Auditar scripts de terceros en su sitio web

Jazmie Jamaludin

Piense en su sitio web como en una casa de su propiedad. Usted decide quién entra, adónde va y qué puede tocar. Ahora imagine que a lo largo de los años entregó llaves de repuesto: una a una empresa de análisis, otra a un widget de chat, otra a una red de publicidad, un par a herramientas para las que ya no recuerda haberse registrado. La mayoría de esos "invitados" se portan bien. Pero usted ha perdido la cuenta de cuántas llaves hay, qué está haciendo cada visitante una vez dentro y si alguno de ellos ralentiza todo o deja una ventana abierta. Eso, en pocas palabras, es la situación en un sitio web típico que nunca ha auditado sus scripts de terceros.

Estos scripts son fragmentos de código de empresas externas que usted incrusta en sus páginas para añadir funciones: análisis, chat en vivo, botones sociales, publicidad, reproductores de video, reseñas, asistentes de pago y más. Son maravillosamente convenientes. También son, en conjunto, una de las fuentes más pasadas por alto de lentitud, fallos y riesgos de privacidad en la web. En esta guía aprenderá qué son realmente estos scripts, por qué se acumulan, cómo hacer un inventario claro de todo lo que se ejecuta en su sitio y cómo decidir qué se queda y qué se va, todo sin necesidad de ser un desarrollador.

¿Qué es exactamente un script de terceros?

Cuando carga una página web, su navegador no solo obtiene palabras e imágenes de su propio sitio. También se conecta a los servidores de otras empresas para obtener las funciones adicionales que ha añadido. Cada una de esas funciones llega como un pequeño programa —un script— que se ejecuta dentro del navegador del visitante. El término "tercero" simplemente significa que proviene de alguien que no es usted ni el visitante: una empresa diferente cuyo código usted ha invitado a su página.

Algunos de estos son obvios, como una burbuja de chat en la esquina o un video incrustado. Otros son completamente invisibles: píxeles de seguimiento que registran el comportamiento, gestores de etiquetas que cargan aún más scripts, fuentes obtenidas de otros lugares, herramientas de detección de fraude. El problema es que cada uno se ejecuta con una sorprendente cantidad de libertad dentro de su página, y cada uno es una dependencia de una empresa que usted no controla. Si su servidor está lento hoy, su página está lenta hoy. Si tienen un mal día, su página puede fallar.

Usted no controla su código
Cada script de terceros se ejecuta dentro de los navegadores de sus visitantes, sin embargo, Fuente: Guía de seguridad de la plataforma web

Por qué los scripts se acumulan discretamente

Nadie se propone llenar su sitio de elementos innecesarios. Sucede una decisión razonable a la vez. Añade análisis para comprender a sus visitantes. Una campaña de marketing necesita un píxel de seguimiento. Alguien sugiere un widget de chat. Una nueva herramienta promete mejores conversiones. Cada adición parece inofensiva de forma aislada. Pero los scripts son fáciles de añadir y casi nunca se eliminan. Las campañas terminan, las herramientas se reemplazan, el personal cambia, pero el código permanece en la página mucho después de que alguien recuerde por qué está ahí.

Los gestores de etiquetas empeoran esto, de una manera útil pero peligrosa. Permiten que personal no técnico añada scripts sin tocar el código del sitio, lo cual es conveniente, y significa que los scripts pueden acumularse de forma invisible, sin que nadie mantenga una lista maestra. En unos pocos años, un sitio puede terminar ejecutando docenas de scripts de terceros, muchos de ellos peso muerto. Cada uno cuesta un poco de velocidad, añade un poco de riesgo y comparte un poco de datos de los visitantes. Juntos, se suman a un problema real, razón por la cual esto debe formar parte de su rutina regular junto con una auditoría de salud de su sitio web más amplia.

Los tres costes de los scripts no gestionados

Permitir que los scripts de terceros se ejecuten sin control conlleva tres costes distintos, y vale la pena comprender cada uno porque tiran en diferentes direcciones.

Velocidad

Los scripts ralentizan las páginas de maneras que son fáciles de subestimar. Cada uno es un viaje adicional a través de internet para obtener código, y muchos de ellos realizan un trabajo pesado en el navegador que retrasa que la página sea utilizable. Debido a que se cargan desde servidores de otras compañías, también están fuera de su control: si su red está congestionada, sus visitantes esperan. Un sitio puede tener imágenes bellamente optimizadas y código ordenado y aun así sentirse lento puramente debido al bagaje de terceros que conlleva. La velocidad importa tanto para los visitantes como para los rankings de búsqueda, por lo que esto se conecta tan estrechamente con mantener su sitio web rápido con el tiempo.

Fiabilidad

Cuando incrusta un script de otra persona, está atando una parte del destino de su sitio al suyo. Si cambian su código, su función podría comportarse de manera diferente de la noche a la mañana. Si su servicio se cae, la parte de su página que depende de él puede romperse, a veces de forma visible, a veces impidiendo que el resto de la página se cargue. Cuantos más scripts lleve, más puntos únicos de fallo acumulará, cada uno de ellos una empresa en la que simplemente tiene que confiar en que no tendrá un mal día.

Privacidad y seguridad

Este es el coste más silencioso y a menudo el más grave. Muchos scripts de terceros recopilan datos sobre sus visitantes: lo que hacen, qué dispositivo utilizan, a veces mucho más. Usted es responsable de lo que sucede en sus páginas, incluso cuando la recopilación la realiza el código de otra persona. Un script también puede ser una debilidad de seguridad: como se ejecuta con poder real dentro de su página, un script comprometido o malicioso puede leer información, alterar el contenido o recopilar detalles escritos en formularios. Mantener una lista estricta de lo que permite es parte de una protección de datos del cliente responsable.

Tipos de scripts comunes y qué considerar
Tipo de script Qué hace Principal preocupación
Análisis Mide el comportamiento del visitante Privacidad y consentimiento
Píxeles de publicidad y seguimiento Dirige y mide anuncios Privacidad, intercambio de datos
Widgets de chat Soporte en vivo o automatizado Velocidad, fiabilidad
Contenido multimedia incrustado Video, mapas, publicaciones sociales Peso de la página
Gestores de etiquetas Cargan otros scripts Propagación oculta

Cómo realizar un inventario claro

No se puede gestionar lo que no se puede ver, por lo que la auditoría comienza con una simple lista de todo lo que se ejecuta en su sitio. La buena noticia es que no necesita software especial para empezar. Todos los navegadores modernos incluyen herramientas de desarrollo integradas que muestran todas las conexiones externas que una página realiza cuando se carga. No necesita comprender los detalles técnicos, solo está buscando los nombres de las empresas a las que su página se está conectando. Las desconocidas son exactamente lo que está buscando.

Mire lo que se carga en una página

Abra una de sus páginas clave y utilice la vista de red del navegador para ver todas las solicitudes que realiza. Probablemente reconocerá algunos nombres y se sorprenderá con otros. Anote cada empresa externa que encuentre. Preste especial atención a todo lo que no reconozca, porque un script desconocido que no puede justificar es lo más importante que debe investigar. También existen herramientas gratuitas de escaneo de privacidad que visitan su sitio y enumeran los rastreadores que detectan, lo que es un punto de partida más amigable para los propietarios no técnicos.

Revise su gestor de etiquetas y plugins

Si utiliza un gestor de etiquetas, ábralo y revise todo lo que está cargando. Aquí es a menudo donde se esconden los scripts olvidados. De la misma manera, revise sus plugins y complementos, porque muchos inyectan discretamente código de terceros propio. El objetivo es una única lista maestra: cada script, de dónde vino y por qué está ahí. Si no puede responder al "por qué", ha encontrado un fuerte candidato para su eliminación.

Si no puede explicarlo, cuestiónelo
el código inexplicado es riesgo sin recompensa.
Fuente: Buenas prácticas de mantenimiento web

Decidiendo qué se queda y qué se va

Con su lista en la mano, juzgue cada script con una única y honesta pregunta: ¿el valor que añade justifica el coste de velocidad, fiabilidad y privacidad que conlleva? Para un asistente de pago que le permite cobrar, la respuesta es claramente sí. Para un píxel de seguimiento de una campaña que terminó hace dos años, la respuesta es igualmente clara: no. La mayoría de los scripts se sitúan en algún punto intermedio, y ahí es donde usted se gana su sustento como propietario.

Elimine el peso muerto primero

Comience con las victorias fáciles: todo lo que ya no use, todo lo que no pueda explicar, todo lo que esté duplicado. ¿Dos herramientas de análisis haciendo el mismo trabajo? Conserve una. ¿Un widget social para una red que abandonó? Fuera. Eliminar esto no le cuesta nada y le devuelve velocidad y reduce el riesgo de inmediato. Siempre haga una copia de seguridad o pruebe el cambio en una copia de prueba primero, para poder confirmar que nada importante se rompió antes de publicarlo.

Domestique a los que se quedan

Para los scripts que se han ganado su lugar, a menudo puede reducir su coste. Muchos pueden configurarse para cargarse más tarde, después de que la página principal sea utilizable, de modo que ya no retrasen lo que el visitante vino a ver. Los elementos incrustados pesados como los videos se pueden hacer que se carguen solo cuando alguien realmente los quiere. El principio es simple: deje que el contenido que el visitante vino a buscar llegue primero, y deje que los extras lo sigan discretamente.

Manteniendo la lista bajo control

Una auditoría no es un evento único, porque los scripts vuelven a aparecer. La verdadera victoria es convertir la auditoría en un hábito y una regla. Mantenga su lista maestra como un documento vivo. Haga que añadir un nuevo script sea una decisión deliberada en lugar de casual, con alguien responsable de preguntar "¿seguimos necesitando esto?" de vez en cuando. Programe una revisión a intervalos razonables —un par de veces al año es sensato para la mayoría de los sitios— para que la dispersión nunca se descontrole de nuevo.

Esta disciplina da buenos resultados más allá de la velocidad. Saber exactamente qué scripts recopilan datos hace que sus prácticas de privacidad sean honestas y que sus conceptos básicos de cumplimiento sean mucho más fáciles de mantener, porque solo puede solicitar consentimiento para el seguimiento que realmente conoce. También se conecta con su configuración de consentimiento de cookies, ya que muchos de estos scripts son precisamente lo que su banner de consentimiento debe regular. Y si un script alguna vez resulta ser la fuente de una filtración, un inventario limpio hace que responder a una violación de datos sea mucho menos aterrador. Para una mirada más profunda al lado de los datos, el tema más amplio de análisis y privacidad vale la pena leerlo.

En resumen

Los scripts de terceros son un acuerdo silencioso que se hace una y otra vez: un poco de comodidad ahora a cambio de un poco de velocidad, fiabilidad y privacidad más tarde. Ninguno de los intercambios individuales parece significativo, razón por la cual se acumulan en una carga real. La cura no es temer a los scripts, sino estar consciente de ellos. Cree una lista de todo lo que se ejecuta en su sitio, juzgue cada uno honestamente en función del valor que proporciona, elimine el peso muerto, domestique a los que se quedan y revise todo según un cronograma. Haga eso, y recuperará un sitio más rápido, seguro y confiable, uno donde realmente sabe quién tiene las llaves. Si desea ayuda para auditar los scripts de su sitio, no dude en ponerse en contacto.

Preguntas frecuentes

¿Qué es un script de terceros en términos sencillos?+
Es un fragmento de código de una empresa externa que usted incrusta en sus páginas para añadir una función (análisis, chat, vídeo, publicidad, etc.). Se ejecuta dentro de los navegadores de sus visitantes pero proviene de alguien que no es usted, por lo que conlleva tanto comodidad como riesgo.
¿Cómo veo qué scripts está ejecutando mi sitio?+
Abra una página clave y utilice la vista de red integrada de su navegador para ver todas las empresas externas a las que se conecta su página. No necesita leer el código, solo anote los nombres. Las herramientas gratuitas de escaneo de privacidad también visitarán su sitio y enumerarán los rastreadores que encuentren, lo cual es un punto de partida sencillo.
¿Quitar scripts dañará mi sitio web?+
Puede que sí si elimina algo que todavía está en uso, por lo que debe probar los cambios en una copia de prueba o hacer una copia de seguridad primero. Eliminar scripts que realmente ya no necesita es seguro y generalmente hace que el sitio sea más rápido. Hágalo uno a uno y confirme que nada importante ha cambiado antes de publicarlo.
¿Con qué frecuencia debo auditar mis scripts?+
Una revisión completa un par de veces al año es suficiente para la mayoría de los sitios, además de una verificación rápida cada vez que añada una nueva herramienta o ejecute una campaña. La clave es mantener una lista viva y hacer que añadir un script sea una decisión deliberada, para que el desorden nunca vuelva a acumularse hasta donde empezó.

Referencias

  1. Google. "Web.dev Guidance on Optimising Third-Party Resources." web.dev.
  2. Mozilla. "MDN Web Docs: Third-Party Scripts and Security." developer.mozilla.org.
  3. Electronic Frontier Foundation. "Online Tracking and Privacy Tools." eff.org.
Regresar al blog

AUTOMATICE. OPTIMICE. DOMINE.

Optimice sus operaciones y ofrezca una experiencia de cliente fluida. Deje que nuestros expertos implementen tecnología de vanguardia y flujos de trabajo optimizados para que pueda concentrarse en lo que mejor sabe hacer.

DISCUTA SUS IDEAS