Gestionar complementos y extensiones de forma segura

Jazmie Jamaludin

Piense en su sitio web como una cocina. Cuando lo configuró por primera vez, compró lo esencial, y todo estaba limpio y ordenado. Luego, con el tiempo, fue adquiriendo aparatos. Una elegante rebanadora que usó una vez. Una taza de recuerdo de un viaje. Una panificadora que un amigo le recomendó encarecidamente. Ninguno parecía mucho por sí solo, pero ahora los cajones no cierran, no encuentra el abrelatas y uno de esos aparatos ha empezado a gotear y nadie se ha dado cuenta. Los plugins y complementos de un sitio web se acumulan exactamente de la misma manera, y causan exactamente el mismo tipo de problemas silenciosos.

Los plugins, a veces llamados extensiones, aplicaciones o complementos dependiendo de su plataforma, son pequeñas piezas de software que añaden características a su sitio sin que tenga que construirlas desde cero. Son realmente brillantes, permitiendo que un propietario no técnico añada un formulario de contacto, un calendario de reservas o una galería de fotos en minutos. Pero cada uno que instala es también una pequeña pieza de software de otra persona ejecutándose en su sitio, con sus propios riesgos. Esta guía explica cómo disfrutar de los beneficios manteniendo los riesgos firmemente bajo control, sin necesidad de conocimientos técnicos.

Qué son los plugins y por qué son una herramienta de doble filo

En su mejor momento, los plugins son un superpoder. Le permiten añadir funcionalidades sofisticadas, cosas que de otro modo costarían una fortuna desarrollar, con solo hacer clic en instalar. ¿Necesita una forma de aceptar reservas, mostrar reseñas de clientes o conectar su sitio a una herramienta de correo electrónico? Es casi seguro que existe un plugin para ello. Esta es una gran parte de por qué los sitios web modernos son tan capaces y tan asequibles de mantener.

El problema es que cada plugin es un invitado que ha invitado a vivir dentro de su sitio web. Un invitado bien educado no causa problemas. Pero un invitado mal hecho, rara vez actualizado o silenciosamente abandonado por su creador puede introducir tres problemas distintos: agujeros de seguridad que los atacantes pueden explotar, una ralentización del rendimiento que frena sus páginas y conflictos que rompen otras partes de su sitio. El objetivo no es evitar los plugins, lo que sería poco práctico, sino ser un anfitrión exigente. Ese discernimiento se conecta con la disciplina más amplia que describimos en nuestra guía sobre por qué no puede omitir las actualizaciones de software.

Los complementos desactualizados son una de las principales formas en que los sitios se ven comprometidos
Los investigadores de seguridad encuentran consistentemente que los plugins vulnerables o desactualizados se encuentran entre los puntos de entrada más comunes que los atacantes utilizan para irrumpir en los sitios web.
Fuente: Open Worldwide Application Security Project

Los tres riesgos, explicados de forma sencilla

Entender lo que puede salir mal hace que sea mucho más fácil de gestionar. Los riesgos se dividen en tres categorías, y cada una tiene una defensa sencilla.

Los tres riesgos de los plugins y cómo defenderse de cada uno
Riesgo Cómo se manifiesta Su mejor defensa
Seguridad Una falla permite a un atacante acceder a su sitio. Actualice rápidamente; elimine los plugins abandonados.
Rendimiento Las páginas se ralentizan a medida que cada plugin añade peso. Conserve solo lo que usa; audite regularmente.
Conflictos Dos plugins chocan y rompen una función. Pruebe los cambios antes de ponerlos en marcha.

El riesgo de rendimiento merece una atención especial porque es el más invisible. Cada plugin puede cargar sus propios archivos en cada página, lo que aumenta el número de viajes que debe realizar un navegador y la cantidad de código que debe ejecutar. Un sitio sobrecargado por plugins olvidados es una de las causas más comunes de páginas lentas, razón por la cual la limpieza de plugins se solapa tanto con nuestra guía sobre la reducción de solicitudes HTTP para un sitio web más rápido.

Elegir un plugin sabiamente desde el principio

El plugin más seguro es uno bueno elegido cuidadosamente, porque una decisión sensata al principio ahorra muchos problemas más adelante. Antes de instalar cualquier cosa, unas pocas comprobaciones rápidas le dicen la mayor parte de lo que necesita saber. ¿Se mantiene activamente, con actualizaciones recientes en lugar de silencio durante un año o más? ¿Es ampliamente utilizado y bien revisado, lo que sugiere que ha sido probado por muchas otras personas? ¿Y proviene de una fuente reputada en lugar de un rincón desconocido de Internet?

También vale la pena preguntarse si realmente lo necesita. El plugin más fiable es el que nunca instala. Si una característica es deseable pero no esencial, o si su plataforma puede hacerlo de forma nativa sin un complemento, evita los tres riesgos a la vez. La moderación es una habilidad de mantenimiento subestimada.

Cuidado con la tentación del "todo en uno"

Los plugins que prometen hacerlo todo pueden parecer eficientes, pero una herramienta extensa que usa una décima parte sigue cargando las diez décimas partes de su peso en cada página. A menudo, un solo plugin enfocado que hace bien un trabajo es más ligero y seguro que una multiherramienta gigante que apenas usa. Prefiera al especialista antes que a la navaja suiza, a menos que realmente necesite la amplitud.

El mejor plugin es el que no instalas
Cada complemento que se salta es uno que nunca tendrá que actualizar, proteger o solucionar problemas, por lo que la moderación es en sí misma una forma de protección.
Fuente: Mozilla Developer Network

Actualizar de forma segura sin estropear su sitio

Las actualizaciones son esenciales, porque parchan los agujeros de seguridad que les encantan a los atacantes y corrigen errores. Saltárselas es una de las cosas más arriesgadas que se pueden hacer. Sin embargo, las actualizaciones ocasionalmente causan sus propios problemas, cuando una nueva versión de un plugin choca con otro o con su tema. Este miedo a la rotura es, irónicamente, la razón por la que muchas personas evitan actualizar, lo que las deja expuestas a los mismos ataques que las actualizaciones previenen. La respuesta no es saltarse las actualizaciones, sino aplicarlas de forma segura.

El enfoque profesional es probar las actualizaciones en un entorno seguro antes de aplicarlas a su sitio en vivo. Un entorno de staging, una copia privada de su sitio, le permite aplicar actualizaciones y hacer clic en sus páginas clave para confirmar que nada se rompió, todo sin que sus visitantes reales noten ningún problema. Si algo sale mal, lo arregla en privado. Combinar esto con una copia de seguridad reciente significa que, incluso en el peor de los casos, puede volver a una versión que funcione. Estas redes de seguridad transforman la actualización de una apuesta arriesgada en una tarea rutinaria y de bajo estrés, y son el corazón de una rutina de mantenimiento saludable.

La auditoría regular: su ritual de limpieza

Incluso con una cuidadosa elección y una actualización segura, los plugins se acumulan. Se añaden funciones para una campaña y nunca se eliminan, se prueban y abandonan herramientas, cambian los requisitos. Por eso, una auditoría periódica, una limpieza deliberada, es el hábito de plugins más valioso que puede adquirir. Cada pocos meses, revise sus plugins instalados y pregúntese sobre cada uno: ¿Todavía lo uso y todavía lo necesito?

Cualquier cosa que no pueda justificar debe ser desactivada y, una vez que esté seguro de que nada depende de ella, eliminada por completo. Solo desactivar reduce la carga, pero eliminarla por completo elimina el riesgo de seguridad de un plugin abandonado que permanece inactivo. Esta limpieza acelera rutinariamente los sitios y reduce su superficie de ataque de un solo golpe. Es una parte fundamental de la revisión estructurada que describimos en nuestra guía de auditoría de la salud del sitio web, y apoya directamente los objetivos de rendimiento en nuestro artículo sobre cómo acelerar un sitio web lento.

Cuando un plugin afecta su velocidad y visibilidad en los motores de búsqueda

Dado que los plugins a menudo añaden peso y código, tienen una relación directa con la velocidad de su página y, a través de ella, con la forma en que los motores de búsqueda juzgan su sitio. Un plugin hinchado que ralentiza sus páginas puede arrastrar las métricas de Core Web Vitals que influyen en la visibilidad de búsqueda. Si su velocidad ha disminuido, los plugins no utilizados o pesados son uno de los primeros lugares donde buscar, razón por la cual este tema se entrelaza con nuestra guía sobre cómo solucionar problemas de Core Web Vitals y con mantener las cosas rápidas como se describe en mantener su sitio web rápido a lo largo del tiempo.

La buena noticia es que los mismos hábitos disciplinados, elegir cuidadosamente, actualizar de forma segura y auditar regularmente, protegen su velocidad, su seguridad y su estabilidad, todo al mismo tiempo. No necesita rutinas separadas para cada uno; una buena práctica de gestión de plugins cubre los tres. Para la conexión más amplia entre la velocidad y ser encontrado, nuestra guía sobre Core Web Vitals y SEO lo une todo.

En resumen

Los plugins y complementos son una de las mejores cosas de tener un sitio web moderno, ya que ponen funciones potentes al alcance de cualquiera, sin necesidad de saber programar. Pero cada uno de ellos es una pieza de software de otra persona que vive dentro de su sitio, con su propio potencial de agujeros de seguridad, ralentización del rendimiento y conflictos. Gestionarlos de forma segura no se trata de miedo o evitación; se trata de unos pocos hábitos sensatos que rápidamente se convierten en algo natural.

Elija los plugins con cuidado y moderación, prefiriendo herramientas bien mantenidas y ampliamente utilizadas, y resistiendo la tentación de instalarlo todo. Actualícelos con prontitud pero de forma segura, probando los cambios en un entorno privado y manteniendo copias de seguridad para que una actualización nunca pueda hundirle. Y audite regularmente, eliminando todo lo que ya no use, porque el plugin que elimine es el que nunca podrá causarle problemas. Haga estas tres cosas, y su sitio web se mantendrá rápido, seguro y estable con muy poco drama. Si prefiere que una mano experta se encargue de todo por usted, siempre puede ponerse en contacto.

Preguntas frecuentes

¿Cuántos plugins son demasiados?+
No hay un límite fijo, porque unos pocos plugins pesados pueden causar más problemas que muchos ligeros. La mejor pregunta es si cada plugin está bien hecho, se mantiene actualizado y se usa realmente. Un sitio que ejecuta una docena de plugins ligeros y esenciales es más saludable que uno que ejecuta cinco plugins pesados y descuidados.
¿Es seguro simplemente desactivar un plugin en lugar de eliminarlo?+
La desactivación detiene la ejecución de un plugin, lo que ayuda al rendimiento, pero los archivos a menudo permanecen en su sitio y aún pueden albergar fallos de seguridad. Si está seguro de que ya no lo necesita y nada depende de él, eliminarlo por completo es la opción más segura. Primero haga una copia de seguridad, por si acaso.
¿Debo actualizar los plugins en el momento en que aparece una actualización?+
Las actualizaciones de seguridad deben aplicarse de inmediato, ya que cierran los agujeros que los atacantes explotan activamente. La práctica más segura es aplicar las actualizaciones primero en una copia de prueba privada de su sitio, confirmar que nada se rompió y luego actualizar el sitio en vivo, manteniendo una copia de seguridad reciente en todo momento. De esta manera, se mantiene protegido sin arriesgarse a una interrupción sorpresa.
¿Cómo sé si un plugin está ralentizando mi sitio?+
Las herramientas gratuitas de prueba de velocidad de página pueden mostrar qué archivos se cargan en una página y de dónde provienen, lo que le ayuda a detectar plugins pesados. Una prueba práctica es desactivar un plugin sospechoso en una copia privada de su sitio y volver a comprobar la velocidad; una mejora clara indica al culpable. Audite periódicamente para detectarlos antes de que se acumulen.

Referencias

  1. OWASP. "Uso de componentes con vulnerabilidades conocidas." owasp.org.
  2. Mozilla. "Seguridad web y extensiones." developer.mozilla.org.
  3. Google. "Optimizar recursos de terceros." web.dev.
Regresar al blog

AUTOMATICE. OPTIMICE. DOMINE.

Optimice sus operaciones y ofrezca una experiencia de cliente fluida. Deje que nuestros expertos implementen tecnología de vanguardia y flujos de trabajo optimizados para que pueda concentrarse en lo que mejor sabe hacer.

DISCUTA SUS IDEAS