Cookies en WordPress: lo que debe saber sobre el RGPD en 2025

¿Sabía usted que WordPress utiliza cookies?

WordPress no necesita presentación. Al ser la plataforma que impulsa casi la mitad de los sitios web del mundo, este sistema de gestión de contenidos (CMS) es un referente en el universo de Internet. 

Las cookies son una parte fundamental de cualquier sitio web, y WordPress no es la excepción. Ayudan a mejorar la experiencia del usuario, mantener sesiones activas y garantizar que el sitio funcione correctamente.

Sin embargo, usar cookies sin comprender su funcionamiento o sin una correcta gestión de cookies puede generar problemas legales, especialmente con el RGPD, la ley de cookies, la LOPDGDD, el ePrivacy y otras normativas internacionales de protección de datos.

En este artículo, analizamos cómo WordPress utiliza las cookies y cómo usted puede gestionarlas siguiendo la normativa europea y española de privacidad. También veremos cómo los propietarios de sitios web, desarrolladores y administradores de tiendas online pueden aplicar un enfoque práctico, paso a paso, para cumplir con la normativa, mejorar la confianza de los usuarios y proteger la reputación de su marca.

Las cookies son pequeños archivos que los sitios web almacenan en los dispositivos de los usuarios y que contienen información sobre su visita. Gracias a ellas, los sitios pueden recordar nombres de usuario, artículos en el carrito o configuraciones de idioma.

Las cookies de sesión ayudan también a optimizar la experiencia del usuario, recordando qué páginas ha visitado el usuario o qué preferencias ha seleccionado. 

En el contexto de ecommerce y tiendas online, las cookies son esenciales para registrar los productos añadidos al carrito, guardar direcciones de envío y procesar pedidos. Sin estas cookies, la navegación personalizada y las funciones de compra se verían gravemente afectadas.

WordPress, como cualquier otro CMS, utiliza distintos tipos de cookies para facilitar sus funciones, como la autenticación o los comentarios. Por ejemplo, WordPress usa las cookies para determinar si un usuario ha iniciado sesión. Sin ellas, no sería posible acceder al área de administración o publicar comentarios en un blog.

WordPress utiliza las siguientes cookies por defecto:

Cookies de usuario (login, sesión, etc.)

Estas cookies se utilizan principalmente para la autenticación, para garantizar una experiencia segura y personalizada para los usuarios que inician sesión.

• WordPress_[hash]: almacena los datos de autenticación tras iniciar sesión, limitada al área de administración.
  
• WordPress_logged_in_[hash]: reconoce que el usuario ha iniciado sesión y gestiona sus preferencias.
  
• wp-settings-{time}-[UID]: personaliza la vista del panel de administración y la interfaz principal.
  

Estas cookies se almacenan en el navegador del usuario e incluyen identificadores hash para mayor seguridad.

Cookies de comentarios

Cuando un visitante escribe un comentario, WordPress guarda varias cookies en su dispositivo para simplificar el proceso en futuras visitas:

• comment_author_{HASH}: recuerda el nombre del comentarista.
  
• comment_author_email_{HASH}: almacena el correo electrónico.
  
• comment_author_url_{HASH}: recuerda la URL del sitio web del comentarista.
  

Esto mejora la interacción y la experiencia del usuario, reduciendo la fricción para los usuarios frecuentes.

Cookie de prueba

La cookie WordPress_test_cookie comprueba si el navegador admite cookies. Si no es así, aparece el mensaje: “Las cookies están bloqueadas o no son compatibles con su navegador”.

Cookie de idioma

La cookie wp_lang almacena el idioma seleccionado durante el inicio de sesión para mantener una experiencia consistente.

Además de las cookies predeterminadas, los plugins de WordPress y los temas instalados también pueden establecer cookies adicionales. Por ejemplo, algunos temas premium pueden establecer cookies para funciones como personalizadores visuales o sistemas de membresía integrados.

Estas pueden provenir de servicios como Google Tag Manager, Google Analytics, YouTube, Facebook, Hotjar o WooCommerce, y suelen utilizarse para análisis, marketing o funcionalidades avanzadas. Estas cookies de terceros pueden rastrear el comportamiento del usuario en diferentes sitios web para crear perfiles o medir conversiones publicitarias. 

Por ejemplo, WooCommerce (el plugin de ecommerce más popular de WordPress) instala cookies que registran  los productos añadidos al carrito, preferencias de pago y datos de sesión de compra, mientras que plugins de SEO como Yoast pueden recopilar métricas de interacción.

Debido a que las cookies pueden recopilar datos personales, su uso requiere el consentimiento del usuario explícito conforme a diversas normativas como el RGPD, ePrivacy y la LGPD.

El RGPD, la ley de cookies y otras españolas como la LOPDGDD establecen que los sitios web deben obtener el consentimiento informado de los usuarios antes de almacenar o acceder a cookies que no sean estrictamente necesarias (aquellas imprescindibles para que el sitio funcione).

Esto implica mostrar un banner de consentimiento o aviso de cookies (cookie notice) en forma de ventana emergente, que permita aceptar o rechazar categorías de cookies de manera clara.

Además, el consentimiento debe registrarse, conservarse y poder demostrarse ante las autoridades. Por eso, muchos propietarios de sitios web utilizan herramientas de gestión de consentimiento que incluyen registro de preferencias, soporte multilenguaje y compatibilidad con el Marco de Transparencia y Consentimiento (TCF) de la IAB.

¿Qué penalizaciones puede imponer la AEPD en caso de no conformidad con las leyes de protección de datos?

Las principales acciones que la Agencia Española de Protección de Datos (AEPD) puede llevar a cabo son las siguientes:

• Limitar o prohibir temporal o definitivamente un tratamiento
• Suspender flujos internacionales de datos
• Retirar certificaciones de cumplimiento.
• Imponer multas administrativas. 

Cumplir con el RGPD y las leyes de privacidad es obligatorio si su sitio maneja datos de usuarios de la Unión Europea o de regiones cubiertas por normativas como la CCPA, CPRA o LGPD.

Siga estos pasos para lograr la conformidad:

Paso 1: Identifique todas las cookies del sitio

El primer paso es conocer exactamente qué cookies establece su sitio. Muchos propietarios de WordPress se sorprenden al descubrir que tienen más de 20 cookies activas de servicios que ni siquiera recuerdan haber instalado. Un escaneo técnico identifica: nombre de la cookie, origen (propia o de tercera parte), duración, categoría (necesaria, analítica, marketing), y propósito.

Entonces, usted puede realizar un escaneo para detectar todas las cookies, incluidas las establecidas por plugins o servicios de terceros. Herramientas como CookieYes le permiten hacerlo fácilmente y obtener un informe completo.

Un tutorial rápido:

1. Instale el plugin de CookieYes.
   
2. Ejecute el escaneo automático.
   
3. Revise el informe generado con los tipos de cookies, duración, dominio y finalidad.
   

Paso 2: Añada un banner de cookies conforme al RGPD

Implementa un banner de consentimiento visible y accesible que explique qué cookies se usan, su propósito y las opciones de aceptación o rechazo.

El banner debe incluir:

• Lenguaje claro y sin tecnicismos.
  
• Botones visibles para aceptar, rechazar o configurar preferencias.
  
• Enlaces a la política de cookies o cookie notice.
  
• Registro automático del consentimiento (cookie consent).
  
• Soporte para cookies de terceros y compatibilidad con TCF.
  

Paso 3: Bloquear cookies hasta obtener consentimiento

Bloquea las cookies de seguimiento o análisis hasta que el usuario acepte su uso. Esto se puede configurar fácilmente con herramientas de gestión de consentimiento como CookieYes, incluso en la versión gratuita del plugin.

Paso 4: Crear una política de cookies clara y accesible

Incluye información sobre:

• Qué tipos de cookies se utilizan.
  
• Quién las instala (primera o tercera parte).
  
• Su duración.
  
• Cómo el usuario puede retirar su consentimiento.
  
• Qué base legal justifica su uso bajo el RGPD o la ley de protección de datos.

Implementar estos cuatro pasos manualmente puede ser complejo y consumir mucho tiempo. Por eso, muchos propietarios de sitios WordPress confían en CookieYes, solución de cookie consent profesional, utilizada por más de 1.4 millones de sitios web en todo el mundo. 

Su plugin de WordPress le permite:

• Escanear y clasificar todas las cookies automáticamente.
  
• Mostrar un aviso de cookies conforme al RGPD, CCPA, CPRA, LGPD y ePrivacy.
  
• Bloquear cookies hasta que el usuario dé su consentimiento.
  
• Generar una política de cookies actualizada y conforme a las leyes de privacidad.
  
• Integrarse con herramientas populares como Google Tag Manager, garantizando que el etiquetado publicitario se active sólo después del consentimiento.
• Soportar Google Consent Mode v2 para análisis que respetan la privacidad.
• Gestionar el consentimiento granular para distintas categorías de cookies.
• Registrar el consentimiento automáticamente con marcas de tiempo y direcciones IP para auditorías.
• Aplicar geo-segmentación para mostrar banners específicos según la región.

El plugin ofrece una versión gratuita con funciones esenciales, y una versión avanzada con automatización, registros de consentimiento y plantillas legales.

Usted puede instalarlo fácilmente desde el directorio de WordPress o seguir su guía de instalación.También puede probarlo gratis y gestionar todas las cookies de su sitio desde una única plataforma conectada a la webapp de CookieYes.