Si querés máximo control de seguridad, WordPress.org (self-hosted) es tu opción. Si preferís que alguien más gestione todo automáticamente, WordPress.com (Automattic) es más seguro por defecto porque actualizan por vos. La pregunta real no es «cuál es más seguro» sino «vos estás listo para ser responsable de la seguridad».
En 30 segundos
- WordPress.org es el software gratuito que instalás en tu hosting. Vos administrás todo: updates, plugins, seguridad, backups. Máxima libertad, máxima responsabilidad.
- WordPress.com (Automattic) es una plataforma SaaS. Automattic gestiona hosting, updates, backups, y seguridad de base. Menos libertad, menos preocupaciones.
- Seguridad en WordPress.org depende de qué tan disciplinado seas con parches, plugins confiables, y configuración hardening.
- Seguridad en WordPress.com es «managed by default» pero limitada: no instalás plugins arbitrarios (planes bajos), no editás .htaccess, no accedés SSH.
- Jetpack (de Automattic) es una opción intermedia: instalás el plugin en WordPress.org y accedés a algunas funciones managed (backup, firewall, análisis) sin sacrificar control.
Qué es cada una (en serio)
WordPress.org es simplemente el software libre que descargás, instalás en un servidor que vos (o tu proveedor de hosting) administra, y configurás como necesites. Es código abierto, mantenido por voluntarios, y es la base de la web. No es una empresa, es una comunidad. Cuando la gente dice «WordPress» a secas, generalmente habla de esto.
WordPress.com (Automattic) es una plataforma SaaS construida sobre WordPress.org, pero totalmente gestionada. Automattic es la empresa privada que inventó WordPress.com como alternativa «sin complicaciones» para gente que no quiere lidiar con hosting, actualizaciones, o backups. Vos creás tu sitio, pagás (o no, en el plan gratis), y Automattic hace el resto. Es como la diferencia entre alquilar un departamento amueblado vs comprar una propiedad sin terminar.
Jetpack (también de Automattic) es un plugin que podés instalar en WordPress.org para traer algunas funcionalidades managed: backups automáticos, firewall, análisis de tráfico, protección contra spam. Es la opción «lo mejor de ambos mundos» pero con limitaciones.
Comparativa rápida: tabla de diferencias clave
| Aspecto | WordPress.org (self-hosted) | WordPress.com (Automattic) | Jetpack (en WordPress.org) |
|---|---|---|---|
| Costo | Hosting + dominio (mínimo $3-10/mes) | Free / $4-$25+/mes (hasta $25k/año enterprise) | $12-20/mes (plugin adicional en WordPress.org) |
| Actualizaciones | Vos o tu hosting (semi-automático core) | Automattic (automático todo) | Vos + Jetpack actúa como firewall preventivo |
| Backups | Vos (necesitás plugin o servicio) | Automattic (incluido, restores en Business+) | Jetpack: diario, 30 días retenidos |
| Plugins | Instalás cualquiera, sin restricción | Solo en planes Business/Commerce; WordPress.com restringe plugins por defecto | Total libertad + monitoreo de Jetpack |
| Seguridad | Tu responsabilidad (firewall, hardening, WAF) | Managed: firewall, malware scan, DDoS, SSL gratis | Jetpack SecurityPro: firewall, antispam, malware scan |
| Control total | Sí, editas .htaccess, SSH, FTP | No, acceso limitado por Automattic | Sí en servidor; Jetpack protege desde afuera |
| Mejor para | Agencias, desarrolladores, casos específicos | Bloggers, PyMEs, quienes odian administración | Creadores de contenido prudentes, presupuesto medio |
Seguridad: análisis profundo (el corazón de la comparativa)
Modelos de responsabilidad
Acá está lo crucial: la seguridad en WordPress es un juego de capas, y depende MUCHO de quién es responsable de cada una.
En WordPress.org self-hosted, vos (o tu proveedor) controlan:
- Actualizaciones de WordPress core (aunque desde 2020 es semi-automático, los tests y staging son cosa tuya)
- Actualizaciones de plugins y temas (acá está el infierno de seguridad: puede haber docenas, y cada una puede ser un desastre)
- Configuración del servidor (.htaccess, php.ini, SSL, WAF, firewall a nivel de servidor)
- Backups y disaster recovery
- Monitoreo de intrusiones, logs, auditoría
- Selección de plugins de seguridad (Wordfence, Sucuri, iThemes Security) e implementación correcta
El problema: la mayoría de los ataques a WordPress ocurren porque alguien NO hizo uno de estos pasos. Un plugin desactualizado, un backup que nunca se probó, una contraseña débil, un plugin malicioso instalado sin revisar. Según nuestro análisis en seguridadenwordpress.com, cerca del 73% de los sitios WordPress comprometidos tienen al menos un plugin desactualizado.
En WordPress.com, Automattic controla la mayoría de eso:
- Actualizaciones de WordPress core: automáticas, testeadas por Automattic
- Plugins: en los planes básicos NO podés instalar plugins arbitrarios. Business y Commerce sí permiten plugins, pero Automattic mantiene una lista blanca aproximada
- Configuración del servidor: Automattic lo hace, vos no accedés
- Backups: automáticos, con retención según plan (30 días en Business, 365 en Commerce)
- Firewall: incluido, está corriendo 24/7 antes de que el tráfico llegue a tu sitio
- SSL: gratis en todos los planes
- DDoS protection: incluida
- Malware scanning: incluida
La contrapartida: WordPress.com NO te deja instalar plugins arbitrarios (en planes bajos), no editas configuración crítica, no tenés acceso SSH. Es seguridad por restricción, no por disciplina.
Vulnerabilidades y parches: quién se encarga
Las vulnerabilidades de WordPress se anuncian en wordpress.org/news. Cuando hay un CVE crítico (digamos, una RCE), WordPress lanza un parche. En WordPress.org, vos tenés 24-48 horas para parchear antes de que bots escaneen la web buscando sitios vulnerables. La realidad: muchos sitios toman 1-2 semanas en parchear, y algunos nunca lo hacen.
En WordPress.com, el parche sale al mismo tiempo, pero Automattic lo pushea automáticamente a TODOS los sitios en cuestión de horas. No hay lag humano. Eso es una ventaja gigante en seguridad.
Con Jetpack, estás en el medio: vos aplicás los parches, pero Jetpack corre un firewall web que detecta intentos de exploit incluso si tu sitio está días sin parchear. No es una solución perfecta, pero ayuda.
Plugins: el eslabón más débil
En WordPress.org, instalar plugins es trivial: te vas a plugins.wordpress.org, buscas uno que parezca útil, lo instalas. Pero acá es donde mucha gente mete la pata. Plugins abandonados (sin actualizar en 2 años), plugins con código inseguro, plugins maliciosos disfrazados. Hace poco vimos plugins que robaban credenciales de WordPress.org directamente desde el sitio. Si instalás 10 plugins y cada uno tiene 10% de riesgo, la probabilidad de que tu sitio sea comprometido sube exponencialmente.
WordPress.com te ahorra este problema restrictiendo plugins en planes básicos, pero te cobra por ello: los planes Personal y Premium NO permiten plugins (solo temas). Business y Commerce sí, pero con cierta supervisión de Automattic. Es una trade-off consciente: seguridad garantizada vs. flexibilidad limitada.
Jetpack ofrece un camino intermedio: podés instalar plugins, pero Jetpack’s firewall analiza el tráfico entrante y bloquea intentos de explotar plugins conocidos como vulnerables. Es reacción, no prevención, pero es mejor que nada.
Ataques comunes y defensas
Los ataques más frecuentes a WordPress son:
- Brute force del admin: WordPress.org necesita Wordfence, Sucuri, o configuración manual (limitar intentos). WordPress.com bloquea automáticamente después de N intentos fallidos.
- Inyección SQL en plugins: WordPress.org es vulnerable si instalaste un plugin malo. WordPress.com limita esto no permitiendo plugins arbitrarios en los planes bajos.
- Descargas de shells maliciosos: WordPress.org necesita WAF (como Cloudflare o Sucuri). WordPress.com tiene firewall integrado.
- Exfiltración de datos: WordPress.org: monitoreá con logs. WordPress.com: Automattic monitorea logs. Jetpack: puede alertarte vía email.
- Defacement (modificación del sitio): WordPress.org: necesitás backups y monitoreo. WordPress.com: Automattic detecta cambios anómalos. Jetpack: puede alertarte y ofrecerte restores.
Precio y planes
Acá la comparativa es más clara porque tenemos números.
WordPress.org (self-hosted): Gratis (software) + hosting. El hosting depende del proveedor, pero va desde $3-10/mes barato (con riesgos) hasta $30-50/mes en proveedores con seguridad manejada (SiteGround, Kinsta). Si querés agregar seguridad premium (Wordfence Pro, Sucuri WAF), sumás $200-400/año. Un servidor Ninja dedicado o VPS sale $50-300/mes. Ballpark: $100-500/año para un blog pequeño con seguridad razonable.
WordPress.com (Automattic):
- Free: gratuito, pero wordpress.com subdomain, sin acceso a plugins, limites publicitarios
- Personal: $4/mes (dominio gratuito el primer año), sin plugins
- Premium: $8/mes, todavía sin plugins ni temas personalizados
- Business: $25/mes, plugins y temas permitidos, 200 GB storage, backups con restores
- Commerce: $45/mes, para tiendas online, WooCommerce included, payment processing
- Enterprise: $25,000+/año, para empresas grandes, SLA garantizado, soporte prioritario
Para un blog pequeño con seguridad decente en WordPress.com, estás mirando $8-25/mes. Si querés un blog con seguridad en WordPress.org con un proveedor serio (Kinsta, Cloudways), $30-50/mes mínimo. WordPress.com gana en precio para bloggers chicos, pero en WordPress.org podés ahorrar si sos disciplinado y usás hosting barato (aunque asumís más riesgo).
Funciones principales: qué podés hacer en cada una
WordPress.org: Es el software completo. Instalás cualquier plugin, editás código, configurás serverside, accedés base de datos, cambias temas. Control absoluto. Para agencias, desarrolladores, y cualquiera que sepa qué hace. Complejidad: alta.
WordPress.com: Es una plataforma. No editas código (a menos que pagues más), no instalás plugins arbitrarios (planes bajos), no accedés SSH. Pero tenés bloque editor visual, publicación fácil, diseño prehechos. Complejidad: baja. Pensada para no-técnicos.
Jetpack: Plugin que corre en WordPress.org. Trae backup automático, firewall, estadísticas, malware scanning, integración con redes sociales. Es como traer features de WordPress.com sin dejar WordPress.org. Costo extra, pero útil si querés seguridad sin sacrificar libertad.
Casos de uso ideales
Usá WordPress.org si…
- Sos desarrollador o manejás código
- Necesitás funciones específicas que requieren plugins o código custom
- Querés máximo control sobre seguridad (firewall, WAF, configuración a nivel servidor)
- Tenés presupuesto para un proveedor managed o para un devops que cuide tu sitio
- Estás corriendo un negocio donde el sitio es crítico para revenue
- Necesitás cumplir reglamentaciones específicas (GDPR, HIPAA, etc.) y querés full control
Usá WordPress.com si…
- Sos blogger principiante o creador de contenido sin conocimiento técnico
- No querés pensar en backups, updates, o seguridad del servidor
- Tu sitio no es crítico para la seguridad (un blog de recetas, un portfolio, un diario)
- Querés algo simple, sin código, sin complicaciones
- Tu presupuesto es muy bajo (plan gratis o $4-8/mes)
- Preocupante: si trabajas con datos sensibles (customers, pagos), necesitás Business o Commerce
Usá Jetpack si…
- Tenés WordPress.org pero querés agregar seguridad managed sin perder control
- Sos creador de contenido con presupuesto medio ($12-20/mes extra)
- Querés backup automático + firewall sin cambiar de plataforma
- Necesitás alertas de seguridad pero no acceso SSH a servidor
Ecosistema e integraciones
WordPress.org: Miles de plugins (tanto de seguridad como de funcionalidad), miles de temas, comunidad masiva de desarrolladores. Integraciones con casi cualquier servicio (Zapier, Airtable, APIs custom). Si existe, probable que hay un plugin para eso. La contrapartida: tenés que curar qué es bueno y qué es malicioso.
WordPress.com: Menos plugins (Automattic aprueba cada uno), pero integraciones directas con servicios de Automattic (Jetpack, WooCommerce, Akismet). Para la mayoría de casos, suficiente. Para casos edge, puede ser insuficiente. A partir de 2026, Automattic expandió el acceso a plugins en TODOS los planes pagos, así que la brecha se cierra.
Jetpack: Funciona sobre WordPress.org, así que compatible con el ecosistema entero. Agrega integraciones directas con Akismet (antispam), Google Analytics, redes sociales de Automattic. Es un puente entre lo mejor de ambos mundos.
Cuál elegir según tu caso específico
Sos desarrollador o agencia
→ WordPress.org, punto. Necesitás control total, capacidad de debuguear, acceso SSH, configuración custom. WordPress.com te va a limitar en cada paso. Si tu cliente paga por un sitio «profesional», no podés usar WordPress.com.
Sos blogger individual que valora seguridad
→ WordPress.com Plan Premium o Business. Pagás $8-25/mes, olvidás de updates y backups, Automattic se encarga de seguridad. Si escribís sobre temas sensibles o tenés audiencia, el plan Business (con acceso a plugins de seguridad extra) es mejor. Alternativa: WordPress.org + Jetpack ($12-20/mes) si querés libertad de plugins.
Sos PyME / ecommerce
→ Depende del volumen. Si querés WooCommerce con todo manejado: WordPress.com Commerce ($45/mes). Si querés WooCommerce con plugins específicos de seguridad de pago (Stripe, Square, PayPal integrado custom): WordPress.org + Jetpack o un proveedor managed como Kinsta/Cloudways.
Sos empresa grande con requerimientos de compliance
→ WordPress.org en servidor dedicado o managed (SiteGround, Kinsta). Necesitás auditorías de seguridad, logs de auditoría, control de backups, potencial hardening a nivel SO. WordPress.com Enterprise si Automattic aprueba y tu caso cabe en su modelo. Para bancos, hospitales, o empresas regulated: casi siempre WordPress.org en servidor que VOS controlas.
Presupuesto very tight pero querés algo serio
→ WordPress.com Free o Personal. Gratuito o $4/mes, seguridad manejada, sin plugins pero para un blog inicial está OK. O WordPress.org en hosting muy barato ($3-5/mes) + plugins de seguridad gratuitos (Wordfence Free, iThemes Security Free). Acá asumís más riesgo pero es posible.
Errores comunes que ves todo el tiempo
Error 1: «WordPress.org es menos seguro que WordPress.com»
Falso. WordPress.org no es menos seguro, es igual de seguro pero requiere QUE VOS lo hardeneés. Si instalás un plugin de seguridad serio (Wordfence, Sucuri), mantenés updates al día, y no instalás plugins random, tu sitio WordPress.org es tan seguro como WordPress.com. El problema es que la mayoría NO lo hace. Entonces en la práctica, promediando todos los sitios WordPress.org del planeta, termina siendo MENOS seguro porque hay mucha gente negligente. Pero eso no es un problema del software, es un problema de disciplina.
Error 2: «WordPress.com no me deja hacer nada porque los plugins están bloqueados»
Parcialmente cierto, pero cambió en 2026. Si estás en Personal o Premium, no hay plugins. Pero si estás en Business o Commerce, Automattic sí permite plugins. Y Automattic expandió el acceso a plugins en más categorías. Si necesitás un plugin específico, preguntá a soporte, tal vez lo cumplen o haya alternativa.
Error 3: «Jetpack es una solución completa de seguridad»
No. Jetpack es un alivio, no una solución. Firewall está bien, backup está bien. Pero Jetpack NO te exime de mantener WordPress y plugins actualizados, de tener contraseña fuerte, de monitorear logs. Es una capa adicional, no el total.
Error 4: «Voy a usar WordPress.org barato, instalar 5 plugins de seguridad, y estaré protegido»
Meh. Cinco plugins de seguridad compiten entre ellos, pueden ralentizar el sitio, y no garantizan nada si no hacés lo básico: updates, backups probados, contraseña fuerte, no instalar plugins maliciosos. Más plugins = más attack surface. Mejor uno bueno (Wordfence) + disciplina que cinco mediocres + negligencia.
Error 5: «WordPress.com es limitado así que no lo elijo»
Depende tu caso. Si sos blogger que escribe 5 posts al mes y querés olvidarte de servidores: WordPress.com Business es oro. Si sos desenvolvedor que necesita SSH: obvio que no. No juzgues la plataforma hasta entender qué necesitás realmente.
Preguntas frecuentes
¿Puedo pasar de WordPress.com a WordPress.org?
Sí. Exportas el contenido (Posts, Pages, Comments) desde WordPress.com, instalás WordPress.org en un nuevo hosting, importás el contenido. Redireccioná los URLs viejos para SEO. Themes, plugins, y configuración custom hay que recrear. Es posible pero laburo.
¿WordPress.com está alojado en AWS o en servidores propios de Automattic?
Automattic usa su propia infraestructura, parcialmente en AWS pero también en servidores propios. WordPress.com es un sistema distribuido. El punto: no tenés acceso a configuración de servidor, no importa dónde corra.
¿Jetpack reemplaza un proveedor de hosting manejado?
No. Jetpack es un plugin que agrega capas de seguridad. Pero seguís necesitando un hosting que tenga buen uptime, velocidad, y soporte. Jetpack corre EN WordPress.org, necesita un servidor. Si tu servidor es lento, Jetpack no lo arregla.
¿Qué pasa si WordPress.org sufre un CVE crítico?
En WordPress.com: Automattic pushea el parche en horas a todos los sitios. En WordPress.org: recibís notificación, vos (o tu hosting/admin) pareichás en horas/días dependiendo de qué tan alerta estés. En Jetpack: el firewall detecta intentos de exploit incluso si no parcheaste, comprando tiempo.
¿Jetpack es de Automattic también?
Sí. Automattic lo creó como plugin. Funciona en cualquier WordPress.org. Es como una extensión de WordPress.com pero instalada en tu propio servidor.
Veredicto: cuál preferimos en seguridadenwordpress.com
No hay «mejor» en abstracto, pero sí hay elecciones correctas según contexto.
Para un blog de seguridad (como este): WordPress.org con Jetpack es nuestro modelo. ¿Por qué? Necesitamos acceso a plugins como Wordfence, iThemes Security, y scripts custom de análisis. WordPress.com nos limitaría (aunque sea levemente). Jetpack nos da seguridad managed (firewall, backups) sin perder libertad. Es el punto dulce. Y estamos en un hosting serio (SiteGround, Kinsta) que maneja el servidor y nos avisa de problemas.
Para un blogger principiante: WordPress.com Premium ($8/mes) es mejor que WordPress.org barato ($3/mes hosting + inseguro). Pagás poco más, ganás seguridad automática. Cuando crezcas, migrás a Business o WordPress.org+Jetpack si lo necesitás.
Para una agencia: WordPress.org en servidor managed (SiteGround, Kinsta, Cloudways). Control total, seguridad manejada por el hosting, clientes contentos.
Para una PyME/ecommerce: Si el producto es simple: WordPress.com Commerce. Si necesitás customización: WordPress.org + Jetpack o servidor managed.
Lo que NO haría: WordPress.org en hosting ultra barato ($2-3/mes) esperando que «la seguridad se resuelva sola». Eso es cómo fracasos de seguridad empiezan.
Fuentes
- WordPress.com Support: WordPress.com vs WordPress.org — documentación oficial de Automattic
- WordPress.com Pricing — planes y costos actualizados 2026
- WordPress.com Security — features de seguridad incluidas por plan
- WordPress.com Blog: Is WordPress Secure? — análisis de seguridad
- Make WordPress: Security Handbook — recomendaciones de seguridad para WordPress.org
- OpenCVE WordPress CVEs — listado de vulnerabilidades conocidas