WordPress Hosting

web almanac wordpress

WordPress según el Web Almanac 2025: luces, sombras y deberes pendientes

Por / 21-01-2026 / HTTP Archive, Web Almanac / 26 minutos de lectura

Cada año, el equipo de HTTP Archive se curra un estudio monumental y rastrean millones de sitios web para contarnos qué tal va la salud de internet. Y este año el llamado Web Almanac 2025 no ha dejado títere con cabeza, han analizado 16,2 millones de webs y procesado 244 TB de datos para diseccionar la web actual.

¿Por qué debería importarte?, pues porque estos datos no son especulaciones de gurús ni teorías de LinkedIn, son mediciones reales de webs reales, usando herramientas como WebPageTest, Lighthouse, Wappalyzer y el Chrome User Experience Report. Si quieres saber de verdad cómo está tu web comparada con el resto del mundo, esto es lo más fiable que vas a encontrar.

Y sí, hay mucho que decir sobre WordPress, algunas cosas buenas, otras para reflexionar seriamente.

Seguridad: WordPress sigue dependiendo de lo que tú hagas

El panorama general de seguridad en la web ha mejorado bastante. El 98% del tráfico ya va por HTTPS y el 95,6% de las páginas de inicio tienen certificado. Let’s Encrypt se lleva el mérito del 56% de los certificados emitidos, democratizando en pocos años el acceso a conexiones seguras para cualquiera que quiera usarlas.

Pero aquí viene lo importante, y es que cuando miras las cabeceras de seguridad por CMS, WordPress brilla por su ausencia en la tabla. Mientras Wix, Squarespace, Google Sites y Medium implementan automáticamente HSTS, CSP y X-Content-Type-Options con tasas de más del 99%.

WordPress ni aparece, ¿por qué? pues porque depende enteramente de ti: de tu servidor, tu hosting o los plugins que instales y decisiones que tomes, es el precio de la libertad le dicen, y la responsabilidad es toda tuya.

Los datos globales de adopción de cabeceras de seguridad muestran una tendencia positiva pero con margen de mejora:

  • HSTS (HTTP Strict Transport Security): 34% de adopción, una subida de 6 puntos desde 2022
  • Content-Security-Policy: 19%, un incremento relativo del 27%
  • X-Content-Type-Options: 48%
  • X-Frame-Options: sigue presente pero en declive frente a CSP frame-ancestors

Un dato preocupante es que entre el 91% y el 94% de las políticas CSP usan unsafe-inline, que básicamente anula gran parte de la protección que deberían ofrecer. Es como poner una puerta blindada y no cerrarla con llave.

El Web Almanac lo explica indicando que para CMSs que pueden ser fácilmente auto-alojados, como Plone, Wagtail o el propio WordPress, es más difícil controlar la aplicación de medidas de seguridad porque los creadores del CMS no tienen forma de influir en el comportamiento de los usuarios.

security headers adoption web almanac 2025

¿Cómo afecta esto a WordPress?

Las plataformas cerradas como Wix o Squarespace implementan seguridad automáticamente porque controlan todo. Mientras, WordPress te da libertad total, lo cual es una de sus fortalezas, pero también significa que la responsabilidad de la seguridad recae sobre ti.

Si no configuras cabeceras de seguridad en tu servidor (mediante PHP .htaccess, nginx.conf o un plugin específico) tu sitio carece de estas capas de protección. No es un fallo de WordPress como software, es una consecuencia del modelo de distribución abierto y descentralizado.

Yo intento ayudar, y te lo pongo fácil, que para eso he creado el generador de cabeceras de seguridad para que salgamos mejor en la siguiente foto.

Privacidad: Google está en todas partes (todavía)

El dato más revelador del capítulo de privacidad es que el 95% de los sitios de escritorio y el 94% en móvil tienen al menos un rastreador, y es que la web es, en esencia, un ecosistema de seguimiento, donde medimos todo, casi siempre para bien.

¿Quién domina? Google, y con diferencia aplastante. Los dominios de seguimiento que más aparecen son estos (todo Google):

  • googleapis.com: presente en el 69% de las páginas
  • gstatic.com: en el 67%
  • Google Analytics: el 55%
  • doubleclick.net: 27% de cookies de terceros

Las cookies más extendidas lo confirman:

  • _ga (Google Analytics): 49% de sitios
  • _gid (Google Analytics): 29%
  • _fbp (Meta Pixel): 15%

El cumplimiento normativo sigue siendo deficiente a nivel global. Solo el 5,8% de los sitios implementan IAB o similares (TCF o USP) y apenas el 0,96% tienen enlaces CCPA visibles. La mayoría de webs o ignoran las regulaciones de privacidad o las implementan de forma superficial.

