Auditoría de cookies en WordPress: cómo los temas y plugins llenan tu sitio de rastreadores

El problema oculto de las cookies en WordPress

La mayoría de los propietarios de sitios WordPress no se dan cuenta de cuántas cookies establece su sitio. Una instalación nueva de WordPress con un tema popular y un puñado de plugins habituales puede fácilmente establecer entre 15 y 30 cookies en varios dominios, muchas de ellas antes de que el visitante tenga la oportunidad de dar su consentimiento. Esto no es el resultado de un rastreo deliberado, sino el efecto acumulado de temas y plugins que cargan recursos externos que traen sus propias cookies.

Comprender de dónde vienen estas cookies, qué hacen y cómo controlarlas es esencial para cualquier sitio WordPress que necesite cumplir con el GDPR, la ePrivacy u otras normativas similares. Esta guía recorre el proceso de auditoría paso a paso.

Por qué los sitios WordPress acumulan tantas cookies

La arquitectura de plugins de WordPress es a la vez su mayor fortaleza y su mayor riesgo para la privacidad. Cada plugin funciona de forma semiindependiente, y la mayoría de los desarrolladores se centran en la funcionalidad más que en el cumplimiento en materia de cookies. Estos son los principales orígenes de cookies en un sitio WordPress típico:

Temas y Google Fonts

Muchos temas de WordPress cargan Google Fonts directamente desde fonts.googleapis.com. Cuando el navegador de un visitante solicita estas fuentes, Google puede establecer cookies y recopilar la dirección IP del visitante, información del navegador y la página de procedencia. En 2022, un tribunal alemán dictaminó que cargar Google Fonts desde los servidores de Google sin consentimiento vulnera el GDPR, lo que dio lugar a una multa de 100 EUR por cada visitante afectado. La solución es alojar las fuentes localmente, pero la mayoría de las configuraciones predeterminadas de los temas siguen apuntando a los servidores de Google.

Maquetadores visuales y analítica

Elementor, el maquetador visual más popular de WordPress, carga recursos externos, incluidas fuentes, y puede establecer cookies de seguimiento de uso. Algunos widgets de Elementor incrustan contenido de terceros (vídeos de YouTube, Google Maps) que establecen sus propias cookies. Incluso la versión gratuita de Elementor puede enviar datos de uso anonimizados a menos que se desactive explícitamente en los ajustes.

Plugins de SEO

Yoast SEO y Rank Math en sí mismos establecen pocas cookies, pero suelen integrarse con Google Search Console y fomentan la incorporación de códigos de seguimiento de Google Analytics. Los scripts de analítica que te ayudan a implementar son una fuente importante de cookies. La versión premium de Yoast también se comunica con los servidores de Yoast para el análisis SEO, lo que puede implicar cookies.

Jetpack y servicios de WordPress.com

Jetpack es uno de los mayores emisores de cookies en el ecosistema WordPress. Según los módulos que estén activos, Jetpack puede establecer cookies para:

• Estadísticas del sitio (WordPress.com stats)
• Botones de compartir en redes sociales (cargando scripts de Facebook, Twitter, LinkedIn)
• Sistema de comentarios (cookies de Gravatar)
• Funciones de seguridad (cookies del módulo Protect)
• Uso de CDN (cookies de la CDN de WordPress.com)

Una sola instalación de Jetpack con la configuración predeterminada puede ser responsable de entre 8 y 12 cookies de varios dominios.

WooCommerce y comercio electrónico

WooCommerce establece varias cookies que se consideran estrictamente necesarias para la funcionalidad de comercio electrónico:

• woocommerce_cart_hash: Ayuda a WooCommerce a saber cuándo cambian los contenidos del carrito.
• woocommerce_items_in_cart: Indica si hay artículos en el carrito.
• wp_woocommerce_session_*: Contiene un código único para la sesión de cada cliente.

Aunque estas cookies suelen estar exentas de los requisitos de consentimiento por ser estrictamente necesarias, las extensiones de WooCommerce para el procesamiento de pagos, la recuperación de carritos abandonados y la automatización de marketing añaden muchas más cookies que sí requieren consentimiento.

Formularios de contacto y reCAPTCHA

Los plugins de formularios de contacto como Contact Form 7, WPForms y Gravity Forms suelen usar Google reCAPTCHA para la protección contra spam. reCAPTCHA v2 y v3 establecen varias cookies, incluida _GRECAPTCHA, y cargan scripts desde google.com que pueden establecer cookies de seguimiento adicionales. Esto significa que incluso una simple página de contacto puede activar cookies relacionadas con publicidad.

Plugins de caché

Los plugins de caché como WP Super Cache, W3 Total Cache y WP Rocket establecen sus propias cookies para gestionar el comportamiento de la caché. Normalmente son cookies funcionales (por ejemplo, para omitir la caché en usuarios conectados), pero aun así deben documentarse en tu política de cookies.

