La gestión de sitios WordPress suele tener un problema muy poco vistoso, pero muy real: cuando una agencia recibe una web heredada, cuando un cliente cambia de proveedor o cuando un administrador necesita revisar el estado de una instalación, casi nunca existe una fotografía clara del sistema. Hay que mirar plugins, temas, versiones, cron, base de datos, ajustes de seguridad, caché, usuarios, roles y decenas de pequeños detalles que pueden marcar la diferencia entre una web mantenible y un problema esperando a ocurrir.
Site Audit Snapshot, un nuevo plugin open source publicado en GitHub por M Rafi Abro, intenta resolver precisamente esa tarea. Su propuesta es sencilla: generar en un solo clic un informe completo de auditoría de un sitio WordPress, con información sobre entorno, plugins, temas, base de datos, tareas programadas, seguridad, medios, rendimiento, tipos de contenido, taxonomías, usuarios, roles y endpoints de la REST API.
El plugin está pensado como una herramienta de diagnóstico, documentación y traspaso. No promete corregir problemas automáticamente ni sustituir una auditoría profesional de seguridad o rendimiento, pero sí ofrece algo que muchos equipos echan de menos: una vista ordenada y exportable del estado real de una instalación WordPress.
Según la documentación del repositorio, Site Audit Snapshot recopila información del entorno, como la versión de WordPress, versión de PHP, tipo de base de datos, sistema operativo del servidor, límites de memoria, estado multisite, HTTPS y modo debug. También genera un inventario completo de plugins, con estado activo o inactivo, versión, disponibilidad de actualizaciones y configuración de actualizaciones automáticas.
En la parte de temas, identifica el tema activo, la relación entre tema padre e hijo y la detección de temas de bloques o Full Site Editing. En base de datos, revisa tamaños de tablas, tamaño total, datos autoloaded, revisiones, metadatos huérfanos y entradas en la papelera. Para administradores de sistemas y desarrolladores, esta combinación puede resultar especialmente útil en webs antiguas, proyectos heredados o instalaciones con demasiados plugins acumulados durante años.
Una decisión técnica interesante es que los snapshots se almacenan como archivos JSON en wp-content/uploads/site-audit-snapshot/, y no dentro de la base de datos. Esto evita añadir más carga a wp_options, una tabla que en muchos WordPress ya sufre por exceso de opciones autoloaded, configuraciones históricas y datos que nunca se limpiaron correctamente.
Uno de los apartados más útiles del plugin es el de seguridad. Site Audit Snapshot incluye 11 comprobaciones con indicadores tipo semáforo, entre ellas el estado de WP_DEBUG, edición de archivos desde el panel, HTTPS, prefijo de base de datos, XML-RPC y otros elementos habituales en revisiones básicas de endurecimiento de WordPress.
Conviene matizar que este tipo de checks no convierten el sitio en seguro por sí solos. Una auditoría de seguridad completa requiere revisar vulnerabilidades de plugins, permisos de archivos, cabeceras HTTP, configuración del servidor, exposición de endpoints, autenticación, logs, WAF, backups y otros aspectos. Pero como punto de partida, disponer de una tabla clara con señales rojas, amarillas y verdes puede acelerar mucho el diagnóstico inicial.
También resulta relevante la revisión de cron jobs. WordPress depende de tareas programadas para publicar contenidos, ejecutar procesos de plugins, lanzar limpiezas, sincronizaciones, envíos o comprobaciones periódicas. Cuando algo falla en WP-Cron, los síntomas pueden ser confusos: newsletters que no salen, pedidos que no se actualizan, cachés que no se regeneran o integraciones que se quedan a medias. El plugin lista los eventos programados, su próxima ejecución y posibles tareas vencidas.
En rendimiento, Site Audit Snapshot detecta elementos como caché de objetos, OPcache, caché de página e información del editor de imágenes, como Imagick o GD. De nuevo, no sustituye a herramientas como PageSpeed Insights, WebPageTest, Query Monitor o análisis APM, pero aporta una primera capa de inventario técnico que ayuda a entender cómo está montada la web.
Otro punto atractivo está en las opciones de exportación. El plugin permite imprimir o guardar como PDF mediante el diálogo del navegador, sin depender de librerías de generación PDF en el servidor. Esto reduce complejidad y evita añadir dependencias pesadas a la instalación.
También permite exportar el snapshot en JSON, útil para tratamiento programático, automatización o integración con otros sistemas. Además, el repositorio indica soporte para exportar en Markdown, una opción especialmente interesante en el contexto actual de herramientas de IA, documentación técnica y asistentes de desarrollo. Un informe en Markdown puede usarse fácilmente en proyectos, repositorios, documentación interna o como contexto para un modelo de lenguaje que ayude a analizar una instalación.
La función de enlace compartido temporal también está pensada para escenarios de soporte. El plugin genera un token criptográficamente aleatorio de 256 bits, con caducidad por defecto de 72 horas, configurable hasta 30 días. Además, redacta automáticamente datos sensibles como host de base de datos, nombre de base de datos y rutas absolutas de archivos. Según la documentación, los tokens se validan con hash_equals() para reducir riesgos de ataques de timing.
El caso de uso más evidente está en agencias WordPress. Cuando se recibe un proyecto heredado, suele haber muchas preguntas iniciales: qué plugins están activos, qué tema se usa, si hay tema hijo, qué versión de PHP corre, si hay tareas cron vencidas, qué tamaño tiene la base de datos, cuántos usuarios administradores existen o si XML-RPC está activo.
Site Audit Snapshot puede convertir esa primera revisión en un documento estructurado. Para una agencia, esto puede facilitar presupuestos, traspasos, informes de estado, onboarding de nuevos desarrolladores o conversaciones con clientes. Para un freelance, puede servir como prueba documental antes de tocar una web. Para un equipo interno, puede ser una forma rápida de registrar el estado del sitio antes de una migración, actualización mayor o intervención técnica.
El plugin también incluye hooks para desarrolladores. Se pueden añadir, eliminar o reordenar colectores mediante el filtro wps_collectors, modificar datos antes de guardar con wps_snapshot_data y enganchar acciones antes o después de la generación del snapshot, cuando se crea un enlace compartido o cuando se accede a él. Además, expone endpoints REST protegidos que requieren la capacidad manage_options y una cabecera X-WP-Nonce válida.
| Área auditada | Información incluida |
|---|---|
| Entorno | WordPress, PHP, base de datos, sistema, memoria, HTTPS, debug |
| Plugins | Estado, versión, actualizaciones y auto-update |
| Temas | Tema activo, tema hijo/padre y detección FSE |
| Base de datos | Tamaño, autoloaded data, revisiones, postmeta huérfano |
| Cron | Eventos programados, próxima ejecución y tareas vencidas |
| Seguridad | 11 checks con indicadores visuales |
| Medios | Adjuntos, tamaño de uploads y tipos MIME |
| Rendimiento | Object cache, OPcache, page cache, Imagick/GD |
| Usuarios | Roles, número de usuarios y capacidades |
| REST API | Resumen de namespaces registrados |
Es importante no confundir Site Audit Snapshot con un plugin de backup, migración o seguridad avanzada. No clona la web, no restaura contenido, no corrige vulnerabilidades, no escanea malware y no reemplaza una revisión manual cuando hay sospecha de compromiso. Su función es documentar el estado del sitio.
Esa limitación, bien entendida, también es una ventaja. Al ejecutarse bajo demanda, el plugin asegura no añadir carga al frontend. Según su documentación, solo recopila datos cuando el administrador pulsa “Generate Snapshot”, por lo que no debería introducir sobrecarga continua en la web.
Los requisitos son WordPress 6.5 o superior y PHP 8.1 o superior, algo coherente con instalaciones modernas, aunque puede dejar fuera webs antiguas que precisamente podrían necesitar auditorías. En esos casos, la propia incompatibilidad ya sería una señal de que el sitio necesita revisión técnica.
Site Audit Snapshot llega en un momento en el que WordPress sigue siendo la base de millones de webs, pero también una fuente constante de problemas por acumulación de plugins, mantenimientos irregulares y traspasos mal documentados. En ese contexto, una herramienta sencilla, open source y orientada a generar informes puede resultar más valiosa de lo que parece. No soluciona los problemas, pero ayuda a verlos. Y en muchas webs WordPress, ese primer mapa ya es medio trabajo.
¿Qué es Site Audit Snapshot para WordPress?
Site Audit Snapshot es un plugin open source que genera un informe técnico completo de una instalación WordPress, incluyendo entorno, plugins, temas, base de datos, cron, seguridad, rendimiento, usuarios y REST API.
¿Site Audit Snapshot ralentiza la web?
Según su documentación, no añade carga al frontend porque solo recopila datos cuando el administrador genera manualmente un snapshot desde el panel de herramientas.
¿Se puede exportar el informe de auditoría?
Sí. El plugin permite guardar el informe como PDF mediante impresión del navegador, exportar los datos en JSON y generar una salida en Markdown útil para documentación o uso con herramientas de IA.
¿Site Audit Snapshot sustituye a una auditoría de seguridad profesional?
No. Sirve como herramienta de inventario y diagnóstico inicial, pero no reemplaza una auditoría de seguridad completa, un escaneo de malware, una revisión de código o una evaluación avanzada de rendimiento.
