Las cookies de seguimiento WordPress son archivos pequeños que el servidor deposita en el navegador del visitante para identificarlo, recordar su sesión o rastrear su comportamiento. El problema de seguridad más documentado de 2026 no son los plugins vulnerables: según un estudio reciente de WPSysAdmin, el robo de cookies representa el 60% de las infecciones activas en sitios WordPress, superando a los exploits de plugins y temas.
En 30 segundos
- WordPress usa cookies propias como
wordpress_logged_in_[hash]ywordpress_sec_[hash]para gestionar sesiones autenticadas; son técnicas y no requieren consentimiento. - Las cookies de análisis (Google Analytics
_ga,_gid) y las publicitarias sí requieren consentimiento explícito bajo el RGPD desde mayo 2018. - El robo de cookies via XSS es el vector de ataque #1 en WordPress: un atacante con el token
wordpress_logged_in_[hash]entra al panel sin necesitar contraseña. - Plugins como CookieYes o GDPR Cookie Compliance permiten implementar un banner conforme al RGPD sin tocar código.
- Medidas básicas contra robo de cookies: HTTPS obligatorio, flag
HttpOnlyen cookies de sesión, y cerrar sesión siempre (no usar «Recuérdame» en dispositivos compartidos).
WordPress es un sistema de gestión de contenidos (CMS) creado por Matt Mullenweg y Mike Little en 2003, desarrollado como software libre. Permite crear y administrar sitios web, blogs y tiendas online sin requerir conocimientos avanzados de programación.
Qué son las cookies y cómo funciona el seguimiento
Una cookie es un archivo de texto pequeño que el servidor web le envía al navegador del usuario, y que el navegador devuelve en cada solicitud siguiente al mismo dominio. Nada más complejo que eso. El «seguimiento» ocurre porque ese identificador único viaja de ida y vuelta, permitiéndole al servidor (o a scripts de terceros) reconstruir el comportamiento del visitante a lo largo del tiempo.
En WordPress, este mecanismo tiene dos caras. La cara técnica: cookies que mantienen tu sesión activa cuando estás logueado en el panel. La cara comercial: cookies de herramientas como Google Analytics que registran qué páginas visitaste, cuánto tiempo estuviste, desde qué dispositivo entraste. La primera es necesaria para que el sitio funcione. La segunda es opcional, y ahí entra el RGPD.
Tipos de cookies en WordPress: técnicas, de análisis y publicitarias
Según la documentación oficial de WordPress.org, el core instala estas cookies por defecto:
| Cookie | Tipo | Duración | Función |
|---|---|---|---|
wordpress_[hash] | Técnica | Sesión | Almacena credenciales en el área /wp-admin |
wordpress_logged_in_[hash] | Técnica | Sesión / 14 días | Identifica que el usuario está autenticado |
wordpress_sec_[hash] | Técnica (seguridad) | Sesión / 14 días | Protege rutas admin contra CSRF |
wp-settings-{user} | Funcionalidad | 1 año | Preferencias de interfaz del editor |
comment_author_[hash] | Funcionalidad | 347 días | Recuerda datos del autor de comentarios |
_ga, _gid | Análisis (terceros) | 2 años / 24 hs | Google Analytics — requiere consentimiento |
| Cookies de publicidad | Publicitaria | Variable | Retargeting, conversiones — requiere consentimiento |
La distinción por duración también importa: las de sesión se borran cuando cerrás el navegador. Las persistentes quedan guardadas hasta que expiran o las borrás manualmente. Desde el punto de vista de privacidad, las persistentes son las que generan más problemas legales porque permiten rastreo a largo plazo.
Cookies esenciales vs cookies de seguimiento: cuál requiere consentimiento
Acá hay un error muy común. Mucha gente piensa que por tener un sitio WordPress necesita pedirle consentimiento al usuario para absolutamente todo. No es así.
El RGPD (y la Directiva ePrivacy europea) hace una distinción clara: las cookies estrictamente necesarias para que el servicio funcione están exentas del requisito de consentimiento. Si alguien se loguea en tu WordPress, necesitás guardar su sesión con wordpress_logged_in_[hash]. Eso no es seguimiento, es funcionalidad básica. No necesita banner. No necesita opt-in. Relacionado: seguridad de datos en formularios.
Lo que sí requiere consentimiento previo:
- Cookies de análisis:
_ga,_gid,_fbp, cualquier herramienta de medición de audiencia - Cookies publicitarias: píxeles de Meta, Google Ads, cookies de retargeting
- Cookies de personalización no esencial: A/B testing, chat widgets de terceros
- Cualquier cookie de terceros que comparta datos fuera de tu dominio
¿Y qué pasa si tenés tráfico de Europa pero tu sitio está en Argentina? El RGPD aplica igual. No importa dónde esté el servidor, importa dónde está el usuario. Si alguien desde Madrid entra a tu WordPress, tenés que cumplir.
Cumplimiento legal RGPD y legislación de cookies
El RGPD entró en vigor el 25 de mayo de 2018 y define cuatro requisitos concretos para el manejo de cookies no esenciales:
- Informar: explicar qué cookies usás, para qué, y quién las procesa
- Consentimiento explícito: el usuario tiene que hacer algo activo (tildar un checkbox, clickear «Aceptar»). El banner que solo tiene «Aceptar» sin opción de rechazo no es válido
- Rechazar es tan fácil como aceptar: si poner «Aceptar todo» es un botón grande y colorido, «Rechazar todo» tiene que estar igual de visible
- Revocación: el usuario tiene que poder cambiar su consentimiento después, en cualquier momento
La AEPD (Agencia Española de Protección de Datos) ha multado empresas con sanciones que van desde 3.000 hasta 300.000 euros por banners que no cumplen estos criterios. No son casos teóricos. En 2025 y lo que va de 2026 aumentaron las inspecciones de oficio.
Para sitios argentinos sin tráfico europeo, la Ley 25.326 de Protección de Datos Personales aplica, aunque es menos exigente en materia de cookies específicamente. Eso sí: si googleás y ves que tenés visitas de España o Francia, mejor alinearte con el RGPD preventivamente.
Cómo implementar un banner de consentimiento de cookies
El orden importa. Un banner conforme al RGPD no es una ventanita que aparece y ya. Tiene que bloquear la carga de cookies no esenciales hasta que el usuario dé su consentimiento. Si Google Analytics se carga antes de que el visitante acepte, el banner es decoración.
El flujo técnico correcto:
- El sitio carga sin ninguna cookie de terceros por defecto
- El banner aparece con opciones claras: «Aceptar», «Rechazar», y opcionalmente «Personalizar»
- Solo si el usuario acepta, se disparan los scripts de analytics o publicidad
- La elección se guarda en una cookie propia (irónico, pero necesario) para no mostrar el banner en cada visita
- En el footer o la política de privacidad, un link para cambiar preferencias
La mejor experiencia de usuario es el consentimiento granular: que el visitante pueda decir «acepto analítica pero no publicidad». Es más trabajo configurarlo, pero genera más confianza y más tasa de aceptación parcial que forzar todo o nada. Ya lo cubrimos antes en automatizar la gestión de privacidad.
Plugins recomendados para gestionar cookies en WordPress
Hay cuatro opciones que se destacan según las fuentes especializadas de 2026:
| Plugin | Precio | Puntos fuertes | Limitaciones |
|---|---|---|---|
| GDPR Cookie Compliance (Moove Agency) | Gratis / Pro desde USD 49/año | Fácil configuración, bloqueo automático de scripts, multiidioma | La versión gratuita tiene diseño limitado |
| CookieYes | Gratis / Pro desde USD 10/mes | Escaneo automático de cookies, reportes de consentimiento, integración con Google Consent Mode v2 | Requiere cuenta en su plataforma |
| Asesor de Cookies para España / RGPD | Gratis | Enfocado en legislación española, documentación en castellano | Actualizaciones menos frecuentes |
| Cookie Notice & Compliance (dFactory) | Gratis / Pro desde USD 39/año | Liviano, integra WooCommerce, compatible con caching | Configuración avanzada requiere versión Pro |
Si usás Google Ads o Meta Ads, prestá atención a la compatibilidad con Google Consent Mode v2. Desde marzo de 2024 Google requiere esta implementación para que la medición de conversiones funcione correctamente cuando el usuario rechaza cookies. CookieYes y GDPR Cookie Compliance la tienen.
Riesgos de seguridad: robo de cookies y vulnerabilidades XSS
Acá viene la parte que más debería preocuparte si administrás un WordPress.
Ponele que alguien inyecta un script malicioso en tu sitio (via un plugin vulnerable, un comentario sin sanitizar, un tema con XSS). Ese script, con una línea de JavaScript, lee el valor de document.cookie y lo manda a un servidor externo. En ese paquete va wordpress_logged_in_[hash], la cookie que identifica tu sesión autenticada. Con ese valor, el atacante abre una pestaña, pega la cookie en su navegador, y accede a tu panel de administración sin escribir ni una contraseña.
Según WPSysAdmin, este vector (robo de cookies via XSS) representa el 60% de las infecciones activas en WordPress. Los plugins vulnerables son el vector de entrada, pero las cookies son el botín.
Las medidas concretas para reducir este riesgo:
- HTTPS obligatorio: las cookies de sesión viajan encriptadas. Sin HTTPS, cualquiera en la misma red puede interceptarlas (el famoso ataque de «sidejacking» en WiFi públicas).
- Flag
HttpOnly: impide que JavaScript lea la cookie. WordPress lo hace por defecto en las cookies de sesión, pero verificalo si usás plugins de sesión personalizados. - Flag
Secure: la cookie solo se transmite por HTTPS. También activo por defecto si tu WordPress tiene SSL configurado correctamente. - No usar «Recuérdame» en dispositivos compartidos o de trabajo: activa una cookie persistente de 14 días. Una sesión de navegador normal se borra al cerrar.
- Definir
COOKIE_DOMAINyCOOKIEHASHenwp-config.phpsi tenés multisite o subdominios, para limitar el alcance de las cookies.
¿Y el COOKIEHASH? WordPress lo genera a partir de la URL del sitio. Si alguien ya sabe tu dominio (que es público), puede calcular el nombre exacto de la cookie de sesión y saber qué buscar al hacer XSS. Definirlo manualmente en wp-config.php con un valor aleatorio hace la tarea un poco más difícil. No es una solución mágica (el contenido sigue siendo robable si hay XSS), pero añade una capa.
Mejores prácticas de privacidad y seguimiento responsable
La privacidad no es solo cumplimiento legal. Los navegadores modernos (Firefox, Safari, y Chrome desde 2024 con Privacy Sandbox) bloquean o limitan cada vez más las cookies de terceros. Si tu estrategia de análisis depende al 100% de cookies de terceros, ya está quedando obsoleta.
Lo que tiene sentido hacer ahora:
- Anonimizar IPs en Google Analytics: activar
anonymize_ip: trueen la configuración de GA4. Los últimos dos octetos de la IP no se almacenan. Reduce el riesgo legal a costo cero. - Auditorías periódicas: instalá un plugin de escaneo de cookies (CookieYes lo tiene integrado) y revisá cada 3 meses. Los plugins que instalás pueden agregar cookies propias sin que lo sepas.
- Política de cookies actualizada: tiene que listar cada cookie por nombre, tipo, duración y propósito. No sirve una política genérica copiada de internet.
- Considerar análisis sin cookies: herramientas como Fathom Analytics o Plausible Analytics no usan cookies. Cumplen RGPD por diseño. Menores datos, pero sin fricciones legales.
El hosting también tiene su rol: si tu sitio vive en un servidor que no tiene HTTPS configurado correctamente, o con headers de seguridad ausentes (como Strict-Transport-Security), las medidas de cookies se ven comprometidas desde la base. Un proveedor como donweb.com con SSL incluido y soporte para headers HTTP personalizados cierra esa brecha sin que tengas que hacer malabares en la configuración.
Errores comunes en la gestión de cookies WordPress
Error 1: Creer que tener un banner alcanza. El banner es el inicio, no el fin. Si los scripts de terceros se cargan antes de que el usuario interactúe, el banner es teatro. Verificá con las DevTools del navegador (pestaña Network) que Google Analytics no aparezca en la carga inicial de la página antes de dar consentimiento.
Error 2: Poner «Aceptar todo» destacado y esconder el rechazo. El diseño manipulativo (dark pattern) está expresamente prohibido por las guías del RGPD y varias resoluciones de la AEPD. Un botón de rechazo pequeño, en gris, con texto ilegible no cuenta como consentimiento libre. Lo explicamos a fondo en plugins específicos para tu sitio.
Error 3: No documentar el consentimiento. El RGPD requiere que puedas demostrar que el usuario consintió: cuándo, desde qué IP, con qué versión de tu política. Los plugins serios guardan estos registros. Si usás una implementación casera sin logs, no podés defenderte ante una auditoría.
Error 4: Ignorar las cookies que agregan los plugins. Instalás un plugin de chat en vivo, uno de formularios y uno de mapas de Google. Cada uno puede depositar sus propias cookies sin que vos lo configures explícitamente. El scanner de cookies del plugin de compliance tiene que correr después de instalar cualquier plugin nuevo.
Error 5: Asumir que si el sitio es argentino no aplica RGPD. Aplica si el sitio trata datos de residentes europeos. Si tenés analítica y recibís visitas de Europa (lo cual podés verificar en GA4 en cinco segundos), aplica.
Esto se conecta con nuestro artículo sobre Cookies/Tracking, donde cubrimos cómo proteger esos datos.
Al migrar a Breakdance o Bricks, prestá atención a cómo manejás los Cookies/Tracking.
Preguntas Frecuentes
¿Cómo funcionan las cookies de seguimiento en WordPress?
Cuando un visitante entra al sitio, el servidor (o scripts de terceros como Google Analytics) deposita un archivo pequeño con un identificador único en el navegador. En cada visita siguiente, ese identificador viaja de vuelta al servidor, permitiendo reconstruir el historial de navegación del usuario. WordPress usa este mecanismo tanto para funciones técnicas (mantener sesiones de login) como para análisis y publicidad cuando hay plugins de terceros instalados.
¿Qué tipos de cookies usa WordPress y cuál requiere consentimiento?
WordPress instala cookies técnicas por defecto (wordpress_logged_in_[hash], wp-settings-{user}) que están exentas del requisito de consentimiento bajo el RGPD porque son necesarias para el funcionamiento del sitio. Las cookies de análisis (_ga, _gid de Google Analytics) y las publicitarias sí requieren consentimiento previo y explícito del usuario antes de activarse.
¿Cómo cumplir con el RGPD en la gestión de cookies de un sitio WordPress?
Necesitás cuatro cosas: un banner que bloquee cookies no esenciales hasta obtener consentimiento, opciones claras de aceptar y rechazar (igual de visibles), una política de cookies que liste cada cookie por nombre y propósito, y un mecanismo para que el usuario pueda cambiar su elección después. Plugins como CookieYes o GDPR Cookie Compliance automatizan la mayor parte de este proceso con configuración básica. En protección con firewall WAF profundizamos sobre esto.
¿Cuál es el riesgo de seguridad principal de las cookies en WordPress?
El robo de la cookie wordpress_logged_in_[hash] via ataques XSS. Un atacante que inyecta JavaScript malicioso en el sitio puede leer y exfiltrar esa cookie, luego usarla para autenticarse en el panel de administración sin necesitar contraseña. Este vector representa el 60% de las infecciones activas en WordPress según análisis de WPSysAdmin. La contramedida más efectiva es el flag HttpOnly en cookies de sesión, HTTPS estricto, y mantener plugins actualizados para cerrar los vectores XSS.
¿Qué plugin usar para gestionar consentimiento de cookies en WordPress en 2026?
Para la mayoría de los sitios, CookieYes (desde USD 10/mes) o GDPR Cookie Compliance (versión gratuita disponible) son las opciones más completas. CookieYes tiene ventaja si usás Google Consent Mode v2 para Ads o Meta, ya que la integración está incluida. Para sitios pequeños sin publicidad paga, la versión gratuita de GDPR Cookie Compliance cubre los requisitos básicos del RGPD sin costo.
Conclusión
Las cookies de seguimiento en WordPress tienen dos problemas distintos que a veces se mezclan: el legal (RGPD, consentimiento, banners) y el de seguridad (robo de sesión via XSS). Hay que atacarlos por separado porque las soluciones son diferentes.
Para el cumplimiento legal, la decisión es relativamente simple: instalás un plugin de consentimiento serio, configurás el bloqueo previo de cookies no esenciales, y te asegurás de que rechazar sea tan fácil como aceptar. Un par de horas de trabajo.
Para la seguridad, el foco tiene que estar en cerrar los vectores XSS (plugins actualizados, sanitización de inputs, Content Security Policy) y en la configuración correcta de HTTPS y flags de cookies. El robo de sesión no requiere que el atacante rompa tu contraseña: le alcanza con que alguien haya metido código malicioso en alguno de los plugins que tenés instalados. Eso es lo que el 60% de los sitios comprometidos tiene en común.
La buena noticia es que las medidas técnicas contra el robo de cookies son las mismas que protegen contra XSS en general. No es trabajo adicional: es hacer bien lo que había que hacer desde el principio.