
```

Luego, analiza con `mysqldumpslow` o `pt-query-digest`. En WordPress, las tablas más problemáticas suelen ser:

- `wp_options`: Si contiene cientos de transients sin limpiar.
- `wp_postmeta`: Cuando se abusa de campos personalizados sin índices.
- `wp_comments`: En sitios con foros o blogs muy activos.

**Solución:** Añade índices compuestos donde sea necesario. Por ejemplo, si filtras posts por meta_key y meta_value:

```sql
ALTER TABLE wp_postmeta ADD INDEX idx_meta_key_value (meta_key, meta_value(191));
```

> ⚠️ **Nota de seguridad**: Nunca indexar valores completos de `meta_value` si contienen datos sensibles. Usa prefijos (`(191)`) para evitar exponer información.

### 1.2. Limpieza proactiva

WordPress no elimina transients expirados de forma automática si no se accede a ellos. Usa un cron real (no el pseudo-cron de WordPress) para ejecutar limpiezas:

```bash
# En crontab
0 2 * * * wp --path=/var/www/site transient delete --expired
```

También considera particionar tablas grandes (como `wp_posts`) por año si superas los 100k posts.

### 1.3. Motor de almacenamiento: InnoDB sí, MyISAM no

Asegúrate de que todas tus tablas usen **InnoDB**. MyISAM carece de transacciones, bloqueos de fila y recuperación ante fallos. Convierte con:

```sql
ALTER TABLE wp_options ENGINE=InnoDB;
```

---

## 2. Tuning del Servidor Web: Apache vs Nginx

La elección entre Apache y Nginx no es solo filosófica; tiene implicaciones reales en rendimiento bajo carga.

### 2.1. Apache: MPM y módulos innecesarios

Si usas Apache, evita el MPM `prefork` en entornos modernos. Usa `event`:

```apache
# En apache2.conf
LoadModule mpm_event_module modules/mod_mpm_event.so
```

Desactiva módulos que no uses (`mod_php` si usas PHP-FPM, `mod_autoindex`, `mod_status` en producción). Cada módulo consume memoria y CPU.

Configura adecuadamente:

```apache
<IfModule mpm_event_module>
    StartServers             2
    MinSpareThreads         25
    MaxSpareThreads         75
    ThreadLimit             64
    ThreadsPerChild         25
    MaxRequestWorkers      400
    MaxConnectionsPerChild 10000
</IfModule>
```

### 2.2. Nginx: Buffers, keepalive y gzip

Nginx brilla en servir contenido estático y manejar conexiones concurrentes. Configuración crítica:

```nginx
http {
    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    
    keepalive_timeout 65;
    keepalive_requests 100;
    
    gzip on;
    gzip_vary on;
    gzip_min_length 1024;
    gzip_types text/plain text/css application/json application/javascript;
    
    # Buffers para evitar escritura lenta al cliente
    client_body_buffer_size 128k;
    client_max_body_size 10M;
    client_header_buffer_size 1k;
    large_client_header_buffers 4 4k;
}
```

**Importante**: Usa `fastcgi_cache` en lugar de plugins de caché cuando sea posible. Es más rápido y consume menos memoria.

---

## 3. CORS: No es solo un error de consola

Las políticas CORS mal configuradas no solo rompen APIs o embeds; también generan solicitudes OPTIONS innecesarias que consumen recursos del servidor.

### 3.1. Configuración mínima y segura

En **Nginx**:

```nginx
location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg)$ {
    add_header 'Access-Control-Allow-Origin' 'https://tudominio.com';
    add_header 'Access-Control-Allow-Methods' 'GET, OPTIONS';
    add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
    add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range';
}
```

En **Apache**:

```apache
<FilesMatch "\.(js|css|png|jpg|jpeg|gif|ico|svg)$">
    Header set Access-Control-Allow-Origin "https://tudominio.com"
    Header set Access-Control-Allow-Methods "GET, OPTIONS"
</FilesMatch>
```

> 🔒 **Práctica segura**: Nunca uses `Access-Control-Allow-Origin: *` en contenido que incluya cookies o autenticación. Siempre especifica dominios explícitos.

---

## 4. Gestión de Imágenes en la Media Library: El peso invisible

La biblioteca de medios es el mayor consumidor de ancho de banda y disco en WordPress. Pero el problema no es solo el tamaño; es la *multiplicidad* de formatos generados.

### 4.1. Limitar tamaños de imagen innecesarios

Desactiva tamaños que no usas en tu tema:

```php
function custom_image_sizes($sizes) {
    unset($sizes['medium_large']); // 768px, rara vez usado
    unset($sizes['1536x1536']);   // Full HD+ (solo si no lo usas)
    unset($sizes['2048x2048']);
    return $sizes;
}
add_filter('intermediate_image_sizes_advanced', 'custom_image_sizes');
```

### 4.2. WebP + Lazy Load nativo

Desde PHP 7.4+, puedes generar WebP directamente con GD o Imagick. Pero WordPress no lo hace por defecto. Solución: intercepta el proceso de subida.

Además, usa el atributo `loading="lazy"` en imágenes:

```php
function add_lazy_loading($html, $id) {
    return str_replace('<img ', '<img loading="lazy" ', $html);
}
add_filter('get_image_tag', 'add_lazy_loading', 10, 2);
```

### 4.3. Servir imágenes desde un subdominio sin cookies

Crea un subdominio estático (ej. `static.tudominio.com`) y configúralo en Nginx/Apache para **no enviar cookies ni sesiones**. Esto reduce el overhead en cada solicitud de imagen.

---

## 5. El Plugin Construido: **WP-PerfCore**

Después de años de depurar sitios lentos, decidí construir un plugin que aborde estos problemas de forma coherente, sin sobrecargar el sistema. **WP-PerfCore** no es otro caché; es un *tuner de bajo nivel*.

### 5.1. Arquitectura

- **Sin interfaz de usuario**: Se configura vía constantes en `wp-config.php`.
- **Zero overhead en frontend**: Solo actúa durante subidas, cron real o inicialización de admin.
- **PHP 8.0+ nativo**: Usa typed properties, JIT-friendly code y evita globals.

### 5.2. Funcionalidades clave

#### a) **Smart Transient Cleaner**
Ejecuta limpieza de transients usando un socket Unix para evitar HTTP overhead. Se integra con systemd timers.

#### b) **Image Optimizer Pipeline**
Al subir una imagen:
1. Genera solo los tamaños definidos por el tema.
2. Convierte a WebP usando Imagick (si está disponible).
3. Añade metadatos EXIF mínimos (mejora SEO y privacidad).
4. Registra hashes para evitar duplicados.

#### c) **DB Index Advisor**
Analiza las consultas más frecuentes (usando `performance_schema` si está activo) y sugiere índices vía WP-CLI:

```bash
wp perfcore db suggest-indexes
```

#### d) **CORS Policy Enforcer**
Aplica reglas CORS basadas en dominios permitidos definidos en `WP_PERFCORE_CORS_DOMAINS`.

### 5.3. Código de ejemplo: Conversión WebP

```php
class WebP_Converter {
    public static function maybe_convert( $metadata, $attachment_id ) {
        if ( ! self::should_convert( $metadata ) ) return $metadata;

        $file = get_attached_file( $attachment_id );
        if ( ! $file || ! file_exists( $file ) ) return $metadata;

        $webp_path = trailingslashit( dirname( $file ) ) . pathinfo( $file, PATHINFO_FILENAME ) . '.webp';

        if ( extension_loaded( 'imagick' ) ) {
            $image = new Imagick( $file );
            $image->setImageFormat( 'webp' );
            $image->setImageCompressionQuality( 82 );
            $image->writeImage( $webp_path );
            $image->destroy();
        } elseif ( function_exists( 'imagewebp' ) ) {
            // Fallback a GD
            $source = self::get_gd_resource( $file );
            imagewebp( $source, $webp_path, 82 );
            imagedestroy( $source );
        }

        if ( file_exists( $webp_path ) ) {
            $metadata['sizes']['webp'] = [
                'file' => basename( $webp_path ),
                'width' => $metadata['width'],
                'height' => $metadata['height'],
            ];
        }

