Las cookies son pequeños archivos de texto que las webs almacenan en el navegador del visitante. Técnicamente, cada cookie es un par clave-valor con metadatos adicionales (fecha de caducidad, dominio, ruta, banderas de seguridad). El navegador envía todas las cookies coincidentes de vuelta al servidor con cada petición HTTP, que es como las webs "recuerdan" cosas entre cargas de página. WordPress usa cookies para sesiones de inicio de sesión, preferencias del administrador, formularios de comentarios y diversos fines de seguimiento.
Cómo funcionan las cookies a nivel técnico
Cuando tu sitio WordPress envía una respuesta a un navegador, puede incluir una o más cabeceras Set-Cookie. Cada cabecera define una cookie con un nombre, un valor y atributos opcionales como tiempo de caducidad y ámbito. En cada petición posterior al mismo dominio (y ruta coincidente), el navegador incluye automáticamente estas cookies en la cabecera de petición Cookie. El servidor las lee y usa los datos almacenados para identificar al usuario, restaurar el estado de la sesión o rastrear comportamiento.
Este mecanismo es el que hace posible las sesiones de inicio de sesión. Sin cookies, el servidor no tendría forma de saber que la persona que solicita el panel es la misma que acaba de introducir una contraseña en la página de inicio de sesión.
Cookies de origen vs. cookies de terceros
La distinción entre cookies de origen y cookies de terceros es central en las normativas de privacidad e importa para cualquier propietario de un sitio WordPress:
- Cookies de origen (first-party): Las establece tu propio dominio. Incluyen las cookies de sesión de inicio de sesión de WordPress, las preferencias de consentimiento RGPD almacenadas por tu plugin de banner de cookies, el contenido del carrito de WooCommerce y cualquier cookie que cree tu theme o código personalizado. Las cookies de origen suelen considerarse menos invasivas para la privacidad porque solo operan dentro de tu propio sitio.
- Cookies de terceros (third-party): Las establecen dominios externos a través de recursos cargados en tu página. Cuando tu sitio WordPress carga Google Analytics, el píxel de Facebook, un embed de YouTube o un script publicitario, estos servicios establecen sus propias cookies en dominios diferentes. Las cookies de terceros pueden rastrear visitantes a través de múltiples webs, por lo que son el principal objetivo de las normativas de privacidad. Navegadores principales como Safari y Firefox ya bloquean las cookies de terceros por defecto, y Chrome también las está eliminando progresivamente.
Cookies de sesión vs. cookies persistentes
Las cookies también difieren en cuánto duran:
- Cookies de sesión: Estas cookies no tienen una fecha de caducidad explícita. Existen solo en la memoria del navegador y se eliminan cuando el navegador se cierra. WordPress usa cookies de sesión para estados temporales que no necesitan persistir.
- Cookies persistentes: Estas cookies tienen una fecha de caducidad definida y permanecen almacenadas en el dispositivo del visitante hasta que llegue esa fecha (o el usuario las borre manualmente). La cookie de inicio de sesión de WordPress
wordpress_logged_in_*es una cookie persistente que normalmente dura 48 horas, o 14 días si el usuario marca "Recordarme". Las cookies de Google Analytics como_gapersisten 2 años por defecto.
Cookies por defecto de WordPress explicadas
Una instalación estándar de WordPress establece varias cookies, todas con propósitos específicos:
wordpress_test_cookie: Se establece en la página de inicio de sesión para comprobar si el navegador acepta cookies. Si esta cookie se bloquea, WordPress muestra un error indicando que las cookies deben estar habilitadas para iniciar sesión.wordpress_logged_in_[hash]: La cookie principal de autenticación para usuarios con sesión iniciada. Contiene el nombre de usuario, una marca de tiempo de caducidad y un hash que verifica que la cookie no ha sido manipulada. Esta cookie se usa para identificar al usuario en el frontend.wordpress_[hash]: Una cookie de autenticación separada que se usa solo en el área de administración (/wp-admin/). Proporciona una capa adicional de seguridad limitando el acceso a las funciones de administración.wp-settings-[uid]: Almacena preferencias de la interfaz de administración específicas del usuario, como el modo del editor (visual vs. código), el número de elementos por página en las listas de administración y los estados de los paneles.wp-settings-time-[uid]: Registra cuándo se actualizó por última vez la cookiewp-settings.comment_author_[hash]: Recuerda el nombre, correo electrónico y URL que un visitante introdujo en un formulario de comentarios, para que no tenga que volver a escribirlos en su próxima visita. Solo se establece cuando un visitante envía un comentario.
Estas cookies por defecto de WordPress son todas cookies de origen y suelen considerarse esenciales (necesarias para el funcionamiento del sitio). Sin embargo, las cookies de comentarios a veces se clasifican como no esenciales porque comentar es opcional.
