blog webempresa

Plugins WordPress que pueden arruinar tu web

por | Ago 18, 2023 | Plugins WordPress

Imagen destacada - Plugins WordPress que pueden arruinar tu web

Los plugins llegaron hace mucho tiempo a WordPress para facilitar la vida cotidiana a millones de usuarios que necesitan integrar funcionalidades en su web que están fuera del núcleo del CMS, no en vano hay más de 53.000 plugins disponibles solo en el Directorio Oficial de Plugins de WordPress.org ¡tela!

Teniendo en cuenta que los plugin están para ayudarte a mejorar las características de tu web, también hay plugins WordPress que pueden arruinar tu web y provocar que el sitio quede inoperativo, se ralentice su carga y PageSpeed Insights te diga que reduzcas el contenido JavaScript que no uses, o que sencillamente se desmonte la web en su totalidad o alguna de las páginas que la conforman.

Esto lleva a perder el miedo a “experimentar” instalando plugins a diestro y siniestro sin analizar el porque los necesitan y si realmente son necesarios para cubrir las necesidades de su web.

Llegados a este punto quiero hablarte de plugins WordPress pesados, abandonados o que duplican funcionalidades y que no deberías instalar, sobre todo en compañía de otros que pueden acabar acarreando conflictos y desavenencias entre ellos.

  ¿Qué dicen las estadísticas?

 

Si te pones a analizar datos, la cosa es para llevarla a consideración, si no fíjate en la siguiente información, elaborada a partir de un informe reciente sobre estadísticas de seguridad en WordPress que afectan al núcleo, plugins y temas principalmente.

El 52% de las vulnerabilidades reportadas fueron causadas por plugins de WordPress, mientras que el 44% de los ataques a este CMS se debió a sitios de WordPress con plugins abandonados, desactualizados u obsoletos.

Fuente: Melapress (2022 – 2023)

Es evidente que las cifras posiblemente hayan crecido porque no he conseguido datos del segundo trimestre de 2023, por lo que habrán cambiado en parte, pero son cifras para tener en cuenta y pensar que instalar plugins abandonados, desactualizados o vulnerables es como poner una bomba de relojería en tu web.

¡Ahh! y no he contabilizado en estas cifras los más de 30.000 plugins de WordPress que no están listados en WordPress.org y que suelen proceder de fuentes comerciales o terceros que los distribuyen de forma independiente.

Ser laxos a la hora de analizar antes de instalar provoca que millones de instalaciones acaben siendo vulnerables, principalmente por hacer uso de plugins mal programados o sencillamente abandonados por sus desarrolladores.

Plugin abandonado Latest Katch

En este ejemplo se trata de un plugin que lleva 7 años sin recibir actualizaciones de parte de su autor, que sencillamente lo dejó caer en el olvido, aparte de que el servicio de Katch (para Periscope, entre otras plataformas) dejó de funcionar hace años.

Hay casos de plugins aún activos en el Directorio de WordPress.org que son sangrantes, con más de 13 años sin actualizar, y que siguen ahí, a merced de cualquier incauto que se arriesgue a instalarlos en su web, solo por no prestar atención a los detalles.

Los plugins añaden nuevas funcionalidades a WordPress de forma rápida y sencilla, pero su abuso puede convertir un sitio rápido en problemático en poco tiempo.

  Si no lo necesitas, ¡no lo instales!

 

Para evitar convertirte en una persona con síndrome de Diógenes en tu sitio web, acumulando plugins sin parar, lo mejor es que te apliques el principio básico de seguridad denominado Mínimo Punto de Exposición o MPE que no es otro, sino el que cuanto menos expuesto quede tu sitio por plugins o temas vulnerables que expongan datos o abran brechas de acceso al sitio ¡mejor!

Esta máxima deberías tenerla visible en tu monitor o escritorio, para que te recuerde, si tienes cierta ligereza de dedos a la hora de hacer clic en Instalar y Activar, que el frenesí o la borrachera de plugins acaba en una intensa resaca en forma de infección por malware o un error 500 en WordPress en el momento menos esperado.

