Todos los artículos del blog

Cookie banner en WordPress: cómo configurar un aviso de cookies conforme al RGPD

Close
Tiempo de lectura
6 min
Publicado
Abr 10, 2026
Compartir
Ilustración de un banner de cookies para Wordpress

Aunque WordPress no instala cookies directamente, los plugins adicionales sí que pueden añadirlas. Te explicamos por qué la mayoría de banners de cookies en WordPress no cumplen la normativa y cómo configurar uno que sí lo haga.

Por qué WordPress es un reto especial para el cumplimiento de cookies

WordPress es el CMS más utilizado en España y en el mundo por sus avanzadas funciones y su flexibilidad, pero esta característica es precisamente la que supone un reto en materia de privacidad: cada plugin instalado puede introducir cookies y tecnologías de seguimiento sin que el creador del sitio web sea consciente de ello.

Una instalación limpia de WordPress, sin plugins, no establece cookies orientadas al usuario, sino que solo genera cookies de sesión cuando un administrador accede al backend del sitio. Pero el problema comienza al añadir plugins; y en un sitio web común de WordPress, hay decenas. Un plugin de analítica, un formulario de contacto con reCAPTCHA, un vídeo de YouTube incrustado, un mapa de Google, un píxel de Meta para campañas publicitarias... Cada uno de ellos puede activar cookies de terceros que procesan datos personales del visitante desde el momento en que la página se carga, antes incluso de que el usuario haya visto el banner de consentimiento.

Eso significa que si tu banner de cookies no bloquea activamente esas cookies antes del consentimiento, tu web está incumpliendo el RGPD y la LSSI-CE desde el primer momento en que el visitante entra en tu sitio.

Qué cookies instala WordPress por defecto vs. lo que añaden los plugins

Como ya hemos explicado, WordPress es un CMS bastante limpio, las únicas cookies que genera son las de sesión del administrador (wordpress_logged_in_*, wp-settings-*), que se activan al iniciar sesión en el backend. Para el visitante que navega por la web pública, WordPress no instala ninguna cookie.

El problema real viene de los plugins y servicios de terceros. Estos son los cinco más comunes en webs españolas, las cookies que introducen y la duración habitual de conservación:

Google Analytics / GA4

Instala las cookies _ga (duración: 2 años) y _ga_[ID] (duración: 2 años) para identificar usuarios únicos y generar estadísticas de tráfico. Son cookies analíticas de terceros (Google LLC) que requieren consentimiento previo.

Meta Pixel (Facebook Pixel)

Instala la cookie _fbp (duración: 90 días) y, en algunos casos, _fbc (duración: 90 días). Registra las páginas visitadas y las acciones de conversión para optimizar campañas en Facebook e Instagram y crear audiencias de retargeting. Los datos se envían a Meta Platforms, Inc.

Vídeos de YouTube incrustados

Cuando incrustas un vídeo de YouTube con el iframe estándar, se activan cookies como VISITOR_INFO1_LIVE (duración: 6 meses), YSC (sesión) y IDE (duración: 13 meses). Estas cookies rastrean la actividad del visitante para personalizar anuncios en la red de Google. Se activan con solo cargar la página, sin que el usuario reproduzca el vídeo.

Google Maps

Los mapas incrustados de Google cargan cookies como NID (duración: 6 meses) y CONSENT que permiten a Google rastrear al visitante. Además, transmiten la dirección IP del usuario a los servidores de Google al cargar el mapa.

Contact Form 7 con reCAPTCHA

El sistema reCAPTCHA de Google, utilizado por muchos formularios en WordPress, instala la cookie _GRECAPTCHA y carga scripts externos que pueden establecer cookies adicionales de Google. Aunque su finalidad es la seguridad (distinguir humanos de bots), implica una transferencia de datos a Google LLC.

Todos estos plugins cargan sus cookies en el momento en que la página se renderiza, a menos que un sistema de bloqueo previo lo impida. Y es en este punto donde la mayoría de banners de cookies para WordPress no protegen adecuadamente el sitio web.

Lo que la AEPD exige de un banner de cookies en WordPress

La Agencia Española de Protección de Datos (AEPD), en línea con las directrices del Comité Europeo de Protección de Datos (CEPD), establece requisitos concretos para los banners de consentimiento de cookies. Estos requisitos se aplican a cualquier web, incluidas las creadas con WordPress.

Bloqueo previo al consentimiento
Ilustración de una cookies y la señal de prohibido
Bloqueo previo al consentimiento

Ninguna cookie no esencial puede activarse antes de que el usuario haya tomado una decisión. Esto significa que las cookies de Google Analytics, Meta Pixel, YouTube y cualquier otro servicio de terceros deben permanecer bloqueadas hasta que el visitante acepte. Si tu banner se limita a mostrar un aviso pero no bloquea las cookies, no está cumpliendo la normativa.

