Casares.blog

Telemetría de WordPress

·

Javier Casares

Auditoría de llamadas externas de WordPress 6.9

Me he entretenido en pedirle a Claude que haga una auditoría de las llamadas que hace WordPress… el resultado es el que es, y tampoco me sorprende.

Propósito de la Auditoría

Esta instalación de WordPress ha sido analizada para:

  1. Identificar todos los endpoints externos contactados
  2. Documentar qué datos se envían a cada servicio
  3. Establecer cuándo y por qué se realizan estas llamadas
  4. Evaluar implicaciones de privacidad y cumplimiento legal

Servicios Identificados

Servicios de WordPress.org

WordPress se comunica principalmente con api.wordpress.org para:

  1. Actualizaciones del núcleo (Core Updates)
  2. Actualizaciones de plugins
  3. Actualizaciones de temas
  4. Verificación de checksums de archivos
  5. Información de eventos comunitarios (WordCamps, meetups)
  6. Actualizaciones de traducciones
  7. Información de plugins (búsqueda e instalación)
  8. Información de temas (búsqueda e instalación)
  9. Verificación de navegadores (Browse Happy)
  10. Patrones de bloques (Block Patterns)

Otros Servicios Externos

  • browsehappy.com – Información sobre actualización de navegadores
  • wordpress.org/news/ – RSS de noticias de WordPress (widget del dashboard)
  • wordpress.org/support/update-php/ – Información sobre actualización de PHP
  • public-api.wordpress.com – oEmbed para VideoPress
  • Servicios de Ping – Definidos por el usuario (ej: Ping-O-Matic)
  • Múltiples servicios oEmbed – Twitter, YouTube, Vimeo, Spotify, etc.

Datos Transmitidos

Los datos enviados incluyen (pero no se limitan a):

  • Versión de WordPress
  • Versión de PHP
  • Versión de MySQL/MariaDB
  • Extensiones PHP instaladas (lista completa)
  • Sistema operativo y arquitectura (32/64 bits)
  • Soporte de formatos de imagen (WebP, AVIF, HEIC, JXL)
  • Tablas MyISAM en uso
  • Número de sitios y usuarios (en instalaciones multisite)
  • URL del sitio (home_url)
  • Locale/idioma del sitio
  • Lista de plugins instalados (nombre, versión, slug)
  • Lista de temas instalados (nombre, versión, slug)
  • User-Agent del navegador (para Browse Happy)
  • IP del usuario (anonimizada para eventos comunitarios)
  • Ubicación geográfica (para eventos comunitarios, opcional)

Frecuencia de las Llamadas

  • Automáticas periódicas: Mediante WP-Cron (verificaciones de actualización)
  • Manuales del usuario: Al visitar páginas de administración específicas
  • Bajo demanda: Al buscar plugins, temas, o patrones

Implicaciones de Privacidad

Nivel de Riesgo: MEDIO-ALTO

Aspectos críticos:

  1. Datos del servidor expuestos: Se envía información técnica detallada del servidor
  2. Inventario de software: Lista completa de plugins/temas revela la “huella digital” del sitio
  3. IP y geolocalización: Aunque anonimizada para eventos, se transmite en otras llamadas
  4. User-Agent: Enviado para verificación de navegador
  5. URL del sitio: Transmitida en cada llamada API

Consideraciones GDPR

  • WordPress.org está sujeto a GDPR (entidad estadounidense con usuarios europeos)
  • Los datos técnicos del servidor generalmente NO son datos personales
  • La IP del administrador podría considerarse dato personal
  • El User-Agent puede contribuir a fingerprinting del usuario

Posibilidad de Desactivación

La mayoría de estas llamadas PUEDEN desactivarse mediante:

  • Constantes en wp-config.php
  • Filtros de WordPress
  • Plugins de gestión de privacidad
  • Configuración del servidor (bloqueo de salida HTTP)

Nota: Desactivar actualizaciones puede comprometer la seguridad del sitio.

Páginas: 1 2 3 4 5 6

Comments

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *