Guía: Cómo saber si un plugin es seguro antes de instalarlo

Por , actualizado en

Una de las principales bondades de WordPress es que puedes extenderlo a través de los plugins, que te permiten añadir funcionalidad que WordPress no trae de fábrica. La funcionalidad de un plugin puede ir desde cosas realmente triviales, hasta verdaderos y complejos subsistemas. Desgraciadamente, tanto como pueden ser potentes, también pueden ser extremadamente problemáticos, si no tienes el cuidado necesario. WordPress cuenta con un directorio bastante extenso de plugins, en el que puedes encontrar de todo.

Hay que decir que el directorio de plugins de WordPress en la actualidad está siendo más vigilado que nunca; eso ayuda mucho, pero no cubre todo el espectro de problemas que pueden tener los plugins. Por ejemplo, hoy en día son bastante más estrictos con plugins que incurren en prácticas de malware y similares, pero por otro lado hay mucho plugin desactualizado y/o abandonado, y no hay para cuando dejarlos de ver.

Afortunadamente hay una serie de buenas prácticas que pueden marcar la diferencia entre que selecciones un excelente plugin o que elijas un lastre para tu sitio. Sigue estas simples recomendaciones y te aseguro que los problemas con los plugins de tu sitio serán mínimos:

Sólo usa la fuente oficial, el repositorio de WordPress

La fuente oficial de todo plugin es el Repositorio de Plugins de WordPress; cualquier otro que venga de otra fuente es un gran foco rojo que no debes ignorar. Sólo en condiciones muy específicas te puedes dar el lujo de instalar plugins que estén fuera del repositorio oficial. Es la manera más segura de meter en problemas a tu sitio; y para muestra, basta un botón:

Gráfica de Wordfence de ataques a WordPress por tipo
Ataques a WordPress por tipo (fuente: Wordfence)

Lo que ves arriba es una gráfica tomada de Wordfence que muestra cuales son los vectores de ataque a WordPress; como puedes ver, los plugins están en primer lugar. En pocas palabras, ten mucho cuidado que plugins usas en tu sitio, porque por ahí es donde entran la mayoría de los ataques.

Pero regresemos al tema: hay una consideración especial: si usas un plugin y algún día al querer actualizarlo o revisar su información en el directorio te percatas que ya no está disponible, es momento de borrarlo enseguida, pues ya no es confiable para nada. El que ya no aparezca disponible en el directorio puede tener varias razones, como por ejemplo que el mismo autor haya pedido que se retire, o que le hayan encontrado alguna vulnerabilidad severa, o que no cumpla con la GPL, entre otras causas. Si usas Wordfence, este incluye entre sus alertas los plugins que ya están descontinuados, como puedes ver a continuación:

Oops…tres plugins abandonados…¡desinstálalos y quémalos con fuego!

Para hacer una revisión más o menos automatizada de los plugins que tienes instalados para saber si tienes alguno que haya sido retirado del directorio o bien si usas algún plugin que no haya sido actualizado en mucho tiempo, puedes usar el plugin No longer in directory, el cual irónicamente no cumple con algunas de las consideraciones mínimas que aquí presento para determinar que tan confiable es, pero lo que hace no es nada crítico así que puedes instalarlo sin problemas.

Lee la descripción

Una descripción clara y detallada es una buena señal; deberías de poder ver que funcionalidad tiene el plugin en cuestión, problemas conocidos, opciones de soporte y más datos. Todo esto es observación al detalle; nada me aleja más de un plugin que una página de descripción tan vacía como un desierto, sin importar todo lo bueno que pudiera tener.

Lee el control de cambios

En la pantalla general del plugin ve a la pestaña “Desarrollo” o “Development”, haz clic en ella y ubica la sección “Registro de cambios”, que te mostrará agrupado por número de versión, que cambios hubo entre ellas. Nota: esta información puede ser algo técnica en ocasiones, pero también contiene mucha información que te puede servir: por ejemplo, a mi me gusta leerlo para saber si han mejorado el plugin en cuanto a uso de tecnologías nuevas. Un caso concreto es saber si el plugin ya fue actualizado para usar PHP 7 o superior, o bien que tan activos están los desarrolladores corrigiendo errores menores en su plugin. Como dije antes, es información más bien técnica, pero vale la pena tratar de adentrarse un poco más en los controles de cambios (o changelogs, como se les conoce en el mundillo del desarrollo).

Aprende a interpretar la información del plugin

Cada plugin tiene un conjunto bien definido de características que, siempre que sepas interpretarlas, te darán la pista para determinar si el plugin es confiable o no. Estas son las características de todo plugin en el repositorio (estoy usando la página de JetPack como referencia de un plugin confiable):

Imagen de datos básicos de plugin con notas agregadas

¿Cuándo fue actualizado por última vez? (1)

Un signo inequívoco de un plugin confiable es que se actualiza seguido; por lo general siempre verás que los plugins confiables siempre tienen una última actualización de si acaso hace un mes. Cuando veas un plugin con más de seis meses (es un número personal y arbitrario que me parece razonable), es hora de desinstalarlo y buscar una opción. He tenido discusiones con algunos desarrolladores sobre cómo este valor está sobrevalorado pues no refleja que en realidad hayas hecho algún cambio; y hasta cierto punto es cierto, pero también es cierto que en muchas ocasiones si refleja que el desarrollador está detrás de su plugin.

Total de instalaciones activas (2)

Esta es la diferencia entre si eres un mero “tester” del plugin, o eres un usuario del mismo. Un plugin con apenas unas decenas o incluso centenas de instalaciones no dice mucho; unos miles, ahí la lleva; y unas decenas o cientos de miles, ya estamos hablando de algo en firme; si son millones, bueno, son la realeza de los plugins. Aquí tendrás que aplicar tu sentido común, puesto que pudiera ser alguna funcionalidad muy rara y sólo te haga falta a ti y a 300 personas más, y entonces no podríamos decir que es un plugin malo (si hace lo que debe).

Versión mínima de WordPress que requiere (3)

Esta es un indicador menor, pero vale la pena hacer mención de que yo al menos aquí espero ver una versión no muy antigua de WordPress. Actualmente que está la versión 4.9.4, no espero menos que compatibilidad con la versión 4 en adelante. De nuevo, en lo personal me parece que los autores de tales plugins le hacen un flaco favor a la plataforma dando soporte a versiones viejas y ya obsoletas de WordPress, pues así le siguen dando su zona de confort a los que no quieren actualizarse por x o y.

Compatibilidad con el WordPress que tengas en ese momento

Muchas personas preguntan cuando ven ese letrero de “Este plugin no se ha probado con las últimas 3 versiones de WordPress“, y se preguntan si deberían o no instalar tal plugin; por un lado, hay que ver que la compatibilidad con la versión de WordPress no es más que una línea de un archivo de texto que se distribuye con del código fuente del plugin; no hay ninguna prueba, test, control, lo que sea, que compruebe una compatibilidad real. Es decir, un autor puede tener un plugin al que sólo le actualice la línea de la compatibilidad con la versión de WordPress, y el plugin se mostrará como compatible. Así que es algo que debes tomar bona fide pues no hay mucho detrás de esto;  no te estoy diciendo que no sea importante, que de hecho lo es. Así que:

  • ¿Funcionará un plugin que no tenga compatibilidad con el WordPress más actual? probablemente si.
  • ¿Debería instalar plugins que no tengan compatibilidad con el WordPress más actual? probablemente no.

Yo te sugeriría evitar tales plugins, a menos que fuera algo que necesitaras y fuese vital…y aún así, ya sería hora de que vayas evaluando alternativas.

Versión en que ha sido probado (4)

Aquí deberías exigir que se haya probado con la versión actual de WordPress del momento, o si acaso la revisión menor inmediata hacia abajo; por ejemplo, ahora que está la 4.9.4, no esperaría que sea compatible a la versión 4.9.3. Y en caso de que no sea probado con una versión medianamente reciente, desconfía de ese plugin. En mi caso, este criterio es muy importante.

Lenguajes en que está disponible (5)

Esta característica es indicadora de varias cosas; el entusiasmo detrás del proyecto, en cierta manera el tamaño de la comunidad relacionada con ese plugin; aunque para ser honesto, muy pocas veces se ven tantas traducciones en un plugin. Aquí igual aplica el sentido común; JetPack cubre un amplio espectro de funcionalidad y apela a muchos tipos de usuarios y/o sitios, así que eso me hace comprender el porqué tantas traducciones.

Pondera las estrellas, lee las críticas

Imagen de valoraciones de plugin con notas agregadas

Llegamos a las estrellas y las críticas. Aquí es donde te digo que te vayas con cuidado, pues pueden ser engañosas; de todas las secciones, ésta es donde debes aplicar más tu sentido común. Pondera situaciones como estas:

  • Relación entre estrellas y críticas…tiene pocas y todas excelentes, ¿serán reales? ¿es el único plugin que hace esto? ¿hay un sustituto con mejores críticas?
  • Calidad de las críticas: piensa en un plugin con algunas críticas malas tontas o inútiles (“no lo he usado pero parece que apesta – una estrella”, o al revés)…
  • Ve cómo están distribuidas las estrellas; de nada sirven cinco mil calificaciones si el 80% son de una o dos estrellas.

No está de más que intentes buscar críticas externas, aunque en muchos casos es bastante complicado dar con una bien hecha. En resumen, lee las críticas dejadas por los usuarios hasta donde te sea posible, sea que te convenzan de que es bueno o malo.

¿Ofrecen un buen soporte?

Imagen de soporte de plugin con notas agregadas

El soporte siempre es importante; las más veces las primeras experiencias con los plugins son bastante tranquilas, pero cuando las cosas se salen de control y no sabes que hacer lo primero que haces (o deberías hacer) es buscar ayuda en los foros. Puedes sentir la temperatura del agua antes de meterte en lo relacionado con soporte haciendo lo siguiente:

  • Ve el indicador de cuantos problemas han resuelto en los últimos dos meses; verás que dice algo como “182 de 234” dentro de la barra de progreso (en el caso de JetPack, al momento de escribir esto), y eso indica un porcentaje positivo bastante bueno (¡poco menos del 80%!), lo cual quiere decir que hay un nivel de contestación bastante aceptable.
  • Lee el foro de soporte para este plugin; revisa que tan rápido responden, que tan amables son, que tan bien responden a las críticas, a los problemas urgentes, a la gente desesperada. Lee y lee hasta cansarte, porque esta es una de las áreas más importantes, en lo personal para mi. Trata de buscar en el pasado problemas serios, y cómo reaccionaron los desarrolladores ante esto. Para ejemplificar, leyendo rápidamente los foros de JetPack veo que los desarrolladores son muy educados, aún con la gente grosera, pero veo que responden hasta después de un día.
  • Lee la descripción del plugin y ve si ofrecen otras opciones de soporte, muy en particular soporte fuera de los foros de WordPress, y por lo general de paga; aquí deberás ponderar la situación, porque por lo general se enfocan en dichos foros de paga, y los foros de WordPress, bien gracias.

Revisa su puntuación en RIPS CodeRisk

CodeRisk es una especie de índice realizado por la empresa RIPS; este toma en consideración varios criterios para evaluarlos en una fórmula propietaria que crearon y que regresa un entero que te indica  que tan riesgoso es usar ese plugin: 0 significa que no hay riesgo alguno, 100 ponte traje especial para manejar desechos químicos cuando lo instales. Por ejemplo, te muestro la puntuación de WP Super Cache:

Muestra la puntuación de Contact Form 7 tal y como la calcula CodeRik de RIPS

Como puedes ver, ahí hay un medidor que te indica que la puntuación de riesgo de WP Super Cache es de 15, es decir, no hay gran problema en que lo uses (yo y millones lo hacemos sin broncas). Abajo verás una gráfica de como ha ido evolucionando la puntuación de riesgo de este plugin, en este caso ha ido a la baja (lo cual es bueno). Ahora bien, no te enloquezcas mucho con CodeRisk pues algunos de sus resultados pudieran…mmm…como lo digo…no estar muy de acuerdo a la realidad de algunos plugins. Digo, por sentido común, esto es una medida sintética, es una ayuda a lo mucho. Así que como dicen los gringos, tómalo con un granito de sal, y úsalo como un apoyo nada más. Si lo quieres consultar, puedes encontrarlo en https://coderisk.com/.

Cuando tengas duda, prúebalo en local

Lo más aconsejable para esto de los plugins es que los pruebes en un sitio separado de tu sitio en vivo o de producción, cuando menos un sitio local en tu computadora que repliques lo que usas en vivo; no será al 100% fiel a tu sitio en producción, pero será un muy buen indicador el probarlo primero y ver que se caiga tu sitio de pruebas y no tu sitio en vivo. Créeme, vale la pena probarlo primero, puedes usar desde cosas muy simples como tener  instalados en tu PC un XAMPP o WAMP, o pasando por un DesktopServer, o Vagrant para tener un setup más fiel al de producción, hasta llegar a un sitio de staging hecho y derecho (lo más deseable).

Cuidado cuando un plugin cambia de manos

Hay una situación que pudiera ser bastante difícil de detectar, quizás sólo para los más fijados sea algo sencillo: el darse cuenta cuando un plugin  es vendido y lo continúa otro individuo o empresa. Un caso se dio no hace mucho con el plugin Captcha, que cambió de manos con unas 300,000 instalaciones activas; gracias a la investigación del equipo de Wordfence se percataron que bajo la nueva administración el plugin metía un backdoor a tu sitio, y voilá, de la noche a la mañana todos los que actualizaron estaban infectados. Sólo para aclarar, Wordfence ya tiene reglas que previenen instalar este plugin.

Lo malo de este esquema es que no hay forma de protegerse más allá de fijarse muy bien, apegarse a los plugins que uno usa siempre y no estar probando todo el tiempo, y estar pendiente de los sitios que publican vulnerabilidades de WordPress y plugins. Lamentablemente, estos esquemas son extremadamente eficientes y peligrosos, y no hay una cura contra ellos excepto que estar muy atento.

Finalmente: ¿en verdad necesitas ese plugin?

Algunas veces los plugins que instalamos sólo hacen funciones triviales; en algún momento tuve en uno de mis blogs un plugin que reemplazaba un shortcode de [douchebag] por un gráfico que lo representaba; era algo totalmente innecesario, que bien pude haber hecho con código personalizado y añadido a mano a mi instalación.

En pocas palabras

Usa plugins que cumplan con estos criterios:

  • Compatibles con la versión actual de WordPress, o cuando menos con la anterior inmediata.
  • Que hayan sido actualizados en un tiempo no mayor a los últimos seis meses.
  • Con un número considerable de instalaciones, dependiendo de la funcionalidad que provean; si tuviera que decir un número, sería algo como 5,000 instalaciones activas o  más.
  • Hay un soporte cuando menos decente, y por decente me refiero a una persona que te contesta en máximo uno o dos días a tus interrogantes.
  • Que tengan suficientes comentarios constructivos.
  • Que tengan suficientes valoraciones (4+) estrellas.
  • Se honesto contigo mismo: ¿en realidad lo necesitas?

Ni yo ni nadie te puede garantizar que siguiendo estas recomendaciones nunca tendrás problemas, pero si te puedo decir que de tenerlos, serán muy pero muy insignificantes.

¡Que tengas éxito cazando buenos plugins! 😀

Antes que te vayas…

Los siguientes son enlaces de afiliado a hosting, herramientas y temas que uso en este sitio. Son el único apoyo económico del sitio, que notarás no tiene anuncios de ningún tipo ni molestos popups. Si necesitas alguno de estos productos, te pido los adquieras haciendo clic en las imágenes que se muestran a continuación. ¡Gracias de antemano!

¡El mejor tema para WordPress, y el tema más rápido también! GeneratePress Premium es el mejor tema para tu WordPress

¡Comprime tus imágenes y mejora la velocidad de su sitio con el CDN gratuito de ShortPixel!
Orlando Alonzo

Orlando es un ingeniero en sistemas de 45 años de edad, apasionado del desarrollo de software y con un cariño especial por WordPress. Le encantan los libros, la música, la fotografía, los cómics y es un AFOL. De último pero no menos, esposo y padre de dos trolls.

1 comentario en «Guía: Cómo saber si un plugin es seguro antes de instalarlo»

Deja un comentario

Hazlo con WordPress

Centro de preferencias de privacidad

Necessary

Advertising

Analytics

Other