Actualizaciones automáticas en WordPress - ¿deben activarse?

El software WordPress, escrito en PHP, se ha consolidado al menos desde 2010 como el líder indiscutible entre todos los sistemas de gestión de contenidos (CMS) —solo entre 2005 y años posteriores logró Joomla arrebatar dicha posición durante algunos años. El portal especializado en supervisión y análisis de Internet w3techs.com registra actualmente una cuota superior al 40 por ciento (dato: octubre de 2021) entre los diez millones de sitios web más populares del mundo y aproximadamente dos tercios entre todos los sistemas de comercio electrónico y CMS utilizados. Por tanto, es una pregunta importante si tiene sentido y es recomendable activar las actualizaciones automáticas para WordPress, ya que ello conlleva consecuencias directas para una gran cantidad de sitios privados, comerciales y públicos.

Contenido:

¿Con qué frecuencia publica WordPress actualizaciones?
¿Qué efectos tienen las actualizaciones sobre el CMS?
¿Cómo funcionan las actualizaciones automáticas en WordPress?
¿Cuál es la ventaja de las actualizaciones automáticas frente a las manuales?
¿Deberían activarse las actualizaciones automáticas en WordPress?

¿Con qué frecuencia publica WordPress actualizaciones?

En comparación con otros CMS como Joomla o Typo3, WordPress publica sus actualizaciones con una cadencia relativamente corta: por lo general son unas tres al año, mientras que los saltos de versión reales con una reestructuración u optimización exhaustiva del código aparecen relativamente de forma infrecuente, cada cuatro o cinco años. Este enfoque difiere del de muchos otros proveedores, que apuestan por tiempos de desarrollo más largos y cambios extensos; no obstante, ofrece algunas ventajas concretas:

• Número elevado de cambios menores que reducen el riesgo de incompatibilidades
• Posibilidad de reaccionar rápidamente ante vulnerabilidades de seguridad críticas o fallos
• Desarrollo continuo en intervalos cortos
• Amplia difusión que permite un desarrollo ágil y la focalización en puntos débiles
• Estrecha integración y comunicación entre desarrolladores y usuarios
• Amplio control del flujo de trabajo y de la responsabilidad individual de cada equipo
• Concentración de recursos, como mano de obra y tiempo, en aspectos significativos
• Implementación temprana de nuevas funcionalidades para usuarios y desarrolladores externos

Por otra parte existe el riesgo de que estas actualizaciones no se apliquen o se implementen con demora. WordPress, sin embargo, responde a este riesgo soportando todas las versiones existentes durante un periodo muy prolongado, en algunos casos de hasta diez años. Esto implica un trabajo adicional práctico en el desarrollo y supone, en cierta medida, un desafío para el equipo detrás de WordPress; no obstante, debido a su popularidad y a su comunidad extremadamente amplia, también surgen numerosas iniciativas y apoyo por parte de desarrolladores externos.

¿Qué impacto tienen las actualizaciones en el CMS?

Antes de su publicación, una actualización atraviesa una extensa prueba en distintos entornos de test y está sujeta a una revisión exhaustiva. Por los ciclos cortos y la concentración en cambios menores, las actualizaciones individuales de WordPress suelen producir únicamente efectos específicos, que por ejemplo mejoran el rendimiento, corrigen posibles vulnerabilidades o introducen nuevas funciones e interfaces gráficas de usuario. Sin embargo, no imponen estos cambios a gran escala a los usuarios y permiten adaptarse mejor a las opciones introducidas mediante una evolución gradual.

Además, el número comparativamente bajo de cambios reduce considerablemente el esfuerzo que supone localizar y encontrar el origen en caso de un problema o una incompatibilidad. La rápida delimitación también acelera el ciclo de desarrollo de los usuarios, ya que les permite concentrarse en lo esencial. Para facilitar aún más su uso, WordPress ofrece además soporte amplio para las actualizaciones automáticas; esto se aplica tanto al sistema base como a una gran cantidad de complementos disponibles. No obstante, en el caso de estos últimos, la responsabilidad recae, por supuesto, en el desarrollador externo para implementarlos y ponerlos a disposición de sus usuarios.

Aunque los avances individuales en WordPress suelen ser relativamente "pequeños", pueden provocar cambios fundamentales en un sistema en funcionamiento. En este contexto conviene distinguir entre actualizaciones simples, que se producen dentro de una versión y afectan únicamente a partes concretas, y los llamados saltos de versión, por ejemplo del 4.0 "Benny" de 2014 al 5.0 "Bebo" en diciembre de 2018. Estos indican una intervención más amplia y, por tanto, conllevan un mayor riesgo de que surjan dificultades técnicas o de que la actualización sea incompatible con extensiones individuales como plantillas o complementos.

¿Cómo funcionan las actualizaciones automáticas en WordPress?

