Los plugins llegaron hace mucho tiempo a WordPress para facilitar la vida cotidiana a millones de usuarios que necesitan integrar funcionalidades en su web que están fuera del núcleo del CMS, no en vano hay más de 53.000 plugins disponibles solo en el Directorio Oficial de Plugins de WordPress.org ¡tela!
Esto lleva a muchos a "experimentar" instalando plugins a diestro y siniestro sin analizar el porque los necesitan y si realmente son necesarios para cubrir las necesidades de su web.
Llegados a este punto quiero hablarte de plugins WordPress pesados, abandonados o que duplican funcionalidades y que no deberías instalar, sobre todo en compañía de otros que pueden acabar acarreando conflictos y desavenencias entre ellos.
¿Qué dicen las estadísticas?
Si nos ponemos a analizar datos, la cosa es para llevarla a consideración, sino fíjate en el siguiente gráfico que he elaborado simplemente con unos pocos datos obtenidos de estudios realizados por Sucuri y otras fuentes fiables en Internet.
Es evidente que las cifras posiblemente hayan crecido porque no he conseguido datos de mitad de 2017 hasta el final del año, por lo que habrá datos que habrán cambiado significativamente, pero en su conjunto las cifras son para tenerlas en cuenta y pensar que instalar plugins abandonados, desactualizados o vulnerables es como poner una bomba de relojería en tu web.
Ahh! y no he contabilizado en estas cifras los más de 29.000 plugins de WordPress que no están listados en WordPress.org y que suelen proceder de fuentes comerciales o terceros que los distribuyen de forma independiente.
Ser laxos a la hora de analizar antes de instalar provoca que millones de instalaciones acaben siendo vulnerables, principalmente por hacer uso de plugins mal programados o sencillamente abandonados por sus desarrolladores.
Haz clic en la imagen para ampliarla
Hay casos de plugins aún activos en el Directorio de WordPress.org que son sangrantes, con más de 13 años sin actualizar, y que siguen ahí, a merced de cualquier incauto que se arriesgue a instalarlos en su web, solo por no prestar atención a los detalles.
Los plugins añaden nuevas funcionalidades a WordPress de forma rápida y sencilla, pero su abuso puede convertir un sitio rápido en problemático en poco tiempo.
Si no lo necesitas ¡no lo instales!
Esta máxima debería prevalecer en un post-it en tu monitor, a un lado, bien visible, para que te recuerde, si eres ligero de dedos a la hora de hacer clic en "Instalar" y "Activar", que el frenesí o la borrachera de plugins acaba en una intensa resaca en forma de infección por malware o un error 500 en el momento menos esperado.
En situaciones como estas es cuando más se justifica una buena Política de Copias de Seguridad de tu WordPress, para regresar en pocos minutos al momento anterior al desastre anunciado.
Pero mejor me centro en los plugins, sobre todo en recordarte algunos que no deberías ni pensar en instalar en tu web, si realmente le tienes aprecio y quieres que siga mucho tiempo online, recabando leads, visitas y mejorando el posicionamiento.
¿Hay que instalar todo lo que te recomiendan?
Hay que utilizar el sentido común, "si no lo necesitas no lo instales" y ante todo haz que prevalezca la máxima de seguridad del Mínimo Punto de Exposición (MPE) de forma que todo lo que no sea necesario o realice una función en tu web eliminalo, ya que no vale solo con desactivarlo.
Seguro que eres de los que lee a diario aquí y allá, en blogs con autoridad y bien posicionados que hay que instalar el plugin "fulanito" porque hace tal cosa y es "la pera molinera" que va a sacar tu web del letargo y hacer que vaya "al infinito y más allá" ¡error! ...vuelve a pensar en el sentido común o lee de nuevo el párrafo anterior.
Que lo recomienden influencers
o blogueros de mucho calado no quiere decir que sea verdad absoluta ya que lo que a unos les va bien a otros no necesariamente les va a funcionar de la misma forma.
Cada instalación de WordPress es diferente, no hay dos iguales, y como tal, la combinación de temas, plugins y otros elementos determinan mucho bajo que circunstancias algunos plugins pueden acabar siendo conflictivos, algo que no necesariamente sucederá en todas las instalaciones.
Experimenta, prueba, evalúa, antes de tomar la decisión de incorporar tal o cual plugin a tu web, y sobre todo hazlo en una caja de arena antes, así te evitas algún que otro susto.
Evaluar antes de instalar
Muchos de los plugins habituales y/o desconocidos reciben actualizaciones de forma más o menos constante, aunque es algo que depende exclusivamente de sus desarrolladores.
Por esta razón es importante entender quién está detrás de un plugin en particular antes de instalarlo. Analizar el número de descargas que tiene en la actualidad dicho plugin y no obviar la reputación que los usuarios le dan por medio de las valoraciones o comentarios.
Estos son algunos pasos que puedes seguir para evaluar si debes o no utilizar un plugin:
- Verifica que esté disponible en un sitio de confianza. (No warez, etc.)
- Asegúrate de que es compatible con tu actual versión de WordPress.
- Evalúa la clasificación que tiene (Directorio oficial de plugins de WordPress.org)
- Comprueba cuando fue actualizado y revisa la lista de cambios (changelog).
- Comprueba cuantas instalaciones activas tiene el plugin (1).
(1) Algunos plugins de confianza y bien programados tienen un número de instalaciones bajo pero eso no significa que sean peores ni menos eficientes que otros con muchas instalaciones.
Si por ejemplo un plugin tiene menos de 1.000 instalaciones activas es posible que no tenga un mantenimiento estable por parte del autor o que haya sido abandonado, de ahí la importancia de analizar otros factores como la fecha de actualización.
Es cierto que se puede dar el caso de que un plugin lleve más de 1 año sin actualizar pero este no aparezca en listados de sitios que recopilan vulnerabilidades de plugins, lo que podría indicar que el plugin es estable aunque no tenga mantenimiento desde hace tiempo.
Este podría ser el caso de WordPress Importer que está desarrollado por WordPress.org y que lleva algo más de 1 año sin recibir actualizaciones, pero que no lo sitúa entre los plugins problemáticos, ya que no se ha visto afectado por vulnerabilidades desde su última actualización.
Haz clic en la imagen para ampliarla
Es siempre importante evaluar los comentarios de otros usuarios o pasarte por el Soporte del plugin para ver de qué fecha fueron las últimas incidencias reportadas y resueltas.
Cuando accedes al Directorio de Plugins de WordPres.org y determinado plugin lleva ya un tiempo sin ser actualizado por su autor, encontrarás en la parte superior de la página de ese plugin una leyenda en amarillo avisando de ello.
Piensa que este aviso es motivo más que suficiente para no optar por el uso de dicho plugin ¿no crees?
Cuando ves un plugin en el Directorio de WordPress.org a la derecha del mismo tienes información importante y muy útil que actúa como indicador de la salud y compatibilidad del plugin, y deberías tomar estos datos muy en serio para decidir si lo vas a incorporar a tu lista de plugins activos en tu proyecto web.
Haz clic en la imagen para ampliarla
Algunos plugins "abandonados" que no deberías instalar
Los plugins, la mayoría, los que realmente son buenos, tienen un buen código porque están bien programados, son plugins de largo recorrido, con muchas descargas, cientos de valoraciones positivas y una comunidad de usuarios creciente que confían en ellos.
Pero dentro de estos también hay otros que aprovechan los huecos que el mercado de oferta y demanda deja constantemente para establecerse, y cuando no están basados en proyectos firmes, con un equipo de desarrolladores serios detrás, que sean constantes, acaban en el abandono y posiblemente cargados de algunas vulnerabilidades esperando usuarios laxos o incautos para que hagan uso de estos plugins.
- P3 (Plugin Performance Profiler) - https://es.wordpress.org/plugins/p3-profiler/ - Más de 3 años sin actualizar.
- WP PHP widget - https://wordpress.org/plugins/wp-php-widget/ - 7 años sin actualizar.
- Starbox Voting - https://wordpress.org/plugins/starbox-voting/ - 9 años sin actualizar.
- Limit Login Attempts - https://wordpress.org/plugins/limit-login-attempts/ - 6 años sin actualizar.
- Jason’s User Comments - https://wordpress.org/plugins/jasons-user-comments/ - 13 años sin actualizar.
- PS Auto Sitemap - https://wordpress.org/plugins/ps-auto-sitemap/ - 3 años sin recibir actualizaciones.
- flickrRSS - https://wordpress.org/plugins/flickr-rss/ - Algo más de 3 años sin actualizar.
Además piensa que muchos de estos plugins son de por sí vulnerables. No tienes más que pasarte por WPScan Vulnerability Database y hacer consulta de alguno de ellos y verás que se han visto afectados por fallos de seguridad posiblemente aún no corregidos.
Plugins con funciones EXEC
Son aquellos plugins que utilizan funciones exec() que no todos los proveedores de Hosting permiten utilizar por razones de seguridad.
Estos plugins no necesariamente están desactualizados, abandonados o tienen problemas de seguridad, pero su código ejecuta llamadas a funciones de PHP que ejecutan programas externos.
Se suelen desactivar para evitar problemas de seguridad en los servidores donde pudieran utilizarse para ejecutar comandos arbitrarios.
Algunos de estos plugins más conocidos son:
- EWWW Image Optimizer - https://wordpress.org/plugins/ewww-image-optimizer/
- ezPHP for WordPress - https://wordpress.org/plugins/ezphp/
- Plugin Inspector - https://wordpress.org/plugins/plugin-inspector/
- BackUpWordPress - https://wordpress.org/plugins/backupwordpress/
- WPTerm - https://wordpress.org/plugins/wpterm/
Apenas una pincelada de los muchos que hay en el directorio oficial de plugins. Si te surgen dudas es bueno que consultes con tu proveedor de Hosting si determinados plugins que quieres utilizar funcionarán en el Hosting que tengas contratado.
Plugins de Seguridad
Me gustaría hacer un inciso en este tipo de plugins, de los que se hablan maravillas en muchos blogs especializados, pero que en ocasiones acaban convirtiéndose en cuellos de botella o duplicando funcionalidades que posiblemente tu proveedor de Hosting ya implemente.
Instalar plugins para mejorar la seguridad de tu web no es en sí una solución, y en el caso de necesitar muchos plugins para proteger puntos débiles de tu web, quizás la pregunta que deberías hacerte es ¿estoy alojado en el proveedor de Hosting adecuado a mi proyecto web?.
El secreto se basa más en tener una mezcla coherente y equilibrada de medidas de seguridad, ya sea mediante .htaccess, o incluso de plugins, pero un buen Hosting marca la diferencia en este sentido.
- iThemes Security
- Sucuri Security
- VaultPress
- All In One WP Security & Firewall
- Wordfence Security
- Bulletproof Security
- Security Ninja
- WP Antivirus Site Protection
- ...
La lista podría ser más extensa, tanto como plugins para segurizar WordPress existen, pero su uso debería estar supeditado a paliar amenazas reales y no aquellas que tu piensas que podrían llevarse a cabo contra tu web, es muy probable que muchas de las posibles brechas que tratas de tapar con estos plugins ya estén cerradas por parte de tu proveedor de Hosting y sus medidas de seguridad.
Builders y frameworks
En este breve listado no se trata de evidenciar carencias o fallos de programación en plugins que habitualmente se utilizan, pero si indicar que cuando se usa código espagueti, o sobre-programación, se corre el riesgo de crear scripts (es lo que son los plugins) con una estructura de flujo compleja y difícilmente comprensible que los convierten en colisionadores nativos de otros plugins.
En esta otra lista casi de facto metería la mayoría de plugins de constructores (builders) habituales, pues muchos de ellos generan una dependencia brutal (efecto lock-in) que los convierte en auténticos parasitadores del tema y los contenidos generados con estos builders.
- Divi Builder (ElegantThemes)
- Page Builder (SiteOrigin)
- Visual Composer
- Fusion Builder (Avada · Theme Fusion)
- Theme4Press Evolve Builder
Que los liste no significa que debas dejar de utilizarlos, es solo un aviso a navegantes para que reconsideres cuando tu proyecto necesita un constructor y cual de los existentes y más populares, que no son pocos como ya te conté en anteriores artículos.
Es cierto que muchos de los modernos Temas para WordPress existentes en la actualidad ya vienen con estos constructores preinstalados o se recomienda necesariamente su uso, lo que ciertamente es uso condicionado, posiblemente por cuestiones comerciales, pero existen builders como por ejemplo Elementor, por citar uno, que no son ni la cuarta parte de intrusivos que son los citados, hacen muy bien su trabajo y suele ser posible usarlos con temas conocidísimos del mercado de temas.
Lectura recomendada:
Elementor Page Builder ¿cómo maquetar tus páginas en WordPress?
Luego están los frameworks, que por si solos son buenas herramientas, que son pseudo-constructores específicos para determinados temas, o mejor dicho, para temas basados en esos frameworks.
Por regla general no suelen ser conflictivos, pero en conjunción con otros plugins u otros constructores pueden acabar generando conflictos. Por ejemplo se ha dado el caso de que el framework Gantry 4 al funcionar en una instalación con versiones del plugin Yoast SEO 5.x y superiores, genera un conflicto javascript que impide el uso del framework dejándolo disfuncional.
No debes dejar de usar frameworks si tu tema los requiere, pero si es importante que te documentes por si existen conflictos de estos con plugins que puedas estar usando en tu web o tengas pensado incorporar a tu proyecto.
Conclusiones
Este artículo va especialmente dedicado a todos aquellos que pasan horas intentando explicar porque el uso de muchos o determinados plugins pueden ser contraproducentes para una instalación de WordPress o porque Pingdom u otras herramientas se empeñan en dejar constancia de los tiempos de carga exagerados cuando se usan combinaciones de plugins poco recomendables.
No existe una fórmula concreta que ayude a determinar cuando una instalación web está abusando de ciertos plugins, no necesariamente por cantidad, ya que a veces es suficiente uno solo para dar al traste con la web o los tiempos de carga, pero un análisis detallado de lo que instalas y para qué tienen que servir de indicador para saber cuando parar o cambiar de plugins.
Escucha más a tu servidor, donde se aloja tu web, a las herramientas de medición de tiempos de carga existentes en Internet, apadrina el principio del Mínimo Punto de Exposición, haz siempre copias de seguridad antes de instalar "otro plugin más" y piensa que si no lo vas a utilizar ¿para que lo vas a instalar?
En un próximo artículo te contaré como detectar cuellos de botella en tu instalación de WordPress para que seas capaz de detectar lo que suma, lo que resta y lo que estorba en tu instalación.
Un pequeño adelanto en forma de captura...
Haz clic en la imagen para ampliarla
....no, no es P3 Performance Profiler :D ¡paciencia!
Recuerda la máxima que dice que "menos es siempre más" y aplícatela.