WordPress es la respuesta por defecto cuando alguien pregunta "¿qué uso para empezar un blog?". En mayo de 2026 ocupa el 42% de todos los sitios web del planeta y el 60% del mercado CMS conocido, según W3Techs. La respuesta por defecto no es necesariamente la respuesta correcta para ti. Este artículo no defiende ninguna plataforma específica: revisa los tres costes reales de WordPress en 2026 para un indie creator (performance, seguridad, mantenimiento), repasa las alternativas serias, y termina con cuatro preguntas que te ayudan a decidir.
El default que dejó de ser obvio
WordPress ganó la web 2.0 con una propuesta sólida: gratis, extensible, sin lock-in. Esa propuesta sigue intacta. Lo que cambió es el contexto. Cuando empezaste un blog en 2014, instalar WordPress era equivalente a abrir Word: la curva de aprendizaje era el editor. En 2026, instalar WordPress es el primer paso de una rutina permanente de mantenimiento, parcheo, optimización y vigilancia.
El dato más revelador no es la cuota de mercado, es la inercia: WordPress sigue siendo el 58% del CMS entre los 10.000 sitios con más tráfico. Cuanto más grande la operación, más sentido tiene la flexibilidad. Cuanto más pequeña, más se nota el coste de oportunidad.
Los tres dolores reales en 2026
Performance
Solo el 44% de los sitios WordPress en móvil aprueban los tres Core Web Vitals de Google a finales de 2025, según datos cruzados de CrUX recopilados por SearchScaleAI. WordPress es un CMS dinámico: cada visita ejecuta PHP y consulta MySQL salvo que la caché esté bien configurada. Los sitios estáticos comparables cargan entre 0,4 y 0,9 segundos; un WordPress mobile típico tarda entre 3 y 5 segundos.
Esto importa más allá del orgullo técnico. Google penaliza ranking por Web Vitals desde 2021 y el peso aumentó tras la actualización de marzo de 2026. Si tu blog vive de SEO orgánico, una plataforma que ya viene optimizada compite con tu tiempo invertido en optimizar la que tienes.
Un Lighthouse de 95 o más es la línea base de cualquier blog moderno. Llegar a ese número en WordPress requiere caché, CDN, optimización de imágenes, lazy loading de scripts y, normalmente, eliminar plugins que ya instalaste por su funcionalidad. La pregunta no es si es posible, es cuánto tiempo te cuesta mantenerlo ahí.
Seguridad y plugin hell
Patchstack publicó su State of WordPress Security 2026 con cifras que cambian la conversación. El 97% de las vulnerabilidades de WordPress vienen de plugins y temas; el core es razonablemente seguro. En 2026 se reportaron 48.185 CVEs nuevos, un 20,6% más que en 2024, en buena parte por la explosión del ecosistema de plugins. En enero de 2026 se publicaron 333 vulnerabilidades nuevas, 253 de ellas en plugins: alrededor de 36 vulnerabilidades de plugins nuevas cada día.
Lo peor no es la cifra, es la respuesta. El 52% de los desarrolladores a los que se notificó una vulnerabilidad no la parcheó antes de la divulgación pública. El 7 de abril de 2026, WordPress.org retiró más de 25 plugins en un solo día por contener backdoors; todos pertenecían al mismo desarrollador, que los había ido comprando a sus autores originales. WordPress.org no notifica cambios de propiedad de un plugin a los usuarios y no audita el código tras una transferencia.
| Riesgo | Frecuencia (2026) | Quién lo mitiga |
|---|---|---|
| Plugin con vulnerabilidad crítica | ~36/día | Tú, manualmente |
| Plugin abandonado por su desarrollador | ~46% de CVEs sin parche | Tú, cambiando de plugin |
| Cambio de ownership con backdoor inyectado | 25+ plugins comprometidos en un día (abril) | Tú, leyendo Twitter/Patchstack |
En las plataformas gestionadas, esta superficie de ataque no existe porque no hay plugins de terceros. Es un trade-off: pierdes extensibilidad, ganas no recibir un correo a las 3 de la mañana sobre una RCE en un plugin que olvidaste que tenías.
Mantenimiento vs escribir
El coste financiero de WordPress se conoce: entre 75 y 300 dólares al año para un blog pequeño (dominio, hosting compartido, tema y plugins premium opcionales), según las guías de presupuesto recientes de Themeisle y Bluehost. El coste real es el tiempo. Cada semana hay actualizaciones de plugins. Cada actualización tiene una probabilidad pequeña pero distinta de cero de romper algo. Cada mes hay que revisar logs, backups y rendimiento. Para un creador que escribe los fines de semana, este mantenimiento se come las horas que iban a ser para escribir.
"WordPress Core es notablemente seguro; los sitios se comprometen por plugins" (Patchstack, State of WordPress Security 2026). Para el creador medio, eso significa que la seguridad de su blog no depende de WordPress, depende de su criterio eligiendo plugins.
Las alternativas serias, sin marketing
Ghost
Ghost es la alternativa pensada para escritores. Plan Starter 9 dólares al mes, Creator 25, Team 50, sin comisión sobre ingresos. SEO sólido (meta tags, URLs limpias, schema markup), tema profesional incluido. La desventaja: la curva inicial sigue requiriendo algo de setup, y no tiene red social interna para descubrimiento.
Substack
Substack ganó el segmento "newsletter como blog" gracias a una propuesta brutalmente simple: cuenta, publica, envía. Su precio es invisible al inicio (gratis publicar) y caro después: el 10% de tus ingresos por suscripciones de pago, sobre processing fees de Stripe. Para 1.000 suscriptores de pago a 10 dólares al mes, esa diferencia equivale a unos 15.600 dólares al año que Ghost te dejaría en el bolsillo. La ventaja real de Substack es el network: los recomendados y la descubrimiento interno aceleran los primeros 100 suscriptores como ninguna otra plataforma.
Plataformas integradas modernas
Existen también plataformas que apuestan por integrar lo que en WordPress son cinco plugins distintos. Vlogerly es un ejemplo: editor WYSIWYG sin plugins, newsletter integrada, analytics propias, SEO automático (sitemap, OG, hreflang), custom domain por proyecto, y multi-blog desde un único dashboard. Sin coste, sin lock-in, sin marketplace de plugins que mantener. La concesión es la flexibilidad: no esperes 50.000 temas ni integraciones con todo el internet.
Ninguna plataforma es objetivamente mejor: hay perfiles distintos. Substack es óptima si tu plan es vivir de suscripciones de pago y no te importa ceder el 10%. Ghost es óptima si valoras propiedad del stack y tienes algo de pasta. Las plataformas integradas son óptimas si tu prioridad es escribir y olvidarte de la fontanería digital.
Cómo decidir: cuatro preguntas honestas
- ¿Cuánto tiempo a la semana puedes dedicar a mantenimiento técnico? Si la respuesta es menos de 1 hora, descarta WordPress self-hosted.
- ¿Tu plan de monetización pasa por suscripciones de pago? Si sí, evita Substack para volúmenes altos y compara Ghost con plataformas integradas en función de cómo planeas crecer.
- ¿Necesitas funcionalidad muy específica (membership areas, ecommerce, foros)? Si sí, WordPress sigue siendo la elección racional. La flexibilidad justifica el coste.
- ¿Vas a publicar en uno o varios proyectos distintos? Si gestionas varios blogs (cliente, lateral, marca personal), una plataforma multi-blog te ahorra horas de duplicación.
Conclusión
WordPress no es malo. Es default. Y los defaults envejecen. En 2026, para un indie creator que empieza, las alternativas son lo bastante maduras como para que la pregunta no sea "¿uso WordPress?" sino "¿qué pierdo eligiendo otra cosa, y qué gano?". Para muchos perfiles, el balance ha cambiado.
Si tu prioridad es escribir y publicar, no mantener un servidor, prueba alternativas modernas sin compromiso. Crear un blog en Vlogerly es gratis y lleva dos minutos: si no te convence, no has perdido nada salvo la fricción que llevabas evitando.
