“Es abril. ¿Qué hace el árbol de Navidad en la sala de estar?”
Has pasado horas decorando el árbol de Navidad y envolviéndolo en luces parpadeantes.
Pero eso fue en diciembre.
La vida se complicó y, antes de que te dieras cuenta, llegó la primavera. Y ahora, el pobre árbol se cae en la esquina, perdiendo agujas — un peligro de incendio polvoriento más que un centro de mesa festivo.
Eso es lo que pasa con los plugins abandonados de WordPress.
Los instalamos por una razón, pero con el tiempo, se olvidan. Si no se revisan, los plugins abandonados se convierten en riesgos de seguridad, exponiendo tu sitio a posibles amenazas.
Vamos a detectarlos y eliminarlos.
¿Qué es un Plugin Abandonado?
Ah, sí, primero necesitamos entender qué es exactamente un plugin abandonado.
Un plugin abandonado es un plugin de WordPress cuyo desarrollador ya no mantiene ni actualiza. WordPress considera un plugin abandonado si no ha recibido actualizaciones en más de dos años.
Estos plugins pueden volverse incompatibles con las versiones más recientes de WordPress, lo que puede llevar a vulnerabilidades de seguridad y problemas de funcionalidad.
Por qué los Plugins Abandonados Son un Gran Problema
Los plugins abandonados son como bombas de tiempo para tu sitio de WordPress. En 2023, el 97% de todas las nuevas vulnerabilidades de WordPress provinieron de plugins, mientras que solo el 0.2% se encontró en el núcleo de WordPress. Esto significa que casi todos los problemas de seguridad que afectan a los sitios de WordPress provienen de plugins y temas, no del software base.
El informe de vulnerabilidades de WordPress de SolidWP tiene actualizaciones diarias sobre cualquier nueva vulnerabilidad en el ecosistema de WordPress. Casi siempre verás nuevas vulnerabilidades para plugins, pero rara vez para el núcleo de WordPress.
Eso significa miles de propietarios de negocios que lidiaron con:
- Ingresos perdidos durante el tiempo de inactividad del sitio.
- Datos de clientes comprometidos.
- Daño a la reputación y pérdida de confianza.
- Google poniendo su sitio en la lista negra como “potencialmente dañino”.
- Horas (o días) pasados limpiando el desastre.
Cuando los desarrolladores abandonan sus plugins, dejan de parchear agujeros de seguridad, creando puntos de entrada perfectos para los hackers.
Piensa en esto:
- Sin actualizaciones de seguridad = exponiendo tu sitio a vulnerabilidades conocidas.
- Sin pruebas de compatibilidad con nuevas versiones de WordPress = funcionalidad rota.
- Sin corrección de errores = comportamientos inesperados que pueden comprometer tu sitio.
Ahora, el WAF de Wordfence bloqueó 3 millones de ataques provenientes de unos 14,000 IPs que atacaban vulnerabilidades de plugins solo en la primera mitad de 2023.
Pero supongamos que tuviste suerte y el plugin abandonado que tienes es completamente seguro de usar.
Aún tenemos que lidiar con problemas de rendimiento.
Cada nueva actualización de WordPress mejora la velocidad, reduce redundancias en el sistema y hace que el sitio web en general se sienta más ágil, mientras agrega más características.
Pero si el plugin abandonado ralentiza el sitio web, es posible que estas mejoras en la velocidad nunca se noten, y sería fácil pensar que WordPress es el culpable (aunque nunca lo sea).
También existe una fuerte posibilidad de que el plugin cause un conflicto con una versión más nueva de WordPress y te quedes con un sitio roto.
Desafortunadamente, cuando eso ocurre con plugins abandonados, estás completamente solo. Sin desarrollador para responder preguntas, sin soporte de la comunidad, sin actualizaciones de documentación. El 15.7% de todos los plugins vulnerables fueron eliminados completamente del repositorio de plugins de WordPress debido al abandono.
Esto deja a los propietarios de sitios web ejecutando sin saberlo software desactualizado y sin parches que los hackers pueden explotar.
En pocas palabras: aléjate de esos plugins tan pronto como sea posible.
Cómo Detectar Plugins Abandonados
Es hora de sacar tus lentes metafóricos de aumento y comenzar a buscar pistas que revelen los plugins que están acumulando polvo en tu panel de WordPress.
Aquí tienes algunas formas de identificar si un plugin abandonado está por ahí en tu sitio web.
1. La Fecha de “Última Actualización”
La bandera roja más obvia está a la vista.
En tu panel de WordPress, ve a Plugins > Plugins Instalados.
Luego, haz clic en Ver Detalles para abrir los detalles del plugin donde verás la fecha de “Última Actualización”.
UpdraftPlus es un plugin popular que se actualiza bastante regularmente. Al momento de escribir esto, se actualizó hace solo dos semanas, y es seguro mantenerlo ya que tiene un desarrollo activo.
Pero podrías tener un plugin más antiguo aún en tu sitio web, como el siguiente, que se actualizó hace NUEVE años:
Cualquier plugin que no se haya actualizado en más de un año merece tu atención, mientras que aquellos que no se han tocado en dos años caen en la categoría oficial de “abandonado” de WordPress y deben ser eliminados de tu sitio lo más rápido posible.
Si hay páginas que aún usan la funcionalidad del plugin (tal vez es un viejo plugin de formularios y todavía tienes algunos formularios), reemplaza la funcionalidad con plugins más nuevos lo antes posible.
2. Revisa la Fecha de Actualización en la Búsqueda de Plugins
Supongamos que estás buscando instalar tu próximo plugin de WordPress. También debes revisar las fechas de la última actualización en los resultados de búsqueda.
Tomemos el mismo plugin abandonado del ejemplo anterior. Si vas a Plugins > Añadir Nuevos Plugins y lo buscas, verás la siguiente pantalla:
Observa que muestra la fecha de la última actualización directamente en los resultados de búsqueda para que puedas decidir si instalar el plugin o no.
Si no estás en tu panel de WordPress, pero estás buscando plugins en el directorio de plugins de WordPress, puedes hacer clic en cualquier plugin y ver la versión y la fecha de “Última actualización” en el panel de información a la derecha.
Eso debería darte suficiente información para decidir si el plugin vale la pena considerar o no.
3. Mira los Tickets de Soporte
Supongamos que ves un plugin que se actualizó recientemente pero solo tiene unas pocas instalaciones activas. ¿Cómo puedes estar seguro de que el plugin está siendo activamente desarrollado?
Los tickets de soporte pueden mostrar una imagen clara.
En la página del directorio de plugins de WordPress, ve al plugin que estás considerando y haz clic en el enlace Soporte justo debajo del botón de descarga.
En esta página, verás todos los tickets de soporte que los usuarios de WordPress han abierto.
Si notas que el desarrollador está respondiendo activamente a las consultas, resolviendo problemas e incluso agregando nuevas funciones bajo solicitud, puedes considerar probar el plugin con seguridad.
Pero a veces, podrías notar que las consultas quedan sin respuesta durante semanas y no hay desarrollo real en el plugin. Ahí es cuando es mejor alejarse y buscar algo más activo.
4. Escucha las Advertencias de tu Panel de Control
WordPress es como ese experto en tecnología en tu equipo que mantiene todo en orden.
Si el núcleo de WordPress, un plugin o tema queda desactualizado, hay una nueva vulnerabilidad o hay un posible conflicto, te envía indicaciones, notificaciones y mensajes de error para dejarlo claro.
Puedes optar por ignorarlas y continuar con la acción que planeaste tomar, pero te aconsejamos escuchar estas advertencias.
5. Realiza Comprobaciones de Seguridad Automatizadas
Hay muchas formas de asegurar tu sitio de WordPress. La más fácil es instalar solo un plugin de seguridad, como Wordfence, Patchstack, Sucuri, etc., y dejar que determine si algo es adecuado para tu sitio o no.
Estos plugins hacen un seguimiento de todas las vulnerabilidades de seguridad, plugins abandonados o desactualizados, y cualquier problema del núcleo de WordPress. Si tu sitio muestra signos que coinciden con cualquiera de estos problemas, el plugin te notificará inmediatamente sobre ello.
También realizan escaneos automáticos en segundo plano para detectar actores maliciosos que intentan explotar plugins desactualizados o abandonados para obtener acceso no autorizado a tu sitio web, o para identificar plugins que anteriormente eran seguros, pero que se han infectado.
6. La Prueba de Popularidad
Y finalmente, si no quieres preocuparte por los detalles técnicos, déjalo en manos de la multitud. Los mejores plugins de WordPress son también los que tienen el mayor número de instalaciones activas.
Cuando busques plugins en el directorio de plugins de WordPress, haz clic en la pestaña Vista Avanzada bajo los datos del plugin (la sección donde vemos la fecha de “Última actualización”).
La vista avanzada te muestra estadísticas sobre qué versión de los plugins están usando todos los usuarios, cuántas descargas tiene el plugin a diario y semanalmente, junto con el total de instalaciones.
Los plugins con instalaciones activas en declive (menos de 1,000), tendencias de descarga en caída, o valoraciones consistentemente malas pueden estar camino al abandono — o ya estar allí.
En su mayoría, si te ciñes a los plugins más populares de WordPress que son usados activamente por muchas personas, generalmente estarás bien. Esto se debe a que los desarrolladores, así como los usuarios técnicamente expertos, están al tanto de los problemas en el código y los resuelven conforme aparecen.
¿Encontraste Plugins Abandonados? Aquí Está Qué Hacer
Entonces, descubriste el equivalente de un árbol de Navidad olvidado en tu sitio de WordPress. ¿Y ahora qué?
Aquí tienes un plan paso a paso para eliminar de manera segura estos riesgos de seguridad sin romper tu sitio.
Paso 1: Encuentra una Alternativa
Antes de tocar nada, encuentra un reemplazo. Busca plugins activos que ofrezcan funcionalidad similar a los que has abandonado.
Los mejores reemplazos tendrán:
- Actualizaciones en los últimos 3 meses
- Compatibilidad con tu versión de WordPress
- Valoraciones fuertes (4 estrellas o más)
- Una comunidad de desarrolladores responsiva
- Buena documentación
Nota para Nerds: A veces, el reemplazo perfecto no es un plugin en absoluto. ¡Muchas funciones que antes requerían plugins ahora están integradas en el núcleo de WordPress o en tu tema!
Paso 2: Crea una Copia de Seguridad Completa
Una copia de seguridad es la red de seguridad de tu sitio web. ¡No la saltes!
Crea una copia de seguridad completa de tu sitio de WordPress, incluyendo los archivos y la base de datos.
Puedes usar plugins o las herramientas de copia de seguridad de tu proveedor de hosting, pero asegúrate de saber cómo restaurar esta copia de seguridad si es necesario.
Con suerte, no necesitarás la copia de seguridad, pero será un salvavidas si las cosas salen mal.
Paso 3: Prueba en un Entorno de Staging (Cuando Sea Posible)
Para sitios críticos de negocio, prueba antes de lanzarte. Si está disponible, clona tu sitio a un entorno de prueba y reemplaza primero los plugins abandonados allí.
Si el sitio se rompe, necesitas investigar qué salió mal y cómo solucionarlo en el entorno de prueba antes de empezar a trabajar en el sitio en vivo.
Este entorno se convierte en tu campo de pruebas sin consecuencias para probar nuevos plugins adecuadamente con tu configuración específica.
Paso 4: Reemplaza el Plugin Cuidadosamente
Ahora, para el evento principal. Así es como puedes cambiar esos plugins abandonados.
- Activa primero el nuevo plugin, sin desactivar aún el antiguo.
- Configura el nuevo plugin para que coincida con la configuración del antiguo.
- Verifica que la funcionalidad funcione como se espera con ambos activos.
- Desactiva (pero no elimines) el plugin abandonado.
- Prueba tu sitio minuciosamente para asegurarte de que nada se haya roto.
Cuando estés seguro de que todo está funcionando como debería, elimina ese viejo plugin de WordPress.
Paso 5: Revisión Post-Reemplazo
Después del cambio, realiza una revisión exhaustiva de tu sitio. Revisa la parte frontal y la parte trasera de tu sitio en busca de cualquier problema.
Busca fallos visuales, problemas de funcionalidad o mensajes de error. Y presta especial atención a las características que dependían del plugin reemplazado.
¿Deberías Mantener un Plugin Abandonado?
Seamos realistas: a veces necesitas un plugin abandonado del que tu sitio depende absolutamente.
Tal vez maneja una función única (como un sistema específico de recomendaciones de pago) que ningún otro plugin iguala, o quizás has construido integraciones personalizadas alrededor de él.
Entonces, ¿puedes (y deberías) mantenerlo? Bueno… es complicado.
Mantener un plugin abandonado es riesgoso. Solo deberías considerar mantenerlo si:
- El plugin cumple una función crítica sin alternativas viables.
- El flujo de trabajo de tu negocio depende de las funciones personalizadas que proporciona.
- El plugin es relativamente simple, con una superficie de código mínima (puedes pedirle a un desarrollador que revise el código del plugin en GitHub).
- Lo has probado a fondo con tu versión actual de WordPress y funciona bien.
Si todos estos elementos se cumplen, puedes considerar mantener el plugin. Pero aún así, te recomendaríamos encontrar una manera de mantener el código con la ayuda de un desarrollador o deshacerte de él tan pronto como puedas.
Las Precauciones de Seguridad Adicionales que Debes Tomar
Si decides mantener ese plugin abandonado, necesitarás construir una fortaleza a su alrededor.
- Crea un firewall específico para el plugin: Usa plugins de seguridad como Wordfence o Sucuri para crear reglas de firewall personalizadas específicamente dirigidas a las vulnerabilidades potenciales de tu plugin abandonado. Estos actúan como tu primera línea de defensa contra los ataques que apuntan a debilidades conocidas.
- Implementa auditorías regulares de código: Contrata a un desarrollador para que revise periódicamente el código del plugin en busca de vulnerabilidades de seguridad. Sí, esto cuesta dinero, pero es mucho más barato que lidiar con un sitio hackeado y sus consecuencias.
- Configura monitoreo mejorado: Establece alertas para cualquier actividad inusual relacionada con el plugin. La detección temprana puede marcar la diferencia entre un problema menor y una brecha de seguridad total que derribe todo tu sitio.
- Aísla cuando sea posible: Si es factible, ejecuta el plugin abandonado en un subdominio o entorno separado, limitando su acceso a los datos y funciones sensibles de tu sitio principal — piénsalo como una zona de cuarentena.
Pasos Proactivos para Controlar la Salud de los Plugins 💪
Por más cliché que sea, la prevención es mejor que la cura.
Aquí te mostramos cómo construir un ecosistema de plugins saludable que mantenga tu sitio de WordPress seguro y funcionando de manera óptima.
Programa Auditorías Regulares de Plugins
Piensa en esto como un chequeo trimestral de tu sitio.
Marca tu calendario para una revisión exhaustiva de plugins cada tres meses. Durante estas auditorías, evalúa el historial de actualizaciones recientes de cada plugin, su estado de compatibilidad y si realmente lo necesitas aún.
Este mantenimiento rutinario previene problemas de plugins antes de que comiencen y mantiene tu sitio ágil.
Elige Plugins con Buen Historial
No todos los plugins son iguales. Cuando agregues nuevas herramientas a tu sitio, busca estos indicadores de salud:
- Actualizaciones regulares (al menos trimestrales)
- Una base de usuarios grande y activa (más de 10,000 instalaciones)
- Soporte de desarrolladores responsivos (verifica qué tan rápido responden las preguntas)
- Documentación detallada y una hoja de ruta de desarrollo clara
Adopta la Filosofía de “Menos es Más”
Tu sitio de WordPress no es una vitrina de plugins. Cada plugin agrega código, complejidad y posibles problemas de seguridad.
Pregúntate a ti mismo: “¿Este plugin resuelve un problema real que tengo ahora mismo?”
Si no, no pertenece a tu sitio. Apunta al número mínimo de plugins necesarios para alcanzar tus objetivos.
Configura Notificaciones Automáticas de Actualización
Mantente informado sin necesidad de revisar constantemente el panel de control. Configura alertas por correo electrónico para las actualizaciones de plugins disponibles a través de las herramientas de tu proveedor de hosting o un plugin de gestión.
Estas alertas por correo electrónico te ayudan a seguir el rastro de parches de seguridad críticos o actualizaciones de compatibilidad, incluso cuando estás ocupado gestionando tu negocio.
Considera una Solución de Hosting Gestionado para WordPress
A veces, lo mejor es simplemente entregar las riendas a un profesional para que puedas concentrarte en tu negocio.
Servicios como DreamPress se encargan de la mayoría del mantenimiento de WordPress, incluyendo monitoreo de seguridad y actualizaciones, y también te ayudan si algo se rompe.
Tu Sitio Merece Algo Mejor que Telarañas de Plugins
Al igual que ese árbol de Navidad olvidado, los plugins abandonados pueden haberte servido bien alguna vez — pero su tiempo ha pasado. No puedes arriesgar la seguridad y el rendimiento de tu sitio WordPress con estos plugins abandonados.
Pero, no todos tienen el tiempo o la experiencia técnica para monitorear plugins en busca de señales de abandono.
DreamPress puede encargarse de eso por ti. Se encarga automáticamente de las actualizaciones del núcleo de WordPress, los parches de seguridad y las copias de seguridad del sitio, además de ofrecer copias de seguridad automáticas diarias, almacenamiento en caché integrado y soporte especializado para WordPress 24/7.
Es decir, tú te enfocas en crear contenido y gestionar tu negocio mientras DreamPress te da tranquilidad de que tu sitio está bien cuidado.
Así que adelante: hazle la limpieza de primavera que tu sitio de WordPress merece, o deja que los profesionales de DreamPress lo hagan por ti.
Alojamiento de WordPress Inmejorable
Las actualizaciones automáticas de DreamPress, caché y fuertes defensas de seguridad toman la administración de WordPress de tus manos para que puedas enfocarte en tu sitio web.
Ver más