Auditoría WordPress en read-only: comparativa de herramientas y por qué no responden todas a la misma necesidad

Una comparativa práctica de herramientas de auditoría externas y el vacío que dejan a freelancers y agencias.

Si trabajas con WordPress — como freelancer, agencia o en formación — seguramente ya has utilizado alguna herramienta de auditoría. GTmetrix para rendimiento. WPScan para seguridad. Ahrefs o Semrush para SEO técnico. Google PageSpeed Insights para Core Web Vitals.

Estas herramientas son útiles. Algunas son incluso excelentes en su dominio.

¿Pero responden realmente a la necesidad concreta de un freelancer que quiere entender rápidamente el estado de un sitio WordPress, decidir qué priorizar, justificar una intervención ante un cliente o estructurar una oferta de mantenimiento?

No siempre. Y es precisamente esta observación la que dio origen a Orilyt.

En este artículo, revisamos las principales herramientas de auditoría WordPress que funcionan en read-only — es decir, sin acceso al back-office, sin plugin que instalar, sin FTP — y explicamos cómo sus enfoques difieren fundamentalmente.

Qué significa "auditoría read-only"

Una auditoría read-only se basa en un principio simple: analizar un sitio WordPress únicamente desde el exterior, mediante solicitudes HTTP, crawling o llamadas a APIs públicas.

En la práctica, esto significa que no se requiere acceso de administrador, no se necesita instalar ningún plugin en el sitio auditado, y no es necesario acceso FTP ni a la base de datos.

Este enfoque tiene varias ventajas. Es rápido de implementar, totalmente no intrusivo, y utilizable en un sitio prospecto antes incluso de firmar un contrato. La contrapartida es una visibilidad parcial: solo se ve lo expuesto públicamente, sin acceso a los ajustes internos del CMS.

Todas las herramientas presentadas en este artículo funcionan principalmente en este modo.

Herramientas orientadas al rendimiento

Google PageSpeed Insights

PageSpeed Insights es la herramienta de referencia de Google para medir el rendimiento web. Combina datos de laboratorio de Lighthouse con datos de campo del Chrome User Experience Report (CrUX) para producir puntuaciones sobre los Core Web Vitals.

La herramienta es gratuita, sin necesidad de cuenta, y proporciona recomendaciones técnicas detalladas. Es un paso obligatorio para cualquier desarrollador preocupado por el rendimiento.

Sin embargo, los resultados son brutos, muy técnicos y difícilmente aprovechables para una presentación al cliente. Una puntuación de 45 sobre 100 no dice nada sobre qué hacer concretamente ni en qué orden.

Precio: totalmente gratuito.

GTmetrix

GTmetrix va más allá que PageSpeed ofreciendo un análisis visual detallado: gráfico waterfall, filmstrip, historial de rendimiento y posibilidad de probar desde diferentes ubicaciones geográficas.

Es una herramienta apreciada por los desarrolladores por su profundidad de análisis. El waterfall permite entender con precisión qué archivo ralentiza la carga y por qué.

Pero como PageSpeed, GTmetrix sigue siendo una herramienta técnica que habla a desarrolladores. Un cliente no técnico no encontrará respuesta a la pregunta "¿qué debo hacer?".

Precio: versión gratuita limitada (3 URLs), planes Pro desde $5/mes (Micro) hasta $42,50/mes (Growth).

Herramientas orientadas al SEO técnico

Screaming Frog

Screaming Frog es un crawler de escritorio extremadamente potente. Analiza la estructura completa de un sitio: metadatos, enlaces internos, redirecciones, profundidad de páginas, etiquetas canónicas, datos estructurados.

Para una auditoría SEO técnica profunda, es probablemente la herramienta más completa del mercado. Permite exportar datos masivos y cruzar métricas que pocas herramientas ofrecen.

El problema: su interfaz es densa, sus exportaciones son voluminosas y sin experiencia en SEO, los datos producidos son difíciles de interpretar. No es una herramienta para convencer a un cliente, es una herramienta para analizar un problema ya identificado.

Precio: versión gratuita limitada a 500 URLs, licencia completa a £259/año.

Ahrefs y Semrush (Site Audit)

Los dos pesos pesados del SEO ofrecen cada uno un módulo de auditoría de sitio. Estas herramientas rastrean un dominio y producen una puntuación de salud técnica junto con una lista de problemas clasificados por gravedad.

Su fuerza reside en el ecosistema: la auditoría se integra en una suite SEO completa. Su limitación es que están orientados al marketing y SEO, no específicamente a WordPress. No detectan versiones de plugins, no verifican vulnerabilidades conocidas, y no estructuran sus recomendaciones para un freelancer que necesita vender un servicio.

Precio: Ahrefs desde $129/mes, Semrush desde $139/mes. Sin versión gratuita completa.

Herramientas de seguridad WordPress

WPScan

WPScan es la referencia histórica en seguridad WordPress. Adquirido por Automattic, mantiene una base de datos de más de 55.000 vulnerabilidades conocidas, actualizada diariamente.

En escaneo externo, WPScan detecta la versión de WordPress, los plugins y temas expuestos, y los compara con su base de vulnerabilidades. Es una herramienta imprescindible para la seguridad WordPress.

Sin embargo, WPScan no cubre rendimiento, ni SEO, ni la estructura global del sitio. Y su interfaz de línea de comandos (CLI) lo hace poco accesible para no desarrolladores.

Precio: CLI gratuito para uso no comercial (25 solicitudes API/día), precios enterprise bajo consulta.

Sucuri SiteCheck

Sucuri ofrece un escaneo externo rápido que verifica malware, estado en listas negras y headers de seguridad. Es un primer nivel de verificación útil pero superficial.

El escaneo gratuito solo detecta lo visible públicamente, lo que limita considerablemente su profundidad. Las funciones avanzadas requieren suscripción.

Precio: escaneo básico gratuito, planes de protección desde $199/año.

Herramientas generalistas

Website Grader (HubSpot)

Website Grader analiza rápidamente un sitio en cuatro ejes: rendimiento, SEO, seguridad y móvil. Produce una puntuación global y algunas recomendaciones de alto nivel.

Es probablemente la herramienta más cercana a un formato "amigable para el cliente", pero su profundidad de análisis es limitada y sus recomendaciones son demasiado genéricas. No es específica de WordPress.

Precio: totalmente gratuito.

La observación: un mercado segmentado, un punto ciego

Al mapear estas herramientas, emerge un patrón claro. El mercado de auditorías WordPress read-only está segmentado en tres grandes categorías, y cada una destaca en su dominio sin intentar cubrir los otros.

Las herramientas de rendimiento (PageSpeed, GTmetrix) producen métricas precisas pero técnicas. Las herramientas SEO (Screaming Frog, Ahrefs, Semrush) analizan estructura y visibilidad pero ignoran la seguridad WordPress. Las herramientas de seguridad (WPScan, Sucuri) se centran en vulnerabilidades pero no abordan rendimiento ni SEO.

Ninguna de estas herramientas responde a una pregunta que es fundamental para un freelancer o una pequeña agencia.

Dónde se sitúa Orilyt

Orilyt no es un competidor directo de GTmetrix, Ahrefs o WPScan. Ese no es su objetivo.

Orilyt no busca rastrear 10.000 páginas, producir 200 métricas o analizar cada micro-recurso de un waterfall. Otras herramientas ya lo hacen muy bien.

Orilyt se concentra en un objetivo diferente: transformar hallazgos técnicos externos en decisiones accionables.

Cada punto de auditoría en Orilyt está estructurado según una lógica decisional: los hechos observados, una interpretación clara, por qué importa, qué hacer, qué no hacer, cómo verificar que la corrección es efectiva, y una estimación de esfuerzo y riesgo.

Esta estructura sirve un propósito específico: permitir a un freelancer tomar una decisión, priorizar sus intervenciones, justificar un servicio ante un cliente no técnico y vender mantenimiento recurrente sobre bases factuales.

Tabla comparativa sintética

Cuándo usar cada herramienta

La pregunta no es cuál herramienta es "la mejor" — es cuál responde a tu necesidad actual.

• PageSpeed / GTmetrix — Usa PageSpeed o GTmetrix si optimizas un sitio en profundidad, necesitas un waterfall detallado o trabajas en micro-optimizaciones de rendimiento.
• Screaming Frog / Ahrefs / Semrush — Usa Screaming Frog, Ahrefs o Semrush si realizas una auditoría SEO técnica avanzada, analizas un sitio grande o necesitas datos masivos sobre la estructura de un dominio.
• WPScan — Usa WPScan si verificas vulnerabilidades conocidas en plugins o temas WordPress, o si trabajas específicamente en seguridad.
• Orilyt — Usa Orilyt si necesitas decidir rápidamente qué hacer en un sitio WordPress, si preparas un presupuesto, si debes convencer a un cliente no técnico, si quieres estructurar auditorías recurrentes o si buscas una herramienta clara y accionable para uso freelance o pequeña agencia.

Lo que falta en el mercado

El mercado de auditorías WordPress está lleno de herramientas que producen hallazgos. Puntuaciones, listas, métricas, gráficos.

Pero muy pocas herramientas transforman esos hallazgos en decisiones. Muy pocas estructuran sus resultados para que un profesional pueda usarlos directamente en su relación con el cliente. Muy pocas consideran que una auditoría, en la vida real de un freelancer, sirve ante todo para responder a tres preguntas:

1. ¿Cuál es el estado real de este sitio?
2. ¿Qué hay que hacer primero?
3. ¿Cómo justifico esta intervención ante el cliente?

Es en este espacio — entre el hallazgo técnico y la decisión comercial — donde Orilyt ha elegido posicionarse.

Y es precisamente lo que lo distingue.