Hoy en día no podemos imaginar una instalación de WordPress 100% limpia y libre de plugins. Estas extensiones llegaron hace mucho tiempo al CMS más utilizado en el mundo para facilitar el día a día de muchos usuarios, millones, que necesitan integrar diferentes funcionalidades en los proyectos web que gestionan y que de partida no se incluyen en el core de WordPress.
Si acedemos al Directorio Oficial de Plugins de WordPress.org, podemos encontrarnos más de 56.000 plugins disponibles para descargar y probar. Es así como muchas personas (incluido yo) no se cortan a la hora de instalar plugins sin control, sin analizar realmente la utilidad de los mismos en sus instalaciones. Esto puede provocar que algunas webs funcionen mal, o carguen lento, ya que se han incorporado archivos que no aportan nada.
Es en este punto donde quiero incidir con este artículo, en esos plugins que mantenemos o descargamos para nuestros proyectos pero que en el fondo están ocupando un espacio que podríamos aprovechar para otras cosas, o cuyo desarrollo se ha abandonado y dejarlos activos podría provocar que tu web no fuese tan segura y hubiese problemas con el proveedor de hosting.
Si no lo vas a usar, ¿para qué lo descargas e instalas?
Si quieres dedicar tu vida a ser un desarrollador web de prestigio o un diseñador web con cierto renombre, deberías tener una lista de tareas que debes evitar hacer bajo ningún concepto. Por ejemplo, evita hacer clic en "Instalar" y "Activar" un plugin antes de revisar por la Red o preguntar a otros expertos que lo conozcan. Ser de gatillo fácil instalando plugins acaba provocando que tengas tu hosting manga por hombro y hagas más fácil acabar infectado por malware o un error de carga cuando menos te lo esperas.
Por si acaso, no tientes a la suerte. Contrata un buen servicio de copias de seguridad para todas tus webs, ya que en caso de problemas siempre podrás recuperar la información perdida con mínimo impacto.
En cuanto a hablar con conocidos o gente que usa ciertos plugins, hay que utilizar el sentido común. “No a todo el mundo le vale lo mismo”, sería la expresión. Me refiero a que por mucho que te recomienden un plugin en concreto, esto no significa que tengas que seguir a pies juntillas todo lo que te dicen, es muy difícil que un plugin determinado funcione igual en dos páginas web diferentes.
Cada WordPress es diferente, no hay dos proyectos iguales, por lo que la combinación de temas, plugins y el resto de elementos incluidos determinan en gran medida el nivel de conflictividad que pueden presentar los plugins. Ante todo, apúntalo aparte por si lo necesitas, debe prevalecer la idea de que todo aquello que no sea útil o no tenga una función definida en tu web elimínalo, ya que al desactivarlo completas el proceso a medias.
Analiza todo antes de instalar un plugin
Muchos de los plugins más habituales o conocidos se actualizan con cierta frecuencia, aunque como puedes suponer, depende de los desarrolladores, del tiempo y el nivel de profesionalidad que impriman a su trabajo. Hay casos en los que se desarrollan plugins muy interesantes pero una vez publicados no reciben tanta atención como cabría esperar y caen en el cajón de sastre hasta que son eliminados del repositorio de WordPress.
Experimenta, analiza y prueba todos los plugins que quieras antes de tomar la decisión de incorporar una extensión a tus proyectos. No hace falta decir que debes trabajar en un entorno de pruebas para hacer estos análisis.
A la hora de comprobar si un plugin “es bueno o malo”, échale un vistazo a todos estos aspectos que debes controlar:
- Conoce quién desarrolla el plugin y su trayectoria (si es que han creado más).
- Analiza el número de descargas realizadas y cuántas instalaciones activas hay.
- Revisa la compatibilidad del plugin con la versión de WordPress que tengas instalada.
- Evalúa la clasificación que tiene y los comentarios que dejan los usuarios.
- Cuándo se publicó la última actualización y qué cambios se produjeron.
De todos modos, ten presente también que existen plugins con pocas instalaciones pero que sí tienen la confianza de usuarios reconocidos en la red. Quiero decir que no todo es blanco o negro.
En situaciones normales, cualquier plugin que tenga menos de 1.000 instalaciones activas es muy probable que no sea revisado a menudo por su autor o directamente que lo haya abandonado por completo. Sin embargo, es cierto que hay casos de plugins con más de 1 año sin ser actualizados pero no se han visto afectados por vulnerabilidades, diciendo entre líneas que dichas extensiones son fiables aunque no se hayan tocado desde hace tiempo.
Un ejemplo es Exploit Scanner. En el momento de escribir este artículo, este plugin creado por Automattic lleva algo más de 1 año sin actualizarse. De hecho, si revisamos la sección de soporte encontramos bastante gente preguntando cuándo llegarán novedades. Sin embargo, no lo podemos catalogar como peligroso ya que no han habido vulnerabilidades que le afectasen desde su última actualización.
Plugins de WordPress que deberías eliminar
A partir de ahora hablaremos únicamente de aquellos plugins que deberías eliminar cuanto antes, ya sea porque estaban instalados de serie o bien porque los has descargado y probado pero te han provocado quebraderos de cabeza. Si lo ves conveniente, no dudes en desinstalar el plugin para tu seguridad.
La mayoría de plugins son de buena calidad, tienen bien escrito su código, se crearon para que duren en el tiempo y se actualicen periódicamente, además de contar con muchas descargas y cientos de valoraciones positivas que respaldan el trabajo realizado.
Pero también hay otros que aprovechan cualquier resquicio que generan las necesidades de los usuarios para colarse y dejar un rastro que a posteriori es difícil de eliminar.
Son plugins creados de la nada, sin un proyecto serio ni constante, que a la mínima de cambio abandonan provocando que otras personas generen código malicioso y lo introduzcan en los archivos de aquellos usuarios que sí usan dichas extensiones.
A continuación echa un ojo a esta lista de cinco plugins que llevan al menos 2 años sin ser actualizados, por lo que te recomendaría no acercarte salvo que te gusten las emociones fuertes:
1. VIP Scanner
VIP Scanner es un plugin que en su origen tenía como principal función escanear todos los archivos y plantillas que añadías en tu cuenta de hosting. También analizaba si había alguna vulnerabilidad en plugins, de forma que pudieras solucionar el problema lo antes posible. Sin embargo, no se ha actualizado en 2 años y solo ha tenido una valoración en total por los usuarios que lo han probado.
2. Code PHP in Widget
Code PHP in Widget es un plugin creado por un usuario particular que, como pone en su descripción, quiso satisfacer a aquellas personas que querían poner código PHP dentro de un widget visible en sus webs. La idea no parecía mala, pero no haberse actualizado desde 2016, que no se haya probado en al menos las tres últimas versiones publicadas de WordPress y que solo fue valorado por 3 usuarios distintos, no lo hacen muy recomendable.
3. Black Ribbon
Black Ribbon se creó con una finalidad muy clara, poner un lazo negro en la web donde se instalase. Algo muy sencillo y útil en determinados momentos, pero que no alcanzó el éxito que esperaba su autor. Y eso que según reza la descripción se podía colocar en 4 posiciones distintas dentro de la web, podía verse en dispositivos móviles e introducirle una URL de destino al propio lazo. Sólo se ha probado hasta la versión 4.6.12 y tiene únicamente 2 valoraciones, por lo que al igual que los anteriores, aléjate lo más posible de este plugin.
4. WordPress Bootscraper
WordPress Bootscraper es un plugin que nos ayudaba a limpiar de una instalación de WordPress todos esas secciones y archivos incorporados de serie y que no son necesarios para usar temas personalizados, como las metabox u opciones secundarias de las barras de herramientas. Sólo una valoración (aunque de 5 estrellas) y no haberse modificado en más de 2 años hace que no debas ni tan siquiera darle una oportunidad.
5. YITH Custom Login
YITH Custom Login es el único plugin con algo más de recorrido a nivel de usuarios de los cinco descritos. Permitía cambiar el estilo por defecto de acceso a tu hosting WordPress, establecer un estilo diferente para la página de acceso de cualquier web o personalizarlo según los gustos de cada uno. Fue valorado hasta en 20 ocasiones, todas con nota muy alta, pero quedó en desuso también en 2016.
Por tanto, hazte a la idea de que no hay plugins libres de caer en las redes de una vulnerabilidad. En WPScan Vulnerability Database podemos hacer una consulta rápida sobre las últimas alertas recibidas.
Sin ir más lejos, uno de los plugins más famosos en la actualidad, Wordfence, que protege tu web con un escáner de malware y un firewall, se ha visto afectado por un fallo de bypass, por el cual bloqueaba urls del estilo “http://www.example.com/?author=1” pero sí daba acceso a “http://www.example.com/?author[]=1”. Este error se detectó en la versión 7.1.12 y se corrigió de inmediato en la 7.1.14.
En resumen…
No te fíes ni de tu sombra. Cualquier plugin es susceptible de ser un nido de problemas para tu negocio si no se le presta la suficiente atención, tanto por tu parte vigilando que esté actualizado como por parte de los desarrolladores si no mantienen su nivel de interés en él.
Si después de haber leído este artículo quieres más información sobre plugins de WordPress, puedes echar un ojo a los artículos que te enseño a continuación:
