Cómo Descubrir Qué Tema de WordPress Está Usando un Sitio

Identificar el tema de WordPress que se ejecuta en cualquier sitio web se reduce a un principio fundamental: WordPress almacena todos los activos del tema bajo una ruta de directorio predecible — /wp-content/themes/[theme-slug]/ — y esa ruta se filtra en el HTML renderizado, las referencias CSS y las respuestas HTTP en múltiples lugares. Una vez que sabes dónde buscar, la detección toma menos de dos minutos sin necesidad de herramientas especiales.

Esta guía cubre todos los métodos de detección confiables, desde detectores automáticos en línea hasta la inspección de encabezados HTTP sin procesar, incluyendo los casos extremos donde los temas están deliberadamente ofuscados y lo que aún puedes extraer en esos escenarios.

Por qué es importante identificar un tema de WordPress

Más allá de la simple curiosidad, la identificación de temas tiene varios propósitos profesionales legítimos:

• Investigación de diseño: Replica un diseño o patrón de interfaz de usuario obteniendo el tema exacto en lugar de reconstruirlo desde cero.
• Análisis competitivo: Comprende el stack tecnológico de los competidores en tu nicho.
• Auditoría de seguridad: Verifica si un sitio que administras o evalúas está ejecutando una versión de tema desactualizada o vulnerable.
• Incorporación de clientes: Al hacerse cargo de un sitio WordPress sin documentación, la detección del tema suele ser la forma más rápida de reconstruir el stack.
• Verificaciones de compatibilidad de plugins: Muchos temas premium incluyen plugins específicos; conocer el tema ayuda a predecir el árbol de dependencias completo.

Si estás construyendo o migrando un sitio WordPress — ya sea en Hosting Web Compartido o en un entorno de VPS Hosting completamente administrado — conocer el slug exacto del tema es esencial antes de poder replicar un diseño o auditar una instalación heredada.

Método 1: Detectores de temas automáticos en línea

Las herramientas automatizadas son el punto de partida más rápido. Analizan el código fuente de la página, resuelven las URL de los activos CSS y JavaScript, y hacen referencias cruzadas con bases de datos de temas conocidos para devolver resultados estructurados en segundos.

What WordPress Theme Is That (whatwpthemeisthat.com)

Este es el detector más citado. Devuelve el nombre del tema, la versión, el autor, el URI del tema y una lista de plugins activos detectados a partir de scripts y hojas de estilo en cola.

Cómo usarlo:

1. Navega a whatwpthemeisthat.com.
2. Pega la URL completa del sitio objetivo en el campo de entrada.
3. Haz clic en Search.
4. Revisa la tarjeta del tema devuelta — incluye un enlace directo al repositorio del tema o a la página de compra.

Limitación: Si el sitio usa un tema hijo muy personalizado o ha renombrado el directorio del tema, la herramienta puede devolver el nombre del tema padre o fallar por completo.

WPThemeDetector (wpthemedetector.com)

WPThemeDetector va un paso más allá al catalogar también los plugins activos junto con el tema. Es particularmente útil cuando quieres entender el ecosistema completo de plugins, no solo el tema.

Cómo usarlo:

1. Ve a wpthemedetector.com.
2. Introduce la URL del sitio objetivo.
3. Haz clic en Experience the magic of WPTD.
4. La página de resultados lista el tema activo y hasta 20 plugins detectados con enlaces a sus entradas en WordPress.org.

Limitación: El nivel gratuito limita las solicitudes. Para análisis masivos, la inspección manual es más práctica.

IsItWP (isitwp.com)

IsItWP combina la detección de temas con un análisis más amplio de huellas tecnológicas. Confirma si el sitio está ejecutando WordPress antes de intentar la identificación del tema — útil cuando no estás seguro de si el objetivo es siquiera una instalación de WordPress.

Método 2: Inspección directa del código fuente de la página

Cuando las herramientas automatizadas fallan o devuelven resultados ambiguos, el código fuente de la página es la fuente de verdad. WordPress inyecta la hoja de estilo del tema activo como una etiqueta <link> en la sección <head> de cada página de forma predeterminada.

Ver el código fuente sin procesar de la página

1. Abre el sitio objetivo en cualquier navegador.
2. Presiona Ctrl+U en Windows/Linux o Cmd+U en macOS para abrir el código fuente sin procesar en una nueva pestaña.
3. Presiona Ctrl+F (Windows/Linux) o Cmd+F (macOS) para abrir la barra de búsqueda.
4. Busca la cadena wp-content/themes/.

Estás buscando una línea estructurada así:

<link rel='stylesheet' id='theme-name-css'
      href='https://example.com/wp-content/themes/theme-slug/style.css?ver=3.2.1'
      type='text/css' media='all' />

El segmento entre /wp-content/themes/ y el siguiente / es el nombre del directorio del tema (también llamado slug del tema). Este es el identificador canónico utilizado en el repositorio de temas de WordPress y por los desarrolladores de temas.

Consejo profesional: El parámetro de consulta ?ver= a menudo revela el número de versión del tema, lo cual es fundamental para la auditoría de seguridad. Haz una referencia cruzada de esta versión con el registro de cambios del tema para determinar si está actualizado.

Qué te dice el encabezado de style.css

Una vez que tienes el slug del tema, puedes acceder directamente a su encabezado de hoja de estilo construyendo la URL manualmente:

https://example.com/wp-content/themes/theme-slug/style.css

La parte superior de una hoja de estilo de tema WordPress bien formada contiene un bloque de comentarios estructurado que funciona como el manifiesto de metadatos del tema:

/*
Theme Name:  Astra
Theme URI:   https://wpastra.com/
Author:      Brainstorm Force
Author URI:  https://www.brainstormforce.com/
Description: Astra is fast, fully customizable & beautiful WordPress theme...
Version:     4.6.11
License:     GNU General Public License v2 or later
License URI: http://www.gnu.org/licenses/gpl-2.0.html
Text Domain: astra
Tags:        custom-background, custom-logo, custom-menu, ...
*/

Este bloque te proporciona el nombre exacto del tema, la versión, el autor y la licencia — todo lo que necesitas para localizar la fuente oficial del tema.

Nota de seguridad: Algunas configuraciones de WordPress reforzadas bloquean el acceso directo a los archivos del tema mediante reglas .htaccess o bloques de ubicación NGINX. Si recibes una respuesta 403 Forbidden, el administrador del sitio ha restringido explícitamente el recorrido de directorios — una buena práctica de seguridad.

Método 3: Herramientas de desarrollo del navegador para inspección profunda

Las DevTools del navegador proporcionan un control más granular que la visualización del código fuente sin procesar, especialmente cuando una página se ensambla dinámicamente o los activos se cargan de forma asíncrona.

Uso del panel Elements

1. Haz clic derecho en cualquier lugar de la página objetivo y selecciona Inspect (Chrome, Firefox, Edge).
2. En la pestaña Elements, presiona Ctrl+F para buscar dentro del DOM.
3. Busca wp-content/themes para resaltar todos los nodos coincidentes.
4. Examina los atributos href de las etiquetas <link> y los atributos src de las etiquetas <script> — ambos contendrán el slug del tema.

Uso del panel Network

El panel Network es el método más confiable cuando un sitio usa contenido renderizado por JavaScript o difiere la carga de hojas de estilo:

1. Abre DevTools y cambia a la pestaña Network.
2. Filtra por CSS o All.
3. Recarga la página con Ctrl+Shift+R (Windows/Linux) o Cmd+Shift+R (macOS).
4. Busca cualquier solicitud cuya ruta URL contenga /wp-content/themes/.
5. Haz clic en la solicitud para inspeccionar los encabezados de respuesta — el encabezado Last-Modified también puede dar pistas sobre el historial de actualizaciones del tema.

Lectura de encabezados de respuesta HTTP

Algunas configuraciones de WordPress exponen el X-Powered-By o encabezados personalizados que hacen referencia al tema o framework. En el panel Network, haz clic en cualquier solicitud de página y examina la sección Response Headers. Si bien esto rara vez es concluyente por sí solo, puede corroborar los hallazgos de otros métodos.

Método 4: Verificar el pie de página para créditos del tema

Muchos temas de WordPress gratuitos y freemium incluyen un enlace de atribución “Powered by” en el pie de página como condición de su licencia gratuita. Este es el método de detección de menor esfuerzo cuando aplica.

Desplázate hasta la parte inferior de la página objetivo y busca patrones de texto como:

• Powered by [Theme Name]
• WordPress Theme by [Developer Name]
• [Theme Name] by [Author]

Estos créditos generalmente enlazan directamente a la página oficial del tema. Sin embargo, los temas premium y cualquier sitio donde el propietario haya eliminado los créditos del pie de página — lo cual está permitido bajo GPL y la mayoría de las licencias comerciales — no mostrarán esto.

Caso extremo: Algunos desarrolladores de temas requieren la retención del crédito en el pie de página como condición de la licencia gratuita. Eliminarlo sin adquirir una licencia premium técnicamente viola los términos de la licencia. Si no ves ningún crédito en el pie de página, el sitio está ejecutando un tema premium o el propietario ha pagado para eliminar la atribución.

Método 5: Detección de temas hijo y relaciones con el tema padre

Un matiz crítico que la mayoría de las guías de detección omiten: los temas hijo son extremadamente comunes en sitios WordPress en producción, y cambian fundamentalmente lo que encuentras en el código fuente.

Cuando un sitio usa un tema hijo:

• La hoja de estilo activa href apunta al directorio del tema hijo (p. ej., /wp-content/themes/astra-child/style.css).
• El encabezado style.css del tema hijo contiene un campo Template: que identifica el tema padre.
• Ambos directorios existen en el servidor simultáneamente.

Ejemplo de encabezado de tema hijo:

/*
Theme Name:  Astra Child
Template:    astra
Version:     1.0.0
*/

La línea Template: astra es el indicador definitivo. El tema padre — astra en este caso — es el que contiene la funcionalidad principal y el sistema de diseño. El tema hijo solo anula plantillas o estilos específicos.

Lo que esto significa para ti: Si quieres replicar el diseño, necesitas el tema padre, no el hijo. Si quieres entender las personalizaciones, necesitas ambos.

Método 6: Uso de WP-CLI en servidores accesibles

Si tienes acceso SSH a la instalación de WordPress — por ejemplo, en tu propio entorno de VPS Hosting o en un Servidor Dedicado — WP-CLI proporciona la información de tema más autorizada disponible:

wp theme list --path=/var/www/html/wordpress

Ejemplo de salida:

+------------------+----------+-----------+---------+
| name             | status   | update    | version |
+------------------+----------+-----------+---------+
| astra            | active   | none      | 4.6.11  |
| astra-child      | active   | none      | 1.0.0   |
| twentytwentyfour | inactive | available | 1.1     |
+------------------+----------+-----------+---------+

Para un sitio que estás auditando de forma remota sin acceso SSH, este método no está disponible — pero para tus propias instalaciones, es la fuente definitiva de verdad y también revela temas inactivos que pueden representar una superficie de ataque si se dejan sin parchear.

Método 7: Consulta de la API REST de WordPress

WordPress expone una API REST de forma predeterminada. En muchas instalaciones sin modificar, el siguiente endpoint devuelve datos relacionados con el tema integrados en la información general del sitio:

https://example.com/wp-json/wp/v2/themes

Advertencia importante: Desde WordPress 5.7, este endpoint requiere autenticación — las solicitudes no autenticadas devuelven una respuesta 401 Unauthorized. Sin embargo, el endpoint de información general del sitio a veces filtra datos del tema:

https://example.com/wp-json/

Busca gmt_offset, timezone_string y ocasionalmente metadatos relacionados con el tema en el JSON de respuesta. Este es un método inconsistente pero vale la pena verificarlo en instalaciones antiguas o mal configuradas.

Manejo de sitios ofuscados o reforzados

Algunas instalaciones de WordPress están deliberadamente configuradas para ocultar la identidad del tema. Aquí se muestra cómo se ve cada contramedida y qué aún puedes determinar:

Ninguna contramedida individual bloquea todos los vectores de detección simultáneamente. Un sitio necesitaría implementar todas las anteriores para ser efectivamente opaco — lo cual es operativamente impracticable y rompería la funcionalidad legítima.

Comparación: Métodos de detección de temas de un vistazo

Consideraciones prácticas al usar un tema detectado

Una vez que has identificado el tema, se derivan varias decisiones posteriores:

Licencias: La mayoría de los temas de WordPress tienen licencia GPL, lo que permite la redistribución gratuita. Sin embargo, los temas premium vendidos a través de marketplaces como ThemeForest usan licencias divididas — el código PHP es GPL, pero los activos incluidos (imágenes, fuentes, bibliotecas JavaScript) pueden tener licencias comerciales. Adquirir una licencia legítima es el camino correcto.

Coincidencia de versiones: Si estás replicando un diseño, coincide con la versión exacta que detectaste. Las versiones más nuevas pueden tener diseños significativamente diferentes o características eliminadas.

Dependencias de plugins: Temas como Divi, Avada y los temas basados en Elementor dependen en gran medida de plugins complementarios. El tema solo no reproducirá el diseño sin el constructor de páginas correspondiente y sus plantillas guardadas.

Implicaciones de rendimiento: Si estás desplegando el tema identificado en tu propia infraestructura — ya sea en un VPS con cPanel o en una instancia de VPS Hosting básica — evalúa el peso de los activos del tema antes de comprometerte. Algunos temas populares cargan más de 500KB de CSS y JavaScript sin optimizar de forma predeterminada.

SSL y contenido mixto: Al mover un tema detectado a un nuevo dominio, asegúrate de que tu nuevo entorno tenga un Certificado SSL válido configurado. Los temas que codifican rutas de activos http:// activarán advertencias de contenido mixto en sitios HTTPS.

Matriz de decisión: Qué método usar

Usa esta matriz para seleccionar el método de detección apropiado según tu situación:

• Necesitas una respuesta rápida sin configuración técnica: Usa un detector en línea (whatwpthemeisthat.com o wpthemedetector.com).
• La herramienta en línea no devuelve resultado o devuelve un resultado incorrecto: Recurre a la inspección del código fuente de la página y busca wp-content/themes/.
• El código fuente de la página muestra un tema hijo pero necesitas el padre: Accede directamente al style.css del tema hijo y lee el campo Template:.
• Necesitas la versión exacta para una auditoría de seguridad: Combina el parámetro ?ver= de la URL de la hoja de estilo en cola con la inspección directa del encabezado style.css.
• Tienes acceso SSH al servidor: Ejecuta wp theme list vía WP-CLI para obtener resultados autorizados y completos, incluyendo temas inactivos.
• Todas las rutas CSS están ofuscadas o bloqueadas: Verifica en el panel Network cualquier URL de activo que contenga un slug de tema reconocible, luego verifica vía la API REST si el endpoint está abierto.
• Estás auditando tu propia instalación de WordPress: Usa WP-CLI en tu entorno de Panel de Control VPS para obtener la imagen más completa, incluyendo el estado de disponibilidad de actualizaciones.

Conclusiones técnicas clave

• La señal de detección canónica es la ruta /wp-content/themes/[slug]/style.css integrada en las etiquetas <link> del código fuente de la página.
• Los temas hijo se identifican por un campo Template: en su encabezado style.css que apunta al slug del tema padre.
• El parámetro de consulta ?ver= en las hojas de estilo en cola frecuentemente expone el número de versión del tema.
• El comando wp theme list de WP-CLI es el único método que revela los temas instalados inactivos (y potencialmente vulnerables).
• Renombrar el directorio del tema rompe las herramientas automatizadas pero no la inspección manual del código fuente si el archivo CSS sigue siendo accesible.
• Ninguna técnica de ofuscación individual previene todos los vectores de detección; un analista determinado con DevTools del navegador encontrará el slug del tema en la mayoría de los casos.
• Siempre verifica las licencias antes de desplegar un tema detectado en un sitio de producción — la libertad del código GPL no se extiende a todos los activos comerciales incluidos.

Preguntas frecuentes

¿Puede un sitio WordPress ocultar completamente su tema de la detección?

No de forma práctica. Incluso con el renombrado de directorios, el acceso a archivos bloqueado y el proxy CDN, el slug del tema típicamente aparece en al menos una URL de activo en cola en el código fuente de la página. La ofuscación completa requeriría servir todo el CSS en línea y eliminar todas las referencias a rutas de archivos — lo que rompe la arquitectura estándar de temas de WordPress.

¿Cuál es la diferencia entre un slug de tema y un nombre de tema?

El nombre del tema es la etiqueta legible por humanos definida en el encabezado style.css (p. ej., “Astra”). El slug del tema es el nombre del directorio en el servidor (p. ej., astra). Estos suelen ser similares pero no siempre idénticos — los temas premium a veces usan slugs que difieren de sus nombres de visualización. El slug es lo que importa para los comandos WP-CLI y el acceso directo a archivos.

¿Por qué los detectores de temas en línea a veces devuelven el tema incorrecto?

La mayoría de los detectores analizan la primera referencia /wp-content/themes/ en el código fuente de la página. Si un tema hijo está activo, devuelven el nombre del tema hijo en lugar del padre. Además, si un sitio usa un CDN que reescribe las URLs de activos, el detector puede no encontrar ninguna ruta específica de WordPress en absoluto.

¿Funciona la detección de temas en configuraciones de WordPress headless?

No. En una arquitectura de WordPress headless, el front end está desacoplado de WordPress — típicamente es una aplicación React, Next.js o Vue servida desde un origen separado. El tema de WordPress solo se usa en el backend de administración y no se renderiza en el HTML público. La detección de temas mediante la inspección del código fuente de la página encontrará el framework del front end, no el tema de WordPress.

¿Es legal usar un tema identificado en otro sitio?

Depende de la licencia. Los temas gratuitos en WordPress.org tienen licencia GPL y pueden usarse libremente. Los temas premium requieren una licencia de compra válida según los términos del desarrollador. Usar un tema premium sin licencia — incluso si obtuviste los archivos por otros medios — viola los términos de servicio del desarrollador y, en algunas jurisdicciones, la ley de derechos de autor que cubre los activos no PHP incluidos con el tema.