La seguridad vuelve a colocarse en el centro del ecosistema WordPress. El equipo de Plugins, junto con los equipos de Performance y Meta, ha dado un nuevo paso adelante: a partir de ahora, cada actualización de un plugin alojado en WordPress.org será analizada automáticamente mediante el plugin Plugin Check, generando informes internos de seguridad, compatibilidad y cumplimiento que más adelante se enviarán directamente a los autores.

Se trata de una mejora silenciosa, pero muy relevante, en la forma en que la comunidad cuida la calidad del repositorio oficial de plugins.

¿Qué es exactamente Plugin Check?

Plugin Check es una herramienta oficial que los propios equipos de WordPress utilizan para revisar extensiones y que también está disponible públicamente para desarrolladores.

Su función es sencilla de explicar, pero crítica en la práctica:

• Ejecuta una batería de comprobaciones automáticas sobre un plugin.
• Detecta problemas de seguridad, buenas prácticas, rendimiento y compatibilidad.
• Genera un informe detallado para que el desarrollador pueda corregir los fallos antes de enviar o actualizar su plugin.

Hasta ahora, muchos autores lo usaban como herramienta voluntaria en su flujo de desarrollo, pero la novedad es que esa lógica de análisis se ha integrado más profundamente en la propia infraestructura de WordPress.org.

De los nuevos envíos… a todas las actualizaciones

En septiembre de 2024, el equipo de Plugins dio el primer paso:

• Se activó la detección automática de problemas en nuevos plugins enviados al repositorio.
• Si un nuevo plugin no cumplía mínimos de seguridad o calidad, el sistema generaba un informe para que el autor lo corrigiera antes de que un revisor humano entrara en juego.

El resultado fue claro:

• Los envíos llegaban al equipo de revisión con menos problemas básicos.
• Pese a recibir más del doble de plugins que el año anterior, la cola de revisión no creció, gracias a:
  • La automatización con Plugin Check.
  • El apoyo de IA interna durante las revisiones manuales.
  • El esfuerzo del propio equipo de voluntarios.

Ahora, WordPress va un paso más allá:

Plugin Check se está ejecutando también sobre todas las actualizaciones de plugins ya aprobados, no solo sobre los nuevos envíos.

Es decir, cada vez que un autor suba una nueva versión de su plugin a WordPress.org, el sistema realizará un análisis automático en busca de problemas de seguridad, compatibilidad o cumplimiento.

¿Qué se está haciendo hoy con esos informes?

De momento, la nueva funcionalidad está en una fase interna:

• Los resultados de Plugin Check para actualizaciones se almacenan en WordPress.org.
• Los informes son revisados por el equipo de Plugins.
• Cuando detectan problemas relevantes, pueden contactar con los autores y solicitar correcciones.

Esta fase sirve para:

• Observar cómo se comporta Plugin Check con el flujo real de actualizaciones.
• Ajustar reglas, falsos positivos y prioridades.
• Pulir el sistema antes de que los informes se envíen automáticamente a todos los desarrolladores.

El objetivo declarado es claro:

Enviar por correo electrónico un informe de seguridad a los autores justo después de que actualicen su plugin, para que puedan reaccionar rápido si algo se ha roto o si se ha colado una mala práctica.

Por qué esto importa tanto al ecosistema WordPress

Los plugins son, al mismo tiempo, la mayor fortaleza y uno de los mayores riesgos de WordPress.

• Son los que permiten convertir una instalación básica en una tienda, un LMS, un membership site o un medio de comunicación.
• Pero también son la puerta de entrada más habitual para vulnerabilidades, problemas de rendimiento o errores de compatibilidad.

Con este movimiento, la comunidad está enviando varios mensajes importantes:

1. La seguridad es responsabilidad compartida
   No depende solo de los desarrolladores ni solo del equipo de Plugins:
   • La infraestructura automatiza comprobaciones.
   • La comunidad aporta revisores, herramientas y documentación.
   • Los autores tienen cada vez más información para hacer las cosas bien.
2. La IA se usa como apoyo, no como sustituto
   El equipo reconoce que utiliza un “Internal Scanner” con IA para ayudar en las revisiones, pero la decisión final sigue en manos humanas. No es una revisión ciega, sino un refuerzo.
3. Se premia al buen desarrollador
   Un flujo más estricto de controles no solo evita extensiones peligrosas, también:
   • Da más confianza a usuarios y empresas que instalan plugins desde WordPress.org.
   • Reduce el riesgo de que un descuido en una actualización rompa sitios en producción.
   • Facilita la mejora continua de las prácticas de desarrollo.

Qué deberían hacer los desarrolladores de plugins a partir de ahora

Aunque parte de este proceso es interno, el mensaje del equipo de Plugins es bastante directo: aprovechar la herramienta.

Algunas recomendaciones prácticas:

• Ejecutar Plugin Check en local antes de subir una nueva versión, igual que se pasa un lintern o unos tests automatizados.
• Revisar especialmente:
  • Uso de funciones y APIs modernas de WordPress.
  • Sanitización y escape de datos.
  • Compatibilidad con versiones recientes de PHP y WordPress.
• Estar atentos al correo asociado a la cuenta de desarrollador:
  • En el futuro, los informes automáticos llegarán ahí.
  • Ignorarlos podría acabar en avisos, pausas o incluso suspensiones del plugin si hay fallos graves.

El objetivo no es “pillar” a nadie, sino reducir el número de actualizaciones problemáticas que terminan afectando a miles o millones de sitios.

Un pequeño gran paso para la seguridad en WordPress.org

La propia nota del equipo de Plugins lo resume bien: no es una revolución inmediata, pero sí un paso significativo hacia un ecosistema de plugins más seguro, consistente y profesional.

La combinación de:

• Herramientas abiertas como Plugin Check,
• Automatización en WordPress.org,
• Soporte de IA en las revisiones, y
• Una comunidad activa de desarrolladores,

apunta a un futuro donde publicar un plugin inseguro o descuidado será cada vez más difícil, y mantener buenas prácticas será cada vez más sencillo.

Preguntas frecuentes

¿Qué es Plugin Check y quién puede usarlo?
Plugin Check es un plugin oficial que ejecuta comprobaciones automáticas sobre otros plugins de WordPress, detectando problemas de seguridad, compatibilidad y buenas prácticas. Lo usa el equipo de Plugins de WordPress.org, pero también puede instalarlo cualquier desarrollador en su entorno de desarrollo.

¿Afecta esto a todos los plugins del repositorio?
Sí. La nueva fase implica que todas las actualizaciones de plugins alojados en WordPress.org pasan por Plugin Check. Primero de forma interna, y más adelante con informes enviados automáticamente a los autores tras cada actualización.

¿Sustituye Plugin Check la revisión humana?
No. La herramienta sirve como filtro y sistema de alerta temprana. Ayuda a encontrar problemas de forma automática, pero las decisiones importantes —como aprobar, pausar o pedir cambios a un plugin— siguen en manos del equipo de revisión.

¿Qué beneficio tiene para quien desarrolla plugins “serios”?
Muchos: menos riesgo de introducir fallos graves sin darse cuenta, más confianza de usuarios y empresas, y un repositorio donde el nivel medio de calidad y seguridad es más alto, lo que también revaloriza el trabajo de los desarrolladores que hacen las cosas bien.

vía: make.wordpress.org