Un dato curioso para el ecosistema WordPress es que Automattic (la empresa detrás de WordPress.com y Jetpack) es el proveedor CMP compatible con TCF v2 número uno, presente en el 0,67% de las páginas móviles. Esto indica que los sitios alojados en WordPress.com tienen mejor cumplimiento normativo de serie que la mayoría de WordPress auto-alojados. De nuevo mini punto a favor de las plataformas menos abiertas, o más controladas, y mini punto en contra de los usuarios independientes.

El estudio también detecta el uso de técnicas de evasión como CNAME cloaking y bounce tracking. Aunque minoritarias, están concentradas en sitios de alto tráfico que buscan evitar los bloqueadores de rastreadores.

most common tracking technologies web almanac 2025

¿Cómo afecta esto a WordPress?

Aquí WordPress no es ni mejor ni peor que el resto. El problema es general, y es que todo el mundo mete Google Analytics, el píxel de Facebook y una docena de scripts de terceros sin pensar en las consecuencias legales o éticas, o si lo piensan no les compensa frente a la oportunidad/necesidad de hacer seguimiento analítico de su negocio.

Y no es excusa, porque en WordPress tienes plugins de consentimiento de cookies muy potentes (Complianz, CookieYes, etc.), pero si no los usas o los configuras mal estás en la misma situación que cualquier otra web. Con la Ley de Accesibilidad Europea el endurecimiento de las sanciones RGPD esto ya no es opcional.

Rendimiento: WordPress tiene trabajo pendiente

Vamos al dato que más me ha dolido, y es que WordPress ocupa el último lugar entre los principales CMS en las mediciones de Core Web Vitals. Solo el 43,44% de los sitios WordPress pasan las tres métricas (LCP, CLS, INP) en móvil según datos de octubre 2025.

La comparativa con otros CMS es mala, muy mala:

  • Duda: 83,63%
  • Shopify: 75,22%
  • Wix: 70,76%
  • Squarespace: 67,66%
  • Drupal: 59,07%
  • WordPress: 43,44%

Casi 40 puntos de diferencia con Duda, 27 puntos por debajo de Wix, incluso Drupal, con una comunidad mucho más reducida, supera a WordPress en 15 puntos. Vale que nadie conoce Duda, y que en WordPress – de nuevo – depende de cada propietario, pero seguro que algo se puede mejorar ¿no?

Pero bueno, visto en perspectiva no todo es malo. En 2022 WordPress tenía un 30% de aprobación en Core Web Vitals, en 2023 subió a 28% (sí, bajó temporalmente con la introducción de INP), en 2024 alcanzó el 40%, y ahora está en torno al 43-44%. La mejora está ahí, pero el punto de partida era muy bajo y la competencia ha mejorado más rápido.

¿Dónde están los problemas específicos?

LCP (Largest Contentful Paint): El 73% de los elementos LCP en móvil son imágenes, pero el 35% de las páginas WordPress no tienen un elemento LCP estático. Esto significa que el navegador no puede priorizar la descarga de la imagen principal hasta que ejecuta JavaScript, retrasando la carga visible.

Peso de página: El peso medio de las páginas web ha crecido un 202,8% en una década, pasando de 845 KB en 2015 a 2.362 KB en julio 2025, así que parece que se nos está yendo un poco la mano con lo de subir recursos, o igual es que nos da lo mismo, no sé.

WordPress presenta un peso medio de 2.047 KB por página en móviles, desglosado en:

  • JavaScript: 528 KB
  • Imágenes: 725 KB
  • CSS: ~200 KB
  • Otros recursos: ~600 KB

Las webs en Wix, por comparar, tienen de media solo 152 KB de imágenes gracias al 75% de adopción de WebP y optimización automática. Las webs con Drupal también tendrían de media menos peso que WordPress (1.762 KB de mediana).

INP (Interaction to Next Paint): Esta métrica reemplazó a FID en marzo de 2024 y mide la respuesta a las interacciones del usuario durante toda la sesión, no solo la primera. WordPress mejoró del 69% al 82% en INP entre 2023 y 2024, lo cual es positivo, pero el cambio de FID a INP reveló problemas de interactividad que antes quedaban ocultos.

Esos maquetadores de los que usted me habla

Aquí hay un elefante en la habitación, esos maquetadores que dominan WordPress:

  • Elementor: presente en el 56% de los sitios WordPress
  • WPBakery: 21%
  • Divi: 14%

El Web Almanac lo dice sin cortarse: los maquetadores pueden influir negativamente en el rendimiento y han sido históricamente indicadores de peor rendimiento (aunque mejoran).

Esto no significa que todos los maquetadores sean malos de por sí, pero la facilidad de arrastrar y soltar elementos tiende a producir páginas con más código del necesario, más dependencias de JavaScript y estructuras DOM más complejas, mucho más código en definitiva. Cuando el 56% de WordPress usa Elementor el rendimiento medio del ecosistema se ve afectado.

Las buenas noticias

No todo es negativo, afortunadamente, y es que el WordPress Performance Team, activo desde noviembre de 2021, ha aportado mejoras que ya estamos viendo y de las que te he ido informando:

  • La adopción de fetchpriority="high" para imágenes LCP pasó del 0,03% al 15%, en gran parte porque WordPress lo implementó en el core en 2023.
  • El plugin de carga especulativa, que usa la Speculation Rules API para precargar páginas ya tiene más de 30.000 instalaciones activas.
  • La mejora del 12% en tasa de aprobación de CWV desde que existe el Performance Team, así que bien por ellos.

Felix Arntz, Pascal Birchler, Weston Ruter y Adam Silverstein de Google han trabajado directamente con la comunidad WordPress para formar este equipo de rendimiento. Es un buen ejemplo de colaboración entre desarrolladores Open Source y empresas que está dando frutos que se notan.

good core web vitals devices years web almanac 2025

Mi reflexión sobre cómo afecta esto a WordPress

WordPress es flexible, potente y puedes hacer prácticamente lo que quieras con él, pero esa misma flexibilidad permite que cualquiera instale cinco plugins de maquetación, treinta scripts externos y un tema con 200 opciones de personalización.

Las plataformas propietarias tienen limitaciones estrictas, pero precisamente por eso rinden mejor de media, ya que no te permiten tomar decisiones que perjudiquen el rendimiento. En WordPress, la responsabilidad es tuya.

Accesibilidad: mejoras lentas y errores persistentes

La puntuación mediana de accesibilidad en Lighthouse alcanzó el 84% en 2024, un incremento de apenas 1 punto desde 2022. A este ritmo necesitaríamos décadas para llegar al 100%.

WordPress obtiene un 85%, por debajo de Wix (94%), Squarespace (92-94%) y Google Sites (90%). No es un desastre pero tampoco es para presumir, especialmente considerando que WordPress domina el mercado.

Los errores más comunes siguen siendo los de siempre:

  • Contraste de colores insuficiente: 71% de los sitios fallan esta comprobación. Es el error más extendido y también uno de los más fáciles de solucionar.
  • Alt text inadecuado o ausente: 31% de sitios con problemas. Las imágenes sin texto alternativo son invisibles para lectores de pantalla.
  • Jerarquía de encabezados incorrecta: 43% fallan. Saltar de H1 a H3 o usar encabezados solo por su tamaño visual rompe la navegación asistida.
  • Inputs sin nombres accesibles: 13%. Este dato ha mejorado significativamente desde el 38% en 2022.

Un avance positivo es la adopción de prefers-reduced-motion, pues el 50% de los sitios respetan ahora esta preferencia del usuario, un aumento del 16% respecto a 2022. Esto beneficia a personas con trastornos vestibulares o sensibilidad al movimiento.

Sin embargo, el 55-57% de sitios usan marcadores de posición sin etiquetas identificativas en formularios. El W3C desaconseja explícitamente esta práctica porque estos placeholders desaparecen al escribir, causando problemas a personas mayores y usuarios con discapacidades cognitivas que necesitan referencia constante.

El debate de los overlays de accesibilidad

El uso de widgets de accesibilidad ha crecido al cerca del 2% de adopción, pero no son del gusto de todos. El European Disability Forum advierte que estas soluciones pueden interferir con la tecnología de asistencia del usuario y anular configuraciones personales, y muchos expertos en accesibilidad los consideran teatro más que solución real,  y esto lo he oído mucho.

El contexto legal está cambiando y las sanciones por incumplimiento pueden ser significativas, así que da igual lo que pienses, es algo que toca ponerse las pilas ya.

¿Cómo afecta esto a WordPress?

La accesibilidad en WordPress depende casi exclusivamente del tema y los plugins que uses, salvo que tengas el dinero para pagar a un profesional que te diseñe desde cero aplicando criterios de accesibilidad.

Los temas gratuitos del repositorio oficial pasan por revisiones de accesibilidad pero los premium de mercados externos casi nunca, porque lleva tiempo y hay que vender barato. Luego están los maquetadores, que pueden complicar todo si no se usan correctamente.

Si vendes productos o servicios en Europa la accesibilidad ya ha dejado de ser opcional, así que, como mínimo, revisa tu tema, tus formularios y tu estructura de encabezados antes de que sea un problema legal, y económico.

SEO técnico: aquí WordPress hace los deberes

Menos mal, en el SEO técnico WordPress se defiende mejor que en otras métricas, con una puntuación en Lighthouse de 92, solo superado por Wix (con el 100). La diferencia, ya sabes, es que Wix controla todo el HTML, lo tienen capado, para bien o para mal, mientras WordPress depende de plugins y configuraciones, y de ti.

Los datos estructurados han ganado terreno, y la adopción de JSON-LD alcanzó el 41% de los sitios, lo que supone una subida de 7 puntos desde 2022, y las etiquetas canonical están en el 65%. Ambas métricas se benefician de la adopción masiva de plugins como SEOPress, Yoast SEO o Rank Math, que ayudan a esta implementación de manera casi trivial.

El atributo fetchpriority="high" para imágenes LCP es un éxito totalmente atribuible a WordPress pues el subidón del 0,03% al 15% se debe principalmente a la implementación nativa en el core. Esto demuestra que cuando WordPress implementa algo a nivel de núcleo el impacto en la web global es enorme dada su cuota de mercado. Esto es una ventaja, y una responsabilidad.

Un cambio notable en el panorama SEO es que el uso de la cabecera Vary para dynamic serving cayó del 13% al 2%. Los desarrolladores están siguiendo las recomendaciones de Google de usar SSR (Server-Side Rendering) o renderizado estático en lugar de servir diferentes versiones según el User-Agent, y esto supone menos complejidad y un mejor rastreo.

¿Cómo afecta esto a WordPress?

Los buenos plugins de SEO para WordPress han hecho que el SEO básico sea accesible para cualquier usuario de WordPress. El problema está en el rendimiento, pues de poco sirve tener los datos estructurados perfectos si tu página tarda 5 segundos en cargar y Google te penaliza por Core Web Vitals.

El SEO técnico en WordPress está bien resuelto a nivel de plugins, el cuello de botella lo tenemos en la velocidad, así que supongo que entenderás que me ponga tan pesadito con esta cosa del WPO.

IA generativa y la batalla por tu contenido

El capítulo de IA generativa es nuevo este año y documenta un cambio tectónico en la web que todos estamos viviendo: la explosión del rastreo, de los bots crawlers, para modelos de lenguaje y la respuesta de los propietarios de webs, o la falta de ella.

La escalada del rastreo de las IAs

Los números son impresionantes: el 21% de los 1.000 sitios más populares del mundo tienen reglas para GPTBot (OpenAI) en sus robots.txt. La adopción ha sido meteórica pues cuando OpenAI publicó la documentación de GPTBot en agosto de 2023 pasó de 0 a 125.000 sitios bloqueándolo en un solo mes. Para noviembre de 2023 eran 578.000, ahora son millones.

Los crawlers de IA más referenciados en archivos robots.txt a nivel global son estos:

  • ClaudeBot (Anthropic): ~5,8 millones de sitios
  • AppleBot-Extended: ~5,8 millones
  • GPTBot (OpenAI): ~5,6 millones, con un crecimiento del 70% interanual
  • CCBot (Common Crawl): presencia masiva como fuente de datos para múltiples modelos

Según el informe de Cloudflare de 2025 GPTBot pasó de representar el 2,2% del tráfico de crawlers de IA en mayo de 2024 al 7,7% en mayo de 2025, un crecimiento del 305% en volumen de peticiones, convirtiéndose en el tercer bot rastreador más activo, solo por detrás de Googlebot y los bots de Meta.

El dominio de Googlebot

Un dato que muchos pasan por alto es que Googlebot genera más tráfico de rastreo que todos los demás bots de IA combinados. Según Cloudflare Googlebot representa el 4,5% de todas las peticiones HTML, mientras que todos los bots de IA suman el 4,2%. Google rastrea el 11,6% de las páginas únicas en su muestreo, frente al 3,6% de GPTBot.

Esto crea una situación complicada para todo propietario de una web, y es que Googlebot sirve tanto para indexación de búsqueda como para entrenamiento de modelos de IA (Google Gemini), así que no puedes bloquear uno sin bloquear el otro.

El dilema de los medios de comunicación

Los sitios de noticias son especialmente restrictivos con los bots de IA:

  • El 79% bloquean bots de entrenamiento de IA
  • El 67% bloquean PerplexityBot específicamente
  • El 49,4% bloquean GPTBot, el más bloqueado de todos
  • El 47,8% bloquean CCBot (Common Crawl)
  • El 44% bloquean Google-Extended

The New York Times, CNN, Reuters y otros medios importantes fueron de los primeros en bloquear GPTBot en agosto de 2023. La razón es obvia, y es que estos bots consumen su contenido para entrenar modelos que luego responden preguntas sin enviar tráfico a las fuentes originales.

La paradoja del bloqueo

Aquí viene un dato que debería hacerte pensar, que es que un estudio de Rutgers y Wharton descubrió una correlación preocupante, que era que los sitios que bloquearon crawlers de IA experimentaron una reducción de -23% de su tráfico total. Esto viene a decir que si bloqueas para proteger tu contenido terminas perdiendo visitas y menos gente ve tu contenido.

Del por qué ocurre esto hay varias hipótesis. Una es que los sitios que aparecen citados en respuestas de IA reciben tráfico de usuarios que quieren profundizar, y los algoritmos de búsqueda pueden favorecer contenido que también alimenta sistemas de IA, otra teoría sería que simplemente los sitios que bloquean bots de IA tienden a ser más restrictivos en general, afectando también a otros rastreadores beneficiosos.

Para complicar aún más la cosa el Web Almanac y el informe de Cloudflare documentan una asimetría brutal en el valor intercambiado:

  • Google: 14 crawls por cada visita referida, lo que viene a ser una proporción razonable para un motor de búsqueda.
  • OpenAI: 1.700 crawls por cada visita referida, con un pico de 3.700:1 en marzo de 2025.
  • Anthropic: entre 25.000:1 y 100.000:1 tras estabilizarse desde picos de 500.000:1 a principios de año.
  • Perplexity: el más bajo entre las plataformas de IA, generalmente bajo 400:1.

El 80% del rastreo de IA hasta ahora ha sido para entrenamiento de modelos, no para búsqueda o acciones de usuario. En otras palabras, estos bots extraen valor de tu contenido para mejorar sus productos, pero raramente te devuelven tráfico, o al menos eso es lo que ha estado pasando hasta el año 2025 mayoritariamente según el estudio (yo tengo otra visión más reciente, que luego te cuento).

El crecimiento del rastreo por user-action

En línea con lo que yo vengo detectando últimamente, Cloudflare detectó que el crawling activado por acciones de usuario (cuando alguien pregunta algo a ChatGPT y el bot visita webs para responder) creció más de 15 veces durante 2025. El patrón semanal sugiere uso en entornos laborales y educativos, con caídas durante vacaciones de verano.

Perplexity ha sido especialmente controvertido en este espacio. En agosto de 2025 Cloudflare bloqueó los bots de Perplexity por violar el protocolo robots.txt, visitando páginas que habían sido explícitamente prohibidas.

El nuevo estándar: llms.txt

Ante la insuficiencia de robots.txt para controlar el acceso de IAs, ha surgido un nuevo estándar propuesto, el  llms.txt. Mientras que el robots.txt controla el acceso de crawlers tradicionales, los archivos llms.txt están diseñados específicamente para indicar a los modelos de lenguaje cómo pueden (o no) usar el contenido de un sitio. Tienes más información sobre esto aquí:

Se prevé que los motores generativos influyan en hasta el 70% de todas las consultas para finales de 2025, con resultados zero-click que ya alcanzaban el 65% en 2023. La visibilidad en respuestas de IA se está convirtiendo en un factor crítico, lo que ha dado lugar al concepto de GEO (Generative Engine Optimization).

¿Qué opciones tenemos?

El panorama actual ofrece varias estrategias:

  1. Bloqueo selectivo desde robots.txt: Puedes permitir Googlebot (para SEO) mientras bloqueas GPTBot, ClaudeBot y otros. Pero recuerda que robots.txt es una sugerencia no una barrera técnica.
  2. Bloqueo activo: Cloudflare ofrece bloqueo de scrapers de IA con un clic, y más de 1 millón de clientes lo han activado. Weebly bloquea específicamente ClaudeBot y Bytespider. Plataformas como Artstation implementan desafíos tipo CAPTCHA para peticiones automatizadas.
  3. Licencias de contenido: Algunas empresas están negociando acuerdos de licencia con OpenAI, Google y otros. Sistemas propuestos para estándar como Really Simple Licensing permiten a los propietarios de contenidos establecer términos de uso para IAs, aunque aún siguen siendo declarativos.
  4. AI Audit: Herramientas de Cloudflare y otros proveedores permiten auditar qué bots de IA están accediendo a tu contenido y cuánto.
  5. VigIA: Este plugin gratuito no solo te muestra qué bots de IA rastrean tu web, además de poder generar los archivos llms.txt, si quieres también te permite hacer Disallow en robots.txt o incluso bloquearlos mediante PHP por User-Agent o IP.

¿Cómo afecta esto a WordPress?

Como propietario de un sitio WordPress tienes que decidirte, no hay medias tintas. El bloqueo total puede costarte visibilidad en un ecosistema donde las IAs están mediando cada vez más consultas, pero por otro lado, permitir el acceso sin restricciones significa que tu contenido entrena modelos o da respuestas directas con cero clics para ti  que encima compiten contigo sin compensación por usar tu contenido.

La posición intermedia (permitir crawlers de búsqueda pero bloquear los de entrenamiento puro) es complicada porque Google mezcla ambas funciones. No hay respuesta correcta universal pero ignorar el tema ya no es opción.

Mientras, yo en esto también trato de ayudar en lo que puedo, creando herramientas – siempre gratuitas –  y guías que nos ayuden a los creadores de contenido, como estas:

El estado de WordPress: ¿cueces o enriqueces?

Llegamos al plato fuerte, porque como no podía ser de otra manera el capítulo de CMS del Web Almanac es el más relevante para el ecosistema WordPress y los datos son agridulces.

WordPress sigue dominando Internet

WordPress está presente en más del 35% de todos los sitios web analizados. En móvil, sube al 35,6%, y de los sitios que usan un CMS identificable WordPress acapara el 64%. Es un dominio aplastante que ningún competidor desafía ni de lejos.

La cuota de mercado del top 5 de CMS:

  • WordPress: +35%
  • Wix: 2,8%
  • Joomla: 1,5%
  • Squarespace: 1,5%
  • Drupal: 1,2%

Según otras fuentes como W3Techs la cuota de WordPress sobre el total de sitios web ronda el 43%, y sobre sitios con CMS identificable llega al 62-64%. Las diferencias metodológicas explican la variación pero el mensaje es el mismo: WordPress domina con una diferencia abismal. Sigues usando el CMS correcto.

Pero … el crecimiento se ha estancado

Pero hay una tendencia preocupante, y es que entre 2020 y 2022 WordPress creció 3,6 puntos porcentuales, pero entre 2023 y 2025 el crecimiento ha sido de apenas +0,1%, prácticamente plano.

El Web Almanac sugiere que WordPress está pasando de un enfoque de expansión a uno de estabilización. En otras palabras, que ya no crece sino que intenta no perder.

De hecho, si miramos la cuota de mercado CMS (no total de webs), WordPress ha retrocedido del 65,2% en 2022 al 60,7% en 2025. En 2018 WordPress tenía exactamente la misma cuota CMS (60,7%) que tiene hoy, y tras un pico durante la pandemia ha vuelto al punto de partida.

La competencia cerrada y propietaria avanza

Mientras WordPress se estanca las plataformas SaaS ganan terreno:

  • Wix: Creció un 0,5% anual, con un incremento del 32,6% entre 2024 y 2025. Ya tiene el 4,1% de todos los sitios web.
  • Squarespace: Creció casi un 10% interanual, alcanzando el 3,4% de cuota CMS.
  • Shopify: Se recuperó tras una caída en 2023 y se mantiene estable en el 6,8% de cuota CMS.
  • Webflow: Ha duplicado su cuota desde 2023, impulsado por diseñadores y agencias que buscan control visual con menos código.

Joomla y Drupal siguen en caída libre, perdiendo cuota cada año, pero esos usuarios no están migrando a WordPress sino que se van a plataformas SaaS que prometen menos complicaciones.

El ecosistema de plugins

WordPress tiene más de 60.000 plugins gratuitos solo en el directorio oficial, y 8 de ellos están instalados en más de 5 millones de sitios, con 61 plugins que superan el millón de instalaciones.

Los plugins más relevantes para el ecosistema:

  • Elementor: más de 10 millones de instalaciones activas, presente en el 56% de sitios WordPress y el 18,1% de todos los sitios con CMS.
  • WooCommerce: más de 7 millones de instalaciones, potencia el 8,9% de todos los sitios web y domina el mercado de ecommerce con el 12,4% de cuota (más que Shopify, PrestaShop y OpenCart combinados).
  • Yoast SEO: más de 700 millones de descargas acumuladas.
  • Jetpack: más de 4 millones de instalaciones activas.

El 92% de las vulnerabilidades de seguridad en WordPress provienen de plugins no del core (que solo representa el 0,2%). Los temas suponen el 3% restante. Por supuesto, esto no significa que WordPress sea inseguro sino que la seguridad depende enormemente de qué plugins instales y si los mantienes actualizados.

top 5 page builders web almanac 2025

WooCommerce: el gigante del ecommerce

WooCommerce merece mención aparte porque aunque es «solo» un plugin para WordPress resulta que tambien es la solución de ecommerce más usada del mundo:

  • Presente en 1 de cada 5 sitios WordPress.
  • Utilizado en el 8,9% de todos los sitios web.
  • Cuota de mercado ecommerce: 12,4%, superando a Shopify (6,8%) y a todos los demás competidores combinados.
  • Aproximadamente una de cada tres tiendas online del mundo usan WooCommerce.

Sin embargo WooCommerce también arrastra los problemas de rendimiento de WordPress. En el ranking de Core Web Vitals para plataformas de ecommerce WooCommerce está entre los que más luchan por alcanzar puntuaciones buenas, junto con Magento, mientras que Squarespace Commerce y Shopify rinden significativamente mejor.

Versiones de PHP y tecnologías

WordPress es compatible desde PHP 7.4 hasta las últimas versiones, pero la adopción de versiones modernas es desigual:

  • Más del 50% de sitios WordPress usan PHP 8.x
  • Un porcentaje significativo sigue en PHP 7.4 o inferior.
  • El 7,7% de sitios WordPress todavía usan WordPress 4.9 o anterior, con el editor clásico.

En bases de datos MySQL ya no domina, pues MariaDB ha alcanzado prácticamente el mismo nivel de uso, con una distribución cercana al 50-50.

Imágenes y formatos modernos

WordPress ha mejorado en la adopción de formatos de imagen modernos pero sigue por detrás de la competencia:

  • Wix tiene un 75% de adopción de WebP.
  • WordPress está significativamente por debajo.
  • El peso mediano de imágenes en WordPress (725 KB) es casi 5 veces mayor que en Wix (152 KB)

Las razones principales son la falta de conversión automática a WebP/AVIF por defecto, imágenes subidas sin optimizar, y temas que cargan recursos decorativos innecesarios. WordPress 5.8 añadió soporte para WebP pero no convierte automáticamente las imágenes existentes.

median cms size of images web almanac 2025

Lo que WordPress hace bien

No todo son problemas. WordPress tiene ventajas estructurales que la competencia no puede igualar:

  • Flexibilidad total: puedes hacer literalmente cualquier tipo de web, desde un blog personal hasta un marketplace global.
  • Propiedad del contenido: Tus datos son tuyos, en tu servidor. Puedes migrar cuando quieras, exportar todo, cambiar de hosting sin pedir permiso a nadie.
  • Ecosistema masivo: más de 60.000 plugins, más de 13.000 temas gratuitos, miles de desarrolladores especializados.
  • Comunidad activa: traducciones a decenas de idiomas, meetups locales, WordCamps, foros de soporte, documentación extensa.
  • Sin dependencia de nadie: en contra de lo que piensan algunos, si Automattic desapareciera mañana WordPress seguiría existiendo como proyecto Open Source.
  • Coste: el software es gratuito, un sitio base puede costar 25-75 €/mes, uno profesional 100-500 €/mes.

El WordPress Performance Team está haciendo un muy buen trabajo, pues las mejoras en fetchpriority, el plugin Speculative Loading y la optimización continua del core son esfuerzos que están dando frutos de manera rápida y que todos aprovechamos, gratis y casi sin darnos cuenta. El problema es que competimos contra plataformas que no permiten a los usuarios tomar malas decisiones.

El futuro de los CMS según el Web Almanac

El estudio anticipa varias tendencias:

  • Integración de IA en CMSs: Generación de contenido, optimización automática, asistentes de edición.
  • Speculation Rules API: Prerenderizado dinámico basado en probabilidad de navegación. WordPress ya tiene el plugin, falta adopción masiva.
  • Evolución continua de métricas: INP es solo el principio. Google seguirá refinando cómo mide la experiencia de usuario.

La frase más reveladora del Web Almanac es que el dominio global de WordPress proviene de dos factores principales: una comunidad que mantiene y mejora la funcionalidad del proyecto open source, y la flexibilidad del CMS para servir un amplio rango de sitios web y usuarios. Lo que pasa es que esa misma flexibilidad es nuestro talón de Aquiles, porque al no haber una configuración por defecto optimizada WordPress depende de que cada propietario tome decisiones técnicas que los servicios propietarios resuelven automáticamente.

¿Para qué nos sirve toda esta información?

El Web Almanac 2025 deja claro que WordPress domina en números pero tiene deberes pendientes en calidad, o sea, que tú tienes deberes, así que si tienes un sitio WordPress, y si estás leyendo esto lo tienes, estas son las acciones concretas que puedes (y debes) tomar:

Seguridad

Implementa cabeceras de seguridad: HSTS, CSP, X-Content-Type-Options. Puedes hacerlo a nivel de servidor (.htaccess, nginx.conf), con plugins específicos o utilizando el generador de Security Headers. No esperes a que WordPress lo haga por ti a nivel de core porque probablemente no va a pasar, porque la filosofía del proyecto es no imponer configuraciones a nivel de servidor.

Rendimiento

Audita tu sitio con herramientas como PageSpeed Insights, WebPageTest o el propio CrUX. Si usas un maquetador que sea muy pesado plantéate si realmente lo necesitas para todas las páginas o si, por el contrario, puedes migrar a bloques nativos de WordPress para el contenido principal.

Optimiza imágenes con conversión a WebP/AVIF mediante plugins, que hay un montón. Asegúrate de que tu imagen LCP esté disponible al instante el HTML, no cargada vía JavaScript.

