A principios de 2025 WordPress movia el 43,6 por ciento de la web. Hoy es el 41,5 por ciento, y la caida se acelera. La pregunta interesante no es la cifra, sino adonde va esa cuota. No a Wix ni a Shopify, que estan planos. Va a webs donde W3Techs no detecta ningun CMS. Josh Koenig, cofundador de Pantheon, lo resumio en dos palabras: “es vibecoding”.
Antes de decidir si eso es un problema para WordPress, conviene precisar el termino, porque se esta extendiendo deprisa y cada uno lo entiende a su manera.
Que es el vibecoding
El vibecoding consiste en construir una aplicacion describiendosela a un modelo de lenguaje y aceptando lo que produzca, sin leer el codigo linea a linea. Las herramientas son Lovable, Bolt.new, v0 de Vercel, Replit Agent y Base44. Escribes “hazme una tienda con login y pagos” y obtienes un frontend funcional, una base de datos (normalmente Supabase) y un despliegue en cuestion de minutos.
Para un prototipo, una herramienta interna o una landing de campana que va a vivir una semana, esto es realmente bueno. Nosotros lo usamos para nuestras propias maquetas, para ensenar al cliente una direccion antes de que nadie escriba codigo de produccion. El problema empieza solo cuando ese resultado se pone en produccion como cimiento de un negocio.
Donde se rompen las webs vibecodeadas
Esto no es una defensa refleja de WordPress. Es la lista de lo que aparece de verdad cuando alguien llega con un “funcionaba y ahora no”:
- Claves en el bundle. El modelo mete una clave
service_rolede Supabase en codigo que acaba en el navegador. Cualquiera con las herramientas de desarrollador la lee. A lo largo de 2025, las claves filtradas de apps hechas en Lovable y bases de datos de Supabase con Row Level Security desactivado dejaron al descubierto tablas enteras de usuarios. - Endpoints sin autenticacion. El prompt “hazme un panel de administracion” genera el panel, pero la ruta
/api/adminnunca comprueba quien llama. Parece que funciona porque el autor la prueba con su propia sesion iniciada. - Sin validacion ni limites. Un formulario de contacto sin rate limiting ni sanitizado se convierte en una puerta abierta al spam y a los intentos de inyeccion.
- Invisible en el buscador. El contenido renderizado solo en el cliente, sin renderizado en servidor, es una pagina vacia para el robot de Google. Un catalogo de productos que no existe en el HTML no se indexara.
- Cero via de mantenimiento. Ni migraciones de base de datos, ni copias de seguridad, ni versionado, ni pipeline. El primer cambio serio significa reescribir, porque nadie, ni siquiera quien escribio el prompt, sabe por que se construyo asi y no de otra forma.
Dos casos concretos de los ultimos meses. Una startup de Madrid monto un panel de clientes en Bolt.new y salio a produccion en una semana. A las dos semanas descubrieron que los usuarios veian y editaban datos de cuentas ajenas, porque la clave anon de Supabase estaba en el codigo y el Row Level Security nunca se activo. Otra empresa, una tienda online de Barcelona, levanto su “tienda” en v0. Bonita, rapida, y a los tres meses cero trafico desde Google, porque todo el catalogo se renderizaba solo en el navegador. Ambas webs se veian impecables el dia del lanzamiento. Esa es la trampa del vibecoding: la demo es perfecta y la factura llega despues.
Como reconocer una web vibecodeada
No hace falta acceso al codigo. Bastan unas cuantas senales:
- Ver el codigo fuente (Ctrl+U) muestra un
<body>casi vacio y un unico fichero grande de JavaScript. El contenido aparece solo cuando carga el script. - Desactivar JavaScript deja una pagina en blanco en lugar de texto.
- En Google, la web no tiene mas paginas que la principal, aunque en el navegador se vean muchas.
- No hay pagina de login en el dominio propio, o el panel se apoya por completo en un servicio externo sin permisos configurados.
- Las cabeceras de respuesta apuntan a un hosting de tipo preview (Vercel, Netlify) sin capa de aplicacion propia.
Ninguno de estos puntos por si solo es una sentencia. Juntos dibujan una web que salio de un prompt y nunca recibio unos cimientos.
Vibecoding vs WordPress en produccion
| Criterio | Web vibecodeada | WordPress llevado por un senior |
|---|---|---|
| Tiempo hasta la primera demo | Minutos | Dias |
| Renderizado para SEO | Normalmente en cliente | HTML en servidor |
| Control de permisos | Ninguno por defecto, hay que anadirlo | Roles y capacidades en el nucleo |
| Via de mantenimiento | Sin migraciones ni copias | Actualizaciones, copias, pipeline |
| Evolucion tras un ano | A menudo reescritura completa | Iteracion sobre el codigo existente |
| Responsabilidad ante un fallo | Difusa | Un ingeniero que conoce el codigo |
La tabla no dice que el vibecoding sea malo. Dice para que sirve cada herramienta. Para probar una idea en un fin de semana, el vibecoding gana sin discusion. Para una web que debe facturar dentro de un ano, ganan los cimientos.
Por que esto no es el fin de WordPress
La cuota cae porque la parte baja del mercado, esas webs sencillas que antes se montaban en WordPress “porque si”, se esta pasando de verdad a la IA. Y esta bien. Era la parte menos rentable y mas desechable del mercado. WordPress pierde el trabajo con el que, de todas formas, nadie ganaba dinero.
Queda el resto: tiendas WooCommerce con facturacion real, webs multiidioma con hreflang correcto, proyectos sujetos al RGPD y a otros requisitos de cumplimiento, trabajos pensados para durar cinco anos y sobrevivir a una docena de actualizaciones. Ahi el vibecoding no llega, porque ahi el objetivo no es generar una pantalla. Es un cimiento: seguridad, rendimiento medible en Core Web Vitals, mantenimiento y responsabilidad sobre lo que pase a las dos de la madrugada en plena punta del Black Friday.
WordPress no gana por estar de moda. Gana porque tiene dos decadas de ecosistema, una via de mantenimiento predecible y una persona que sabe por que algo se construyo asi y no de otra manera.
Cuando el vibecoding tiene sentido y cuando llamar a un senior
En corto: para un prototipo, un MVP, una herramienta interna o una landing de campana, vibecodea sin miedo. Rapido, barato, suficiente. Para una tienda, una web corporativa o cualquier cosa que tenga que dar de comer y seguir existiendo dentro de un ano, hacen falta cimientos, no una pantalla generada.
Si ya tienes una web hecha por IA y algo empieza a fallar, desde filtraciones hasta perdida de trafico o el clasico “no se puede ampliar”, suele tener arreglo, pero no con otro prompt. Rescatamos webs hechas por IA: auditoria de seguridad, SEO desde cero y una decision sobre que reescribir y que salvar. Lo hace un desarrollador que lee el codigo que nadie habia leido antes.






