WordPress Hosting

¿Me puedo fiar de los plugins hechos con IA? Te cuento lo que puedes hacer para que no sea un acto de fe

Por / 13-06-2026 / Anthropic, Claude, Codex, OpenAI, PatchStack, Plugin Check, Principiante, WPScan / 11 minutos de lectura

Cada vez se publican más plugins hechos con ayuda de inteligencia artificial, lo sepas o no, y hay de todo, desde auténticas joyas a pura mierda.

En serio, hay algunos plugins que son una maravilla pero otros pueden ser un coladero, y aparentemente no se distinguen, y no hay manera de saber si son buenos, malos o regulinchis.

La pantalla de descarga o instalación de plugins de WordPress no te cuenta si detrás hay alguien que controla lo que ha publicado o si es código soltado tal cual salió del primer prompt.

Pero antes de seguir creo que conviene separar dos cosas bien diferentes, te cuento…

Un plugin hecho por una IA, generado y subido sin que nadie lo revise, no tiene nada que ver con uno hecho con IA, donde una persona la usa de herramienta pero entiende, prueba y mantiene lo que sale.

Yo mismo uso Claude Code para casi todo, y no lo escondo, pero el papel principal lo llevo yo, estoy al mando, la IA es una herramienta más, y tampoco toma decisiones.

El problema no es que haya IA por medio, el problema está cuando no hay nadie al volante.

Si tú instalas plugins pero no los programas este artículo es para ti. No vamos a detectar si un plugin lo ha hecho una IA, eso ya lo conté en otro artículo, y además da bastante igual.

Lo que vamos a ver es cómo decidir si te puedes fiar de un plugin para meterlo en tu web, o en la de un cliente, da igual si detrás hay una persona, una IA, o las dos cosas a la vez.

«¿Lo ha hecho una IA?» ya no vale de filtro

A estas alturas la IA está metida en buena parte del código nuevo que se publica, así que saber que un plugin se hizo con IA no te dice nada sobre si es bueno o mediopensionista.

Hay código generado con IA y revisado a conciencia que es mejor que mucho código escrito a mano y mal programado, y también al revés.

Lo que de verdad cuenta es que haya detrás alguien competente que entiende lo que ha publicado, lo prueba, lo mantiene y responde cuando algo se tuerce, la herramienta es lo de menos.

Por eso lo que tienes que preguntarte es si te puedes fiar de quien hay detrás, y como tú no vas a leer el PHP o JavaScript línea a línea, esa confianza la vas a construir con señales que sí puedes ver desde fuera, más alguna comprobación que puedes hacer sin saber programar.

Vamos por partes.

Quién hay detrás es tu mejor pista si no eres programador

Cuando no puedes auditar el código la persona que lo mantiene es tu mejor garantía. No puedes o no sabes valorar si la programación está bien hecha, pero puedes evaluar a quien está detrás.

Quien entiende su plugin lo arregla cuando aparece un fallo, contesta las dudas con criterio y no desaparece al primer problema, pero quien ha escupido código que no entiende hace lo contrario, y eso se nota desde fuera mucho antes de instalar nada.

Esto es lo que miraría, más o menos por orden de importancia:

  • Cómo responde en el foro de soporte, que es la prueba de fuego. Y no me refiero a que conteste rápido, sino a si contesta con cabeza. Entra en la pestaña de soporte del plugin en WordPress.org y lee las últimas consultas, porque si ante un «¿por qué tu plugin hace esto?» el autor explica el porqué, controla su código, y si suelta respuestas genéricas o no aparece es mala señal, ya que quien no sabe explicar su propio plugin tampoco suele saber leerlo, y menos mantenerlo.
  • Si conoce en profundidad la solución para la que está diseñado el plugin. Cuando es de seguridad, que se le note que sabe de seguridad, porque es justo lo que le permite cazar lo que la IA hace mal. Un plugin de seguridad escrito por alguien que no controla de seguridad es de los inventos más peligrosos que te puedes echar a la cara.
  • Su historial como desarrollador. Mira si tiene más plugins, pre-IA y post-IA, desde cuándo publica y qué reputación tiene fuera del repositorio, porque un nombre con recorrido y cara visible da bastante más tranquilidad que una cuenta recién creada con un único plugin y sin rastro de quién está detrás.
  • Cómo reacciona ante un fallo de seguridad o errores graves, que es de lo más revelador. Busca si alguna vez le han reportado un problema serio y fíjate en cuánto tardó en sacar la corrección, porque un autor que parchea rápido y avisa a sus usuarios es justo lo que quieres, y uno que ignora el aviso durante meses no merece entrar tu web.
  • Qué pasaría si desaparece el plugin. Pregúntate si el plugin sobrevive a que su autor se canse, porque uno de una sola persona sin nadie más detrás es bastante más frágil que uno con una empresa o una comunidad que pueda seguir manteniéndolo.
  • Si no oculta el uso de IA, aunque con matices. Que el developer reconozca que la usa está bien como muestra de transparencia, pero no te fíes solo de eso, que reconocerlo ya es lo normal y lo hace igual quien trabaja bien y quien suelta basura. Lo que no se puede fingir es ser capaz de mantener y arreglar lo que has publicado.

