3 años en el Plugins Team de WordPress.org

Ayer, 5 de mayo de 2026, cumplo 3 años como parte del Plugins Team de WordPress.org. Y este último año, el tercero, ha sido sin duda el más intenso, el más bonito y el que más me ha cambiado la forma de entender lo que significa contribuir a un proyecto open source de esta escala.

Vamos a ver qué ha pasado todo este año. No tanto por hacer cuentas (aunque las hay), sino porque cuando estás metido en el día a día revisando plugins, programando herramientas y respondiendo a la cola, a veces se te olvida mirar hacia atrás y ver lo lejos que has llegado. Y este año hemos llegado lejos.

El contexto que cambia todo: los envíos se han disparado

Captura De Pantalla 2026 05 02 A Las 13.30.03

Hay un dato que pone todo en perspectiva. Si miras el histórico de envíos nuevos por semana al directorio:

  • En 2022, 2023 y 2024 la media estaba en torno a 100-150 envíos semanales, bastante estable.
  • En 2025 subimos a 200-330 envíos por semana.
  • En lo que llevamos de 2026, ya estamos en 400-560 envíos semanales.

Es decir, en dos años los envíos al directorio se han multiplicado por 4-5 veces. Y el equipo no ha crecido al mismo ritmo. Esto explica por qué este año ha tenido el foco que ha tenido: si seguíamos haciendo las cosas como siempre, el sistema colapsaba. Había que cambiar de marcha en herramientas, en automatización, en IA y en procesos.

Las cifras del año

Entre el 5 de mayo de 2025 y hoy, en este tercer año he dedicado al Plugins Team:

  • 6.335 plugins revisados entre nuevos y respuestas a autores (3.161 nuevos + 3.174 seguimientos)
  • 1.482 plugins aprobados y publicados en el directorio
  • 144 plugins rechazados por no cumplir las directrices
  • 165 días dedicados al desarrollo de herramientas internas para el equipo
  • Más de 911 horas de trabajo registrado en estos 12 meses
  • 337 días activos en el equipo (prácticamente todos los días del año)

Cada uno de esos 6.000+ plugins lleva detrás un autor, un correo, un informe completo, y a veces una conversación para que el plugin pueda salir adelante de forma segura para los millones de personas que usan WordPress.

Plugin Check (PCP): de 1.5 a 1.9, y la 2.0 a la vuelta de la esquina

Aparte de revisar, el proyecto que más me he enfocado este año ha sido Plugin Check, la herramienta oficial que ayuda a desarrolladores a comprobar si su plugin cumple las directrices del directorio antes de enviarlo. Empezamos el año en la versión 1.5 y hemos llegado a la 1.9.0, pero lo más importante está justo ahora delante: PCP 2.0 con IA integrada para autores.

En las versiones de este año hemos añadido:

  • Comprobaciones nuevas: detección de readmes en idioma incorrecto, verificación de nonces, detección de funciones prohibidas, análisis de URLs externas, validación de nombres de archivo, comprobación de licencias de terceros, detección de archivos duplicados, validación de directivas de privacidad, y muchas más.
  • Plugin Check ejecutándose en actualizaciones: hasta entonces solo corría en envíos nuevos. Ahora también valida las actualizaciones, lo cual cubre un agujero importante.
  • Modo CTRF y formato de salida estándar para integración con CI/CD.
  • Primera integración de IA (versión 1.8) para detectar nombres de plugins que infringen marcas registradas.

Y ahora viene lo gordo. PCP 2.0 llevará la IA a la revisión completa para todos los autores. La idea es que cualquier desarrollador, antes de enviar el plugin, pueda pasarle PCP en local y recibir feedback inteligente sobre todo lo que un revisor humano le diría: posibles problemas de seguridad, malas prácticas, incompatibilidades con las directrices, sugerencias de mejora. Un primer filtro inteligente, accesible, gratuito y disponible para cualquiera del ecosistema.

Si pones PCP 2.0 en el contexto del crecimiento de envíos que comentaba antes, se entiende todo: es la única forma de que el directorio siga funcionando con esta escala. Y es, también, lo que más ilusión me hace en este momento.

UN BACKDOOR EN 22 plugins y un potencial de 180.000 webs que podrían ser comprometidas

En abril de este año vivimos uno de los episodios más comprometidos este año: 22 plugins infectados con un backdoor afectando a más de 182.000 webs. La cadena de suministro había sido comprometida —plugins comprados en Flippa con código durmiente que se activó meses después—.

Este incidente nos hace pensar que debemos estar cada vez más pendiente de las actualizaciones de los plugins. Efectivamente llevamos un tiempo trabajando en ello desde el año pasado con diferentes reuniones en la pasada WordCamp Europe. Y actualmente ya corre Plugin Check en las actualizaciones, a falta de que el informe se envíe a los autores. Esto sería el inicio para que los propios autores puedan revisar sus plugins y actuar en su seguridad.

Img 0251

De hecho este fue uno de los proyectos que comentamos con Matt en la pasa WordCamp Europe.

El cambio de nombre: de Plugin Review Team a Plugins Team

En julio publicamos un muy simbólicos: el cambio de nombre del equipo. Pasamos de Plugin Review Team a Plugins Team. Parece un detalle, y lo es, pero también refleja algo importante: el equipo ya no solo revisa plugins. Mantiene el directorio, desarrolla herramientas, define políticas, gestiona ownership, responde a ciertos incidentes de seguridad, y forma a nuevos contribuyentes. El nombre tenía que adaptarse.

Las herramientas internas: Plugin Team Tools y el Reviewer Dashboard

Una parte muy importante del trabajo este año ha sido construir herramientas para el resto del equipo. Cosas como:

  • PT Tools / PRT Stats: un plugin con dashboards para que cada revisor vea sus propias estadísticas y el equipo entero pueda hacer seguimiento.
  • Ayudar a las Extensión de Chrome para HelpScout (la herramienta donde gestionamos los correos con autores), con botones para copiar enlaces, gestionar issues de ownership, contar plugins, configurar tiempos de espera personalizados, y más.
  • Un Reviewer Dashboard para automatizar parte del flujo de trabajo y dar visibilidad de la cola en tiempo real.
  • Stats automatizadas que se ejecutan en cron para ver tendencias del directorio (envíos diarios, plugins publicados, ratios de aprobación).
  • Importación de stats históricos para tener una serie temporal completa del equipo.

Las uso yo y las usa el resto del equipo a diario. Es un trabajo invisible pero que ayuda a revisar el esfuerzo del equipo es suficiente y si se necesita más miembros. Y con el nivel actual de envíos, sin estas herramientas no llegaríamos.

Las skills para agentes: la nueva frontera

A finales del año, ya en 2026, hemos abierto otra línea: las skills para agentes de IA. Empezamos creando la skill wp-plugin-directory-guidelines en el repositorio oficial de WordPress, y luego añadimos la skill de WPORG compliance.

La idea es sencilla pero potente: que cualquier desarrollador que use un agente de IA para programar plugins pueda cargar estas skills y conseguir que el agente conozca las directrices de WordPress.org desde el primer prompt. Que el vibecoding para WordPress salga bien por defecto, no por casualidad.

Es la otra cara de la misma moneda que PCP 2.0: si no podemos revisar todo a mano por la escala, lo que sí podemos hacer es que el código llegue mejor desde el origen. La IA al servicio del autor, no contra él.

Posts publicados en make.wordpress.org/plugins

Durante el año hemos publicado bastante en el blog del equipo. Algunos posts en los que he trabajado:

  • More plugins submitted this year (mayo 2025)
  • Doubled submissions this year (mayo 2025) — ya entonces se veía la tendencia que ahora se ha disparado
  • New Plugins Team name (julio 2025) — el cambio de nombre
  • Readme in English required (julio 2025) — un cambio de política importante
  • WCUS Plugin Stats (agosto 2025) — para llevar a Portland
  • PCP running on updates (octubre 2025)
  • Automated Tests for Developer Blog (diciembre 2025) — colaboración con el Developer Blog
  • Plugins Team Recap 2025 (diciembre 2025)
  • 22 plugins infected, 182k webs compromised (abril 2026) — el incidente del backdoor

Eventos: cuatro WordCamps

Este año he estado en cuatro eventos como contribuyente:

  • WCEU 2025 (Basel) — Contributor Day y reunión con Matt Mullenweg
  • WordCamp Madrid — Contributor Day y workshop sobre plugins
  • WordCamp Málaga — Contributor Day
  • WordCamp Galicia — Contributor Day

Cada uno con su sabor, pero los cuatro con la misma sensación: la gente del open source que viene a estos sitios es lo mejor que tiene este proyecto.

Reclutar y formar al equipo

Otro frente este año ha sido incorporar nuevos miembros. El equipo ha crecido, y eso significa entrevistar gente, formar, hacer onboarding, dar feedback, y trabajar codo con codo con desarrolladores nuevos. Trabajo que no aparece en los números pero que es básico para que el equipo sea sostenible —especialmente con el volumen de envíos que tenemos ahora—.

Gracias, Hostinger

Y aquí quiero parar para dar las gracias.

Todo este trabajo —las 911 horas, los 6.335 plugins, los desarrollos, los posts, los eventos— no habría sido posible sin el patrocinio de Hostinger, que lleva ya tiempo apoyando mi tiempo dedicado al proyecto. En el modelo «Five for the Future» de WordPress, los patrocinios son lo que hace que la gente como yo podamos dedicar horas reales y consistentes al proyecto, en lugar de robarle tiempo a las noches y los fines de semana.

Hostinger no solo ha financiado mi tiempo: ha entendido que contribuir a WordPress.org es contribuir al ecosistema entero, y al final también es bueno para sus clientes y para la web abierta. Gracias de verdad. Sin vosotros, ni el proyecto Proactive, ni Plugin Check 1.9, ni la 2.0 que viene, ni ninguna de las herramientas internas habrían existido en el calendario que existieron.

Y al equipo

Y por supuesto, gracias al Plugins Team. Trabajar con un grupo de gente repartida por todo el mundo, con horarios imposibles, que se cubre las espaldas, que debate las decisiones difíciles con respeto, y que tiene paciencia infinita con los autores de plugins, es un privilegio que no se ve todos los días.

A por el cuarto año. Y a por la 2.0.

Comparte en redes o resume con la IA
ClaudeChatGPTGeminiLinkedIn

De WordCamp a la meta: un fin de semana entre comunidad y carrera

Deja un comentario

ÚLTIMOS ARTÍCULOS

Cierre Ventana

3 años en el Plugins Team de WordPress.org

Ayer, 5 de mayo de 2026, cumplo 3 años como parte del Plugins Team de WordPress.org. Y este…

Cierre Ventana

De WordCamp a la meta: un fin de semana entre comunidad y carrera

¡Vaya fin de semana movido! Entre WordCamp Málaga y la Media Maratón de Granada, el fin de semana…

Cierre Ventana

Meetup WordPress Granada: diseño, IA y comunidad (con lleno absoluto)

Ayer estuve en la meetup de WordPress Granada y la sensación fue clara desde el minuto uno: evento…

DAvid pérez

Director de la Agencia CLOSE de Marketing y Desarrollo y parte del Equipo de Revisión de Plugins de WordPress con Hostinger

Close

¿Quién soy?

Charlas

Blog

Desarrollo web

Webs Amigas

Bebés Reborn

Abogado Laboral Madrid

AP Arquitectura

Fotógrafa Bodas Madrid

Uniformes sanitarios

Aviso Legal, Política de Privacidad y de Cookies

Logo David
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.Para más información consulta nuestra <a href="/politica-privacidad/">Política de Privacidad</a>