        return $metadata;
    }
}
add_filter( 'wp_generate_attachment_metadata', [ WebP_Converter::class, 'maybe_convert' ], 10, 2 );
```

> ✅ **Ventaja**: No requiere procesos externos ni llamadas a APIs. Todo en PHP puro, con fallbacks seguros.

---

## Conclusión: Rendimiento es disciplina, no magia

Mejorar el rendimiento de WordPress no se trata de instalar un plugin mágico. Se trata de entender cómo interactúan la base de datos, el servidor web, las políticas de red y el manejo de recursos estáticos. Con una configuración sólida, limpieza proactiva y herramientas construidas con precisión (como **WP-PerfCore**), puedes lograr tiempos de carga consistentes incluso bajo picos de tráfico.

En *Hooked*, creemos que el rendimiento es una extensión de la seguridad: un sitio lento es un sitio vulnerable. Porque cuando el sistema está al límite, los errores se multiplican, los logs se saturan y los atacantes encuentran grietas.

Optimiza con inteligencia. Mide con rigor. Y nunca confíes en soluciones que no entiendes.

Guía Técnica: Mitigación Avanzada de Ataques de Fuerza Bruta en WordPress

Introducción

WordPress, al ser la plataforma de gestión de contenidos más utilizada en el mundo, es un blanco constante para atacantes. Uno de los vectores de ataque más persistentes y peligrosos es el **brute force** (fuerza bruta), una técnica que busca adivinar credenciales de acceso mediante intentos repetidos y automatizados. Los atacantes modernos no solo lanzan miles de combinaciones de usuario y contraseña: primero, identifican qué nombres de usuario existen en tu sitio.

En este manual técnico, explicaremos cómo funcionan estos ataques y construiremos un **plugin de seguridad personalizado** que mitiga de forma proactiva los intentos de fuerza bruta, bloquea la enumeración de usuarios y permite cambiar la URL por defecto del panel de administración. Todo el código es original, probado en entornos reales y diseñado para integrarse sin fricción en cualquier instalación de WordPress.

---

## 1. ¿Qué es un ataque de fuerza bruta en WordPress?

Un ataque de fuerza bruta consiste en enviar múltiples peticiones HTTP al endpoint de autenticación de WordPress (`/wp-login.php`) con distintas combinaciones de nombre de usuario y contraseña, hasta encontrar una válida. Los atacantes usan botnets distribuidas, listas de credenciales comunes y técnicas para evadir sistemas de detección básicos.

Sin protección adecuada, incluso contraseñas moderadamente débiles pueden ser comprometidas en cuestión de horas.

---

## 2. Enumeración de usuarios: el primer paso del atacante

Antes de lanzar un ataque de fuerza bruta, los atacantes suelen identificar qué nombres de usuario existen en el sitio. WordPress, por defecto, expone esta información de dos formas críticas:

### 2.1. Parámetro `author` en URLs

Al acceder a una URL como:

```
https://tusitio.com/?author=1
```

WordPress redirige automáticamente a:

```
https://tusitio.com/author/admin/
```

Esto revela el nombre de usuario (`admin`) asociado al ID `1`. Repitiendo con `author=2`, `author=3`, etc., se puede mapear todos los autores del sitio.

### 2.2. API REST de WordPress

Desde WordPress 4.7, la API REST expone usuarios públicamente:

```
GET /wp-json/wp/v2/users
```

Aunque en versiones recientes se limita la visibilidad de correos electrónicos, **el nombre de usuario y el slug siguen siendo accesibles**, lo que basta para alimentar un ataque de fuerza bruta.

---

## 3. Diseño del plugin de mitigación: SecureGuard

Vamos a construir un plugin llamado **SecureGuard** que:

1. Bloquea la enumeración de usuarios.
2. Filtra y limita intentos de login fallidos.
3. Permite cambiar la URL de acceso al panel de administración.

El plugin será ligero, eficiente y compatible con WordPress 6.0+.

---

## 4. Implementación paso a paso

### 4.1. Archivo principal: `secureguard.php`

```php
<?php
/**
 * Plugin Name: SecureGuard
 * Description: Mitigación avanzada contra fuerza bruta y enumeración de usuarios en WordPress.
 * Version: 1.0
 * Author: Hooked Security Team
 */

defined('ABSPATH') or die('Acceso directo prohibido.');

// Cargar módulos
require_once plugin_dir_path(__FILE__) . 'login-handler.php';
require_once plugin_dir_path(__FILE__) . 'admin-redirect.php';

// Bloquear enumeración por author ID
add_action('template_redirect', 'sg_block_author_enumeration');
function sg_block_author_enumeration() {
    if (is_author()) {
        global $wp_query;
        if (isset($wp_query->query_vars['author']) && is_numeric($wp_query->query_vars['author'])) {
            wp_die('Acceso denegado.', 403);
        }
    }
}

// Deshabilitar endpoint de usuarios en REST API
add_filter('rest_endpoints', 'sg_disable_users_endpoint');
function sg_disable_users_endpoint($endpoints) {
    unset($endpoints['/wp/v2/users']);
    unset($endpoints['/wp/v2/users/(?P<id>[\d]+)']);
    return $endpoints;
}
?>
```

**Explicación técnica**:  
La función `sg_block_author_enumeration()` intercepta cualquier petición que intente acceder a un autor mediante ID numérico y devuelve un error 403. La función `sg_disable_users_endpoint()` elimina los endpoints de usuarios de la API REST, impidiendo su enumeración programática.

---

### 4.2. Gestión de intentos fallidos: `login-handler.php`

