Por Que Construimos con Frameworks Modernos en Lugar de WordPress

El Problema de WordPress

WordPress alimenta aproximadamente el 43% de todos los sitios web en internet. Es, por cualquier medida, el sistema de gestión de contenido más exitoso jamás construido. Democratizó la publicación web y dio a millones de personas la capacidad de crear sitios sin escribir código.

Aun así, lo desaconsejamos para la mayoría de sitios web empresariales.

No es una preferencia tribal. No somos puristas de frameworks que menosprecian PHP. La recomendación se basa en tres factores medibles: exposición de seguridad, características de rendimiento y costo total de propiedad durante un ciclo de vida de 3 a 5 años. Cuando se evalúa WordPress contra frameworks modernos de enfoque estático — Astro, Next.js, SvelteKit, Hugo — en estos tres ejes, WordPress pierde consistentemente para sitios empresariales que no requieren publicación diaria de contenido por equipos no técnicos.

La Superficie de Ataque

Un sitio WordPress empresarial típico ejecuta entre 20 y 30 plugins. Un plugin de formularios de contacto. Uno de SEO. Uno de caché. Un plugin de seguridad (la ironía no se nos escapa). Un constructor de páginas. Un plugin multilingüe. Uno de analítica. Uno de respaldos. Cada uno de esos plugins es código de terceros con su propio ciclo de actualizaciones, su propio desarrollador y sus propias vulnerabilidades potenciales.

WordPress requiere un proceso PHP en ejecución, una base de datos MySQL, un sistema de archivos con permisos de escritura y un panel administrativo accesible desde internet público. Cada uno de estos es una superficie de ataque. Los ataques de fuerza bruta contra /wp-admin son tan comunes que la mayoría de plugins de seguridad para WordPress incluyen limitación de intentos como función predeterminada — una función que existe únicamente por la arquitectura propia de WordPress.

Un sitio estático no tiene ninguna de estas superficies de ataque. No hay base de datos que inyectar. No hay entorno PHP que explotar. No hay panel de inicio de sesión para atacar por fuerza bruta. No hay sistema de archivos con permisos de escritura. La salida son archivos HTML, CSS y JavaScript simples servidos desde un CDN. La superficie de ataque es, en la práctica, el propio proveedor de CDN — y si alguien compromete Cloudflare, un sitio WordPress sería igualmente vulnerable porque está detrás de la misma infraestructura.

Para una consultora de ciberseguridad, recomendar WordPress para el sitio empresarial de un cliente mientras simultáneamente le decimos que reduzca su superficie de ataque sería contradictorio. Construimos nuestro propio sitio de la misma forma en que asesoramos a nuestros clientes a construir los suyos.

Rendimiento en la Infraestructura de Internet de Costa Rica

La velocidad promedio de banda ancha en Costa Rica ronda los 70-90 Mbps de descarga, con conexiones móviles promediando 30-40 Mbps. Es respetable para la región, pero aún significativamente por debajo de los promedios norteamericanos o europeos. Más importante aún, la latencia hacia servidores fuera de Costa Rica sigue siendo un factor. Un sitio WordPress alojado en hosting compartido en Estados Unidos típicamente agrega 80-150ms de latencia de red antes de que el servidor siquiera comience a procesar la solicitud PHP.

WordPress sigue un ciclo de solicitud-respuesta: el navegador solicita una página, el servidor ejecuta PHP, consulta la base de datos MySQL, ensambla el HTML y lo devuelve. Incluso con caché agresivo (WP Super Cache, W3 Total Cache, LiteSpeed), la primera solicitud sin caché aún requiere computación del lado del servidor. Los constructores de páginas como Elementor o Divi agregan carga adicional — generan HTML inflado con estilos en línea y cargan paquetes de JavaScript que pueden exceder los 500KB.

Los sitios estáticos omiten este ciclo completo. El HTML se pre-construye en tiempo de compilación. Cuando un visitante solicita una página, el CDN sirve un archivo terminado desde su nodo de borde más cercano. Cloudflare opera un nodo de borde en San Jose, Costa Rica, lo que significa que un sitio estático servido a través de Cloudflare Pages entrega contenido a visitantes costarricenses con latencia de un solo dígito en milisegundos a nivel de red.

La velocidad no es vanidad. Google utiliza Core Web Vitals como señal de posicionamiento. Para empresas que compiten por visibilidad en buscadores en Costa Rica — donde el mercado es más pequeño y cada posición importa — la brecha de rendimiento entre un sitio estático y un sitio WordPress puede afectar directamente los ingresos.

Costo Total de Propiedad

El costo inicial de un sitio WordPress suele ser menor. Un desarrollador puede ensamblar un sitio empresarial usando un tema premium ($60), un constructor de páginas ($99/año) y un puñado de plugins en 20-40 horas. Una construcción personalizada en Astro o Next.js típicamente toma 40-80 horas para un alcance comparable. La diferencia de precio inicial es real.

Pero los sitios web no son compras de una sola vez. Son sistemas operativos continuos. Esto es lo que el sitio WordPress cuesta en tres años:

• Hosting administrado: $25-50/mes para hosting WordPress decente (WP Engine, Kinsta, Cloudways). Son $900-1,800 en tres años.
• Licencias de plugins: Plugins premium como WPML ($99/año), Elementor Pro ($99/año), Yoast Premium ($99/año) y plugins de seguridad ($100-300/año) suman $400-600 anuales — $1,200-1,800 en tres años.
• Mantenimiento: WordPress lanza actualizaciones del núcleo 2-3 veces al año. Actualizaciones de plugins mensualmente. Pruebas de compatibilidad con el tema después de cada actualización. Un contrato de mantenimiento corre entre $100-300/mes — $3,600-10,800 en tres años.
• Incidentes de seguridad: El costo promedio de limpiar un sitio WordPress hackeado es de $500-3,000. Con aproximadamente 30,000 sitios WordPress hackeados diariamente según estimaciones de la industria, no es un riesgo teórico.
• Reconstrucción: La mayoría de sitios WordPress necesitan una reconstrucción significativa cada 2-3 años cuando los temas se vuelven obsoletos, los plugins pierden soporte o los requisitos de versión de PHP cambian.

El total a tres años para un sitio WordPress empresarial: $6,000-15,000+ adicionales a la construcción inicial.

Un sitio estático en Cloudflare Pages: $0/mes de hosting (el plan gratuito es suficiente para la mayoría de sitios empresariales). Sin licencias de plugins. Sin actualizaciones de PHP. Sin mantenimiento de base de datos. Sin parches de seguridad. El costo continuo es esencialmente cero, a menos que la empresa desee cambios de contenido, los cuales se facturan por proyecto en lugar de como un contrato perpetuo.

El Contexto de Costa Rica

Tres características del mercado costarricense hacen que el caso contra WordPress sea aún más fuerte.

Requisitos bilingües

La mayoría de sitios web empresariales en Costa Rica necesitan versiones en español e inglés. WordPress maneja esto mediante plugins como WPML o Polylang — ambos agregan complejidad, carga en la base de datos y su propia superficie de vulnerabilidad. WPML en particular ha tenido múltiples vulnerabilidades críticas de seguridad a lo largo de los años. En un framework moderno, la internacionalización es una consideración arquitectónica de primer nivel. Las colecciones de contenido de Astro, el enrutamiento i18n nativo de Next.js y funciones similares manejan sitios multilingües de forma nativa sin dependencias de terceros.

SINPE Movil e integración de pagos locales

El ecosistema de pagos de Costa Rica es único. SINPE Móvil es el método de pago instantáneo dominante, pero no cuenta con plugins estándar de comercio electrónico para WordPress. Integrar SINPE Movil en un sitio WordPress requiere desarrollo personalizado de todas formas — y en ese punto usted está escribiendo código personalizado dentro de un framework diseñado para evitar código personalizado. Los frameworks modernos permiten construir integraciones limpias con procesadores de pago, enlaces profundos de SINPE Movil y APIs bancarias locales sin luchar contra una arquitectura de plugins.

Limitaciones de hosting local

El hosting WordPress de calidad dentro de Costa Rica es limitado. La mayoría de proveedores locales ofrecen hosting compartido con cPanel, PHP 7.x (a veces incluso 5.x), memoria limitada y sin seguridad administrada. Las empresas que desean rendimiento adecuado terminan en hosts administrados de Estados Unidos, lo que introduce latencia. Con despliegue estático en Cloudflare Pages, la pregunta del hosting desaparece por completo — el sitio se replica en más de 300 ubicaciones de borde a nivel global, incluyendo San Jose.

Qué Usamos en Su Lugar

Nuestro stack principal para sitios web empresariales es Astro — un framework diseñado específicamente para sitios orientados a contenido. Astro genera HTML estático por defecto, no envía JavaScript al navegador a menos que sea explícitamente necesario, y soporta componentes de cualquier framework principal (React, Vue, Svelte) cuando se requieren elementos interactivos.

Para aplicaciones que requieren lógica del lado del servidor — tableros, portales de clientes, sistemas de reservaciones — utilizamos Next.js o SvelteKit, dependiendo de los requisitos del proyecto. Estos frameworks proporcionan renderizado del lado del servidor, rutas de API y flujos de autenticación sin la carga de un CMS tradicional.

Los estilos se manejan con Tailwind CSS, que genera únicamente el CSS que el sitio realmente utiliza — sin hojas de estilo de 300KB cargadas en cada página. El despliegue va a Cloudflare Pages con construcciones automáticas desde Git, despliegues de vista previa para revisión del cliente y SSL sin configuración.

Cuando los clientes necesitan editar contenido por sí mismos, integramos un CMS headless — Storyblok, Sanity o Contentful — que provee una interfaz de edición visual sin ninguno de los riesgos de seguridad de un CMS auto-alojado. Los cambios de contenido activan una reconstrucción automática, y el sitio se mantiene estático y rápido.

Cuándo WordPress Sigue Siendo la Opción Correcta

No somos absolutistas. WordPress es la opción correcta en escenarios específicos:

• Publicación de contenido de alto volumen: Si su empresa publica más de 10 artículos por semana con múltiples autores, el flujo editorial de WordPress es maduro y bien comprendido.
• Comercio electrónico con WooCommerce: Para catálogos de productos con cientos de SKUs, gestión de inventario y reglas de envío complejas, WooCommerce sigue siendo una opción viable — aunque Shopify es típicamente una mejor alternativa.
• Restricciones presupuestarias sin recursos técnicos: Si el presupuesto total es inferior a $1,500 y ningún desarrollador estará disponible para trabajo continuo, un sitio administrado en WordPress.com es práctico.
• Ecosistema WordPress existente: Si una empresa ya tiene un sitio WordPress con contenido significativo, plugins personalizados y personal capacitado, una migración puede no estar justificada.

Para la mayoría de empresas costarricenses que construyen un sitio web nuevo — firmas de servicios profesionales, consultorios médicos, operadores turísticos, empresas de logística, y las industrias que atendemos — un enfoque estático ofrece mejor seguridad, mejor rendimiento y menor costo a largo plazo.

Preguntas Frecuentes