La función de actualizaciones automáticas para plugins y temas la introdujo WordPress con la versión «Eckstine» publicada en agosto de 2020 y respondía al deseo, sobre todo de usuarios particulares, que no se ocupan a diario del mantenimiento y actualización de su web, pero que al mismo tiempo buscan cerrar rápidamente, por ejemplo, vulnerabilidades de seguridad y conseguir un rendimiento óptimo. Opera de forma similar a la opción previa para actualizaciones manuales: contacta con las direcciones proporcionadas por los desarrolladores y comprueba periódicamente si se ha publicado una nueva versión. Si encuentra una, inicia un proceso automatizado para su instalación, diseñado para minimizar el riesgo de fallos al aplicar la actualización y, al mismo tiempo, permitir una actualización oportuna y sin supervisión. Este proceso incluye varios pasos que se ejecutan de forma secuencial:

• Comprobación de nuevas versiones en los servidores indicados por los desarrolladores
• Comparación de la variante instalada con la disponible en cuanto a versión y estado (p. ej., estable o experimental)
• Descarga de un paquete comprimido en ZIP o Gzip con la nueva versión
• Instalación mediante las rutinas integradas de WordPress para actualizaciones manuales
• Respuesta automática a confirmaciones o preguntas con los valores o ajustes predeterminados
• Opcional: notificación al administrador sobre las actualizaciones automáticas mediante correo electrónico o SMS

En la mayoría de los casos, una actualización de este tipo se ejecuta de forma silenciosa en segundo plano, sin que sea necesaria una intervención manual. Sin embargo, precisamente en saltos de versión pueden darse excepciones con problemas, porque, por ejemplo, faltan información como rutas de directorios que no pueden determinarse automáticamente, o porque plugins y temas resultan incompatibles con el sistema instalado.

¿Cuál es la ventaja de las actualizaciones automáticas frente a las manuales?

En principio no hay realmente diferencia entre que las actualizaciones se apliquen de forma automática o manual, ya que sus efectos no varían por el método empleado. No obstante, hay que tener en cuenta varios aspectos para elegir el procedimiento ideal, minimizar el riesgo de problemas técnicos y, al mismo tiempo, garantizar la máxima seguridad, estabilidad y rendimiento. Concretamente, los siguientes puntos hablan a favor o en contra de las actualizaciones automáticas:

Ventajas:

• Actualización rápida de WordPress, plugins y temas
• Instalación inmediata de actualizaciones para mejorar el rendimiento, la funcionalidad o la seguridad
• No se requiere comprobación manual de actualizaciones
• Sistema permanentemente actualizado sin tiempo o trabajo adicional
• Control integrado de permisos, usuarios y grupos
• Registro de acciones en los archivos de log correspondientes

No obstante, también existen algunos posibles conflictos y dificultades que deben tenerse en cuenta antes de permitir las actualizaciones automáticas de forma general:

• Las actualizaciones automáticas pueden sobrescribir código personalizado
• No hay control explícito sobre la configuración, por ejemplo, en caso de nuevos permisos
• Las respuestas a las consultas están determinadas por los desarrolladores
• Puede haber incompatibilidades entre el sistema y componentes como plugins o temas
• Errores y funcionalidad limitada en extensiones y su integración

En principio, cabe señalar que los problemas técnicos derivados de actualizaciones son una excepción poco frecuente y solo afectan a una pequeña fracción de todas las instalaciones. Sin embargo, debido a la gran cantidad de combinaciones posibles de WordPress, plantillas, temas y plugins, nunca pueden descartarse por completo. Resulta problemático en este contexto que pueden tener impactos significativos en la disponibilidad, la presentación o la seguridad de un sitio web.

¿Deben habilitarse las actualizaciones automáticas en WordPress?

Para decidir si tiene sentido activar las actualizaciones automáticas de WordPress, deben tenerse en cuenta factores diferentes. Uno de los más importantes es el carácter de un sitio web: mientras que, por ejemplo, en un blog privado o en una presentación personal una caída breve no suele tener consecuencias graves, en una presencia comercial en Internet esto puede conducir a una pérdida considerable de ingresos o de confianza. Por este motivo, en sistemas en producción es recomendable comprobar todas las actualizaciones primero en un entorno de pruebas experimental para asegurar la compatibilidad y el correcto funcionamiento en servicio. Esto puede consistir, por ejemplo, en un sistema base idéntico de WordPress con los plugins y ajustes correspondientes en un servidor VPS en el que no se almacenen datos críticos para la seguridad ni datos relevantes en materia de protección de datos. Un procedimiento sencillo consiste en activar las actualizaciones automáticas en este y aplicarlas manualmente en el sistema en producción solo después de una verificación exhaustiva. Un Hosting web para WordPress especializado suele ofrecer esta posibilidad.

En sitios web con contenidos privados o en aquellos que sirven exclusivamente para informar a los visitantes y no persiguen ningún interés comercial o empresarial, por el contrario, hay pocos motivos en contra de activar las actualizaciones automáticas de WordPress. En estos casos no es raro que incluso tengan un efecto positivo en la seguridad, porque a menudo no se mantienen regularmente y en versiones antiguas pueden ocultarse vulnerabilidades o fallos de seguridad ya publicados. Por este motivo, y debido al limitado potencial de daño por fallos —que normalmente se limita a la visualización de un código de error como HTTP Error 500 Internal Server Error—, es recomendable permitir que las actualizaciones se realicen automáticamente.

Foto: Werner Moser en Pixabay