TL;DR — WordPress impulsa más del 40 % de los sitios web del mundo, lo que lo convierte en un objetivo prioritario para el cumplimiento del RGPD en materia de cookies. Por defecto, WordPress instala muy pocas cookies propias, pero los plugins y temas suelen añadir docenas de scripts de terceros sin ningún control. Para cumplir la normativa, un sitio WordPress debe bloquear todos los scripts de terceros antes del consentimiento, mostrar un banner de cookies válido y almacenar pruebas del consentimiento.
Gestionar las cookies del RGPD en WordPress no es automático. La plataforma en sí es neutra, pero en cuanto se instala WooCommerce, Google Analytics, un pixel de Meta o un plugin de formularios, se depositan cookies antes de que el usuario haya podido dar su consentimiento. La AEPD y otras autoridades europeas sancionan regularmente sitios web por incumplimiento. Esta guía explica qué cookies instala WordPress, cómo controlarlas y cómo lograr un cumplimiento duradero.
¿Qué cookies instala WordPress por defecto?
WordPress core instala muy pocas cookies propias. Las principales son wordpress_logged_in_[hash] (sesión del usuario conectado), wp-settings-[user-id] (preferencias de la interfaz de administración) y wordpress_test_cookie (cookie de prueba funcional eliminada tras la verificación). Estas cookies son estrictamente funcionales y no requieren consentimiento según el RGPD y la Directiva ePrivacy.
Los plugins que generan riesgos
El verdadero riesgo proviene de los plugins y temas. WooCommerce añade cookies de carrito (funcionales, exentas), pero los plugins de pago y remarketing asociados suelen depositar cookies publicitarias. Google Analytics / GA4 deposita _ga, _gid y _ga_XXXXXXXX — todas sujetas a consentimiento. Meta Pixel deposita _fbp y _fbc — consentimiento explícito obligatorio.
¿Cómo auditar las cookies de un sitio WordPress?
Antes de instalar una CMP, hay que saber exactamente qué cookies deposita el sitio. El método en tres pasos.
Paso 1 — Escanear el sitio
Utiliza un escáner de cookies: el escáner FlowConsent (/es/scan), las DevTools de Chrome (Application > Cookies) o una extensión dedicada. Escanea todas las páginas principales, las páginas de productos de WooCommerce y las páginas con formularios.
Paso 2 — Clasificar las cookies
Para cada cookie identificada, determina su naturaleza (propia o de terceros), su categoría (funcional/esencial, analítica, publicitaria, personalización), su período de conservación y su emisor. Las cookies funcionales están exentas de consentimiento. Todas las demás requieren acuerdo previo.
Paso 3 — Actualizar la política de cookies
La política de cookies debe listar todas las cookies activas, su finalidad, duración y emisor. Debe ser accesible desde el banner y el pie de página. Repite esta operación tras cada instalación de plugin.
¿Qué CMP elegir para WordPress?
Una CMP (plataforma de gestión del consentimiento) muestra el banner, recopila el consentimiento, bloquea los scripts antes de la aceptación y almacena pruebas. Cuatro criterios innegociables: bloqueo real de scripts antes del consentimiento, rechazo accesible en un clic, pruebas de consentimiento con marca de tiempo e integración con Google Consent Mode v2.
FlowConsent se integra de forma nativa en WordPress mediante un snippet de JavaScript y es compatible con Consent Mode v2 sin configuración adicional. Las alternativas habituales (Axeptio, Cookiebot, CookieYes) también ofrecen plugins dedicados para WordPress. El criterio decisivo no es el precio sino el cumplimiento funcional: ¿se bloquean realmente los scripts antes del clic?
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Errores frecuentes en sitios WordPress
Error 1: los scripts se cargan antes del consentimiento. Verificar en navegación privada (sin cookies) que GA, Meta Pixel y otros no aparecen en las solicitudes de red antes de hacer clic en Aceptar.
Error 2: el rechazo requiere varios clics. El rechazo debe ser accesible en un clic desde el banner principal.
Error 3: la política de cookies está desactualizada. Volver a escanear el sitio tras cada instalación de plugin y actualizar la lista.
Error 4: GA también se carga para los administradores conectados. Excluir los roles de administrador del seguimiento analítico.
Error 5: sin enlace 'Gestionar cookies' en el pie de página. Añadir un enlace accesible en el pie de página que abra el panel de preferencias.
Error 6: no se almacenan pruebas del consentimiento. Activar el registro de consentimientos en la CMP: fecha, hora, versión de la política, opciones elegidas, identificador de sesión.
Lista de verificación de conformidad de cookies en WordPress
- Escanear todas las cookies activas en páginas principales, de productos y formularios.
- Clasificar cada cookie: funcional, analítica, publicitaria, personalización.
- Instalar y configurar una CMP válida (banner + bloqueo de scripts + registro).
- Verificar que el rechazo es accesible en un clic desde el banner principal.
- Comprobar en DevTools (navegación privada) que ningún script de terceros se carga antes del consentimiento.
- Integrar la CMP con Google Consent Mode v2 si se utilizan GA4 o Google Ads.
- Actualizar la política de cookies con las finalidades y duraciones de todas las cookies activas.
- Añadir un enlace 'Gestionar cookies' en el pie de página.
- Activar el almacenamiento de pruebas de consentimiento (registros con marca de tiempo).
- Programar un nuevo escaneo mensual y tras cada instalación de plugin.
WordPress es flexible, pero esa flexibilidad crea riesgos cuando cada plugin añade sus propios scripts sin control. El cumplimiento del RGPD se basa en tres pilares: auditorías periódicas, bloqueo de scripts antes del consentimiento y conservación de pruebas. Escanea tu sitio WordPress en /es/scan para empezar por identificar exactamente qué cookies están activas.