Hola mochis! Damos la bienvenida a junio con un post para dejar las cosas claras con respecto a todo lo que decimos sobre plugins en WordPress. Tras la campaña que hemos hecho, ofreciendo integración con el RGPD, hemos sacado conclusiones que tenemos que comunicaros. Y es que la mayoría de wordpress en los que hemos entrado tienen el problema del que hablaremos en este post. Hemos comunicado este mensaje de forma superficial en diferentes ocasiones, como en stories, posts en instagram, como invitados en el podcast de Estrategias para el éxito… Queremos que esta sea la declaración completa de esa opinión, para que podáis acudir a ella cada vez que tengáis dudas.
Si tu diseñador web te dice que no puedes actualizar un plugin de forma automática, en nuestra opinión, es una negligencia profesional.
Sabemos que esta frase duele a mucha gente, pero nuestra intención es remover las aguas para concienciar al cliente del diseñador web para protegerlo y para proteger al diseñador de sus propios errores en el futuro. Vamos a analizarla para entenderla mejor, pero no por ello deja de ser tajante.
Índice de contenidos
Plugins sin actualizar = Agujero de seguridad
Esta es una relación directa por varias razones:
- El 30% de internet funciona con WordPress
- Muchos de los usuarios de WordPress no tienen conocimiento de programación (creemos que la gran mayoría)
- Hay infinidad de plugins creados e instalados por el mundo, la gran mayoría de ellos, por desarrolladores voluntarios independientes.
- WordPress es código abierto, todo el mundo (al menos todo el que tenga capacidad) puede leer su código fuente, entenderlo, modificarlo.
Hasta aquí todo normal ¿dónde está el problema? La respuesta a esa pregunta es: en las propias ventajas.
- Es más rentable desarrollar hackeos para WordPress porque si se adapta el hack al código común de todos los wordpress, es más fácil evadir las defensas.
- Si entrara, es más sencillo hacer un hack discreto, ya que el usuario no se va a enterar probablemente. Por ejemplo, podría inyectar backlinks hacia webs porno chinas para afectar a su posicionamiento. Pueden llegar a incluso al punto de que si tienes varias páginas en un mismo servidor, si se infecte uno, se infecten todos. Pudiendo secuestrarte los archivos (historia verídica que le ha ocurrido a Clara, todo por tener un wordpress sin actualizar).
- Los desarrolladores de plugins que no tienen un incentivo, terminan abandonando o vendiendo el plugin que desarrollaron y que algún diseñador web pudo instalar en la web de alguien. Esto hace más fácil la entrada en el sistema, porque no solo se puede adaptar el hack a wordpress, sino a ese plugin específico que no tiene un mantenimiento de seguridad. O peor aún, si se trata de hacking más organizado, pueden llegarse a comprar plugins enteros y muy usados, y convertirlos en una fuente invisible de generación de backlinks, minado de criptomonedas, etcétera. (Wordfence suele investigar estos casos y lo exponen todo en su blog).
- Al ser WordPress tan transparente y publicar sus medidas de seguridad, cualquier hacker puede adaptar rápidamente su código a él.
Actualizar = Aprender nuevas formas de defenderse
No actualizar = Seguir vulnerable a técnicas ya descubiertas de hackeo
Que no cunda el pánico, alguien ha inventado una herramienta para hacer que el código cambie, se detecten fallos de seguridad y se arreglen. Esa herramienta son las actualizaciones. WordPress se actualiza como sistema, pero cada plugin debe hacer lo propio también, porque no podemos olvidar nunca que un plugin forma parte del funcionamiento de la web, aunque sea una pieza activable y desactivable.
Una web es como una casa, hacer una web es como una reforma
Una web es una construcción que debe funcionar y debe tener un estilo. En esta definición, una web y una reforma de una casa son exactamente lo mismo ¿Quién no ha pasado por una reforma? Vamos ponerte cuatro casos de programadores que no opinan como nosotros, pero vamos convertirlos en profesionales de la construcción para que todos los podamos entender.
Fernando es un fontanero te hace la instalación de tu casa, pero hay un punto complicado en el que te da una solución a medias y te dice “con eso te vale, puede pasar algo, pero es muy raro que te pase”. O peor, podría pasar que Fernando pensara para sí que, efectivamente, con eso “le vale” y ni nos los dijera.
Para empezar, a nosotros nos gustan las cosas bien hechas, al menos todo lo bien que podemos entender que están. Pero hay que tener presente que si Fernando fuera un diseñador web que nos deja un plugin modificado (por tanto no actualizable) en nuestro WordPress, nos estaría dejando un agujero. Y un agujero en una web no es una fuga en la tubería, al contrario, es una entrada que mucha gente está buscando para acceder. Y es que no podemos olvidar que si modificamos manualmente un plugin, cuando éste se actualice en el futuro, sobreescribirá nuestro código personalizado. Cuando esto sucede, en nuestra experiencia, el diseñador le dice al cliente que ese plugin no lo puede actualizar para que no se pierdan los cambios, lo que nos lleva al problema del principio.
Juan es un pintor de casas y controla bastante bien de colores, da un servicio añadido de asesoramiento cromático. Pero cuando llega a tu casa, le dices que tienes que poner pintura aislante en el suelo de tu azotea. Lo de Juan son los colores, el asunto de los aislantes no se lo suelen pedir mucho los clientes, además los materiales son muy caros. Juan teme dar un presupuesto demasiado alto y que no aceptes, por suerte, conoce un distribuidor de aislante marca blanca que va genial, y te baja el precio real. Te dice que cada año habría que volver a pintar, pero en lugar de llamar a la empresa oficial del aislante (que sería caro y tú podrías verlo como parte del presupuesto de Juan), te dice que vayas cada año a su local y te regala la pintura, eso sí, la tienes que poner tú.
A lo mejor en este caso le estamos preguntando al profesional incorrecto, le estamos pidiendo al del estilo que nos funcionen las cosas y él solo sabe hacerlas bonitas. Pero Juan es muy cumplido y lo hace con buena intención de ayudar y de ahorrarte dinero. Si Juan me hiciera una web, me diría que si quiero actualizar mis plugins, solo tengo que decírselo y él me manda la versión más actualizada para poder machacarla por FTP. Si no sabes lo que es “machacar” “FTP” o “versión más actualizada” y no tienes tiempo para aprenderlo (porque para eso pagas), te va a servir de poco. Darle esta solución a un cliente, por muy buenas intenciones que tenga, es como decirle, pinta todos los años el tejado. Lo siento Juan, tengo más cosas que hacer que aprender esto, prefiero un diseñador que me deje darle al botoncito de actualizar y listo en segundos.
Alberto es un manitas, y lleva toda la vida aprendiendo cosas solo. Ha pasado por todo tipo de trabajos manuales, y tras un par de experiencias positivas, decide hacerse albañil. Alberto no es un experto, pero es capaz de sacar cosas adelante, por eso baja los precios en comparación su competencia, para compensar su inexperiencia. Cuando lo contratamos para nuestra reforma, parece muy seguro de sí mismo, pero en realidad va aprendiendo sobre la marcha. Esto al final repercute en el resultado, porque hay detalles técnicos que lleva muchos años comprender.
Si Alberto fuera diseñador web, seguramente lo primero que haga será ir a Themeforest a comprar un tema de esos que dicen que vale muy barato y que tiene un resultado genial. Pero Alberto, como tantos otros diseñadores noveles, no sabe que los plugins premium o de pago incluidos en los temas Themeforest no se pueden actualizar solos, pero como el vendedor te dice que está todo incluido, no se va a dar cuenta hasta que se actualice el primer plugin. Cuando esto suceda, Alberto estará lejos, su cliente le pedirá explicaciones y, como Alberto sigue confiando en Themeforest, le dice que no pasa nada.
Fernando, Juan y Alberto son excelentes profesionales de la construcción, nadie está diciendo lo contrario. Lo que no se puede es ser un albañil con una web, para empezar porque en el mundo real la física no cambia, en internet sí. En internet, donde lo que importa es lo objetivo, el “así va bien” no existe, solo existe el booleano, solo hay una opción de dos: o puedes actualizar fácilmente o, por un motivo u otro, tienes un agujero de seguridad.
Y sobre todo hay que tener en cuenta, que en el mundo real, un fallo puede no significar nada, tal y como decía Fernando, porque nadie está buscando ese fallo. El agua siempre cae abajo, si hay un agujero en la parte superior de un tubo pues a lo mejor pasan 50 años y nadie se ha dado cuenta. Pero en internet, los peligros están constantemente buscando el fallo en el aislamiento, y muchas veces, van por delante.
Repartiendo la culpa del problema
El problema de que existan estas formas de trabajar habiendo formas oficiales y seguras de hacer las cosas es todas las partes implicadas. A continuación tratamos 4 aspectos que afectan al problema de los plugins premium y en general del diseño en WordPress, para que los tengas en cuenta como cliente.
1. Precio, la palabra clave.
La vía oficial y segura suele estar explotada económicamente. Esto es normal y sano. Como hemos explicado antes, los desarrolladores voluntarios de plugins y temas suelen dejar de dar mantenimiento con el tiempo porque no les compensa. Para que les compense, deben tener mucho público, como es el caso de Woocommerce, Contact Form 7, Page Builder, s2member y muchos otros plugins de alta calidad. Plugins tan usados como estos pueden tener una versión PRO o PREMIUM asociada y con eso se mantienen. Luego está el caso de los grandes plugins de pago WPBakery, Divi, Slider Revolution, WPML… estos plugins son empresas, y por tanto es legítimo que cobren por un trabajo superior.
El problema viene cuando queremos usar estos recursos de calidad superior pagando lo mismo que por un plugin libre, es decir, cero. Todas las vías alternativas a la oficial en este caso son problemáticas, difíciles, engorrosas y, en nuestra experiencia, no compensan.
¿Qué compensa entonces? Tener los conocimientos suficientes para desarrollar las tareas que pide el cliente, usando plugins libres de forma consecuente, de manera que no suponga un pago extra ni un compromiso con la seguridad o la comodidad de administrar un wordpress.
¿Qué pasa si no los tenemos? Lo correcto sería ofrecer una alternativa de pago que se presenta y justifica al cliente. Si el cliente quiere la capilla sixtina, tendremos que traer a Miguel Ángel, pero que sepa cuánto vale lo que pide.
¿Qué pasa si el cliente no quiere pagar eso? Ofrecer otra opción a las anteriores sería darle una solución a medias y hacer un trabajo poco profesional.
En Wondermochi elegimos ser asertivos, directos y honestos. No nos vamos por las ramas: o podemos hacer el trabajo o no podemos o necesitamos ayuda para hacerlo (ayuda = más dinero)
2. Problemas en el camino
Puede pasar que no sepamos la complejidad real de un trabajo web hasta que estamos metidos en él hasta la cintura, esto pasa hasta en las mejores familias. Imagínate que usas Polylang, un plugin traductor muy sólido para ser gratuito. De pronto, el cliente te pide que le des acceso de traducción a su asistente, cosa que no aparecía en el briefing del proyecto pero que ha aparecido después por cambios internos del cliente. ¿Qué podemos hacer? Estamos comprometidos y el trabajo tiene que salir, pero debe encajar en los tiempos de producción.
- Todos, incluido el cliente, debemos tener claro que esto supone trabajo extra, por lo tanto más dinero.
- Todos debemos trabajar para que la solución a este trabajo extra sea lo más rápida posible para que no afecte a los tiempos de producción.
- Todos intentaremos que el coste económico sea el menor posible.
La investigación para encontrar soluciones puede ser muy breve o muy extensa dependiendo del problema, esto debe contemplarse como trabajo añadido que debe ser pagado. - Se deben plantear:
- Opciones de pago más rápidas y “caras” – WPML
- Opciones no de pago más lentas y “baratas” – Investigar la mejor manera de arreglarlo usando herramientas de wordpress y php, incluyendo más plugins gratuitos.
- Opciones no de pago rápidas y “muy caras” – Contratar un programador informático extra que programe a medida lo que se necesita.
- Se aplica la solución lo más rápido posible.
Pero no sufras, si todo está claro desde un principio, esto no tiene por qué pasar. Lo que nos lleva al siguiente punto.
3. ¡Exige briefing!
Como cliente, lo peor que te puede pasar después de gastarte la pasta que vale una web, es que el diseñador no te haya entendido. Cuando organizas el banquete de tu boda, sabes que vas a hacer una gran inversión, así que cada detalle por el que no te preocupas te está saliendo caro. Cuando te compras una casa, revisas los enchufes, paseas por el vecindario, llamas a tu amigo el que sabe de “eso” para que la revise también. Y así con todo lo que vale mucha pasta.
¿Cual es la diferencia? Si estás encargando una web es porque tienes algo que decir o porque quieres que la gente haga cosas en ella. En ambos casos, la información y la estructura de esa información son la clave. Además, estás encargando una web a medida, no una fanpage o un perfil de instagram que no valen nada ¿De verdad vas a dejar pasar cada detalle de la información que das al diseñador para dejar a su criterio aquello que ya tienes claro? Seguramente no te des ni cuenta, pero por eso estamos escribiendo esto, para que lo tengas presente.
4. Cuidado con Themeforest
Plataformas de venta de temas como Themeforest o Templatemonster son un escaparate de trabajos muy chulos. Solo tenemos que filtrar los resultados por popularidad para ver temas muy bien trabajados a un precio medio de unos 60$. Su lema es: tu web por 60$ ¿quién no se ha dejado sugerir por esto (nosotros incluidos)? Pero estas ofertas tienen un problema: las terceras partes.
Cuando vemos un slider flipante en el que todas las partes se mueven, se voltean, se pueden incluir videos de fondo… y 4000 añadidos más; seguramente, este slider esté hecho con Slider Revolution. En principio, si instalas el tema con los plugins incluidos no tienes que pagar nada extra por tener plugins como éste, o WP Bakery instalados de serie. El problema es que no puedes actualizarlos automáticamente desde tu web, porque no tienes una licencia comprada. La licencia la tiene el desarrollador del tema, y tienes que andar pidiendo actualizaciones por FTP como con el caso de Juan, el pintor de casas.
La diferencia entre empresas que venden sus temas con estas terceras partes en Themeforest y Juan el pintor de casas, es que Juan intenta darte una opción no muy cara pero más laboriosa por si le conviene a tu bolsillo. Sin embargo las empresas están ofreciendo un producto que, en cuanto salga la primera actualización, quedará incompleto. Y lo peor es que te lo están vendiendo como un “todo incluido” para que lo compres. Esto, en nuestra opinión, es un oportunismo comercial que aprovechan los conocimientos básicos de una persona que lo que quiere es ahorrarse dinero para montar su web y que lo que está consiguiendo es un bomba de relojería sin saberlo. Pero ¿es responsabilidad de la empresa que vende los temas, de los plugins (que se ofrecen como complementos a estos temas para que el cliente tenga que pagarles al final) o de la plataforma (que permite que todo esto suceda)? Todos tienen parte de culpa, y aunque respetamos su trabajo excelente como programadores y diseñadores, no podemos obviar que sus objetivos comerciales no son nada limpios y tenemos que recomendaros que no compréis en estas plataformas sin estar 100% seguros de qué estáis haciendo.
Si eres un diseñador web y compras temas para tus clientes en estas plataformas, es tu deber estar totalmente informado de lo que estás haciendo. Nosotros hemos cometido este error, y no queremos que te veas en la tesitura de explicar a un cliente por qué no puede actualizar automáticamente sus plugins más vitales, como WP Bakery. Otro factor que queremos recordaros, es que normalmente estas licencias son anuales (a no ser que compres la licencia de por vida).
Conclusión. No utilizar plugins premium sin licencias propias.
Hemos redactado este tostón simplemente para poder decir:
Si tu diseñador web te dice que no puedes actualizar un plugin de forma automática o que no pasa nada si no actualizas, en nuestra opinión, es una negligencia profesional.
… de forma justificada. No queremos que se enfade nadie, lo que queremos es que todo el mundo saque conclusiones de nuestra experiencia. Queremos que el mundo WordPress sea cada día más seguro, y eso implica luchar contra muchas metodologías que convierten un wordpress en una reforma del hogar, cuando no tiene nada que ver en complejidad y riesgo.
Es más, tenemos que decir orgullosos que el sector del diseño web es un sector maravilloso, lleno de gente con ganas de hacer las cosas bien y donde todos nos ayudamos entre todos. Es un mundo complejo, profundo y con un crecimiento que seguramente no podemos tener actualizado al 100%. Como compañeros de sector, queremos ayudaros y responderos todas las dudas que tengáis. No queremos quitaros clientes, queremos que cada vez haya menos propietarios de webs afectadas por este tema de las actualizaciones. Así que, por favor, escribidnos con cualquier duda, si necesitáis plugins alternativos a los de pago, si necesitáis ayuda para hacer funcionalidades concretas en vuestro WordPress, os ayudaremos en lo que sea. Pondremos parte de nuestra jornada laboral a vuestra disposición de forma desinteresada para que, algún día, todo el mundo tenga que claro que un wordpress debe estar SIEMPRE actualizado.
Queremos poner en conocimiento el riesgo real en el que estamos todos los usuarios de WordPress, pero sin alarmar a nadie, como una forma de “actualizar” nuestros conocimientos al respecto. ¿Estamos señalando a alguien? No, cada diseñador tiene su forma de trabajar justificada ¿Nos creemos perfectos? En absoluto, en el pasado hemos cometido los mismos errores que se citan en este post y hemos aprendido de ellos, ahora queremos que no le pase a nadie más ¿Quién gana en toda esa discusión? El cliente y su web. ¿Estamos en contra de los plugins de pago? No, reconocemos su trabajo profesional y os invitamos a pagar sus licencias, pero no nos parece bien su estrategia comercial dentro de portales como Themeforest. Como diseñadores, nuestra creación debe ser lo máximo. Hacer un trabajo a medias solo te trae mala reputación.
20 comentarios
*Se levanta y aplaude fuerte, muy fuerte* Por fin, esto es algo que me frustra. Así como cuando te dan un «tema» y tu crees que tienes la licencia pero quien la tiene es el desarrollador y para cualquier actualización tienes que llamarlo. Yo tengo mi sistema, pero lo cierto es que mi cliente es totalmente independiente.
Bueno, al lio, genial el post, encantada de leer cosas como estas.
Como bien dice Karla, es un post estupendo, que ayuda en especial a los novicios (como mi caso)
Da gusto ver la dedicación que tenéis en explicar las cosas para que se entiendan, y especialmente hacerlo de manera sincera, con el fin de mejorar como individuo y en comunidad. Me ha sido de mucha utilidad.
¡Un saludo!
¡Muchas gracias @disqus_wpUYUyYF23:disqus por tus palabras! Significan mucho para nosotros, la verdad es que nos esforzamos por explicar a los demás la realidad de las cosas.
Gracias por leernos 🙂
Enhorabuena por el post!
Yo querría hacer una pregunta ya que no estoy muy puesto con el tema pero me hicieron el año pasado una web autogestionable que me trae de cabeza. Hace un tiempo me pide que actualice la versión de wordpress; no lo hago por miedo.
El tema que pusieron es el The7 y ahora me sale un aviso de que Themeforest ha cancelado la suscripción y la tengo que renovar (me la dieron en abril). Por esto tampoco puedo actualizar otros plugins como WP bakery, vamos! lo que habéis comentado. El informático me dice que no pasa nada, no tengo que actualizar nada.
La pregunta es qué hago? seguramente deje su hosting pero quiero saber si tengo que tener algún derecho sobre algún tipo de licencia, sea de wordpress o del tema (que por cierto, en ningún momento me dieron a elegir).
Me ser´ía de mucha utilidad vuestra respuesta, por favor.
Muchísimas gracias.
Hola Enrique, sentimos responderte tan tarde. Pues todo depende de quién haya comprado el tema, puedes comprar el tema por tu cuenta en themeforest y luego vincular tu licencia para poder renovarlo, pero aun así WP Bakery no lo podrás actualizar cuando quieras, solo cuando el tema te lo permita, WP Bakery lleva otra licencia diferente, que se puede comprar por separado.
¿Hace falta actualizar? Desde nuestro punto de vista si, por seguridad es necesario tener lo más actualizado el WordPress, más te va a doler y costar después limpiar tu web si es hackeada. Si tienes un hosting tipo Webempresa puedes aguantar un poco más, porque ellos protegen bastante el servidor, pero seguirías siendo vulnerable a inyecciones de código que a veces sufren los plugins y que son subsanados con las actualizaciones.
El wordpress es gratuito, por lo tanto es tuyo, y si no te dieron a elegir el tema, seguramente es porque tengan licencias anuales de una serie de temas, era una práctica muy habitual entre gente del sector.
Espero haberte aclarado un poco más el tema y que finalmente hayas podido encontrar una solución.
Excelente día, duda técnica sobre esto de las licencias, ojalá puedan ayudarme ya que no encuentro aclaración por ningún lado..
He usado wp staging para hacer un clon de mi sitio (entorno de pruebas), y luego he usado all in one wp migration para clonar uno de mis sitios con Divi en esta versión de pruebas. Ahora tengo un clon funcional del sitio con Divi, en el entorno de pruebas de mi otro dominio. Pero me asalta la duda, si Divi es un tema que requiere licencia. ¿por qué coño me permite usarlo en otro dominio?
Hola Manuel, gracias por preguntar. Realmente no puedo darte una respuesta precisa sobre tu pregunta, solo puedo hacer elucubraciones sobre lo que ha podido pasar.
Puede ser que el sistema de licencias de Divi no sea tan inteligente como el de otros plugins y que, al hacer una copia completa del sitio web, se haya migrado también la tabla de la base de datos que contenida la licencia de Divi. Es por esto que muchos plugins lo ponen cada vez más complicado para activar la licencia, por ejemplo, Elementor requiere que una vez dentro del wordpress hagas loguin con sus credenciales.
No puedo decirte mucho más, pero si una última cosa. Al desactivar una licencia, lo que perdemos es el derecho a hacer actualizaciones del código, pero el código, tal y como estaba antes de desactivarla (en tu caso, duplicarla) sigue funcionando perfectamente y así debe ser por el tipo de licencias que wordpress obliga a poner a todos sus terceras partes (plugins y wordpress).
Muy buen post.
pero teniendo en cuenta esto, ¿que tan factible es que un plugin recién instalado en su versión gratuita y para su completo funcionamiento deba adquirirse una licencia sea una vulnerabilidad para todo un sitio si esta no se compra hasta terminar con la prueba gratuita?
Hola Santiago, gracias por comentar.
No se si te estoy entendiendo bien, dices que tienes un plugin gratuito, que tiene una versión PRO, que tienes una demo de dicha versión PRO que te da problemas por haberla comprado antes de terminar el trial.
Si esto te genera problemas de vulnerabilidad no estoy seguro, a no ser que tengas una actualización pendiente que por causa de este conflicto de licencias no puedes instalar.
Me da curiosidad que comentes más detalles para ver si puedo entender tu caso 🙂
Muy buen post.
pero teniendo en cuenta esto, ¿que tan factible es que un plugin recién instalado en su versión gratuita y para su completo funcionamiento deba adquirirse una licencia sea una vulnerabilidad para todo un sitio si esta no se compra hasta terminar con la prueba gratuita?
Interesante Documento, Yo por ejemplo tengo 7 theme con licencia.
Es posible hacer que el theme deje de olicitar licencia para instalarlo en otras web??
Hola! Las licencias que se compran en envato / themeforest normalmente son para un solo uso, y se vinculan a una URL. Si quieres usarla en varias webs, debes comprar la licencia que se llama «extended», pero el precio suele ser bastante elevado. Que los themes no pidan actualizaciones puede ser un problema de seguridad, ya que muchas veces, además de mejoras, contienen solución de errores. Sería como tener un agujero en la pared del local de tu negocio y ponerle un póster para no verlo xD