La web tiene un problema de software obsoleto

Algunos podrían decir que nada dura para siempre en la web. Y que tal vez el cambio sea la única constante. Los sitios web favoritos van y vienen, al igual que las herramientas y tecnologías. Claro, hay algo de verdad en esas declaraciones, pero también es más complicado.

Verás, las cosas realmente no desaparecen sino que se desvanecen en el fondo. El sitio web que solía estar repleto de tráfico podría convertirse en un pueblo fantasma. Y es igualmente probable que la tecnología detrás de ese sitio también esté acumulando polvo.

Pero no son solo esos sitios antiguos y desatendidos los que tienen problemas. También hay situaciones en las que un sitio web de misión crítica depende de un software obsoleto. Eso podría ser cualquier cosa, desde un complemento de WordPress abandonado hasta una versión no compatible de PHP.

Está lejos de ser una situación ideal. Y pueden surgir muchos problemas potenciales al apegarse a estos viejos recursos. Sin embargo, también es la realidad de la web moderna. Tan pronto como llega la nueva tecnología para llamar la atención, la vieja continúa avanzando pesadamente en las sombras.

El problema es complejo, al igual que las posibles soluciones. ¿Es posible librar a la red de estos dinosaurios?

¿Por qué los sitios web continúan usando el código heredado?

Cuando imagina un sitio web que usa código heredado, ¿qué le viene a la mente? Tal vez sea un blog que no ha visto contenido nuevo en algunos años. O una comunidad en línea desaparecida. Incluso podría pensar en un sitio comercial inactivo.

El hilo común de estos ejemplos es que probablemente sean sitios web pequeños y económicos (quizás gratuitos). Entidades que están congeladas en el tiempo.

Ahora considere un sitio de gran empresa que está muy personalizado. Tal vez incluya una funcionalidad personalizada que permita a los clientes pagar sus facturas. Podría haber un complemento de WordPress personalizado que facilite un flujo de trabajo específico para los miembros del equipo.

La funcionalidad personalizada es costosa y requiere mucho tiempo de producción. Y en algunos casos, puede ser frágil. Puede depender de un método o función que no es compatible con las versiones más recientes de su software dependiente. Por ejemplo, es posible que una aplicación creada para PHP 5 ya no funcione en PHP 8.

Y aunque un desarrollador (o un equipo de ellos) puede refactorizar el código, no siempre es fácil ni se ajusta a un presupuesto determinado. Al igual que las viejas historias de usuarios corporativos que mantuvieron Internet Explorer 6 mucho después de su tiempo, el código heredado puede vivir durante años.

La conclusión es que el software obsoleto permanece en uso activo. Eso es cierto tanto en el extremo superior como en el inferior de la escala.

Dos ejemplos principales: PHP y WordPress

Las estadísticas de uso cambian regularmente, y sin duda cambiarán después de que se haya publicado este artículo. Pero dos tendencias, en particular, son excelentes ejemplos de software obsoleto en acción: PHP y WordPress.

PHP 5 y 7 todavía están disponibles

En el momento de escribir este artículo, la última versión de PHP es la 8.1. Se lanzó en noviembre de 2021 y las actualizaciones de seguridad están programadas para finalizar en noviembre de 2024. La versión 8.0 se lanzó en noviembre de 2020 (las actualizaciones de seguridad finalizan en noviembre de 2023). La versión 7.4 se lanzó al mundo en noviembre de 2019 (las actualizaciones de seguridad finalizan en noviembre de 2022).

Por lo tanto, las versiones 8 y superiores han estado con nosotros durante varios años. Sin embargo, según las estadísticas de uso de PHP de W3Techs, poco más del 6% de los sitios encuestados ejecutan PHP 8 u 8.1. Mientras tanto, el 70 % usa algún tipo de PHP 7, y casi el 23 % todavía ejecuta PHP 5 (cuyo soporte finalizó en 2018).

La transición entre las principales versiones de PHP tiende a ser lenta. Eso probablemente se deba en parte a cambios en la compatibilidad. WordPress y su ecosistema, por ejemplo, han recorrido un largo camino hacia el soporte completo para PHP 8.

Además, los servidores web tradicionalmente no han presionado demasiado a los clientes para que actualicen (más sobre eso en un momento). Al mismo tiempo, los propietarios de sitios web van desde no tener conocimiento de PHP hasta no estar demasiado preocupados por la actualización.

En resumen: ha habido poco sentido de urgencia. O no lo suficiente como para cambiar el rumbo y obtener más sitios web con la última versión.

Estadísticas de versión de PHP de W3Techs, a noviembre de 2022

WordPress 4 y 5 en vivo

Al cierre de esta edición (juego de palabras intencionado), se ha lanzado WordPress 6.1. Es la última versión del sistema de administración de contenido (CMS) más popular conocido por la humanidad.

Y según las estadísticas de uso de WordPress de W3Techs, casi el 60 % de los sitios encuestados utilizan la versión 6 o superior. Es significativamente más alto que las tasas de uso de PHP 8. Sin embargo, eso probablemente no sea demasiado sorprendente.

En comparación, actualizar WordPress es más fácil e incluso puede automatizarse. Los propietarios del sitio y los responsables del mantenimiento no necesariamente tienen que mover un dedo para actualizar. Los proveedores de alojamiento gestionado también pueden encargarse de ello. Y se sabe que WordPress valora la compatibilidad con versiones anteriores, por lo que hay menos posibilidades de que ocurra un problema importante.

Pero las versiones obsoletas todavía están ahí. La versión 5 impulsa el 34% de las instalaciones, mientras que más del 6% de las instalaciones se aferran a la versión 4.

Si hay buenas noticias, es que el núcleo de WordPress continúa lanzando actualizaciones de seguridad para varias versiones anteriores del software. Aún así, estos sitios pierden nuevas funciones y mejoras de rendimiento. Sin mencionar los posibles problemas de compatibilidad de temas y complementos. Ah, y es poco probable que funcionen con la última versión de PHP.

También vale la pena señalar que estas estadísticas no tienen en cuenta los sitios web que ejecutan complementos y temas obsoletos o abandonados. Esa podría ser una galaxia completamente diferente que vale la pena explorar, pero igual de relevante. Aquí es donde se originan la mayoría de los problemas de seguridad relacionados con WordPress.

Estadísticas de la versión de WordPress de W3Techs, a noviembre de 2022

Por qué esto es una preocupación

El término "software desactualizado" puede evocar todo tipo de visiones de pesadilla. Me viene a la mente una persona que compra en línea con una versión sin parches de Windows XP. Podría funcionar, pero existen muchos riesgos al continuar usándolo.

La seguridad es una preocupación primordial. Es lógico que usar una versión de PHP que ya no recibe actualizaciones de seguridad sea un riesgo. Los ataques que podrían detenerse fácilmente con versiones más nuevas podrían dañar una configuración heredada.

Pero también lo es emplear una antigua biblioteca de JavaScript o una utilidad de servidor con una falla de seguridad abierta. Después de todo, las dependencias de todo tipo pueden ser peligrosas. La reciente vulnerabilidad de Log4j es solo uno de los muchos recordatorios.

Luego están los problemas de eficiencia y rendimiento. El software desactualizado que carece de estas mejoras puede afectar negativamente la experiencia del usuario, el SEO y el consumo de energía.

Y cuanto más desactualizado esté el software, más difícil (y más caro) será ponerse al día en el futuro. Cada versión posterior puede añadir obstáculos al proceso.

Algunos servidores web están forzando el problema

Los anfitriones web tienen un papel que desempeñar para ayudar a sus clientes a implementar un nuevo software. Y algunos se están volviendo más agresivos en estos esfuerzos.

PHP ha sido un objetivo principal. Algunos hosts permitirán que los clientes sigan ejecutando una versión no compatible, pero han comenzado a cobrar una tarifa adicional. Esto podría ser el resultado de mayores costos de soporte para los clientes que usan software obsoleto. Como mínimo, es una forma de convencer a los usuarios para que actualicen.

Aún así, otros han adoptado una postura más dura. Notificarán a los clientes que usan una versión de PHP desactualizada y les proporcionarán una fecha de actualización programada. A partir de ahí, el sitio se actualiza independientemente de si se ha probado o parcheado para la nueva versión.

Queda por ver qué tan efectivas serán estas medidas. Pero limpiar el software obsoleto es una tarea enorme. Por lo tanto, alguien debe hacer rodar la pelota. Los anfitriones están bien posicionados para hacerlo.

¿Afuera con lo viejo?

Con más de 30 años, la web ha alojado una cantidad incalculable de software. Considere todas las aplicaciones, grandes y pequeñas, que se han descargado e instalado en los servidores a lo largo del tiempo. No es de extrañar que algunos se hayan dejado en su lugar mucho después de su fecha de vencimiento.

A veces, este código heredado se mantiene por necesidad; otras aplicaciones dependen de él. Pero también puede suceder simplemente porque el propietario de un sitio no está al tanto de la situación. Es posible que nadie se haya acercado a ellos con respecto a una actualización.

En cualquier caso, los recursos son lo que se necesita para aumentar los esfuerzos de modernización. A nivel empresarial, esto significa tiempo y dinero dedicados para mantener las cosas evolucionando con versiones más nuevas.

En los peldaños más bajos de la escalera, la educación es un factor clave. Los anfitriones web están empezando a darse cuenta de la importancia de mantener informados a los clientes. Y los diseñadores web deberían hacer lo mismo.

Comienza informando a los clientes cuál es su posición, los peligros de usar software obsoleto y los beneficios de actualizar. A partir de ahí, pueden tomar decisiones informadas.

No, un solo sitio actualizado no cambiará el mundo. Pero cada uno es un pequeño paso hacia una web más segura que puede aprovechar las últimas tecnologías.