Plugins de WordPress que pueden dañar tu website

Se recomienda que, durante el proceso de instalación de WordPress, se analicen los plugins que lo componen teniendo en cuenta distintos criterios que detallaremos a continuación. Omitir esto supone que millones de instalaciones acaben siendo vulnerables, principalmente por hacer uso de plugins mal programados o abandonados por sus desarrolladores.

Existen casos de plugins activos en el directorio de WordPress.org con más de 13 años sin actualizar, a merced de cualquier incauto que se arriesgue a instalarlos en su website solamente por no prestar atención a los detalles. Los plugins añaden nuevas funcionalidades a WordPress de forma rápida y sencilla, pero su abuso puede convertir un sitio rápido en problemático.

Evita instalar plugins innecesarios

No es buena idea instalar cualquier plugin que se nos cruce por el camino. Podemos correr el riesgo de infectar nuestro espacio web con malware o que se genere un error 500 en el momento menos esperado. En situaciones como estas es cuando más se justifica una buena política de copias de seguridad en tu WordPress, para así poder reversar los cambios realizados.

¿Hay que instalar todo lo que te recomiendan?

Si no necesitás un determinado plugin, no lo instales. Hacé prevalecer la máxima de seguridad del mínimo punto de exposición (MPE), de forma que todo lo que sea innecesario o no realice una función en tu website sea eliminado. Hay muchos websites que recomiendan plugins mágicos para sacar tu web del letargo, pero no es así. Es por ello que recomendamos que hagas un análisis del plugin antes de instalarlo. Cada instalación de WordPress es diferente y, como tal, la combinación de temas, plugins y otros elementos determinan si algunos plugins pueden o no ser conflictivos.

Experimentá, probá y evaluá antes de incorporar tal o cual plugin a tu website y, sobre todo, hacelo en un entorno de pruebas para evitar cualquier imprevisto.

Evaluar antes de instalar

Muchos de los plugins habituales y/o desconocidos reciben actualizaciones de forma más o menos constante, aunque es algo que depende exclusivamente de sus desarrolladores.

Por esta razón es importante entender quién está detrás de un plugin en particular, antes de instalarlo. Analizá el número de descargas que tiene en dicho plugin, y no ignores la reputación que los usuarios le dan por medio de las valoraciones o comentarios.

Estos son algunos pasos que podés seguir para evaluar un plugin:

  • Verificá que esté disponible en un sitio de confianza.
  • Asegurate de que sea compatible con tu actual versión de WordPress.
  • Evalúa la clasificación que tiene.
  • Comprobá cuándo fue actualizado y revisá la lista de cambios (changelog).
  • Comprobá cuántas instalaciones activas tiene el plugin (1).

(1) Algunos plugins de confianza y bien programados tienen un número de instalaciones bajo, pero eso no significa que sean peores ni menos eficientes que otros con muchas instalaciones.

Si -por ejemplo- un plugin tiene menos de 1000 instalaciones activas, es posible que no tenga un mantenimiento estable por parte del autor o que haya sido abandonado. De ahí la importancia de analizar otros factores como la fecha de actualización. Puede darse el caso de que un plugin lleve más de 1 año sin actualizar pero que no aparezca en listados de sitios que recopilan vulnerabilidades de plugins, lo que podría indicar que es estable aunque no tenga mantenimiento desde hace tiempo.

Este podría ser el caso de WordPress Importer, que está desarrollado por WordPress.org y que lleva más de 1 año sin recibir actualizaciones, pero que no se ubica entre los plugins problemáticos porque no se ha visto afectado por vulnerabilidades.

Cuando accedés al directorio de WordPres.org y cierto plugin lleva ya un tiempo sin ser actualizado por su autor, encontrarás en la parte superior una leyenda en amarillo avisando esa situación.

A la derecha del directorio de WordPress tenés información importante que actúa como indicador de la compatibilidad del plugin. Deberías tomar estos datos muy en serio para decidir si lo sumarás a tu lista de plugins activos en tu proyecto web.

Algunos plugins «abandonados» que no deberías instalar

Los plugins que son realmente buenos tienen un excelente código porque están bien programados, son plugins de largo recorrido, con muchas descargas, cientos de valoraciones positivas y una comunidad de usuarios creciente que confían en ellos. Pero también hay otros que no están basados en proyectos firmes ni con un equipo de desarrolladores serios detrás. Estos generalmente son abandonados y cargan algunas vulnerabilidades.

Citaremos ejemplos:

  • P3 (Plugin Performance Profiler) – https://es.wordpress.org/plugins/p3-profiler/ – Más de 3 años sin actualizar.
  • WP PHP widget – https://wordpress.org/plugins/wp-php-widget/ – 7 años sin actualizar.
  • Starbox Voting – https://wordpress.org/plugins/starbox-voting/ – 9 años sin actualizar.
  • Limit Login Attempts – https://wordpress.org/plugins/limit-login-attempts/ – 6 años sin actualizar.
  • Jason’s User Comments – https://wordpress.org/plugins/jasons-user-comments/ – 13 años sin actualizar.
  • PS Auto Sitemap – https://wordpress.org/plugins/ps-auto-sitemap/ – 3 años sin recibir actualizaciones.
  • flickrRSS – https://wordpress.org/plugins/flickr-rss/ – Algo más de 3 años sin actualizar.

Recomendamos que verifiques en WPScan Vulnerability Database cuáles plugins han sido afectados por alguna vulnerabilidad.

https://wpvulndb.com/

Plugins con funciones EXEC

Son aquellos plugins que utilizan funciones exec() y que no todos los proveedores de Hosting permiten utilizar, por razones de seguridad.

Estos plugins no necesariamente están desactualizados, abandonados o tienen problemas de seguridad, pero su código genera llamadas a funciones de PHP que ejecutan programas externos. Suelen desactivarse para evitar problemas de seguridad en los servidores.

Algunos de estos plugins más conocidos son:

  • EWWW Image Optimizer – https://wordpress.org/plugins/ewww-image-optimizer/
  • ezPHP for WordPress – https://wordpress.org/plugins/ezphp/
  • Plugin Inspector – https://wordpress.org/plugins/plugin-inspector/
  • BackUpWordPress – https://wordpress.org/plugins/backupwordpress/
  • WPTerm – https://wordpress.org/plugins/wpterm/

Plugins de Seguridad

Generalmente se hablan maravillas acerca de estos plugins en muchos blogs especializados, pero en muchas ocasiones acaban convirtiéndose en cuellos de botella o duplicando funcionalidades que posiblemente tu proveedor de Hosting ya posee implementadas.

Instalar plugins para mejorar la seguridad de tu website no es una solución, y en el caso de necesitar muchos plugins para proteger puntos débiles de tu web, debería preguntarte: ¿estoy alojando mi proyecto web en el proveedor de hosting adecuado? El secreto se basa en tener una mezcla coherente y equilibrada de medidas de seguridad, ya sea mediante .htaccess, o incluso de plugins, pero un buen hosting marca la diferencia en este sentido.

Listaremos algunos de estos plugins de seguridad:

  • iThemes Security
  • Sucuri Security
  • VaultPress
  • All In One WP Security & Firewall
  • Wordfence Security
  • Bulletproof Security
  • Security Ninja
  • WP Antivirus Site Protection

Builders y frameworks

En este breve listado mostraremos que, cuando se usa código espagueti o sobre-programación, se corre el riesgo de crear scripts con una estructura de flujo compleja y difícilmente comprensible, y que los convierten en colisionadores nativos de otros plugins.

Pasaremos a enumerar algunos plugins constructores (builders) habituales, pues muchos de ellos generan una dependencia brutal (efecto lock-in) que los convierte en auténticos parasitadores del tema:

  • Divi Builder (ElegantThemes)
  • Page Builder (SiteOrigin)
  • Visual Composer
  • Fusion Builder (Avada · Theme Fusion)
  • Theme4Press Evolve Builder

Es cierto que muchos de los temas para WordPress existentes ya vienen con estos constructores preinstalados, pero existen builders como por ejemplo Elementor, que hacen muy bien su trabajo.

Luego están los frameworks, que de por sí son buenas herramientas; son pseudo-constructores específicos para determinados temas basados en esos frameworks. No dejes de usar frameworks si tu tema los requiere, pero es importante que te documentes por si existen conflictos con los plugins que puedas estar usando en tu web o que tengas pensado incorporar a tu proyecto.

Conclusiones

No existe una fórmula concreta que ayude a determinar cuándo una instalación web está abusando de ciertos plugins ya que a veces solo basta uno para arruinar tu website. Un análisis detallado de lo que estás instalando y la finalidad que cumplirán en tu web tiene que servir como indicador para saber cuándo eliminar o cambiar de plugins.

Recordá que si tenés dudas o consultas técnicas, podés escribirnos a soporte@baehost.com

Hasta la próxima!

Deja una respuesta