```php
<?php
defined('ABSPATH') or die();

add_action('wp_authenticate', 'sg_track_login_attempts', 10, 2);
add_action('wp_login_failed', 'sg_handle_failed_login');

function sg_get_login_attempts($ip) {
    return (int) get_transient("sg_login_attempts_{$ip}");
}

function sg_set_login_attempts($ip, $count) {
    set_transient("sg_login_attempts_{$ip}", $count, 15 * MINUTE_IN_SECONDS);
}

function sg_handle_failed_login($username) {
    $ip = sg_get_client_ip();
    $attempts = sg_get_login_attempts($ip);
    sg_set_login_attempts($ip, $attempts + 1);

    if ($attempts >= 4) {
        wp_die('Demasiados intentos fallidos. Acceso bloqueado temporalmente.', 429);
    }
}

function sg_track_login_attempts($username, $password) {
    $ip = sg_get_client_ip();
    if (sg_get_login_attempts($ip) >= 5) {
        wp_die('Acceso bloqueado por múltiples intentos fallidos.', 429);
    }
}

function sg_get_client_ip() {
    $ip_keys = ['HTTP_CF_CONNECTING_IP', 'HTTP_X_FORWARDED_FOR', 'HTTP_X_REAL_IP', 'REMOTE_ADDR'];
    foreach ($ip_keys as $key) {
        if (!empty($_SERVER[$key])) {
            $ip = trim(explode(',', $_SERVER[$key])[0]);
            if (filter_var($ip, FILTER_VALIDATE_IP)) {
                return $ip;
            }
        }
    }
    return $_SERVER['REMOTE_ADDR'] ?? '127.0.0.1';
}
?>
```

**Características clave**:  
- Usa *transients* de WordPress para almacenamiento temporal eficiente.  
- Soporta entornos detrás de Cloudflare, Nginx o proxies.  
- Bloquea tras 5 intentos fallidos en 15 minutos.  
- Devuelve código HTTP 429 (Too Many Requests), estándar para limitación de tasa.

---

### 4.3. Cambiar la URL de wp-admin: `admin-redirect.php`

```php
<?php
defined('ABSPATH') or die();

define('SG_LOGIN_SLUG', 'acceso-seguro');

add_action('init', 'sg_protect_wp_admin');
function sg_protect_wp_admin() {
    if (is_admin() && !is_user_logged_in() && strpos($_SERVER['REQUEST_URI'], SG_LOGIN_SLUG) === false) {
        if (strpos($_SERVER['REQUEST_URI'], 'wp-admin') !== false || strpos($_SERVER['REQUEST_URI'], 'wp-login.php') !== false) {
            status_header(404);
            nocache_headers();
            include(get_404_template());
            exit;
        }
    }
}

add_rewrite_rule('^' . SG_LOGIN_SLUG . '/?$', 'wp-login.php', 'top');

register_activation_hook(__FILE__, 'sg_flush_rewrite_rules');
function sg_flush_rewrite_rules() {
    add_rewrite_rule('^' . SG_LOGIN_SLUG . '/?$', 'wp-login.php', 'top');
    flush_rewrite_rules();
}
?>
```

**Funcionamiento**:  
Cualquier acceso directo a `/wp-admin` o `/wp-login.php` devuelve un **404 falso** (no revela que el endpoint existe). El único punto de acceso válido es `/acceso-seguro` (personalizable). Usa reglas de reescritura de WordPress, no redirecciones HTTP, para evitar fugas de información.

**Importante**: Tras activar el plugin, visita *Ajustes > Enlaces permanentes* y haz clic en "Guardar" para regenerar las reglas de reescritura.

---

## 5. Recomendaciones adicionales

Aunque SecureGuard cubre los vectores más críticos, se recomienda complementar con:

- **Autenticación de dos factores (2FA)**: plugins como Wordfence Login Security.
- **Web Application Firewall (WAF)**: Cloudflare, Sucuri o ModSecurity.
- **Contraseñas robustas**: obliga a tus usuarios a usar gestores de contraseñas.
- **Actualizaciones constantes**: WordPress, plugins y temas deben estar siempre actualizados.

---

## Conclusión

Los ataques de fuerza bruta no son un problema del pasado; son una amenaza activa y evolutiva. La enumeración de usuarios es su aliado silencioso, y sin medidas proactivas, incluso sitios con buenas prácticas pueden caer.

El plugin **SecureGuard**, presentado en este manual, ofrece una defensa en profundidad: bloquea la recolección de información, limita intentos maliciosos y oculta los puntos de entrada estándar. Todo ello con un código limpio, eficiente y respetuoso con el rendimiento.

La seguridad en WordPress no es una característica, es una responsabilidad continua. Y como desarrolladores, nuestra misión es construir no solo sitios, sino fortalezas digitales.

---

**¿Te gustó este artículo?**  
Sigue a *HookedEzine* para más guías técnicas, análisis de vulnerabilidades y código listo para producción.  
**No copies. Comprende. Construye.**

© 2025 HookedEzine. Todos los derechos reservados.