RGPD, ePrivacy y requisitos de consentimiento de cookies
El RGPD europeo y la Directiva ePrivacy establecen reglas estrictas sobre las cookies. Para los propietarios de sitios WordPress dirigidos a visitantes europeos, estas reglas se aplican independientemente de dónde esté ubicado tu servidor:
- Cookies esenciales: Las cookies estrictamente necesarias para el funcionamiento del sitio (sesiones de inicio de sesión, tokens de seguridad, estado del carrito de la compra) no requieren consentimiento. Aún así, debes informar sobre ellas en tu política de privacidad.
- Cookies no esenciales: Las cookies de analítica, marketing, personalización y seguimiento de terceros requieren un consentimiento informado y explícito antes de establecerse. El visitante debe optar activamente; las casillas premarcadas o los banners "al continuar navegando" no son consentimiento válido.
- Derecho a retirar el consentimiento: Los visitantes deben poder retirar su consentimiento con la misma facilidad con la que lo dieron. Tu banner de cookies debe incluir una forma de cambiar las preferencias en cualquier momento.
- Requisitos de información: Debes explicar claramente qué hace cada cookie, quién la establece y cuánto dura. Esta información se proporciona normalmente en una página de política de cookies o política de privacidad.
Gestión del consentimiento de cookies para WordPress
WordPress no incluye un mecanismo de consentimiento de cookies por defecto. Necesitas un plugin de gestión del consentimiento. Las opciones populares incluyen:
- Complianz: Un plugin completo de consentimiento de cookies RGPD/CCPA que detecta automáticamente las cookies en tu sitio y genera políticas de cookies.
- CookieYes: Una plataforma de gestión del consentimiento ampliamente utilizada con un plugin de WordPress y escaneo de cookies basado en la nube.
- Real Cookie Banner: Un plugin de consentimiento específico de WordPress con un fuerte enfoque en la legislación de privacidad alemana/europea.
- Borlabs Cookie: Un plugin premium de fabricación alemana popular en la región DACH. Soporta categorías granulares de cookies e integra con muchos servicios de terceros.
Una configuración adecuada de gestión del consentimiento bloquea cookies y scripts no esenciales hasta que el visitante da su consentimiento. Esto significa que Google Analytics, el píxel de Facebook y servicios similares no deberían cargarse ni establecer cookies hasta que el visitante haga clic en "Aceptar" en el banner de consentimiento.
Banderas de seguridad de cookies: SameSite, Secure y HttpOnly
Las cookies modernas pueden incluir banderas de seguridad que controlan cómo se transmiten y acceden:
- Secure: La cookie solo se envía a través de conexiones HTTPS. Sin esta bandera, las cookies podrían ser interceptadas en conexiones HTTP no cifradas.
- HttpOnly: La cookie no puede ser accedida por JavaScript mediante
document.cookie. Esto evita que ataques de cross-site scripting (XSS) roben cookies de sesión. - SameSite: Controla si la cookie se envía con peticiones cross-site. El valor
Strictsignifica que la cookie nunca se envía cross-site.Laxpermite la cookie en navegaciones de nivel superior (como hacer clic en un enlace) pero la bloquea en peticiones POST cross-site e iframes.None(combinado conSecure) permite que la cookie se envíe en todos los contextos, lo que es necesario para cookies de terceros que necesitan funcionar entre dominios.
WordPress establece la bandera HttpOnly en las cookies de autenticación por defecto. Puedes aprender más sobre estas banderas en nuestro artículo sobre cabeceras de seguridad HTTP.
Cuántas cookies son demasiadas
Cada cookie se envía con cada petición HTTP al dominio coincidente. Esto significa que, si tu sitio WordPress establece 20 cookies que suman 4KB, esos 4KB de datos de cookies se incluyen en cada petición de páginas, imágenes, hojas de estilo, scripts y llamadas AJAX. En una página con 80 peticiones, eso son 320KB de datos extra viajando de ida y vuelta.
Los navegadores aplican límites a las cookies:
- Por dominio: La mayoría de los navegadores permiten alrededor de 50 cookies por dominio, con un límite de tamaño total de aproximadamente 4KB por cookie.
- Total por cookie: La combinación de nombre y valor de una sola cookie no debe superar los 4.096 bytes.
Si tu sitio WordPress establece muchas cookies (especialmente grandes, de scripts de analítica y publicidad), puede ralentizar notablemente las cargas de página. Para evitarlo, considera servir activos estáticos desde un dominio o subdominio sin cookies, y minimiza el número de scripts de terceros que cargas.
Qué comprueba InspectWP
InspectWP lista todas las cookies establecidas por tu sitio WordPress durante el rastreo, incluyendo sus nombres, valores, dominios, rutas y atributos de seguridad (Secure, HttpOnly, SameSite). Esto te ayuda a identificar cookies de terceros que pueden requerir consentimiento RGPD, detectar cookies de servicios que no añadiste a sabiendas y verificar que tus cookies de autenticación tengan las banderas de seguridad adecuadas. La lista de cookies en tu informe de InspectWP es un buen punto de partida para construir o actualizar tu política de cookies.