Señales que cualquiera puede ver sin tocar el código

Antes incluso de mirar el código, la propia ficha del plugin te cuenta bastante si sabes dónde fijarte. Esto lo ve cualquiera desde la página del plugin en WordPress.org.

  • Instalaciones activas y cómo evolucionan: No es lo mismo un plugin con 30 instalaciones que uno con 30.000, pero no te quedes solo con el número, porque un plugin que sube poco a poco indica que la gente lo instala y lo deja puesto, que es la mejor reseña que hay.
  • Última versión compatible: Comprueba que esté probado con la última versión de WordPress o una muy cercana, porque si pone que se probó hace cuatro versiones, o está abandonado o el autor no lo sigue, y en ambos casos es un aviso.
  • Registro de cambios: Échale un ojo al changelog, que si cada versión explica qué se ha arreglado con un mínimo de detalle hay alguien pendiente, y si son entradas genéricas tipo «mejoras varias y corrección de errores» repetidas una y otra vez, huele a volcado sin nadie revisando.
  • Lee las reseñas, no solo la puntuación: No te quedes con la media de estrellas, vete a las de una y dos estrellas, que ahí es donde se ve si el plugin rompe webs, si el soporte pasa de la gente o si hay un problema recurrente que el autor no resuelve.
  • Lo que promete frente a lo que pide: Desconfía de un plugin sencillo que pide permisos o accesos que no le pegan, o que promete mil funciones imposibles de mantener por una sola persona, porque cuanto más abarca algo hecho deprisa, más sitios hay para que algo se rompa o quede a medias.
  • Si aparece en las bases de vulnerabilidades: Busca el nombre del plugin en Patchstack y en WPScan, que llevan el registro de fallos conocidos en plugins de WordPress. Que aparezca no es necesariamente malo, lo importante es que se corrigiera rápido, pero que tenga vulnerabilidades sin parchear sí es para salir corriendo.

Revisa el código aunque no sepas programar

Y ahora la parte más útil, porque puedes revisar el código de un plugin sin entender ni una línea de PHP, solo ayudándote en herramientas que lo leen por ti. Sí, sé lo que estás pensando, tú sigue leyendo…

Nada de esto es una auditoría de seguridad en condiciones, ojo, eso ya es otra liga, pero te sirve de sobra para oler problemas antes de meter el plugin en tu web.

Pásale el Plugin Check

El Plugin Check es el plugin oficial del equipo de revisión de WordPress.org, el mismo que se usa para revisar los plugins antes de aceptarlos en el repositorio.

Lo instalas en una web de pruebas, lo pasas sobre el plugin que estás evaluando y te muestra un informe con los problemas de seguridad, rendimiento y estándares que encuentra.

Tú no lees el código, lees el veredicto, así que si sale lleno de errores en rojo ya sabes lo que hay. Yo lo uso al crear mis plugins, pero funciona igual de bien para revisar el de otro.

Mira las alertas de Query Monitor

El Query Monitor es otro imprescindible para la web de pruebas. Con el plugin activado navega por tu web y fíjate en si aparecen alertas en rojo, como consultas lentas a la base de datos, errores de PHP o llamadas que tardan demasiado.

No necesitas entender qué pasa por dentro para ver que hay banderas rojas donde no debería haberlas.

Abre el archivo principal y busca señales gordas

Aunque no sepas programar puedes abrir el archivo principal del plugin con cualquier editor de texto y cazar algunas cosas a ojo:

  • Que tenga una cabecera en condiciones con el nombre del autor, la versión y la compatibilidad.
  • Que no haya claves de API escritas a pelo en mitad del código.
  • Que no aparezcan bloques larguísimos de texto ilegible, lo que se llama código ofuscado y que casi siempre sirve para esconder algo, ni funciones con nombres como eval o base64_decode repartidas por todos lados.
  • Que no llame a direcciones web externas raras que no pinten nada ahí.

Es posible, más que probable, que no entiendas la lógica, pero estas señales saltan a la vista.

Pídele a una IA que te lo audite

Acertaste, y sí,  aquí está el giro divertido, usar la IA para vigilar un plugin que probablemente se hizo con IA.

Descarga el plugin, sube el archivo o el zip a Claude Code o Codex de OpenAI  y pídele que te lo revise con un prompt directo, a la yugular, algo así:

Revisa este plugin WordPress y dime si tiene problemas de seguridad, qué datos envía a servidores externos y si sigue las buenas prácticas de WordPress

En un par de minutos te señala los puntos flojos que tú no sabrías ni por dónde mirar. Eso sí, la IA tampoco es infalible auditando, te da pistas muy buenas pero no un certificado, así que tómatelo como una opinión (documentada) más y no como la última palabra.

Y siempre, pruébalo en un sitio de pruebas

Esto vale para cualquier plugin, lo haya tocado una IA o no, nunca pruebes uno nuevo directamente en tu web en producción.

Móntalo primero en un WordPress local o en un staging donde puedas romper cosas sin consecuencias, actívalo, dale caña y comprueba que hace lo que dice sin romper nada más.

Si supera esa prueba y ha aguantado las comprobaciones anteriores, ya te puedes plantear ponerlo en serio.

Repaso rápido antes de instalar

Para que no se te olvide nada, este es el repaso que yo haría antes de meter un plugin en una web que me importe algo:

  • Leer las últimas respuestas del autor en el foro de soporte y ver si contesta con criterio.
  • Comprobar que está probado con la versión actual de WordPress o muy cercana.
  • Mirar el registro de cambios y descartar los que solo ponen «correcciones varias» versión tras versión.
  • Leer las reseñas de una y dos estrellas, no solo la media.
  • Buscar el plugin en Patchstack y WPScan por si tiene vulnerabilidades sin corregir.
  • Pasarle el Plugin Check en una web de pruebas y revisar el informe.
  • Pedirle a una IA que le eche un vistazo al código y avise de lo que huela raro.
  • Probarlo en local o en staging antes de tocar producción.

Y si quieres una chuleta de un vistazo con lo que te debe dar buen o mal rollo, pues nada, a mandar:

Buena señal Mala señal
El autor responde dudas técnicas con criterio Respuestas genéricas, evasivas o foro abandonado
Probado con la versión actual de WordPress Probado hasta varias versiones atrás
Registro de cambios detallado y constante «Correcciones varias» en bucle
Instalaciones que crecen y se mantienen Caída de instalaciones o cuenta sin historial
Parchea rápido los fallos de seguridad Vulnerabilidades reportadas sin corregir
Pasa el Plugin Check sin errores graves Informe lleno de alertas en rojo
Código limpio, sin ofuscar ni claves a pelo Bloques ofuscados, eval o URLs externas raras
Autor con cara visible y reputación Anónimo, plugin único y sin rastro

Un ejemplo que puedes comprobar tú mismo

Todo esto suena muy bien en teoría, así que aplícalo con cualquier plugin que te plantees instalar, los míos incluidos.

Pilla VigIA o cualquiera de mis otros plugins, que salieron de muchas horas de trabajo, con ayuda de IA por supuesto, no lo escondo, y pásales la lista.

Entra en sus foros, mira quién contesta las dudas (este aquí presente casi siempre), revisa el registro de cambios, comprueba con qué versión están probados, pásales el Plugin Check.

Lo que tienes que buscar es justo eso, que haya alguien dando la cara y manteniendo el invento, dé igual que el código lo escribiera a mano o con una IA al lado.

Esa es la idea con cualquier plugin que vayas a instalar. Olvídate de si lo ha hecho una máquina o una persona y fíjate en si hay alguien competente detrás que responde cuando algo se tuerce.

Y si te pica el gusanillo de entender qué falla cuando la IA programa sola, o de hacerte tú tus propios plugins, en el blog tienes cuándo merece la pena crear un plugin con IA y la guía completa de programar WordPress con IA para seguir aprendiendo.

Compártelo en tus redes
Resúmelo con tu IA

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en las estrellas para valorarlo!

Promedio de puntuación 5 / 5. Total de votos: 3

¡Todavía no hay votos! Sé el primero en valorar este contenido.

Ya que has encontrado útil este contenido...

¡Sígueme en las redes sociales!

Puede que también te interese…

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!


Sobre el autor

Apasionado de WordPress, profesor, consultor y ponente. Maquero cansino, padre de tres hijos y dos perritas. Vasco de nacimiento, español de corazón y ciudadano de donde me quieran. Mi último libro es WordPress - Web gratis para todos. Mi blog personal es este, donde hace años ofrezco mis visiones acerca de la Web. Sígueme en Twitter

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio