Gestionar sitios WordPress arrastra un problema poco vistoso pero muy real: cuando una agencia hereda una web, cuando un cliente cambia de proveedor o cuando un administrador necesita revisar el estado de una instalación, casi nunca existe una fotografía clara del sistema. Toca mirar plugins, temas, versiones, cron, base de datos, ajustes de seguridad, caché, usuarios, roles y decenas de detalles pequeños que marcan la diferencia entre una web mantenible y un problema esperando a explotar.
Site Audit Snapshot, un plugin open source publicado en GitHub por M Rafi Abro, intenta resolver justo esa tarea. La propuesta es directa: generar en un solo clic un informe completo de auditoría de un sitio WordPress, con datos sobre entorno, plugins, temas, base de datos, tareas programadas, seguridad, medios, rendimiento, tipos de contenido, taxonomías, usuarios, roles y endpoints de la REST API.
Site Audit Snapshot se plantea como herramienta de diagnóstico, documentación y traspaso. No promete corregir problemas automáticamente ni sustituir una auditoría profesional de seguridad o rendimiento, pero ofrece algo que muchos equipos echan de menos a la hora de hacer un diagnóstico previo a una optimización: una vista ordenada y exportable del estado real de la instalación.
Según la documentación del repositorio, el plugin recopila información del entorno (versión de WordPress, versión de PHP, tipo de base de datos, sistema operativo del servidor, límites de memoria, estado multisite, HTTPS y modo debug). También genera un inventario completo de plugins, con estado activo o inactivo, versión, disponibilidad de actualizaciones y configuración de actualizaciones automáticas.
En la parte de temas, identifica el tema activo, la relación entre tema padre e hijo y la detección de temas de bloques o Full Site Editing. En base de datos, revisa tamaños de tablas, tamaño total, datos autoloaded, revisiones, metadatos huérfanos y entradas en la papelera. Para administradores de sistemas y desarrolladores, esa combinación viene de perlas en webs antiguas, proyectos heredados o instalaciones con demasiados plugins acumulados durante años.
Una decisión técnica interesante: los snapshots se almacenan como archivos JSON en wp-content/uploads/site-audit-snapshot/, no dentro de la base de datos. Así se evita meterle más carga a wp_options, una tabla que en muchos WordPress ya sufre por exceso de opciones autoloaded, configuraciones históricas y datos que nunca se limpiaron a tiempo.
El apartado de seguridad es uno de los más útiles. Site Audit Snapshot incluye 11 comprobaciones con indicadores tipo semáforo, entre ellas el estado de WP_DEBUG, edición de archivos desde el panel, HTTPS, prefijo de base de datos, XML-RPC y otros puntos habituales en revisiones de endurecimiento.
Ojo con esto: estos checks no convierten el sitio en seguro por sí solos. Una auditoría completa exige revisar vulnerabilidades de plugins, permisos de archivos, cabeceras HTTP, configuración del servidor, exposición de endpoints, autenticación, logs, WAF, copias de seguridad y otros frentes. Como punto de partida, eso sí, una tabla con señales rojas, amarillas y verdes acelera el diagnóstico inicial.
La revisión de cron jobs también suma. WordPress depende de tareas programadas para publicar contenidos, ejecutar procesos de plugins, lanzar limpiezas, sincronizaciones, envíos o comprobaciones periódicas. Cuando algo falla en WP-Cron los síntomas son confusos: newsletters que no salen, pedidos que no se actualizan, cachés que no se regeneran o integraciones que se quedan a medias. El plugin lista los eventos programados, su próxima ejecución y posibles tareas vencidas, en la línea de los ajustes que WordPress 6.9 introdujo moviendo WP-Cron al apagado para liberar el TTFB.
En rendimiento, Site Audit Snapshot detecta caché de objetos, OPcache, caché de página e información del editor de imágenes (Imagick o GD). No sustituye a PageSpeed Insights, WebPageTest, Query Monitor o análisis APM, pero aporta una primera capa de inventario técnico que ayuda a entender cómo está montada la web. Si lo que buscas es bajar segundos reales, te interesará más revisar ajustes de servidor o probar herramientas como FlyingPress 5.3.
Las opciones de exportación son otro punto fuerte. El plugin permite imprimir o guardar como PDF mediante el diálogo del navegador, sin depender de librerías de generación PDF en el servidor. Eso reduce complejidad y evita meter dependencias pesadas a la instalación.
También permite exportar el snapshot en JSON, útil para tratamiento programático, automatización o integración con otros sistemas. El repositorio indica además soporte para exportar en Markdown, especialmente interesante en el contexto actual de herramientas de IA, documentación técnica y asistentes de desarrollo. Un informe en Markdown se puede usar fácilmente en proyectos, repositorios, documentación interna o como contexto para un modelo de lenguaje que ayude a analizar la instalación, una idea que enlaza con propuestas como los plugins que quieren convertir WordPress en un sistema gestionable por IA.
La función de enlace compartido temporal está pensada para soporte. El plugin genera un token criptográficamente aleatorio de 256 bits, con caducidad por defecto de 72 horas, configurable hasta 30 días. Además, redacta automáticamente datos sensibles como host de base de datos, nombre de base de datos y rutas absolutas de archivos. Según la documentación, los tokens se validan con hash_equals() para reducir riesgos de ataques de timing.
El caso de uso más evidente está en agencias WordPress. Cuando recibes un proyecto heredado, las preguntas iniciales se repiten: qué plugins están activos, qué tema se usa, si hay tema hijo, qué versión de PHP corre, si hay tareas cron vencidas, qué tamaño tiene la base de datos, cuántos usuarios administradores existen o si XML-RPC está activo.
Site Audit Snapshot convierte esa primera revisión en un documento estructurado. Para una agencia, eso facilita presupuestos, traspasos, informes de estado, onboarding de nuevos desarrolladores o conversaciones con clientes. Para un freelance, sirve como prueba documental antes de tocar una web. Para un equipo interno, es una forma rápida de registrar el estado del sitio antes de una migración, actualización mayor o intervención técnica.
El plugin también incluye hooks para desarrolladores. Se pueden añadir, eliminar o reordenar colectores con el filtro wps_collectors, modificar datos antes de guardar con wps_snapshot_data y enganchar acciones antes o después de la generación del snapshot, cuando se crea un enlace compartido o cuando se accede a él. Además, expone endpoints REST protegidos que requieren la capacidad manage_options y una cabecera X-WP-Nonce válida.
| Área auditada | Información incluida |
|---|---|
| Entorno | WordPress, PHP, base de datos, sistema, memoria, HTTPS, debug |
| Plugins | Estado, versión, actualizaciones y auto-update |
| Temas | Tema activo, tema hijo/padre y detección FSE |
| Base de datos | Tamaño, autoloaded data, revisiones, postmeta huérfano |
| Cron | Eventos programados, próxima ejecución y tareas vencidas |
| Seguridad | 11 checks con indicadores visuales |
| Medios | Adjuntos, tamaño de uploads y tipos MIME |
| Rendimiento | Object cache, OPcache, page cache, Imagick/GD |
| Usuarios | Roles, número de usuarios y capacidades |
| REST API | Resumen de namespaces registrados |
Importa no confundir Site Audit Snapshot con un plugin de backup, migración o seguridad avanzada. No clona la web, no restaura contenido, no corrige vulnerabilidades, no escanea malware y no reemplaza una revisión manual cuando hay sospecha de compromiso. Su función es documentar el estado del sitio.
Esa limitación, bien entendida, también es una ventaja. Al ejecutarse bajo demanda, el plugin no añade carga al frontend. Según su documentación, solo recopila datos cuando el administrador pulsa “Generate Snapshot”, así que no introduce sobrecarga continua en la web.
Los requisitos son WordPress 6.5 o superior y PHP 8.1 o superior, coherente con instalaciones modernas, aunque deja fuera webs antiguas que precisamente podrían necesitar auditorías. En esos casos, la propia incompatibilidad ya es una señal de que el sitio necesita revisión técnica.
Site Audit Snapshot llega en un momento en el que WordPress sigue siendo la base de millones de webs y, a la vez, una fuente constante de problemas por acumulación de plugins, mantenimientos irregulares y traspasos mal documentados. Una herramienta sencilla, open source y orientada a generar informes puede ser más valiosa de lo que parece. No soluciona los problemas, pero ayuda a verlos. Y en muchas webs WordPress, ese primer mapa ya es medio trabajo.
¿Qué es Site Audit Snapshot para WordPress?
Es un plugin open source que genera un informe técnico completo de una instalación WordPress, con datos de entorno, plugins, temas, base de datos, cron, seguridad, rendimiento, usuarios y REST API.
¿Site Audit Snapshot ralentiza la web?
Según su documentación no añade carga al frontend, porque solo recopila datos cuando el administrador genera manualmente un snapshot desde el panel de herramientas.
¿Se puede exportar el informe de auditoría?
Sí. Permite guardar el informe como PDF mediante impresión del navegador, exportar los datos en JSON y generar una salida en Markdown útil para documentación o uso con herramientas de IA.
¿Site Audit Snapshot sustituye a una auditoría de seguridad profesional?
No. Sirve como herramienta de inventario y diagnóstico inicial, pero no reemplaza una auditoría completa, un escaneo de malware, una revisión de código o una evaluación avanzada de rendimiento.
¿Qué requisitos técnicos tiene Site Audit Snapshot?
Requiere WordPress 6.5 o superior y PHP 8.1 o superior. En instalaciones más antiguas no se puede instalar, lo que indica que esa web necesita una actualización previa.
¿Dónde guarda los snapshots el plugin?
En archivos JSON dentro de wp-content/uploads/site-audit-snapshot/, fuera de la base de datos. Así evita aumentar la carga de wp_options y mantiene los informes fácilmente portables.