Privacidad

Implementa un buen plugin de cookies. Cuestiónate si realmente necesitas Google Analytics o si otras alternativas pueden darte lo que necesitas con menos impacto en privacidad. Si vendes en Europa el cumplimiento del RGPD no es opcional.

Accesibilidad

Revisa el contraste de colores, los alt text de imágenes y la jerarquía de encabezados, que son los tres errores más comunes y los más fáciles de arreglar. Usa herramientas como el propio Lighthouse para auditar tus páginas, y si tu tema tiene problemas de accesibilidad de base valora cambiarlo antes de que te obliguen a golpe de multas.

IA

Decide tu estrategia con los crawlers de IA, para lo que tienes opciones como el bloqueo total (desde Cloudflare o VigIA), dar un permiso selectivo (bloquear entrenamiento pero permitir búsqueda) o probar con alguna licencia activa si tienes contenido de alto valor. Haz lo que sea pero hazlo conscientemente, con una decisión informada, no por defecto, ayudándote de herramientas de seguimiento de rastreadores IA.

La MI conclusión

WordPress sigue siendo el CMS más usado del mundo por una diferencia enorme, pero la brecha entre un sitio WordPress bien configurado y uno mal configurado es abismal, y los datos del Web Almanac 2025 muestran que, colectivamente, el ecosistema WordPress no está aprovechando su potencial, que nos quedan muchas cosas que mejorar, y la mayoría dependen de nosotros.

Las plataformas cerradas como Wix o Squarespace no te dan la misma flexibilidad pero te protegen de decisiones que perjudican el rendimiento. En WordPress la libertad viene con responsabilidad, y los números sugieren que muchos usuarios no están/estamos asumiendo esa responsabilidad.

La buena noticia es que los problemas están claros e identificados, y hay soluciones, pero la mala noticia es que requieren esfuerzo, conocimiento técnico y, a veces, renunciar a ese plugin tan cómodo que hace que tu web pese el doble.

El Web Almanac lo resume bien: el dominio de WordPress viene de su comunidad y su flexibilidad, pero esa misma flexibilidad es su principal desafío. La pregunta para los próximos años es si la comunidad estará/estaremos a la altura de convertir la cantidad en calidad.

Resume el artículo con tu IA favorita o compártelo en redes

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en las estrellas para valorarlo!

Promedio de puntuación 5 / 5. Total de votos: 6

¡Todavía no hay votos! Sé el primero en valorar este contenido.

Ya que has encontrado útil este contenido...

¡Sígueme en las redes sociales!

Puede que también te interese…

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!


Sobre el autor

Apasionado de WordPress, profesor, consultor y ponente. Maquero cansino, padre de tres hijos y dos perritas. Vasco de nacimiento, español de corazón y ciudadano de donde me quieran. Mi último libro es WordPress - Web gratis para todos. Mi blog personal es este, donde hace años ofrezco mis visiones acerca de la Web. Sígueme en Twitter

4 comentarios en “WordPress según el Web Almanac 2025: luces, sombras y deberes pendientes”

  1. Javi Lazaro

    Buenos días Fernando, además parece que hago pole!.
    lo cierto que leyendo tu artículo y siendo una persona no tan crítica quizás con el sistema de WP si no con el uso del mismo a lo que llamo muchas veces el saco de los plugins tengo que decir que también me ha hecho recapacitar con alguna de mis palabras y si las uso para elogiar un Django por ejemplo tiene que valer en este caso también para WP, y es que si te dan libertad para poder hacer lo que quieras con tu CMS en este caso, es porque confian en que quien está detrás tiene que ser un gran profesional y es por eso que no es restrictivo para evitar que metas la pata, si no que es libre para no coartar tus movimientos.

  2. Javier Rey García

    Lo bueno de la libertad es disfrutarla. Pero sabemos que nuestra libertad termina donde comienza la de los demás. WordPress como plataforma Open Source no tiene competencia, pero hay que estar ojo avizor al resto de plataformas que, como bien dices, no dejan al usuario cometer errores. Otra vez termino con «…quién le pone el cascabel al gato». ¿El usuario de WordPress? ¿Los equipos de programación?¿Las empresas de mantenimiento? En mi opinión, usuarios como yo, que empezamos hace 3 años, hemos estado 3 años empeorando las estadísticas de WordPress. Según vamos aprendiendo, ya no empeoramos tanto. Cada vez, empeoramos menos porque aprendemos antes. Es cuestión de tiempo. El problema es que el tiempo corre a velocidad de IA.

Los comentarios están cerrados.

Scroll al inicio

Utilizamos cookies para ofrecerte la mejor experiencia en la web. No se comparte tu información con nadie, simplemente queremos que navegues normalmente sin tener que rellenar formularios en cada visita.
Puedes aprender más sobre qué cookies utilizamos en este enlace, o simplemente rechazarlas.