WordPress Hosting

¿Entonces en qué quedamos, me hago un plugin con IA o no? Pues depende…

Por / 14-05-2026 / Avanzado, Principiante / 9 minutos de lectura

La pregunta no es si una IA puede crearte un plugin  WordPress, eso ya sabes que sí, lo he contado en varios artículos anteriores y muy probablemente lo hayas probado por tu cuenta.

La pregunta es otra, es una que no se hacen muchos y deberían, y es esa de … ¿deberías hacer tú ese plugin con IA, en tu caso concreto, para lo que tú quieres?

Y la respuesta no es la misma para todo el mundo. Depende de tres cosas que puedes responder en treinta segundos, y son qué tipo de plugin necesitas, qué nivel de programación tienes y qué riesgo asumes si algo falla.

A partir de ahí vamos a ver dónde tiene sentido tirar de IA y dónde es una mala idea.

Cuándo sí tiene sentido hacerte un plugin con IA

Hay un tipo de plugin que es justo lo que la IA hace mejor, y casualmente es el que más necesita la mayoría de la gente que tiene un WordPress.

Me refiero a los plugins pequeños y específicos, esos que resuelven un problema concreto tuyo y que jamás vas a publicar en wordpress.org porque a (casi) nadie más le sirven.

Por ejemplo:

  • Un mu-plugin que añade una columna en el listado de entradas con un dato concreto que te interesa.
  • Un fragmento que cambia el comportamiento del editor para tu flujo de trabajo.
  • Una automatización interna que cruza datos entre dos plugins que ya tienes instalados.
  • Un widget de escritorio personalizado para vigilar algo de tu web.
  • Un shortcode a medida que te ahorra copiar y pegar el mismo HTML en cien lugares.

En estos casos la IA te resuelve en quince minutos lo que antes te costaba un día buscando códigos en internet y adaptándolos. Y como el código va a vivir en tu web y lo usas tú y nadie más, los riesgos son muy controlables.

También funciona bien para prototipos y proyectos. Si tienes una idea de plugin pero no sabes si va a funcionar comercialmente, montar una versión mínima con IA te permite validarla antes de invertir tiempo o dinero en hacer la versión seria.

La probabilidad de que ese prototipo acabe siendo el plugin definitivo es baja, pero como herramienta para validar el concepto es de lo mejor que hemos tenido en décadas.

Y queda otro caso del que poco he leído por ahí, que es aprender a programar con la IA. Le pides que te genere algo sencillo, le preguntas el porqué de cada decisión, y vas entendiendo el código.

La IA no te hace el trabajo, te lo explica mientras lo hace, y es una forma de las más rápidas de aprender desarrollo WordPress que he visto, no es un curso avanzado de programación profesional, pero ayuda mucho.

Cuándo no te lo recomiendo en absoluto

Hay otras situaciones donde tirar de IA para crear un plugin es la antesala del desastre. No porque la IA sea mala, sino porque el contexto pide cosas que la IA hoy en día no garantiza.

  1. Cualquier plugin que vayas a publicar en el repositorio de wordpress.org sin revisar el código línea a línea. La gente que descarga un plugin desde el directorio oficial confía en que detrás hay alguien que entiende lo que hace. Si lo único que hay detrás eres tú con un prompt bien afinado, no tienes ese conocimiento, y un fallo de seguridad tuyo lo van a sufrir miles de instalaciones.
  2. Cualquier plugin que toque pagos, datos bancarios, datos personales sensibles o el proceso de pago de una tienda. El riesto de ataque es enorme, las consecuencias de un fallo son legales además de técnicas, y aquí no vale el «lo he probado y va«.
  3. El tercero es irónico pero pasa, y mucho, y me refiero a los plugins de seguridad. Si pides a una IA que te haga un plugin para mejorar la seguridad de tu WordPress, es probable que el propio plugin sea inseguro. He visto código generado con IA que añadía cabeceras de seguridad, sí, pero por el camino dejaba un endpoint REST sin permission_callback que daba acceso a cualquiera. Lo bueno tapado por lo malo. Y sí, yo tengo un plugin de seguridad, pero le pongo el doble o triple de revisión que a cualquier otra cosa que hago, me hago responsable, y llevo años desarrollando código para WordPress.
  4. Plugins que vayas a usar en webs de clientes o vender como producto comercial sin auditar. El día que falle no estás solo tú en juego, está tu reputación profesional. Y si el cliente pregunta por qué pasó algo y la respuesta es «es que ese trozo lo hizo Claude«, la conversación va a ser jodida.

Lo que la IA hace mal cuando crea plugins

Pues sí, no todo son alegrías, porque hay problemas técnicos que aparecen una y otra vez en código generado por IA, sin importar cuál uses, ni siquiera cómo la uses.

Te lo cuento desde la experiencia de revisar mucho código generado y desde lo que recogen las propias guías de seguridad y rendimiento de WordPress.