En situaciones como estas es cuando más se justifica una buena Política de Copias de Seguridad de tu WordPress, para regresar en pocos minutos al momento anterior al desastre anunciado.

Pero mejor me centro en los plugins, sobre todo en recordarte algunos que no deberías ni pensar en instalar en tu web, si realmente le tienes aprecio y quieres que siga mucho tiempo online, reuniendo leads, aumentando las visitas y mejorando el posicionamiento.

  ¿Hay que instalar todo lo que te recomiendan los “gurús”?

 

Hay que utilizar el sentido común, “si no lo necesitas no lo instales” y ante todo haz que prevalezca la máxima de seguridad del Mínimo Punto de Exposición de forma que todo lo que no sea necesario o realice una función en tu web elimínalo, ya que no vale solo con desactivarlo.

Seguro que lees a diario aquí y allá, en blogs con autoridad y bien posicionados, que hay que instalar el plugin “fulanito” porque hace tal cosa y es “la pera molinera” que va a sacar tu web del letargo y hacer que vaya “al infinito y más allá” ¡error! …vuelve a pensar en el sentido común o lee de nuevo el párrafo anterior.

Que lo recomienden influencers o blogueros de mucho calado no quiere decir que sea verdad absoluta, ya que lo que a unos les va bien a otros no necesariamente les va a funcionar de la misma forma.

Cada instalación de WordPress es diferente, no hay dos iguales, y como tal, la combinación de temas, plugins y otros elementos determinan mucho bajo que circunstancias algunos plugins pueden acabar siendo conflictivos, algo que no necesariamente sucederá en todas las instalaciones.

Experimenta, prueba, evalúa, antes de tomar la decisión de incorporar tal o cual plugin a tu web, y sobre todo hazlo en una caja de arena antes, así te evitas algún que otro susto.

  Evaluar antes de instalar

 

Muchos de los plugins habituales y/o desconocidos reciben actualizaciones de forma más o menos constante, aunque es algo que depende exclusivamente de sus desarrolladores.

Por esta razón es importante entender quién está detrás de un plugin en particular antes de instalarlo. Analizar el número de descargas que tiene en la actualidad dicho plugin y no obviar la reputación que los usuarios le dan por medio de las valoraciones o comentarios.

Estos son algunos pasos que puedes seguir para evaluar si debes o no utilizar un plugin:

  • Verifica que esté disponible en un sitio de confianza. (No warez, etc.)
  • Asegúrate de que es compatible con tu actual versión de WordPress.
  • Evalúa las valoraciones o reseñas que tiene (Directorio oficial de plugins de WordPress.org)
  • Comprueba cuando fue actualizado y revisa la lista de cambios (changelog).
  • Mira cuantas instalaciones activas tiene el plugin (1).

(1) Algunos plugins de confianza y bien programados tienen un número de instalaciones bajo, pero eso no significa que sean peores ni menos eficientes que otros con muchas instalaciones.

Si por ejemplo un plugin tiene menos de 1.000 instalaciones activas es posible que no tenga un mantenimiento estable por parte del autor o que haya sido abandonado, de ahí la importancia de analizar otros factores como la fecha de actualización.

Es cierto que se puede dar el caso de que un plugin lleve más de 1 año sin actualizar, pero este no aparezca en listados de sitios que recopilan vulnerabilidades de plugins, lo que podría indicar que el plugin es estable aunque no tenga mantenimiento desde hace tiempo.

Este podría ser el caso de Styles For WP Pagenavi Addon que lleva algo más de 1 año sin recibir actualizaciones, pero que no lo sitúa entre los plugins problemáticos, ya que no se ha visto afectado por vulnerabilidades desde su última actualización.

Plugin desactualizado Styles For WP Pagenavi Addon

Sin embargo, se puede instalar en WordPress 6.3 sin problema y funciona con absoluta normalidad, no generando carga adicional en la instalación ni ralentizando la misma.

Ajustes del plugin Styles For WP Pagenavi Addon

Y si te muestro cómo se ven los cambios de estilos aplicados a la paginación de Entradas de un blog donde he utilizado dicho plugin, verás que el funcionamiento es correcto.

Resultado de los ajustes del plugin Styles For WP Pagenavi Addon

Es importante siempre evaluar los comentarios de otros usuarios o pasarte por el Soporte del plugin para ver de qué fecha fueron las últimas incidencias reportadas y resueltas.

Cuando accedes al Directorio de Plugins de WordPres.org y determinado plugin lleva ya un tiempo sin ser actualizado por su autor, encontrarás en la parte superior de la página de ese plugin una leyenda en amarillo avisando de ello.

Este plugin no se ha actualizado en más de 2 años. Puede que ya no tenga soporte ni lo mantenga nadie, o puede que tenga problemas de compatibilidad cuando se usa con las versiones más recientes de WordPress.

Piensa que este aviso es motivo más que suficiente para no optar por el uso de dicho plugin ¿no crees?

Cuando ves un plugin en el Directorio de WordPress.org a la derecha del mismo tienes información importante y muy útil que actúa como indicador de la salud y compatibilidad del plugin, y deberías tomar estos datos muy en serio para decidir si lo vas a incorporar a tu lista de plugins activos en tu proyecto web.

Datos importantes de un plugin de WordPress

Al final de lo que se trata es de usar un poco el sentido común, no entrar en pánico porque veas un aviso al entrar en determinado plugin, y analizar los pormenores del mismo para ver si aunque lleve X tiempo sin actualizar, si no se ha visto comprometido con respecto a la seguridad y no es un plugin de mucha envergadura, lo más probable es que lo puedas usar sin problemas.

Es mejor eso que descargarte una versión estable de otro plugin “comercial” de similares características en un sitio web de dudosa reputación que podría acabar infectando tu WordPress con malware al no ser un plugin procedente de fuentes estables y seguras.

  Algunos plugins “abandonados” que no deberías instalar

 

Los plugins, la mayoría, los que realmente son buenos, tienen un buen código porque están bien programados, son plugins de largo recorrido, con muchas descargas, cientos de valoraciones positivas y una comunidad de usuarios creciente que confían en ellos.

Pero dentro de estos también hay otros que aprovechan los huecos que el mercado de oferta y demanda deja constantemente para establecerse, y cuando no están basados en proyectos firmes, con un equipo de desarrolladores serios detrás, que sean constantes, acaban en el abandono y posiblemente cargados de algunas vulnerabilidades esperando usuarios laxos o incautos para que hagan uso de estos plugins.

  • P3 (Plugin Performance Profiler) – https://es.wordpress.org/plugins/p3-profiler/ – Más de 3 años sin actualizar.[Cerrado desde el 13/10/22]
  • WP PHP widget – https://wordpress.org/plugins/wp-php-widget/ – 13años sin actualizar[Cerrado desde el 06/07/18]
  • Starbox Voting – https://wordpress.org/plugins/starbox-voting/ – 14 años sin actualizar.
  • Jason’s User Comments – https://wordpress.org/plugins/jasons-user-comments/ – 19 años sin actualizar[Cerrado desde el 16/06/22]
  • PS Auto Sitemap – https://wordpress.org/plugins/ps-auto-sitemap/ – 8 años sin recibir actualizaciones[Cerrado desde el 27/10/22]
  • flickrRSS – https://wordpress.org/plugins/flickr-rss/ – 9 años sin actualizar[Cerrado desde el 11/02/18]
  • Simple Post Views Count – https://wordpress.org/plugins/simple-post-views-count/ – 2 años sin actualizar.
  • Real Estate Listings Plugin for Professionals – https://wordpress.org/plugins/wp-real-estate-property-listing-crm/ – 5 años sin actualizar.
  • Delete Pending Comments – https://wordpress.org/plugins/delete-pending-comments/ – 2 años sin actualizar.
  • One Click Close Comments – https://wordpress.org/plugins/one-click-close-comments/ – 2 años sin actualizar.
  • WordPress Review Plugin – https://wordpress.org/plugins/wp-review/ – 2 años sin actualizar.
  • Header and Footer Scripts – https://wordpress.org/plugins/header-and-footer-scripts/ – 3 años sin actualizar.
  • Easy Google Fonts – https://wordpress.org/plugins/easy-google-fonts/ – 2 años sin actualizar.
  • Custom Post Type Permalinks – https://wordpress.org/plugins/custom-post-type-permalinks/ – 2 años sin actualizar.
  • AddQuicktag – https://wordpress.org/plugins/addquicktag/ – 2 años sin actualizar.
  • Show Current Template – https://wordpress.org/plugins/show-current-template/ – 2 años sin actualizar.
  • Add From Server – https://wordpress.org/plugins/add-from-server/ – 3 años sin actualizar.

Además, piensa que muchos de estos plugins son de por sí vulnerables. No tienes más que pasarte por WPScan Vulnerability Database y hacer consulta de alguno de ellos y verás que se han visto afectados por fallos de seguridad, posiblemente aún no corregidos.

Este listado podría ser tan extenso que necesitases unos días para revisar toda la lista completa, pues son cientos de ellos los que se encuentran en este proceso de abandono progresivo, y es por ello que WordPress les coloca la etiqueta amarilla avisando de que no se ha comprobado su compatibilidad con versiones estables y que debes usarlos bajo tu propio riesgo.

¿Va a explotar tu instalación web si usas alguno etiquetado en amarillo?, no necesariamente, tal como te mostré con el plugin Styles For WP Pagenavi Addon que tiene dicho aviso, pero es completamente funcional, aunque quién sabe si con el paso del tiempo acabará dejando de ser operativo.

Es por ello que el sentido común debe ser tu mejor aliado para determinar si quieres usar un plugin “marcado” porque no encuentres sustituto estable u otra forma de implementar esa funcionalidad en tu web, o si, por el contrario, prescindes de añadir esa opción a tu WordPress para no sacrificar la seguridad y estabilidad del sitio.

  Plugins con funciones EXEC

 

Son aquellos plugins que utilizan funciones exec () que no todos los proveedores de Hosting permiten utilizar por razones de seguridad.

Estos plugins no necesariamente están desactualizados, abandonados o tienen problemas de seguridad, pero su código realiza llamadas a funciones de PHP que ejecutan programas externos.

Se suelen desactivar para evitar problemas de seguridad en los servidores donde pudieran utilizarse para ejecutar comandos arbitrarios.

Algunos de estos plugins más conocidos son:

  • EWWW Image Optimizer – https://wordpress.org/plugins/ewww-image-optimizer/
  • ezPHP for WordPress – https://wordpress.org/plugins/ezphp/
  • Plugin Inspector – https://wordpress.org/plugins/plugin-inspector/
  • BackUpWordPress – https://wordpress.org/plugins/backupwordpress/
  • WPTerm – https://wordpress.org/plugins/wpterm/

Apenas una pincelada de los muchos que hay en el directorio oficial de plugins. Si te surgen dudas es bueno que consultes con tu proveedor de Hosting si determinados plugins que quieres utilizar funcionarán en el Hosting que tengas contratado.

  Plugins de Seguridad

 

Me gustaría hacer un inciso en este tipo de plugins, de los que se hablan maravillas en muchos blogs especializados, pero que en ocasiones acaban convirtiéndose en cuellos de botella o duplicando funcionalidades que posiblemente tu proveedor de Hosting ya implemente.

Instalar plugins para mejorar la seguridad de tu web no es en sí una solución, y en el caso de necesitar muchos plugins para proteger puntos débiles de tu web, quizás la pregunta que deberías hacerte es ¿estoy alojado en el proveedor de Hosting adecuado a mi proyecto web?.

El secreto se basa más en tener una mezcla coherente y equilibrada de medidas de seguridad, ya sea mediante .htaccess en WordPress, o incluso de plugins, pero un buen Hosting marca la diferencia en este sentido.

  • iThemes Security
  • Sucuri Security
  • VaultPress
  • All In One WP Security & Firewall
  • Wordfence Security
  • Bulletproof Security
  • Security Ninja
  • WP Antivirus Site Protection
  • WP Cerber Security

La lista podría ser más extensa, tanto como plugins para segurizar WordPress existen, pero su uso debería estar supeditado a paliar amenazas reales y no aquellas que tú piensas que podrían llevarse a cabo contra tu web, es muy probable que muchas de las posibles brechas que tratas de tapar con estos plugins ya estén cerradas por parte de tu proveedor de Hosting y sus medidas de seguridad.

Consulta con tu proveedor de Hosting qué medidas paliativas o pasivas utiliza en el servidor donde te alojas para evitar que tus webs creadas con WordPress no sean atacadas o infectadas, y una vez tengas clara dicha información, ya sabes qué tipo de plugins no vas a necesitar instalar para hardenizar tu WordPress, más allá de lo que ya se hace a nivel de servidor.

  Builders y framework

 

En este breve listado no se trata de evidenciar carencias o fallos de programación en plugins que habitualmente se utilizan, pero sí indicar que cuando se usa código espagueti, o sobre-programación, se corre el riesgo de crear scripts (es lo que son los plugins) con una estructura de flujo compleja y difícilmente comprensible que los convierten en colisionadores nativos de otros plugins.

En esta otra lista casi de facto metería la mayoría de plugins de constructores (builders) habituales, pues muchos de ellos generan una dependencia brutal (efecto candado o lock-in) que los convierte en auténticos parasitadores del tema y los contenidos generados con estos builders.

  • Page Builder (SiteOrigin)
  • Visual Composer
  • Fusion Builder (Avada · Theme Fusion)
  • Theme4Press Evolve Builder

Que los añada a este listado no significa que debas dejar de utilizarlos, es solo un aviso a navegantes para que reconsideres cuando tu proyecto necesita un constructor y cuál de los existentes y más populares, que no son pocos como ya te conté en anteriores artículos.

Es cierto que muchos de los modernos Temas para WordPress existentes en la actualidad ya vienen con estos constructores preinstalados o se recomienda necesariamente su uso, lo que ciertamente es uso condicionado, posiblemente por cuestiones comerciales, pero existen builders como por ejemplo Elementor, por citar uno, que no son ni la cuarta parte de intrusivos que son los citados, hacen muy bien su trabajo y suele ser posible usarlos con temas conocidísimos del mercado de temas.

Luego están los framework, que por sí solos son buenas herramientas, pues son pseudo-constructores específicos para determinados temas, o mejor dicho, para temas basados en esos framework.

Por regla general no suelen ser conflictivos, pero en conjunción con otros plugins u otros constructores pueden acabar generando problemas. Por ejemplo, se ha dado el caso de que el framework Gantry 4 al funcionar en una instalación con versiones del plugin Yoast SEO 5.x y superiores, genera un conflicto JavaScript que impide el uso del framework dejándolo disfuncional.

No debes dejar de usar framework si tu tema los requiere, pero sí es importante que te documentes por si existen conflictos de estos con plugins que puedas estar usando en tu web o tengas pensado incorporar a tu proyecto.

  Conclusiones

 

Este artículo va especialmente dedicado a todas aquellas personas que pasan horas intentando explicar por qué el uso de muchos o determinados plugins pueden ser contraproducentes para una instalación de WordPress o porque Pingdom u otras herramientas se empeñan en dejar constancia de los tiempos de carga exagerados cuando se usan combinaciones de plugins poco recomendables.

No existe una fórmula concreta que ayude a determinar cuando una instalación web está abusando de ciertos plugins, no necesariamente por cantidad, ya que a veces es suficiente uno solo para dar al traste con la web o los tiempos de carga, pero un análisis detallado de lo que instalas y para qué tienen que servir de indicador para saber cuándo parar o cambiar de plugins.

Escucha más a tu servidor, donde se aloja tu web, a las herramientas de medición de tiempos de carga existentes en Internet, apadrina el principio del Mínimo Punto de Exposición, haz siempre copias de seguridad antes de instalar “otro plugin más” y piensa que si no lo vas a utilizar ¿para qué lo vas a instalar? 🤔

Recuerda la máxima que dice que “menos es siempre más” y aplícatela.

¿Te ha resultado útil este artículo?

Black Friday 2024