Botón de «rechazar» igual de visible que el de «aceptar»
Ilustración de un banner
Botón de «rechazar» igual de visible que el de «aceptar»

Los dos botones deben estar al mismo nivel, y ser del mismo tamaño y prominencia. Diseños que ocultan la opción de rechazar (en un enlace pequeño, en una segunda pantalla, en un color menos visible) no cumplen los requisitos.

Consentimiento granular por finalidad
Ilustración con varios botones representando preferencias por cada tipo de cookies
Consentimiento granular por finalidad

El usuario debe poder aceptar o rechazar las cookies por categorías (técnicas, analíticas, de marketing, de publicidad). No basta con un único botón de «aceptar todo» sin alternativa granular.

Registro del consentimiento con timestamp
Ilustración de datos almacenados
Registro del consentimiento con timestamp

Cada decisión del usuario (aceptar, rechazo, selección parcial) debe quedar registrada con fecha y hora como prueba auditable. La AEPD puede solicitar estos registros en una inspección.

Posibilidad de retirar el consentimiento
Ilustración de un documento con X que marcan que se retira el consentimiento
Posibilidad de retirar el consentimiento

El usuario debe poder cambiar o revocar su consentimiento en cualquier momento, de forma tan fácil como lo otorgó. Esto implica que el panel de configuración de cookies debe ser accesible en todo momento desde la web.

El error más común: banners que avisan pero no bloquean

Muchos plugins de cookies para WordPress se limitan a mostrar un banner informativo. El visitante ve el aviso, hace clic en «aceptar» o «rechazar», y el banner desaparece. Pero las cookies ya se habían activado al cargar la página, antes de que el usuario tomara ninguna decisión.

Esto ocurre porque mostrar un banner y bloquear cookies son dos cosas distintas. Un banner informativo es solo la capa visual, mientras que el bloqueo previo al consentimiento requiere que el plugin intercepte los scripts de terceros e impida su ejecución hasta que el usuario otorgue su consentimiento. Sin esa capa técnica, el banner tiene una función meramente decorativa.

Para cumplir con el RGPD y la normativa de la AEPD, tu plugin de cookies en WordPress debe realizar ambas tareas: mostrar un banner conforme y bloquear todas las cookies no esenciales hasta que el usuario decida.

Cómo configurar Cookiebot en WordPress en menos de 5 minutos

El plugin de Cookiebot para WordPress combina las dos funciones: banner de consentimiento conforme y bloqueo automático de cookies previo al consentimiento. Así se configura:

Paso 1: instala el plugin

Ve a «Plugins > Añadir nuevo» en el panel de administración de WordPress, busca «Cookiebot» e instálalo. Actívalo como cualquier otro plugin.

Paso 2: conecta tu dominio

Al activar el plugin, introduce tu Domain Group ID (lo obtienes al crear una cuenta gratuita en cookiebot.com). Cookiebot iniciará un escaneo automático de tu sitio para detectar todas las cookies y tecnologías de seguimiento activas.

Paso 3: revisa las cookies detectadas

En el panel de Cookiebot puedes ver todas las cookies identificadas, clasificadas por categoría (necesarias, analíticas, de preferencias, de marketing). El escáner utiliza un repositorio de más de 13.000 cookies catalogadas para identificar automáticamente cada una.

Paso 4: el banner entra en funcionamiento

Una vez configurado, el banner de consentimiento se muestra automáticamente a los visitantes. Todas las cookies no esenciales quedan bloqueadas hasta que el usuario otorga su consentimiento. Los botones de aceptar y rechazar aparecen al mismo nivel. El consentimiento se registra con timestamp.

Paso 5: la declaración de cookies se integra automáticamente

Cookiebot genera una declaración de cookies siempre actualizada que puedes insertar en tu página de política de cookies mediante un shortcode. Cada vez que el escáner detecta cambios, la declaración se actualiza sin intervención manual.

Qué significa esto para tu web y cómo te ayuda Cookiebot

WordPress facilita la creación de sitios web, pero cada plugin que añades puede complicar el cumplimiento de la normativa de cookies. El riesgo no está en WordPress en sí, sino en la cantidad de scripts de terceros que se acumulan sin que el propietario de la web tenga visibilidad sobre lo que realmente se activa en cada visita.

Cookiebot resuelve ese problema desde el primer día. El plugin para WordPress escanea tu sitio de forma automática, detecta todas las cookies y rastreadores activos (incluidos los que cargan plugins como Google Analytics, Meta Pixel, YouTube o Google Maps), los bloquea hasta que el usuario da su consentimiento y genera la documentación necesaria para tu política de cookies.

Además, se integra de forma nativa con Google Consent Mode v2, el marco IAB TCF y las principales normativas de privacidad internacionales.

Instala Cookiebot en tu sitio de WordPress gratis y ten un banner de cookies conforme en menos de 5 minutos.

Empieza gratis