Cómo auditar las cookies de tu sitio WordPress

Una auditoría de cookies exhaustiva implica escanear tu sitio desde la perspectiva del visitante. Este es el proceso:

Paso 1: Usa las herramientas de desarrollador del navegador

Abre tu sitio en Chrome, ve a DevTools > Application > Cookies y examina todas las cookies establecidas para tu dominio y dominios de terceros. Hazlo en una ventana de incógnito para simular un visitante nuevo. Anota el nombre de cada cookie, dominio, caducidad y si es de primera o de tercera parte.

Paso 2: Usa un escáner de cookies dedicado

La inspección manual detecta las cookies establecidas al cargar la página, pero pasa por alto las que se establecen mediante interacciones (clics en botones, envío de formularios, desplazamiento). Escáneres dedicados como el escáner gratuito de Cookiebot, el escáner de CookieYes o extensiones de navegador como EditThisCookie ofrecen resultados más completos. Ejecuta escaneos en varias páginas, no solo en la página de inicio.

Paso 3: Clasifica cada cookie

Agrupa las cookies detectadas en categorías estándar:

• Estríctamente necesarias: Cookies de sesión, autenticación, seguridad, funcionalidad del carrito. No requieren consentimiento.
• Funcionales: Preferencias de idioma, personalización de la interfaz de usuario. Técnicamente requieren consentimiento, pero son de bajo riesgo.
• Analíticas: Google Analytics, estadísticas de WordPress.com, herramientas de mapas de calor. Requieren consentimiento.
• Marketing/Publicidad: Google Ads, Facebook Pixel, cookies de remarketing. Requieren consentimiento y son la máxima prioridad para bloquear.

Paso 4: Asocia las cookies con sus orígenes

Para cada cookie, identifica qué tema o plugin es responsable. Aquí es donde WordPress se complica: una sola página puede cargar scripts de 5 plugins diferentes, cada uno estableciendo sus propias cookies. Desactiva temporalmente los plugins uno por uno para identificar qué plugin establece qué cookies.

Fuentes de cookies habituales y sus soluciones

Aquí tienes una referencia rápida de las fuentes de cookies más comunes en WordPress y cómo abordarlas:

• Google Fonts: Cambia a fuentes alojadas localmente. Plugins como OMGF o los ajustes de tu tema pueden automatizar esto.
• Google Analytics: Debe bloquearse hasta que se otorgue el consentimiento. Esto lo gestiona tu CMP.
• Incrustaciones de YouTube: Usa el dominio youtube-nocookie.com en lugar de youtube.com. Esto evita la mayoría de las cookies de seguimiento.
• Google Maps: Carga solo después del consentimiento o usa una imagen de mapa estático como marcador de posición.
• Facebook Pixel: Debe bloquearse hasta que se otorgue el consentimiento de marketing.
• reCAPTCHA: Considera alternativas como hCaptcha (más respetuosa con la privacidad) o técnicas de honeypot que no requieren scripts externos.

Configurar el plugin FlexyConsent para WordPress para un cumplimiento completo

Una vez que hayas auditado tus cookies y entiendas qué debe controlarse, implementar FlexyConsent en WordPress es sencillo.

El plugin de WordPress de FlexyConsent se integra directamente en tu panel de administración de WordPress, ofreciendo una experiencia de configuración nativa:

1. Instala desde el directorio de plugins: Busca "FlexyConsent" en Plugins > Añadir nuevo, instala y activa. No se necesitan cargas manuales de archivos.
2. Conecta tu sitio: Introduce el ID de tu sitio FlexyConsent en los ajustes del plugin. El plugin inyecta automáticamente el script de consentimiento en la posición correcta, antes de cualquier otro script de terceros.
3. Configura las categorías de cookies: Asocia las cookies auditadas con las categorías de consentimiento de FlexyConsent. El plugin proporciona una interfaz visual para esto directamente en tu administración de WordPress.
4. Configura el bloqueo de scripts: FlexyConsent gestiona automáticamente las etiquetas de Google mediante el Consent Mode V2. Para otros scripts (Facebook Pixel, rastreos personalizados), el plugin ofrece reglas de bloqueo que impiden su ejecución hasta que se otorgue la categoría de consentimiento correspondiente.
5. Prueba a fondo: Usa una ventana de incógnito para verificar que las cookies no esenciales se bloquean hasta que se otorgue el consentimiento y que toda la funcionalidad funciona correctamente después del consentimiento.

Como CMP certificado por Google con soporte para IAB TCF 2.3, FlexyConsent gestiona automáticamente los aspectos más complejos del cumplimiento de cookies en WordPress. Las señales de Consent Mode V2 se envían a los servicios de Google sin configuración adicional de etiquetas, y la segmentación geográfica garantiza que los visitantes de distintas regiones vean la experiencia de consentimiento adecuada.

Idea clave: La flexibilidad de WordPress tiene un coste en privacidad: cada tema y plugin puede introducir cookies que requieren consentimiento. Una auditoría sistemática seguida de una implementación adecuada de un CMP es la única vía fiable hacia el cumplimiento. No des por hecho que tu sitio solo establece las cookies que conoces; la realidad casi siempre es más compleja de lo que parece.