Vigilante – Suite de seguridad 100% gratis: Cortafuegos, 2FA, login, cabeceras, escáner …

Registro de cambios

1.9.0

• Eliminado: La sección de ajustes de rendimiento de refuerzo de WP (revisiones de entradas, intervalo de guardado automático, días de retención en la papelera, límite de memoria, actualizaciones automáticas). Estos ajustes quedan fuera del ámbito de un plugin de seguridad y podrían provocar conflictos con las configuraciones del hosting.
• Eliminado: CONCATENATE_SCRIPTS, WP_POST_REVISIONS, AUTOSAVE_INTERVAL, EMPTY_TRASH_DAYS, WP_MEMORY_LIMIT, WP_MAX_MEMORY_LIMIT y WP_AUTO_UPDATE_CORE de las constantes gestionadas de wp-config.php. Vigilante ya no comenta ni sobrescribe estas constantes.
• Corrección: Ahora, todas las constantes de wp-config.php que aparecen varias veces (por ejemplo, definiciones duplicadas de WP_DEBUG) se comentan correctamente. Anteriormente solo se trataba la primera aparición, lo que dejaba activas las duplicadas y provocaba conflictos.
• Corrección: Ahora WP_DEBUG se define explícitamente como `false` en wp-config.php cuando se desactiva el modo de depuración, en lugar de basarse en los valores por defecto de WordPress.
• Mejorado: Se ha actualizado el banner promocional con las últimas novedades en plugins y catálogo de servicios.
• Probado hasta WordPress 7.0

1.8.0

• Nuevo: Forzar restablecimiento de contraseñas por perfil – Selecciona uno o varios perfiles para restablecer las contraseñas de todos sus usuarios a la vez, ideal para incidentes de seguridad
• Nuevo: Mensaje informativo en el acceso cuando un usuario trata de iniciar sesión después de haber forzador el restablecimiento de contraseña

1.7.2

• Mejorado: Las recomendaciones del escritorio ahora incluyen un enlace directo a la pestaña de ajustes relevante
• Mejorado: Tu dirección IP actual se muestra en la sección de gestión de IPs del cortafuegos
• Mejorado: Los ajustes de wp-config.php ahora están visualmente separados en secciones de seguridad y rendimiento
• Mejorado: Las estadísticas del resumen de la exploración de integridad de archivos ahora están centradas para una mayor consistencia visual
• Mejorado: La descripción del cortafuegos incluye una nota sobre la compatibilidad con sistemas de caché de página completa (Varnish, LiteSpeed Cache, NGINX FastCGI, Cloudflare APO)
• Mejorado: Renombrado del registro de actividad a auditoría de seguridad en toda la interfaz de administración (los slugs internos no han cambiado)
• Corregido: Los totales de la exploración de integridad de archivos ahora incluyen un contador de ignorados para que los números del resumen muestren la suma correcta

1.7.1

• Corregido: El modo «Bajo ataque» ahora se desactiva automáticamente de forma correcta cuando termina el temporizador
• Corregido: El desafío de JavaScript ya no se repite indefinidamente – Los visitantes pueden acceder y son redirigidos correctamente
• Corregido: Los recursos de la página del desafío se han externalizado a archivos CSS/JS para garantizar la compatibilidad con la política de seguridad de contenidos (CSP)
• Corregido: Ahora funciona correctamente la omisión de caché al activar la función con SiteGround (NGINX + Memcached + caché basada en archivos), LiteSpeed, WP Rocket, WP Super Cache, W3 Total Cache y las principales soluciones de caché
• Corregido: El temporizador de cuenta atrás en la administración ahora se actualiza inmediatamente al cargar la página
• Mejorado: Se han añadido reglas de anulación de caché en el archivo .htaccess durante el modo «Bajo ataque» (se eliminan automáticamente al desactivarlo)
• Mejorado: Se han añadido cabeceras no-cache de NGINX y CDN (X-Accel-Expires, Surrogate-Control) para entornos de proxy inverso

1.7.0

• Nuevo: Búsqueda en el registro de actividad — busca entradas por IP, agente de usuario, nombre de usuario, mensaje o cualquier texto. Mínimo de 3 caracteres, tiempo de espera de 400 ms. Funciona en combinación con los filtros existentes de tipo, gravedad y método. La exportación respeta la búsqueda y los filtros activos.
• Nuevo: Las columnas de tipo y gravedad del registro de actividad ahora muestran etiquetas traducidas en lugar de los valores sin procesar de la base de datos.
• Corrección: La detección de nombres de usuario inseguros (admin, root, test, etc.) ahora comprueba todos los perfiles de usuario, no solo los de administrador. Esto es coherente con el bloqueo de la creación de nombres de usuario, que ya impide el uso de estos nombres independientemente del perfil.
• Corrección: La advertencia sobre nombres de usuario inseguros ahora está siempre activa, independientemente del ajuste «bloquear nombres de usuario inseguros». Anteriormente, al desactivar ese ajuste también se desactivaba la advertencia.
• Corrección: La puntuación de seguridad ahora penaliza instalaciones con cuentas que usen nombres de usuario inseguros (-3 puntos).
• Corrección: Los nombres de usuario inseguros ahora aparecen con prioridad alta en las recomendaciones de seguridad del escritorio.
• Corrección: El nombre del plugin en los títulos de las pestañas del navegador ahora se pueden traducir en vez de estar metidos en el código manualmente.
• Corrección: La tabla del registro de actividades ya no colapsa la columna «Mensaje» en pantallas estrechas. Ahora utiliza un diseño automático con desplazamiento horizontal en lugar de un diseño fijo.

1.6.1

• Nuevo: Detección de archivos de instalaciones antiguas de WordPress en el explorador del directorio raíz (wp-feed.php, wp-pass.php, etc.) — Marcados como «Adicionales» en vez de como «Sospechosos»
• Nuevo: El título de la pestaña del navegador ahora muestra el nombre del plugin y la pestaña activa (p.ej.: «Vigilante > Cortafuegos»)
• Mejorado: Los archivos de verificación de motores de búsqueda (BingSiteAuth.xml, LiveSearchSiteAuth.xml) y el archivo php.ini se excluyen de la exploración del directorio raíz.

1.6.0

• Nuevo: Exploración del directorio raíz en el scanner de auditoría de archivos – Detecta archivos PHP que no sean de la instalación en la raíz de WordPress (un método común de ataque)
• Nuevo: Detección del patrón phpinfo() en el scanner de auditoría de archivos
• Nuevo: Advertencia de WP_DEBUG activo en el escritorio de seguridad, con penalización en la puntuación
• Nuevo: Protección del nombre a mostrar – Impide guardar el nombre a mostrar si coincide con el nombre de usuario utilizado para acceder (en la sección de «Seguridad de usuario»)
• Nuevo: Recomendación en el escritorio cuando los usuarios tienen un nombre a mostrar igual que el de usan para acceder
• Nuevo: Clasificación inteligente del archivo .htaccess en la carpeta «uploads» – Las reglas peligrosas se marcan como sospechosas y las reglas de protección como adicionales, con resumen de su contenido
• Corrección: Los archivos readme.html y licences.txt no se borraban nunca debido a claves de ajustes que no coincidían
• Corrección: La limpieza de archivos confidenciales ahora se ejecuta a diario (las actualizaciones de WordPress vuelven a crear estos archivos)
• Corrección: Añadido el archivo licencia.txt (traducción española) al borrado de archivos confidenciales, el bloqueo mediante el cortafuegos y la protección de .htaccess

1.5.5

• Corrección: Los enlaces a los submenús (registro de actividad, auditoría de archivos) mostraban una página en blanco en algunos entornos de alojamiento web

1.5.4

• Solución: El ajuste de cerrar comentarios antiguos ya no bloquea las reseñas de productos de WooCommerce
• Corrección: El nombre del plugin en la cabecera del correo electrónico no se podía traducir debido a un dominio de texto incorrecto
• Mejorado: Cerrar comentarios antiguos está desactivado por defecto (solo está activo en el preajuste «Máximo»)
• Mejorado: La lista de tablas de la base de datos en la herramienta de copia de seguridad ahora incluye desplazamiento, diseño en franjas y un mejor diseño

1.5.3

• Corrección: El nombre del plugin en la cabecera de los correos electrónicos no era traducible
• Corrección: Los patrones de detección de bots del cortafuegos de PHP eran demasiado amplios, lo que podía bloquear solicitudes HTTP legítimas procedentes de plugins y servicios externos.

1.5.2

• Nuevo: Opción en la administración para permitir o no la casilla de verificación de «Recordar este dispositivo» en la verificación 2FA (desactivada por defecto)
• Nuevo: Recordatorio por correo electrónico de caducidad de contraseña – envía aviso cuando empieza el periodo de advertencia
• Mejorado: El escáner de auditoría de archivos omite falsos positivos conocidos (version.php, archivos readme)
• Mejorado: Cambiado el nivel de aviso por defecto por correo electrónico de auditoría de archivos a «Solo sospechosos»
• Mejorado: El marcador de posición de la URL de inicio de sesión personalizable ahora es traducible
• Mejorado: Texto explicativo en el ajuste de recordatorio de caducidad de contraseña por correo electrónico
• Corrección: El ajuste de recordatorio por correo electrónico de caducidad de contraseña no tenía una implementación funcional

1.5.1

• Mejorado: Plugin renombrado (en inglés) a «Vigilant» para una mejor denominación internacional
• Mejorado: Nuevos banners e icono de marca

1.5.0

• Nuevo: Verificación en dos pasos mediante aplicación (TOTP) – Cumple con RFC 6238
• Nuevo: Selector de método – Elige entre códigos por correo electrónico o aplicación de verificación en cada sitio
• Nuevo: Configuración del código QR en el perfil de usuario con paso de verificación
• Nuevo: Códigos de recuperación para TOTP – 10 códigos de emergencia generados cuando se configura
• Nuevo: Periodo de gracia para configurar TOTP (configurable de 0-30 días)
• Nuevo: Herramienta de restablecimiento de TOTP en la administración – Búsqueda y restablecimiento para usuarios que hayan perdido acceso a su método de verificación
• Nuevo: Aviso en el panel de control sobre el periodo de gracia que recuerda a los usuarios que deben configurar su aplicación de verificación
• Nuevo: Tabla de base de datos específica para TOTP con claves cifradas (AES-256-CBC)
• Nuevo: Correos electrónicos con formato HTML para los códigos de verificación y los avisos de activación
• Nuevo: Alerta de cambio de contraseña de administrador en la supervisión de la seguridad de los usuarios
• Nuevo: Aviso de cambio de URL de inicio de sesión con envío automático y botón manual

• Nuevo: Interfaz de ajustes 2FA con tarjetas para el selector visual del método

• Corrección: El aviso de inicio de sesión de administrador ahora se activa en los accesos de todos los administradores

• Corrección: El correo electrónico de desactivación del plugin no se enviaba nunca
• Mejorado: Los patrones de exploración para la integridad de archivos se almacenan externamente para una mejor compatibilidad con los alojamientos web

1.4.2

• Mejorado: Paginación en el registro de actividad (se sirve localmente, 20 elementos por página con navegación AJAX)
• Mejorado: Paginación en los resultados de exploración de integridad de archivos (archivos sospechosos, adicionales y modificados)
• Mejorado: Paginación en las listas de archivos ignorados, IPs bloqueadas y sesiones activas
• Mejorado: Todas las tablas con paginación muestran contador de elementos e indicador del rango, con flechas de navegación cuando sea necesario
• Mejorado: La paginación se actualiza dinámicamente cuando se eliminan elementos (archivo ignorado, IP desbloqueada, rechazar sesión)

1.4.1

• Mejorado: Todos los mensajes de bloqueo del cortafuegos a hora son totalmente traducibles (46 cadenas añadidas al sistema de traducción)
• Mejorado: El comportamiento por defecto de los límites de sesión cambiado a «Cerrar la sesión más antigua» (recomendada) en vez de «Bloquear los nuevos accesos»
• Mejorado: Límite de memoria de WordPress por defecto aumentado a 1024 MB
• Añadido: Opción de 2048 MB en el límite de memoria de WordPress

1.4.0

• Nuevo: Niveles de aviso por correo electrónico – Puedes elegir entre todos los resultados, solo los sospechosos o desactivado
• Nuevo: Ajuste para excluir extensiones de archivo con el fin de reducir los falsos positivos (por ejemplo, .log, .pot, .po, .mo)
• Nuevo: Interfaz de usuario de rutas excluidas – Configura qué directorios ignorar durante las exploraciones
• Nuevo: Lista de ignorados – Descarta archivos concretos de los resultados del análisis y de los avisos por correo electrónico
• Nuevo: Detección de archivos adicionales en plugins y temas (archivos PHP que no se encuentran en los paquetes oficiales de WordPress.org)
• Novedad: Ahora se analizan los plugins y temas sin sumas de comprobación en busca de patrones de código sospechosos
• Nuevo: Sistema de detección de dos niveles: modo estricto para plugins (solo combinaciones de ofuscación), modo estándar para subidas (coincidencia de patrones amplios)
• Nuevo: Los archivos adicionales con código sospechoso se reclasifican automáticamente a la categoría de «Sospechosos»
• Nuevo: Detección de ofuscación por concatenación de cadenas (por ejemplo, creación de nombres de funciones peligrosas a partir de cadenas divididas)
• Nuevo: Detección de doble extensión en el directorio de subidas (por ejemplo, archivo.php.jpg)
• Nuevo: Detección de .htaccess en el directorio de subidas
• Nuevo: Avisos por correo electrónico con formato HTML que incluyen estadísticas resumidas y secciones para cada nivel de gravedad
• Nuevo: Detección mejorada de patrones de código sospechoso (hex2bin, create_function, cadenas codificadas en hexadecimal, ofuscación chr(), combinaciones eval+decode)
• Corregido: Faltaba la casilla de verificación «Explorar temas» en la interfaz de usuario de los ajustes
• Corregido: Los plugins sin sumas de comprobación disponibles se ignoraban por completo, incluso en la detección de archivos sospechosos
• Mejorado: Las tablas de resultados del escaneo ahora incluyen botones «Ignorar» para cada archivo
• Mejorado: Casillas de verificación para el alcance de la exploración agrupadas en un único campo para mayor claridad

1.3.2

• Corregido: Los avisos por correo electrónico sobre la integridad de los archivos fallaban con el error «No hay ruta de reenvío del destinatario» cuando el campo del correo electrónico de aviso estaba vacío.

1.3.1

• Corrección: todas las cadenas de administración en JavaScript ahora son completamente traducibles (ventana emergente del registro de actividad, resultados de exploración, restablecer contraseña, gestión de sesiones, aprobaciones de usuario, etiquetas de preajustes y más).
• Corrección: los avisos por correo electrónico de integridad de archivos ahora funcionan tanto para las exploraciones programadas como para las manualesl.
• Corrección: eliminadas las exploraciones programadas de integridad de archivos duplicadas (respeta la frecuencia configurada).
• Mejorado: el aviso por correo electrónico cuando hay cambios de archivo ahora está activo por defecto.

1.3.0

• Nuevo: lista blanca de User-Agent – excluye servicios como ModularDS, ManageWP, MainWP o UptimeRobot de las comprobaciones del cortafuegos.
• Nuevo: lista negra de User-Agent – bloquea las solicitudes por cadena User-Agent con coincidencia parcial.
• Nuevo: columna del método de solicitud HTTP en el registro de actividad (GET, POST, PUT, DELETE, etc.)
• Nuevo: filtro de método de solicitud en el registro de actividad.
• Nuevo: botones de acción rápida en la ventana emergente de detalles del registro para añadir direcciones IP o User-Agents a las listas del cortafuegos.
• Nuevo: enlaces de búsqueda de IP a AbuseIPDB directamente desde las entradas del registro.
• Mejorado: ventana emergente con detalles del registro rediseñada con secciones agrupadas (solicitud, cliente, datos adicionales).
• Mejora: la exportación CSV ahora incluye una columna con el método de solicitud.

1.2.3

• Corrección: Los registros de IPs en lista blanca y negra se fusionaban en una única línea después de recargar la página, impidiendo que funcionasen correctamente las exclusiones.
• Corrección: Al actualizar hay migración automática para reparar listas de IP corruptas previamente.

1.2.2

• Mejorado: Añadida nueva sugerencia de plugin.

1.2.1

• Mejorado: La inserción de constantes en el wp-config.php ahora se coloca correctamente antes del comentario «Eso es todo, deja de editar», compatible con archivos wp-config traducidos.

1.2.0

• Nuevo: Herramienta de descarga de copias de seguridad de bases de datos con selección de tablas (pestaña «Herramientas»).
• Nuevo: Cambio del prefijo de la base de datos con generación aleatoria de prefijos seguros (pestaña «Refuerzo de WP»).

1.1.1

• Corrección: la restricción del método HTTP ya no bloquea PUT y DELETE, permitiendo que peticiones API REST de plugins como SiteGround Optimizer funcionen correctamente.

1.1.0

• Nuevo: modo «Under Attack» (Bajo ataque): protección de emergencia contra ataques JavaScript con activación con un solo clic.
• Novedad: verificación automática del navegador con desafío de prueba de trabajo para los visitantes de la web.
• Novedad: cookies de verificación firmadas con HMAC para evitar la falsificación de cookies.
• Nuevo: límite de tráfico agresivo (30 solicitudes/min) y restricción del método HTTP durante ataques.
• Nuevo: desactivación automática tras 4 horas con avisos por correo electrónico.
• Nuevo: bloqueo de REST API y XML-RPC durante el modo «Bajo ataque».
• Nuevo: aviso en la administración descartable con enlace al panel de control mientras el modo está activo.

1.0.4

• Corregido: los resultados de la exploración de integridad de archivos ahora son completamente traducibles
• Corregido: el escáner de integridad de archivos ahora detecta de manera fiable archivos sospechosos en las subidas
• Mejorado: ahora el directorio de subidas se explora el primero para una detección de malware más rápida
• Mejorado: aumentado el límite de tiempo de exploración de 25 a 60 segundos para una exploración concienzuda
• Mejorado: aumentado el límite de archivos en la exploración de subidas de 2.000 a 10.000 archivos

1.0.3

• Corregido: el botón de probar las cabeceras de seguridad y sus resultados ahora son completamente traducibles
• Mejorado: el icono personalizado del plugin ahora se muestra en la cabecera de la página de ajustes
• Mejorado: el aviso de activación ahora incluye el dashicon del escudo

1.0.2

• Mejorado: la página de ajustes ahora utiliza todo el ancho disponible para que se vean mejor las pestañas

1.0.1

• Corregido: compatibilidad de API REST con plugins que usen PUT/DELETE
• Corregido: la inserción de constantes en wp-config.php ahora funciona correctamente en instalaciones WordPress que no estén en inglés
• Corregido: las opciones de refuerzo de WP ahora se aplican correctamente al desmarcar (desactivar) ajustes
• Corregido: la detección de configuraciones personalizadas ahora se activa al cambiar ajustes en cualquier sección
• Corregido: caracteres UTF-8 dañados en los mensajes del registro de actividad y en el CSS
• Mejorado: la URL de inicio de sesión personalizada ahora activa automáticamente que wp-login.php redirija a un 404
• Mejorado: los límites de sesión ya no excluyen por defecto a los administradores para mejorar la seguridad
• Mejorado: la etiqueta de «Configuración personalizada» del escritorio ahora utiliza un color naranja más visible
• Mejorado: las restricciones del método HTTP en htaccess ahora excluyen las variables de la API REST

1.0.0

• Versión inicial
• Identificación en dos pasos por correo electrónico con reconocimiento de dispositivos de confianza
• Forzado de identificación en dos pasos (2FA) basada en perfiles
• Cortafuegos avanzado basado en PHP con protección contra inyección SQL, XSS e inclusión de archivos
• Limitación de tráfico con umbrales configurables
• Gestión de lista blanca y lista negra de IPs
• Implementación completa de cabeceras de seguridad (CSP, HSTS, X-Frame-Options, Permissions Policy)
• Herramienta integrada para probar cabeceras de seguridad
• Forzado de HTTPS con detección de contenido mixto
• Seguridad en el inicio de sesión con protección contra ataques de fuerza bruta y bloqueos progresivos
• Personalización de URL de inicio de sesión
• Control de XML-RPC y contraseñas de aplicaciones
• Seguridad de usuarios con bloqueo de nombres de usuario inseguros
• Exigencia de contraseñas seguras con una longitud mínima
• Caducidad de contraseñas con seguimiento del historial
• Forzar el restablecimiento de contraseñas para todos los usuarios
• Gestión de sesiones y límites de sesiones simultáneas
• Verificación por correo electrónico de los nuevos registros
• Procedimiento de aprobación de registros
• Supervisión y alertas de cuentas de administradores
• Refuerzo de WordPress (constantes en wp-config, seguridad en comentarios, limpieza de cabeceras)
• Gestión y seguridad de feeds
• Seguridad de la API REST con protección selectiva de variables
• Protección contra enumeración de usuarios
• Registro de actividad con seguimiento de eventos configurable
• Filtrado y exportación a CSV del registro
• Supervisión de integración de archivos usando las sumas de comprobación de WordPress.org
• Detección de código sospechoso en dos niveles (estricta para plugins, amplia para archivos subidos)
• Detección de archivos adicionales y ofuscación en plugins y temas
• Exploraciones programadas con avisos por correo electrónico en formato HTML y niveles de gravedad
• Exportación e importación de ajustes
• Herramienta de creación de copias de seguridad manuales
• Dos preajustes de configuración (estándar y máxima seguridad)
• Sistema automático de copia de seguridad y restauración
• Retroceso limpio al desactivar
• Completa interfaz de administración con ajustes organizados en pestañas