InspectWP Logo
Guía de solución

Como deshabilitar Gravatar en WordPress (RGPD)

8 de febrero de 2026

Gravatar (Globally Recognized Avatar) es un servicio propiedad de Automattic que proporciona imagenes de perfil de usuario basadas en direcciones de correo electronico. WordPress utiliza Gravatar por defecto para mostrar avatares en comentarios, biografias de autores y perfiles de usuario. Aunque resulta comodo, esta integracion crea importantes preocupaciones de privacidad que todo propietario de un sitio deberia entender.

Por que Gravatar es un problema para el RGPD

Cuando un visitante deja un comentario en tu sitio WordPress, su direccion de correo se hashea con MD5 y se envia a los servidores de Gravatar en gravatar.com para recuperar su imagen de avatar. Este proceso plantea varios problemas con el RGPD:

  • Transmision de la direccion IP: cada peticion a Gravatar envia la direccion IP del visitante a los servidores de Automattic, ubicados en Estados Unidos. Conforme al RGPD, las direcciones IP se consideran datos personales, y transferirlas a un tercer pais sin las garantias adecuadas requiere consentimiento explicito.
  • Exposicion del hash del correo: el hash MD5 de la direccion de correo se incluye en la URL de Gravatar (p. ej., gravatar.com/avatar/ab12cd34...). MD5 no es un algoritmo de hash seguro. Las rainbow tables y los ataques de fuerza bruta pueden invertir hashes de correos comunes, exponiendo potencialmente las direcciones de correo de tus visitantes.
  • Potencial de tracking: como se usa el mismo hash en todos los sitios con Gravatar habilitado, Automattic podria teoricamente rastrear la actividad de navegacion de un usuario por todos los sitios WordPress que visite o en los que comente.
  • Sin mecanismo de consentimiento: WordPress carga las imagenes de Gravatar automaticamente sin pedir el consentimiento del visitante. Conforme al RGPD, cargar recursos externos que transmiten datos personales requiere consentimiento informado previo.

Varias autoridades europeas de proteccion de datos han senalado a Gravatar como problematico, y los sitios que cargan Gravatar sin consentimiento incumplen tecnicamente los requisitos del RGPD.

Deshabilitar avatares desde los ajustes de WordPress

La forma mas sencilla de detener las peticiones a Gravatar es a traves del panel de administracion de WordPress:

  1. Ve a Ajustes y luego a Comentarios en tu admin de WordPress.
  2. Desplazate hasta la seccion Avatares.
  3. Desmarca la opcion "Mostrar avatares".
  4. Haz clic en Guardar cambios.

Esto deshabilita por completo la visualizacion de avatares en todo tu sitio. No se haran mas peticiones a gravatar.com. La pega es que pierdes toda la funcionalidad de avatares, lo que puede hacer que las secciones de comentarios y los perfiles de autor parezcan menos personales.

Sustituir Gravatar por avatares locales con codigo

Si quieres seguir mostrando avatares pero sin peticiones externas, puedes sobrescribir la URL de Gravatar para que apunte a una imagen por defecto local. Anade esto al functions.php de tu tema o a un plugin personalizado:

// Reemplazar Gravatar con un avatar por defecto local
add_filter('get_avatar_url', function($url, $id_or_email, $args) {
    // Devolver una imagen de avatar por defecto local
    return get_template_directory_uri() . '/images/default-avatar.png';
}, 10, 3);

// Evitar el DNS prefetch a gravatar.com
remove_action('wp_head', 'wp_resource_hints', 2);

Asegurate de crear una imagen de avatar por defecto y colocarla en la ruta especificada en el codigo. Una silueta generica simple o el logo de tu sitio funcionan bien. La eliminacion de wp_resource_hints evita que WordPress anada una pista de DNS prefetch a gravatar.com en el head HTML, que de otro modo seguiria creando una conexion a los servidores de Gravatar incluso sin cargar imagenes.

Usar un plugin para gestionar avatares locales

Varios plugins facilitan reemplazar Gravatar por avatares alojados localmente, dando a los usuarios la posibilidad de subir sus propias fotos de perfil sin ningun servicio externo:

  • One User Avatar (WP User Avatar): permite a cada usuario subir una foto de perfil personalizada que se almacena en tu servidor. Incluye una opcion de avatar por defecto para los usuarios que no han subido uno. Sencillo de configurar y compatible con la mayoria de los temas.
  • Simple Local Avatars: un plugin ligero que anade un campo de subida de avatar a los perfiles de usuario. Todas las imagenes se almacenan localmente y evita por completo Gravatar. Tambien soporta importar imagenes existentes de Gravatar al almacenamiento local para una migracion unica.
  • Avatar Privacy: la opcion mas completa. Bloquea Gravatar por defecto, permite a los usuarios optar por Gravatar si lo desean, genera avatares por defecto unicos (como identicons al estilo GitHub) y gestiona el consentimiento para mostrar avatares.

Avatares generados como alternativa respetuosa con la privacidad

Si quieres que cada comentarista tenga un avatar unico sin depender de ningun servicio externo, los avatares generados son una solucion excelente. WordPress incluye unas cuantas opciones integradas (Identicons, Wavatars, MonsterID), pero los generan por defecto los servidores de Gravatar. Para generarlos localmente, el plugin Avatar Privacy puede crear identicons y otros avatares generados enteramente en tu servidor, sin ninguna peticion externa.

Otro enfoque es usar avatares basados en CSS que muestren la primera letra del nombre del comentarista en un circulo de color. No requiere imagenes, no hace peticiones externas y aporta un aspecto limpio y moderno. Hay varios plugins ligeros y fragmentos de codigo disponibles para este enfoque.

Beneficios de rendimiento al deshabilitar Gravatar

Mas alla de la privacidad, eliminar Gravatar tambien mejora el rendimiento de tu sitio. Cada imagen de Gravatar es una peticion HTTP externa a gravatar.com. En una entrada de blog con 20 comentarios, eso significa 20 busquedas DNS adicionales y descargas de imagenes desde un servidor externo. Sirviendo los avatares localmente (o no sirviendolos) eliminas estas peticiones externas, reduces el tiempo de carga de la pagina y mejoras tus puntuaciones de Core Web Vitals. Es especialmente notable en conexiones moviles, donde la latencia hacia servidores externos se acumula rapidamente.

Consideraciones sobre el consentimiento de cookies

Si decides mantener Gravatar habilitado (por ejemplo, detras de un banner de consentimiento de cookies), ten en cuenta que necesitas integrarlo correctamente con tu plataforma de gestion de consentimiento. Las imagenes de Gravatar solo deberian cargarse despues de que el visitante haya dado consentimiento explicito a medios externos o servicios de terceros. La mayoria de plugins de consentimiento de cookies como Complianz, GDPR Cookie Compliance o Borlabs Cookie pueden configurarse para bloquear Gravatar hasta que se de el consentimiento, pero requiere configuracion y pruebas manuales.

Verifica con InspectWP

Despues de deshabilitar Gravatar, ejecuta un nuevo escaneo de InspectWP en tu sitio. La seccion RGPD de tu informe mostrara si Gravatar sigue cargandose como servicio externo. Si lo has eliminado correctamente, la comprobacion de Gravatar ya no deberia aparecer como problema. Asegurate de revisar tambien la seccion de recursos externos del informe para confirmar que no quedan peticiones a gravatar.com o secure.gravatar.com.

Artículo anterior

Como deshabilitar la REST API de WordPress

Artículo siguiente

Como alojar Google Fonts localmente en WordPress

Artículos relacionados

Cómo aumentar el tamaño máximo de archivo de subida en WordPress

Cómo bloquear readme.html y license.txt en WordPress

Cómo deshabilitar el listado de directorios en WordPress (Apache y nginx)

Ver todos los artículos

Analiza tu sitio de WordPress ahora

InspectWP analiza tu sitio de WordPress en busca de problemas de seguridad, SEO, cumplimiento del RGPD y rendimiento, gratis.

Analiza tu sitio gratis