  • Saneado a medias: Las IAs casi siempre se acuerdan de sanitizar lo que reciben, pero a veces eligen la función equivocada. Te ponen sanitize_text_field() cuando deberían usar sanitize_email(), o esc_html() donde tocaba wp_kses_post(). El plugin no falla, pero o se carga datos legítimos o deja pasar cosas que no debería.
  • Se te olvidan los nonces: En formularios sencillos suelen estar. En endpoints AJAX a veces sí. En endpoints REST casi nunca. Y si el plugin tiene una función de borrado o de modificación masiva, ahí tienes una vulnerabilidad CSRF de manual.
  • Queries sin preparar: Cuando el código mete consultas SQL directas con $wpdb, hay una probabilidad muy alta de que falte el $wpdb->prepare(). Le has dicho a la IA que haga una consulta y la ha hecho, pero la concatenación de variables es la receta clásica de la inyección SQL.
  • Capacidades sin comprobar: Los current_user_can() que faltan son uno de los fallos más típicos. La IA pone la lógica de la funcionalidad, pero se olvida de comprobar si el usuario que la está ejecutando tiene permiso. Y el resultado es que cualquier suscriptor llamando al endpoint puede hacer cosas que solo un administrador debería poder hacer.
  • Faltan escapes: Imprimir variables sin esc_html(), sin esc_attr() o sin esc_url() es la base del XSS. La IA escapa los datos obvios pero se le escapan los menos obvios, sobre todo los que vienen de la base de datos, que ella asume seguros pero pueden no serlo si llegaron ahí desde otro sitio.
  • Rendimiento desastroso: Queries dentro de bucles, posts_per_page a -1 sin pensárselo, transients dinámicos que llenan la tabla de opciones, scripts cargados en todas las páginas en lugar de solo donde hacen falta. Funciona en una web vacía, pero en una con tráfico real tumba el servidor.

Todo esto es solucionable, pero arreglarlo requiere saber identificarlo, y para identificarlo hace falta saber programar.

Si no sabes qué es un nonce o por qué es importante el permission_callback la IA puede generarte un plugin que parece perfecto y que en realidad es un coladero.

Y luego está el otro problema, el del día de mañana.

¿Quién mantiene ese plugin que has generado hoy cuando la IA del momento ya no esté disponible o haya cambiado tanto que ni entienda su propio código de hace dos años?

Si te interesa el lado del mantenimiento a largo plazo echa un vistazo a este artículo, ahí lo desarrollo a fondo.

Cinco preguntas para saber si TÚ deberías hacer plugins con IA

Antes de pedirle a la IA que te genere ese plugin, contéstate estas preguntas con sinceridad. Si la mayoría son positivas adelante, si tienes varias que como que no, pues mejor pensártelo dos veces.

¿Sabrías interpretar este código si la IA desapareciera mañana?

Si la respuesta es que no lo que tienes no es un plugin sino una caja negra que vas a tener que mantener a ciegas.

Para uso personal puede ir bien y aceptas el coste.  Ahora bien, para cualquier otro escenario es un problema, porque el día que algo falle y la IA del momento no sirva o cueste tres veces más, te toca pelear con código que nunca fue tuyo del todo.

¿Lo va a usar alguien más que tú?

Si la respuesta es no el riesgo está controlado, si te peta te jodes tú y punto.

Pero si la respuesta es que sí (clientes, usuarios del repositorio, miembros de tu comunidad), las consecuencias de un fallo se multiplican y la exigencia de calidad sube mucho.

La IA por sí sola no llega a ese nivel,  hace falta alguien que SEPA revisar y mejorar el código.

¿Toca dinero, datos personales o identificaciones?

Si la respuesta es sí ya tienes media decisión tomada. O lo escribes tú con la IA como copiloto y revisas cada línea entendiendo lo que hace, o se lo encargas a alguien que sepa.

Generar y publicar sin más es buscarse problemas serios.

¿Tendrías capacidad de auditar el código antes de ponerlo en producción?

Auditar no es leer y decir «parece que funciona», es comprobar punto por punto que la sanitización es correcta, los nonces están en su sitio, las capacidades se verifican, las queries están preparadas y los escapes de salida son los adecuados.

Si tienes ese conocimiento la IA es un turbo acojonante, pero si no lo tienes mejor empieza por aprender lo básico antes de montar cosas que no entiendes.

¿Aceptas la idea de que el plugin sea desechable?

A veces la respuesta correcta es que sí, que lo montas rápido, lo usas unos meses y cuando deje de servirte lo tiras y haces otro. En ese caso la IA encaja como anillo al dedo.

Pero si lo que quieres es montar algo que dure años y que evolucione la cosa es muy distinta.

Por dónde seguir

Si después de leer todo esto sigues teniendo claro que quieres hacerte tu plugin con IA, en el blog tienes casi de todo para hacerlo bien.

Empezando por la base teórica y subiendo nivel:

Yo mismo he hecho varios plugins con este tipo de procesos. VigIA, ese plugin de control y analítica de bots de IA del que tanto hablo, salió de horas de trabajo con asistencia de IA, igual que algunos de mis otros plugins.

La diferencia entre que esos plugins funcionen bien y los que ves circulando con fallos de seguridad básicos está exactamente en lo que te he contado en el apartado de los problemas técnicos.

Hay que revisar cada línea entendiendo lo que hace, no tragar con lo primero que sale y aplicar de manera sistemática las prácticas de seguridad y rendimiento que WordPress lleva años publicando.

La IA es una herramienta excelente para esto, pero como cualquier herramienta el resultado depende mucho menos de la herramienta y mucho más de quien la usa.

Compártelo en tus redes
Resúmelo con tu IA

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en las estrellas para valorarlo!

Promedio de puntuación 5 / 5. Total de votos: 2

¡Todavía no hay votos! Sé el primero en valorar este contenido.

Ya que has encontrado útil este contenido...

¡Sígueme en las redes sociales!

Puede que también te interese…

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!


Sobre el autor

Apasionado de WordPress, profesor, consultor y ponente. Maquero cansino, padre de tres hijos y dos perritas. Vasco de nacimiento, español de corazón y ciudadano de donde me quieran. Mi último libro es WordPress - Web gratis para todos. Mi blog personal es este, donde hace años ofrezco mis visiones acerca de la Web. Sígueme en Twitter

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio