¿Buscas una visión general? Visita la página principal del plugin para conocer las funciones, los precios y los pasos de instalación. Esta página es la referencia técnica.

Documentación para desarrolladores APIReportedIP y ecosistema deReportedIP

API v2

Plugin de WordPress — ReportedIP (Edición completa)

Existen dos ediciones: asegúrate de que estás leyendo la correcta. Esta página describe ReportedIP (Edición Completa), que se distribuye a través de GitHub Releases e incluye autenticación de dos factores (2FA), dieciséis sensores de ataque, compatibilidad con múltiples sitios, integración con WooCommerce y retransmisión gestionada de correo electrónico y SMS. ¿Buscas la edición ligera de WordPress.org sin 2FA ni planes de precios? Lee la documentación de Hive Light . Los dos plugins comparten el mismo dominio de texto: instala solo uno de ellos por sitio.

ReportedIP es un plugin de seguridad para WordPress impulsado por la comunidad. Convierte cada sitio protegido en un sensor: cuando un sitio sufre un ataque, la red aprende y todos los demás sitios pueden rechazar al atacante antes de que se reciba la primera solicitud. Información sobre amenazas en tiempo real, dieciséis sensores de ataque —incluido un cortafuegos de aplicaciones web—, autenticación de dos factores (2FA) con cuatro métodos, escalado progresivo de bloqueos y conjuntos de reglas de cortafuegos firmados y distribuidos por el servidor. Código abierto, publicado bajo la licencia GPLv2+ en GitHub.

Versión actual: 2.1.4. Requisitos: WordPress 5.0 o superior (probado hasta la versión 7.0), PHP 8.1 o superior. Red: sí — se instala en toda la red en WordPress Multisite. Funciona de forma independiente (Local Shield) o conectado a la ReportedIP (Community Network).

Código fuente y distribución: github.reportedip — los tickets, las solicitudes de incorporación de cambios y el registro de cambios son públicos. La Edición Completa sí no Se distribuye en WordPress.org debido al servicio gestionado de reenvío de correo electrónico y SMS (con cuotas de pago) y al sistema de niveles multisitio, ya que ambos entran en conflicto con las directrices de wp.org de «sin ventas adicionales ni vinculación de servicios». Las actualizaciones se distribuyen a través de GitHub Releases (detectadas automáticamente por el verificador de actualizaciones de plugins integrado cada 12 horas). Formato de etiqueta fijada vX.Y.Z.

Instalación

Descargar el complemento

Consigue lo último reportedip-hive.zip del Página de lanzamientos de GitHub, o descárgalo desde tu Panel de control.

Instalar y activar

Ve a «Plugins» → «Añadir nuevo» → «Subir plugin » en el panel de administración de WordPress, selecciona el archivo ZIP, haz clic en «Instalar ahora» y, a continuación, en «Activar».

Ejecuta el asistente de configuración

Tras la activación, se inicia automáticamente el asistente de configuración de diez pasos. Este te guiará a través del modo de funcionamiento, la clave API, los umbrales de ataques de fuerza bruta, el cortafuegos (WAF, acción de bots verificados, modo de correo electrónico desechable, trampa para comentarios), la lista de 2FA, las reglas de retención, el slug de ocultación de inicio de sesión y el pie de página automático opcional.

Mantente al día

El verificador de actualizaciones integrado (Plugin Update Checker v5.6+) consulta GitHub Releases cada 12 horas. Las nuevas versiones aparecen en WordPress Complementos Se instalará como cualquier otra actualización de complemento, sin necesidad de reinstalarlo manualmente. Formato de etiqueta fijada: vX.Y.Z.

Asistente de configuración (10 pasos)

El asistente se ejecuta la primera vez que se activa y se puede volver a iniciar en cualquier momento desde la configuración del complemento. Cada paso se guarda inmediatamente en el servidor con cada cambio de página (incluido el botón «Atrás»), por lo que puedes detenerlo y reanudarlo sin perder ningún ajuste.

Paso	Qué configura
1. Bienvenidos	Introducción, enlace a la documentación e importación opcional con un solo clic de un archivo JSON de configuración ya exportado.
2. Conectar	Modo de funcionamiento (Local Shield / Community Network), clave API con validación en tiempo real a través de reportedip.de.
3. Protección	Inicio de sesión / spam en comentarios / XMLRPC / escaneo de errores 404 / umbrales y intervalos de tiempo para ráfagas REST, opción de «solo informe», estrategia de duración del bloqueo (duración fija frente a escalonamiento progresivo).
4. Cortafuegos	Cortafuegos de aplicaciones web (activado / solo informe), acción de bot verificado (marcar o bloquear a los suplantadores), modo de correo electrónico desechable (desactivado / supervisar / bloquear) y el honeypot de comentarios: todo ello con ajustes predeterminados seguros.
5. Autenticación de dos factores	Activar o desactivar cada uno de los cuatro métodos (TOTP, correo electrónico, SMS, WebAuthn), aplicar roles, días de gracia y la caducidad de los dispositivos de confianza.
6. Privacidad	Conservación de datos, anonimización automática, nivel de registro, activación/desactivación del registro detallado.
7. Notificaciones	Destinatarios (separados por comas, validados mediante `is_email()`), nombre del remitente / dirección de correo electrónico del remitente para el correo transaccional, sincronización opcional de la lista de contactos con la cuenta reportedip.de.
8. Iniciar sesión	Ocultar el slug de la URL de inicio de sesión (3-50 caracteres; se rechazan los slugs incluidos en la lista negra), modo de respuesta para la antigua `/wp-login.php` (página bloqueada o error 404).
9. Promover	Banner opcional en el pie de página, variante (insignia / escudo / banner / estadística) y alineación.
10. Listo	Resumen de finalización, enlace al panel de control.

Modos de funcionamiento

Dos modos: cambia entre ellos en cualquier momento sin perder los datos locales.

Característica	Escudo local	Red comunitaria
Los dieciséis sensores de ataque	Sí	Sí
Autenticación de dos factores con 4 métodos + dispositivos de confianza + códigos de recuperación	Sí	Sí
Escalada progresiva de bloques	Sí	Sí
Ocultar la URL de inicio de sesión	Sí	Sí
Consultas de reputación de IP en la base de datos Hive	No	Sí (a través de la API)
Informes de ataques anonimizados que se envían a la comunidad	No	Sí (automático)
Se requiere una clave API	No	Sí (hay un plan gratuito disponible)
Los datos salen de tu servidor	Nunca	Solo la IP del atacante + categoría de amenaza + marca de tiempo

Recomendación: Utiliza el modo «Red comunitaria» para obtener la mejor protección. Tu sitio se beneficia de la información sobre amenazas proporcionada por miles de sitios web, y tú, a cambio, contribuyes a proteger a la comunidad.

Qué incluye cada nivel

El complemento Hive es totalmente funcional en el plan gratuito: protección local, los dieciséis sensores y los cuatro métodos de autenticación de dos factores. Los planes de pago incluyen infraestructura de entrega gestionada (correo electrónico y SMS) y mayores cuotas de la red comunitaria. Consulta la página de precios para ver la comparación completa y realizar la actualización.

	Gratis	Colaborador	Profesional	Business	Empresa
Precio al mes (IVA incluido)	0 €	0 €	14,90 €	39,00 €	Desde 663 €
Precio anual (≈ 17 % de descuento)	0 €	0 €	149 €	389 €	Personalizado
Plazo mínimo	—	—	Mensual	Mensual	12 meses
Comprobaciones de la API al día	1,000	5,000	25,000	100,000	Ilimitado
Detección y notificación de rutas de señuelo (archivo .htaccess gestionado automáticamente, a partir de la versión 2.0.11)	Sí	Sí	Sí	Sí	Sí
Modo de refuerzo contra ataques coordinados (desde la versión 2.0.8)	—	—	Sí	Sí	Sí
Cortafuegos de aplicaciones web: motor + conjunto de reglas básicas (desde la versión 2.1.2)	Sí	Sí	Sí	Sí	Sí
Sincronización prioritaria: conjuntos de reglas WAF avanzadas (nivel de paranoia 2/3) + fuentes en tiempo real de direcciones IP de bots y direcciones desechables	—	Semanal	Diario	Diario	Diario
Detección de bots verificados (rangos de IP oficiales + FCrDNS)	Sí	Sí	Sí	Sí	Sí
Bloqueo de direcciones de correo electrónico desechables y trampa para comentarios	Sí	Sí	Sí	Sí	Sí
Encabezados de seguridad: el trío básico (X-Content-Type-Options, X-Frame-Options, Referrer-Policy)	Sí	Sí	Sí	Sí	Sí
Encabezados de seguridad avanzados (HSTS, Permissions-Policy, generador de CSP, aislamiento entre orígenes)	—	—	Sí	Sí	Sí
Puntuación de protección y refuerzo (indicadores del panel de control, calificación de A+ a F)	Sí	Sí	Sí	Sí	Sí
Códigos de referencia de bloques de páginas (`X-RIP-Ref`)	Sí	Sí	Sí	Sí	Sí
Integración con MainWP (gestión remota)	Sí	Sí	Sí	Sí	Sí
Registro de eventos de auditoría (registro del ciclo de vida del usuario + exportación a CSV/JSON, desde la versión 2.1.2)	—	—	—	Sí	Sí
Informes al día	50	200	1,000	5,000	Ilimitado
Lista de amenazas de la comunidad (lista negra diaria)	—	Sí	Sí	Sí	Sí
Dominios por licencia	1	1	3	15	Ilimitado
Correos electrónicos de 2FA al mes (SMTP gestionado)	—	—	500	2,500	Ilimitado (uso razonable)
SMS de autenticación de dos factores al mes (servicio de retransmisión gestionado a nivel mundial)	—	—	25	75	Personalizado
SMS bundles de prepago SMS bundles 50 / 200 / 500 SMS a 14,90 / 49,90 / 99,90 €, IVA incluido)	—	—	Sí	Sí	Sí
mail bundles prepagados mail bundles 1 000 / 5 000 / 25 000 correos a 4,90 / 14,90 / 49,90 €, IVA incluido)	—	—	Sí	Sí	Sí
Plantillas de correo personalizadas con la marca	—	—	—	Sí	Sí
Informes y análisis sobre el uso de la autenticación de dos factores	—	—	Sí	Sí	Sí
Políticas de autenticación de dos factores configurables según el rol de usuario	—	—	Sí	Sí	Sí
Limitar los horarios de inicio de sesión de los usuarios (por rol / por usuario)	—	—	—	Sí	Sí
Operaciones masivas y análisis	—	—	Sí	Sí	Sí
Panel de control multisitio en reportedip.de	—	—	Sí	Sí	Sí
Marca blanca (asistente de configuración, páginas de autenticación de dos factores, plantillas de correo electrónico)	—	—	—	Sí	Sí
WooCommerce Frontend-2FA (reto temático en la tienda)	—	—	Sí	Sí	Sí
Integración completa con WooCommerce (plantillas de marca blanca, auditoría de suscripciones y membresías)	—	—	—	Sí	Sí
Scripts completos de WP-CLI	—	—	—	Sí	Sí
Herramienta de exportación de datos del RGPD	—	—	—	Sí	Sí
Informe semanal de seguridad (PDF por correo electrónico)	—	—	Sí (semanal)	Sí (opcional, todos los días)	Sí
Copia de seguridad en la nube de la configuración de Hive	—	—	30 d	90 d	1 año
Conservación de registros	30 d	30 d	90 d	1 año	Configurable
Soporte técnico de SLA	Comunidad	Comunidad	Correo electrónico en 48 horas	Prioridad 12 h	Teléfono 4 h
AVV / DPA personalizados	—	—	—	—	Sí

Business de varias licencias. Todas Business indicadas anteriormente corresponden a una sola licencia. Al finalizar la compra, puede adquirir Business , 5, 10 o 20 licencias (o modificarlo más tarde en el Portal de clientes de Stripe), y el número de comprobaciones/informes diarios, el límite mensual de correos electrónicos/SMS de 2FA y el número de dominios se adaptarán al número de licencias que adquiera; por ejemplo, 5 licencias = 75 dominios y 500 000 comprobaciones al día. Se aplica automáticamente un descuento por volumen a partir de x2. La versión PRO sigue siendo de una sola licencia; las cifras de la versión Enterprise son ilimitadas (uso razonable) y nunca se multiplican.

Pedido de consumo de lotes (PRO y Business): primero se consume la asignación mensual incluida (25 SMS / 500 correos electrónicos en PRO, 75 / 2500 en Business) y, a continuación, el saldo del paquete de prepago. Una vez agotados ambos, la API devuelve un código HTTP 429 y Hive recurre a la conexión local wp_mail() para el correo electrónico (o SMS con límite máximo) — los demás métodos de autenticación de dos factores siguen funcionando. Los créditos del paquete nunca caducan. Stripe utiliza tax_behavior = inclusive En el caso de los paquetes con precio bruto (conformes a la PAngV), Stripe Tax gestiona automáticamente la inversión del sujeto pasivo y el OSS.

Gestión multisitio. En las versiones Professional y superiores, el complemento Hive permite registrar hasta 3 (PRO) o 15 (Business) dominios protegidos con una sola licencia; además, al contratar Business , esta cifra aumenta a 30–300 dominios. Panel de control multisitio, lista blanca centralizada y facturación única: gestiona todo desde tu panel de control reportedip.de.

Novedades de las versiones 2.1.0 a 2.1.4: la versión del cortafuegos. Se ha incorporado una capa completa de cortafuegos sobre el sensor y el núcleo de autenticación de dos factores ya existentes:

2.1.0 — Integración con MainWP y códigos de referencia de bloques y páginas. Ahora es posible gestionar Hive de forma remota desde el panel de control de MainWP (sincronización de métricas de seguridad agregadas y asignación de claves API) sin necesidad de ningún plugin secundario adicional, mediante la autenticación a través del canal MainWP Child; de este modo, ninguna dirección IP, nombre de usuario, clave secreta ni clave API sale del sitio. Cada respuesta bloqueada incluye ahora un código de referencia con el que se puede establecer una correlación (p. ej., WAF_SQLI-3F9A2B71), que se muestra en la página y se emite como el X-RIP-Ref encabezado; el identificador del incidente es un hash unidireccional de la dirección IP, el motivo y la hora, por lo que no se revelan datos personales. La página bloqueada se ha rediseñado en el sistema de diseño y se ha traducido íntegramente.
2.1.2 — Marco de aplicación de reglas + cortafuegos de aplicaciones web (motor gratuito, nivel PRO). Conjuntos de reglas proporcionados por el servidor, con versiones, firmados con Ed25519 y distribuidos por niveles (waf, bot_signatures, disposable_domains, scan_paths) se verifican con una clave pública incluida en el paquete antes de aplicarse; así, una fuente manipulada o inaccesible nunca puede corromper las reglas, y una configuración de referencia incluida en el paquete funciona totalmente sin conexión. El WAF de inspección de solicitudes y su configuración de referencia «OWASP Top 10 Paranoia Level 1» son gratis en todos los planes; La versión Professional ofrece acceso al conjunto de reglas de nivel 2/3, más avanzado y actualizado con frecuencia, a través de Priority Sync. Resistente a los ataques de denegación de servicio (DoS) y con funcionamiento en modo «fail-open», incluye una solución opcional de integración previa a WordPress (configuración automática de Apache/PHP-FPM, fragmento de código para nginx) que bloquea el acceso antes de que se cargue WordPress.
2.1.2 — Más sensores gratuitos. Detección de bots verificados (rangos de IP oficiales + DNS inverso confirmado por reenvío —los rastreadores legítimos nunca se bloquean—), bloqueo de correos electrónicos desechables en el registro (los relés de privacidad pasan sin problemas), un «honeypot» invisible para comentarios, encabezados de seguridad básicos, una puntuación de protección y refuerzo del panel de control (calificación de A+ a F); todo ello gratuito. La versión Professional añade encabezados de seguridad avanzados (HSTS, Permissions-Policy, CSP, aislamiento de origen cruzado); Business el registro de eventos de auditoría (el esquema v9 añade el audit_log (tabla).
2.1.3 — Corrección del problema con las direcciones IPv6 de los bots verificados. La confirmación anticipada ahora también resuelve registros AAAA, por lo que los rastreadores legítimos que se conectan a través de IPv6 ya no se marcan como falsos; facebookexternalhit se comprueba con los rangos de IP publicados por Meta, en lugar de mediante DNS inverso.
2.1.4 — Rediseño de la interfaz de usuario de administración del cortafuegos. La pestaña «Resumen» es ahora un minipanel de control (estado por módulos, contadores de actividad de los últimos 7 días, flujo de eventos recientes del cortafuegos); cada pestaña se abre con una introducción en lenguaje sencillo, y una nueva pestaña «Configuración del servidor» reúne todos los fragmentos de código del servidor web en un solo lugar. La configuración de la «Protección ampliada» es ahora verificable: el estado indica si el filtro se ha ejecutado realmente para la solicitud actual. Nuevos códigos de motivo específicos de WAF para SSRF, Log4Shell, inyección de objetos PHP, NoSQL, XXE, web-shell, CRLF e inyección de plantillas.

Defensa de 6 capas

Hive aplica sus comprobaciones de forma secuencial: cada capa puede interrumpir la solicitud antes de que llegue a la siguiente. Conectado a init con prioridad 1, para que los demás complementos no se ejecuten en el caso de una IP bloqueada.

Lista blanca: las direcciones IP y los rangos CIDR de confianza siempre tienen acceso permitido (tu oficina, servicios de monitorización, etc.).
Lista de bloqueados local — Direcciones IP que has bloqueado manualmente o que han superado los límites locales. Almacenadas en wp_reportedip_hive_blocked.
Cortafuegos de aplicaciones web (WAF ): el conjunto de reglas WAF activo se compara con el URI, la consulta, el cuerpo y el agente de usuario; cualquier coincidencia se bloquea mediante la ruta 403 compartida y codificada por referencia. Tiene en cuenta las listas blancas y el autor del contenido para evitar falsos positivos. Un complemento opcional previo a WordPress puede ejecutar esta capa antes incluso de que se cargue WordPress.
Contadores de intentos: los contadores de inicio de sesión, comentarios, XMLRPC, ráfagas REST y escaneos 404 activan un bloqueo automático una vez que se alcanza el umbral.
Reputación de la comunidad: en el modo «Red de la comunidad», las direcciones IP con un nivel de confianza igual o superior al umbral se bloquean en el perímetro.
Requisito de autenticación de dos factores: las cuentas protegidas deben completar un segundo factor para iniciar sesión.

Los dieciséis sensores de ataque

Cada sensor se puede activar o desactivar y ajustar de forma independiente en Ajustes → Protección.

Sensor	Qué ve	Umbral predeterminado
Inicio de sesión por fuerza bruta	Intentos fallidos de inicio de sesión por IP a través de `wp_login_failed`.	5 en 15 minutos
Ataque de prueba de contraseñas	Intentos de inicio de sesión con nombres de usuario distintos desde la misma dirección IP (ataques de suplantación de credenciales de bajo impacto y lentos).	5 en 10 minutos
Comentarios spam	Comentarios por IP a través de `comment_post`.	5 en 60 minutos
Uso indebido de XMLRPC	Llamadas XMLRPC por IP a través de `xmlrpc_call`.	10 en 60 minutos
Avalancha de solicitudes a la API REST	Solicitudes REST anónimas por IP. Los puntos finales del banner de cookies se omiten de forma predeterminada (`real-cookie-banner`, `complianz`, `borlabs-cookie`, `cookie-law-info`).	240 en 5 minutos
404 / detector de escaneo	Altos índices de errores 404 y activación instantánea en rutas de honeypot (`.env`, `.git/config`, `wp-config.php.bak`, …).	12 en 2 minutos
Detección y notificación de rutas engañosas	Rutas de cebo (`.env.backup`, `wp-config.old.php`, `db-dump-master.sql.php`, `admin-shell-console.php`, …). Una sola solicitud devuelve un error 403 y pone en cola un alto-informe de la comunidad sobre la gravedad — pero ¿ no provocaría un bloqueo de IP local de 24 horas, por lo que un complemento de respaldo que escriba `wp-config.old.php` ni un administrador que pruebe la URL de cebo puede bloquear el acceso al sitio desde su propio tráfico. Apache `.htaccess` se gestiona automáticamente (bloque de marcadores `# BEGIN ReportedIP Hive Decoy` situado encima `# BEGIN WordPress` a través de `insert_with_markers()`) de modo que los archivos de cebo reales del disco se redirigen a través de WordPress en lugar de ser servidos directamente por Apache. Los administradores de Nginx solo tienen que copiar y pegar `rewrite ^ /index.php last;` fragmento en «Configuración». Filtro `reportedip_hive_decoy_paths` amplía la lista de cebos.	1 visita = 403 + denuncia de la comunidad
Cortafuegos de aplicaciones web	Comprueba el URI, la cadena de consulta, el cuerpo de la solicitud y el agente de usuario con respecto al activo `waf` Conjunto de reglas (SQLi, XSS, recorrido de rutas, inyección de comandos, envoltorios LFI, SSRF, Log4Shell/JNDI, inyección de objetos PHP, NoSQL, XXE, subida de webshells, CRLF, inyección de plantillas). Motor + OWASP Top 10 Paranoia Nivel 1 de referencia gratuito en todos los planes; el plan Professional desbloquea los conjuntos de reglas firmados de Nivel 2/3 a través de Priority Sync. Resistente a ReDoS, fail-open, con lista blanca y reconocimiento del autor del contenido. Bloqueos opcionales pre-WordPress que se activan antes de que se cargue WordPress.	Nivel de «Paranoia» seleccionable
Detección de bots verificada	Confirma si una solicitud que afirma ser de Googlebot, Bingbot u otro rastreador procede realmente de ellos: primero se realiza una comprobación sin DNS con los rangos de IP oficiales del rastreador y, a continuación, se recurre a una consulta de DNS inverso con confirmación directa. Los suplantadores se marcan (por defecto) o se bloquean; los rastreadores auténticos nunca se bloquean.	Marcar o bloquear a los suplantadores
Bloqueo de direcciones de correo electrónico desechables	Comprueba la dirección al registrarse (WordPress + WooCommerce) con respecto a la `disposable_domains` lista. Los servidores de privacidad (Apple Hide My Email, Firefox Relay, …) constituyen una categoría aparte que se incluye de forma predeterminada.	Desactivar / supervisar / bloquear
Comentario sobre el honeypot	Un campo ficticio invisible y excluido por los lectores de pantalla en el formulario de comentarios; los bots de spam que rellenan todos los campos son rechazados sin que los visitantes reales tengan que pasar por el CAPTCHA.	Siempre activo (cuando está habilitado)
Enumeración de usuarios	Bloques `?author=N`, `/wp-json/wp/v2/users`, búsquedas de usuarios en oEmbed; unifica las respuestas de error por usuario no válido y por contraseña incorrecta.	Siempre activo (cuando está habilitado)
Monitor de contraseñas de aplicaciones	Aceleradores `application_password_failed_authentication`; evita que se eluda la autenticación de dos factores (2FA) mediante la autenticación básica.	5 en 15 minutos
Anomalía Geo / ASN	Compara el país y el ASN en el momento del inicio de sesión correcto con un historial móvil de 90 días; opcionalmente, revoca los tokens de dispositivos de confianza en caso de anomalía.	Se requiere haber iniciado sesión al menos una vez
Seguridad de la contraseña	Aplica requisitos de longitud mínima y combinación de tipos de caracteres en los roles obligatorios; comprobación opcional «Have-I-Been-Pwned» de k-anónimos (solo prefijo SHA-1).	8 personajes + clases
Ocultar la URL de inicio de sesión	URL personalizada (por defecto `wp-login.php`); la URL original devuelve una página de error o un código 404.	Título: 3-50 caracteres
Bloquear la escalada	Escalón progresivo: los reincidentes pagan más en cada ciclo.	5 m → 15 m → 30 m → 24 h → 48 h → 7 d
Inicio de sesión en WooCommerce	Los errores en los formularios de registro de WooCommerce se contabilizan en el contador de ataques de fuerza bruta.	Heredan el límite de fuerza bruta

Escalada progresiva por bloques

Los reincidentes pagan más. La escala predeterminada es: 5 min → 15 min → 30 min → 24 h → 48 h → 7 d. Tras 30 días sin incidentes, el contador se reinicia en el nivel 1. Los visitantes legítimos que activan el filtro por primera vez (CGNAT, errores de los administradores, salida de redes móviles) se recuperan en cuestión de minutos; los atacantes persistentes llegan al nivel de 7 días.

La escalera, la ventana de reinicio y el interruptor principal se encuentran en Ajustes → Bloqueo → Bloqueo progresivo. El paso «Protección» del asistente muestra el controlador principal, de modo que las instalaciones nuevas ya tienen en cuenta la escalada de privilegios desde el primer guardado. La corrección block_duration La configuración sigue siendo válida aunque la escala esté desactivada. La granularidad inferior a una hora la proporciona ReportedIP_Hive_Database::block_ip_for_minutes().

Cortafuegos de aplicaciones web y aplicación de reglas

Desde la versión 2.1.2, Hive incluye un cortafuegos de aplicaciones web que inspecciona las solicitudes. En init coincide con el activo waf compara el conjunto de reglas con el URI, la cadena de consulta, el cuerpo de la solicitud y el agente de usuario, y bloquea el acceso a través de la ruta 403 compartida, compatible con el almacenamiento en caché y codificada por referencia. Está reforzado contra ReDoS (retroceso PCRE limitado, fail-open en una regla malformada), tiene en cuenta las listas blancas y el autor del contenido para evitar falsos positivos, y añade aproximadamente 4 µs de CPU por solicitud sin consultas adicionales a la base de datos cuando hay una caché de objetos persistente.

Las reglas no están programadas de forma fija en el complemento. Se publican en reportedip.de API de reglas — entregadas por el servidor, con control de versiones, firmadas con Ed25519 y distribuidas por niveles en cuatro conjuntos de reglas (waf, bot_signatures, disposable_domains, scan_paths). El complemento verifica cada conjunto de reglas con una clave pública integrada antes de aplicarlo y siempre recurre a una línea de base integrada, por lo que un feed manipulado, de tamaño excesivo o inaccesible nunca podrá corromper tus reglas. Las nuevas firmas de ataque llegan a todas las instalaciones en cuestión de horas, sin necesidad de publicar una nueva versión del complemento.

Incluido de forma gratuita en todos los planes: el motor WAF y el conjunto de reglas básicas «OWASP Top 10 Paranoia-Level-1», que se pueden utilizar íntegramente sin conexión en el modo «Local Shield» a partir de la configuración básica incluida.
Sincronización prioritaria (Professional y superiores): los conjuntos de reglas más completos, actualizados con frecuencia y firmados de los niveles 2 y 3 de Paranoia (que abarcan técnicas de ofuscación y elusión), además de los flujos de datos en tiempo real sobre rangos de IP de bots y dominios desechables. La versión gratuita sincroniza la base de datos incluida; la versión Contributor, semanalmente; y las versiones Professional y superiores, diariamente.
Ampliación de la garantía (opcional) — una versión anterior a WordPress auto_prepend_file un filtro que ejecuta el WAF antes de que se cargue WordPress. Apache (.htaccess) y PHP-FPM (.user.ini) se configuran automáticamente; los servidores Nginx y los alojamientos gestionados disponen de un archivo php.ini y un panel de control de alojamiento auto_prepend_file línea o un fragmento de Nginx. Desactivado por defecto; al eliminarlo, siempre se elimina primero la directiva antes de borrar el guard, por lo que un prepend obsoleto nunca provocará un error fatal en el sitio.
Códigos de referencia — cada bloque (WAF o sensor) lleva un código que permite establecer una correlación, como por ejemplo WAF_SQLI-3F9A2B71, que se muestra en la página del bloque y se emite como el X-RIP-Ref encabezado. Un visitante bloqueado por error introduce una cadena corta que el administrador identifica en los registros; el token es un hash unidireccional de la IP, el motivo y la hora, por lo que no se revelan datos personales.

La configuración y el estado en tiempo real se encuentran en el menú específico del cortafuegos: un minipanel de control general (estado por módulos, contadores de 7 días, eventos recientes del cortafuegos), una pestaña WAF (motor / modo / selector de nivel de paranoia), una pestaña de verificación de bots, una pestaña de defensa contra el spam (correo electrónico desechable + honeypot), una vista del estado de la sincronización de reglas y una pestaña de configuración del servidor que reúne todos los fragmentos de código del servidor web en un solo lugar.

Detección de bots verificados, bloqueo de direcciones de correo electrónico desechables y trampa para comentarios

Detección de bots verificada (gratis). Confirma que una solicitud que afirma proceder de Googlebot, Bingbot u otro rastreador realmente proviene de ellos: primero se realiza una comprobación sin DNS con los rangos de IP oficiales del rastreador (Priority Sync) y, a continuación, se recurre a una resolución DNS inversa confirmada por reenvío que resuelve tanto los registros A como los AAAA. Los suplantadores se marcan (por defecto) o se bloquean; un rastreador auténtico nunca se bloquea. facebookexternalhit se comprueba con los rangos de direcciones IP publicados por Meta.
Bloqueo de direcciones de correo electrónico desechables (gratis). Comprueba la dirección introducida al registrarse (en WordPress y WooCommerce) cotejándola con la lista de direcciones desechables. Tres modos: desactivado / supervisar / bloquear. Los servicios de reenvío de privacidad (Apple «Ocultar mi correo electrónico», Firefox Relay, etc.) constituyen una categoría aparte que se deja pasar por defecto. La lista en tiempo real se sincroniza mediante Priority Sync.
«Honeypot» para comentarios (gratuito). Un campo señuelo invisible y excluido por los lectores de pantalla en el formulario de comentarios; los bots de spam que rellenan todos los campos son rechazados sin que los visitantes reales tengan que pasar por el CAPTCHA.

Encabezados de seguridad

Refuerzo de los encabezados de respuesta en cada solicitud del front-end. Los encabezados que ya haya enviado tu servidor u otro complemento se detectan y no se modifican.

Trío básico (gratis) — X-Content-Type-Options, X-Frame-Options, Referrer-Policy.
Avanzado (Profesional) — HSTS, Permissions-Policy, una Política de Seguridad de Contenidos (solo de informe por defecto, con un generador) y el trío de aislamiento entre orígenes (COOP / CORP / COEP).

La pestaña «Configuración del servidor» también permite exportar los encabezados configurados como nginx a nivel de servidor add_header / Apache Header directivas.

Puntuación de protección y refuerzo

Dos indicadores del panel de control (0-100 más una calificación de A+ a F, al estilo de Mozilla Observatory) evalúan tu cobertura de detección y tu nivel de seguridad, con enlaces directos a cada elemento para activar un sensor. Las funciones bloqueadas (de pago) se tienen en cuenta a la hora de calcular el potencial visible, pero no restan puntos a tu puntuación, por lo que el plan gratuito también puede alcanzar la máxima calificación.

Registro de eventos de auditoría (Business)

Un registro del ciclo de vida del usuario de solo adición —inicios de sesión, intentos fallidos de inicio de sesión, restablecimientos de contraseña, actualizaciones de perfil, cambios de rol (incluido el usuario suplente), registros y detección de nuevas direcciones IP— con filtros, exportación a CSV/JSON, integración con WordPress para la exportación y supresión de datos conforme al RGPD, y limpieza de la retención de datos (1 año en Business, configurable en el plan Enterprise). Almacenado en el audit_log tabla (esquema v9). Los registros de seguridad estándar de 30 días siguen estando disponibles en todos los planes; el registro de auditoría es el registro de nivel de cumplimiento que se añade a ello.

Integración con MainWP

Hive se puede gestionar de forma remota desde el panel de control de MainWP sin necesidad de ningún plugin secundario adicional. Se integra con MainWP Child mainwp_child_extra_execution filtro (autenticado por el canal MainWP Child) y realiza dos tareas: una sincronización de métricas de seguridad (solo recuentos agregados: bloqueos activos, tamaño de la lista blanca, intentos de inicio de sesión fallidos, spam en los comentarios, bloqueos por reputación, tamaño de la cola, eventos críticos recientes, usuarios con 2FA habilitado) y la asignación de claves API desde el panel de control de confianza. Ninguna dirección IP, nombre de usuario, dato confidencial ni clave API sale del sitio.

Autenticación de dos factores (2FA)

Se admiten cuatro métodos, que se pueden combinar por usuario. Los códigos de recuperación se generan durante la primera configuración. Las claves se cifran en reposo (utilizando libsodium, con OpenSSL como alternativa).

TOTP — RFC 6238 (6 dígitos, ventana de 30 segundos). Compatible con Google Authenticator, Authy, 1Password, Bitwarden, …
Correo electrónico: código de un solo uso (OTP) de seis dígitos a través del proveedor de correo configurado; con límite de frecuencia (3 códigos cada 15 minutos, 5 intentos de verificación por código y un tiempo de espera de 60 segundos antes de volver a enviarlo).
SMS: código de un solo uso (OTP) de seis dígitos a través del servicio de reenvío reportedIP gestionado reportedIP (plan Professional y superiores; véase más abajo). El número de teléfono se cifra cuando está inactivo.
WebAuthn: claves de acceso, llaves de seguridad (YubiKey), autenticadores de plataforma (Touch ID, Face ID, Windows Hello). Analizador CBOR propio, sin dependencias externas.
Dispositivos de confianza — Tokens de «recordar este dispositivo» opcionales con caducidad configurable (por defecto, 30 días). Almacenados en wp_reportedip_hive_trusted_devices como hash SHA-256.
Códigos de recuperación — 10 de un solo uso xxxx-xxxx códigos; aviso de «low-code» cuando quedan ≤ 3.

Protección contra ataques de fuerza bruta en la autenticación de dos factores

La escala de verificación de la autenticación de dos factores es 3 → 30 s, 5 → 5 min, 10 → 30 min, 15 → 1 h. Cuando el contador llega al último peldaño, el IP pasa a la posición central auto_block_ip() ruta (evento 2fa_brute_force) que activa la escalada progresiva y la notificación en modo «Comunidad», al igual que cualquier otro sensor.

REST de autenticación de dos factores sin interfaz

Para las integraciones de aplicaciones, el complemento ofrece tres rutas bajo el espacio de nombres reportedip-hive/v1:

POST /2fa/challenge — nombre de usuario + contraseña → token de autenticación + métodos habilitados (20 solicitudes / 5 minutos por IP).
POST /2fa/verify — token + método + código → establece la cookie de autenticación (30 solicitudes / 5 minutos por IP).
GET /2fa/methods — Analiza los métodos activos del usuario actual.

Inicio de sesión en la interfaz de usuario de WooCommerce

La autenticación de dos factores (2FA) de Hive se integra en el tema activo de tu tienda: los clientes que inician sesión a través de [woocommerce_my_account], el proceso de pago clásico o los bloques «Carrito» y «Pago» de WooCommerce completan su segundo paso en una página con tema. El estado del carrito y del proceso de pago se mantiene tras la redirección de ida y vuelta, y la cookie de dispositivo de confianza se comparte con el flujo de inicio de sesión de WordPress.

Ruta de configuración — 2FA → Inicio de sesión en la interfaz de usuario de WooCommerce.
Slugs configurables — nombre del desafío (por defecto reportedip-hive-2fa) y el slug de configuración (por defecto reportedip-hive-2fa-setup); tanto las reglas editables como las de comprobación de conflictos y las de reescritura se actualizan automáticamente cuando se modifican.
Rebaja de nivel: desactivación parcial en los planes «Free» y «Contributor»; se conservan la configuración, las opciones de slug y el estado de incorporación; no se pierden datos al volver a subir de nivel.
Detección de conflictos: Hive muestra un aviso de administración cuando Solid Security, el plugin WP Two-Factor o Wordfence 2FA controlan el formulario de inicio de sesión, y desactiva la solicitud de verificación en la interfaz pública para evitar que se muestren dos avisos.
Disponibilidad del plan — Plan Professional y superiores. Los sensores gratuitos de errores de inicio de sesión de WooCommerce (woocommerce_login_failed, woocommerce_checkout_login_form_failed_login) siguen estando presentes en todos los planes y siguen alimentando el contador de fuerza bruta.

Entrega de correo y SMS

La capa de correo funciona a través de un contrato de proveedor conectable (ReportedIP_Hive_Mailer). El proveedor predeterminado es WordPress wp_mail(); los integradores pueden sustituir el propio sin modificar el resto del complemento. La autenticación de dos factores por SMS es una función profesional que se ofrece exclusivamente a través del servidor de retransmisión gestionado reportedip.de; no se requiere una cuenta de SMS propia ni un contrato con un operador. Se configura automáticamente con un plan de pago; actívela en Ajustes → Autenticación de dos factores → SMS.

Descripción general de la configuración

Todas las opciones se encuentran en ReportedIP → Configuración. Estos son los valores predeterminados más importantes:

Configuración	Por defecto	Descripción
`operation_mode`	Escudo local	Red local o red comunitaria.
`block_threshold`	75 %	Puntuación mínima de confianza para bloquear una dirección IP (modo Comunidad).
`login_threshold` / `_timeframe`	5 / 15 min	Número de intentos fallidos de inicio de sesión por IP antes del bloqueo automático.
`comment_spam_threshold` / `_timeframe`	5 / 60 min	Número de comentarios por IP antes del bloqueo automático.
`scan_404_threshold` / `_timeframe`	12 / 2 min	Errores 404 por IP antes del bloqueo del escáner.
`xmlrpc_threshold` / `_timeframe`	10 / 60 min	Solicitudes XMLRPC por IP antes del bloqueo automático.
`rest_burst_threshold` / `_timeframe`	240 / 5 min	Solicitudes REST anónimas por IP. Se han eludido las rutas del banner de consentimiento.
`block_duration_hours`	24 h	Bloque de longitud fija (se utiliza cuando la escalera está apagada).
`block_escalation_enabled` + `block_ladder_minutes`	En — 5, 15, 30, 1440, 2880, 10080	Escalera progresiva (minutos por nivel).
`report_mode`	Activo	`active` (bloque) o `report_only` (registro sin bloqueo).
`data_retention_days`	30 días	¿Durante cuánto tiempo se conservan los registros de seguridad antes de su eliminación automática?
`auto_anonymize_days`	7 días	Anonimizar la dirección IP y el agente de usuario en las entradas del registro con más de N días de antigüedad.
`cache_duration` / `negative_cache_duration`	24 h / 2 h	Tiempo de vida (TTL) de la caché ETag para consultas de reputación positiva o negativa.
`max_api_calls_per_hour`	100	Límite flexible para distribuir el uso de la API a lo largo del día.
`2fa_enforce_roles`	(vacío)	Roles separados por comas con autenticación de dos factores obligatoria.
`2fa_grace_days`	7	Unos días antes de que la medida impida el acceso a los usuarios no registrados.
`2fa_trusted_device_days`	30	Caducidad del token de dispositivo de confianza.
`hide_login_enabled` / `_slug` / `_response_mode`	Desactivado — — block_page	Slug personalizado de wp-login; la URL antigua muestra una página de bloqueo o un error 404.

Tablas de la base de datos

Ocho tablas, creadas al activarse y con prefijo wp_reportedip_hive_. Versión 9 del esquema, con migración idempotente paso a paso en cada actualización del plugin; eliminación opcional al desinstalar. En Multisite, todas las tablas se encuentran en $wpdb->base_prefix por lo que las decisiones sobre amenazas se aplican a toda la red.

logs — Incidentes de seguridad, detalles en formato JSON, nivel de gravedad, indicador de notificación.
whitelist — direcciones IP y rangos CIDR de confianza; la fecha de caducidad es opcional.
blocked — bloqueos activos (manuales / automáticos / por reputación), con blocked_until.
attempts — Contadores por IP por tipo de intento, con marcas de tiempo de la primera y la última vez.
api_queue — Informes pendientes y fallidos en la API de la comunidad; lógica de reintento.
stats — datos acumulados diarios para los gráficos del panel de control (tendencias de 7 y 30 días).
trusted_devices — Tokens de dispositivos de autenticación de dos factores (hash SHA-256), dirección IP y nombre del dispositivo, fecha de caducidad.
audit_log — Registro de auditoría del ciclo de vida del usuario de solo adición (Business); añadido en la versión 9 del esquema.

Códigos cortos de la interfaz y pie de página automático

Inserta una pequeña insignia con el texto «protegido por Hive» en cualquier lugar del sitio web. Todos los códigos cortos muestran un único <rip-hive-banner> componente web y extrae datos en tiempo real de una caché temporal de 6 horas (sin llamadas a la API por cada visita a la página).

[reportedip_badge] — insignia pequeña (predeterminada) proteger (tono).
[reportedip_stat] — una sola estadística (por defecto confianza (tono).
[reportedip_banner] — banner ancho (predeterminado) comunidad (tono).
[reportedip_shield] — icono de escudo (predeterminado) colaborador (tono).

Características comunes: stat (p. ej., attacks_30d, reports_total), tone (protect / trust / community / contributor), color, background, label, intro. El pie de página automático del asistente utiliza el mismo componente, pero con una variante y una alineación configurables.

Referencia de WP-CLI

Las herramientas de autenticación de dos factores (2FA) son totalmente programables. Disponibles en wp reportedip 2fa …:

wp reportedip 2fa status [--user=<id>]
wp reportedip 2fa enable <user_id> --method=<totp|email|sms|webauthn> [--secret=<base32>]
wp reportedip 2fa disable <user_id> [--method=<m>]
wp reportedip 2fa reset <user_id>
wp reportedip 2fa enforce --role=<role> [--remove]
wp reportedip 2fa audit [--user=<id>] [--since=<date>]
wp reportedip 2fa cleanup

Compatibilidad con el complemento de caché

Desde la versión 1.5.2, la respuesta de página bloqueada define DONOTCACHEPAGE, DONOTCACHEDB y DONOTCACHEOBJECT (compatible con WP Rocket, W3 Total Cache, WP Super Cache y LiteSpeed Cache) y emite explícitamente Cache-Control: no-store, no-cache, must-revalidate, max-age=0, Pragma: no-cache además del núcleo de WordPress nocache_headers() configurado. Un único atacante bloqueado ya no puede contaminar la caché de páginas con un error 403 que, de otro modo, recibirían los visitantes legítimos hasta que caduque la caché.

Filtros y ganchos de acción

apply_filters('reportedip_hive_external_url', $url, $context) — Sustituye cualquiera de las URL externas (política de privacidad, registro, preguntas frecuentes, etc.).
apply_filters('reportedip_hive_rest_bypass_routes', $routes) — Ampliar la lista de prefijos de rutas REST que eluden el controlador de tráfico (integraciones de banners de cookies).
apply_filters('reportedip_hive_scan_paths', $paths) — Ampliar la lista de rutas de honeypot para el detector de escaneo.
do_action('reportedip_hive_ip_blocked', $ip, $reason) — se activa cuando se bloquea una dirección IP.
do_action('reportedip_hive_report_queued', $ip, $category) — Se activa cuando se pone en cola un informe para la API.

Preguntas frecuentes

Las preguntas que nos hacen con más frecuencia. Cada respuesta incluye un enlace a la sección correspondiente más arriba, cuando procede.

General

¿Qué es Hive y qué relación tiene con ReportedIP?

ReportedIP es el plugin de WordPress que se instala en tu sitio web. ReportedIP (reportedip.de) es el servicio central que recopila información sobre amenazas. Hive puede funcionar de forma totalmente independiente (Local Shield) o comunicarse con el servicio (Community Network); ambos son modos de primera clase.

¿Necesito una cuenta para usar el complemento?

No — Local Shield funciona sin necesidad de una cuenta ni de una clave API. Solo necesitas una ReportedIP gratuita ReportedIP si quieres activar Community Network, que realiza consultas de reputación en la base de datos de hive y comparte informes de ataques anonimizados.

¿Cuánto cuesta?

El complemento en sí es gratuito bajo la licencia GPLv2+. Local Shield nunca requiere un plan de pago. Community Network incluye un nivel gratuito; los niveles superiores aumentan los límites diarios de comprobaciones y informes. Consulta el panel de control para ver los límites actuales.

¿Está disponible el plugin en WordPress.org?

Hay dos ediciones. Luz de colmena se publica en WordPress.org con el slug reportedip-hive — Protección contra ataques de fuerza bruta en el inicio de sesión, además de una búsqueda opcional en la comunidad; sin autenticación de dos factores (2FA) ni ventas adicionales. El Edición completa Los productos que se indican en esta página se envían a través de Novedades de GitHub con actualizaciones con un solo clic gestionadas por el verificador de actualizaciones de plugins integrado. El motivo de que haya dos ediciones es que las directrices de wp.org prohíben las ventas adicionales, los servidores gestionados de pago y los sistemas de niveles multisitio, todas ellas características en las que se basa la Edición Completa. Consulte la Documentación de Hive Light para el plugin distribuido por wp.org. Importante: No instales ambos complementos en el mismo sitio web, ya que comparten el mismo dominio de texto y el mismo prefijo de clase.

¿Dónde está el código fuente? ¿Puedo revisarlo?

Sí, el código fuente completo se encuentra en github.reportedip. Las incidencias, las solicitudes de incorporación de cambios, el registro de cambios y las ejecuciones de CI son públicas.

Instalación y configuración

¿Cómo se instala el complemento?

Descargar reportedip-hive.zip del última versión de GitHub, y luego en WordPress: Complementos → Añadir nuevo → Subir complemento, selecciona el código postal, Instalar ahora, Activar. El asistente de configuración de 10 pasos se inicia automáticamente.

Me salté el asistente de configuración, ¿cómo puedo volver a ejecutarlo?

Configuración → ReportedIP → en la parte superior de la página hay un enlace que dice «Volver a ejecutar el asistente de configuración». El asistente no es destructivo: muestra los valores actuales como valores predeterminados, por lo que puedes seguir los pasos y modificar solo lo que necesites.

¿Cómo puedo cambiar entre «Local Shield» y «Community Network»?

Ajustes → Conexión → Modo de funcionamiento. No se pierden datos al cambiar de modo. Para cambiar a «Red comunitaria» se necesita una clave API válida.

¿Puedo importar la configuración de otro sitio web?

Sí — Ajustes → Importar/Exportar. El archivo de exportación está en formato JSON y tiene un límite de 512 KB para la carga. Por motivos de seguridad, no se incluyen las claves API ni los códigos secretos de la autenticación de dos factores; todo lo demás (umbrales, escalas, lista blanca, slug de ocultación de inicio de sesión) es transferible.

¿Cómo funcionan las actualizaciones?

Plugin Update Checker v5.6+ consulta las publicaciones de GitHub cada 12 horas. Las nuevas versiones aparecen en Complementos como cualquier otra actualización: instalación con un solo clic. El formato de las etiquetas debe ser vX.Y.Z; el flujo de trabajo de release.yml comprueba el encabezado, la constante y la etiqueta «stable» del archivo README.

Modos y sensores

¿Qué es exactamente lo que se comparte con la comunidad cuando estoy en modo «Red comunitaria»?

Tres datos por ataque: la IP del atacante, la categoría de la amenaza (por ejemplo, fuerza bruta, spam en comentarios, XML-RPC, escáner) y una marca de tiempo. Además, la clave API de tu sitio web para que el informe se pueda atribuir a quien lo envía. Nada más: ni nombres de usuario, ni contraseñas, ni contenido de los comentarios, ni datos de los usuarios finales, ni URL de sitios web en la carga útil.

¿Cuáles son los dieciséis sensores? ¿Puedo desactivar alguno de ellos por separado?

Consulta «Los dieciséis sensores de ataque» más arriba para ver la lista completa y los valores predeterminados. Sí, cada sensor cuenta con un interruptor principal y controles de umbral y intervalo de tiempo en Ajustes → Protección. También puedes desactivar un sensor completo sin desactivar el resto.

¿Qué es el «modo solo informe»?

El complemento registra todo, pero no bloquea nada. Resulta útil cuando ajustas los umbrales en un sitio web con mucho tráfico y quieres ver qué se habría bloqueado antes de activar la función. Ajustes → Protección → Modo solo de informe.

¿Cómo funciona la escalada progresiva de bloques?

Escalera predeterminada: 5 min → 15 min → 30 min → 24 h → 48 h → 7 días. Cada bloque de repetición dentro de la ventana de reinicio (por defecto, 30 días) avanza un paso. Pasados los 30 días, la dirección IP limpia vuelve a empezar por el paso 1. Los casos de CGNAT y los errores de los administradores se resuelven en cuestión de minutos; los ataques persistentes pueden llegar a durar hasta 7 días. Se puede activar o desactivar; si no se especifica, se utiliza el valor fijo. block_duration cuando está apagado.

¿En qué consiste la función «ocultar la URL de inicio de sesión»?

Sustituye a /wp-login.php con un slug personalizado (de 3 a 50 caracteres; se rechazan los slugs incluidos en la lista negra). La URL antigua devuelve una página de bloqueo de Hive o un error 404 estándar, según prefieras. Los flujos REST, AJAX, WP-CLI y de restablecimiento de contraseña se omiten automáticamente para que sigan funcionando. Reduce drásticamente la superficie de ataque frente a los ataques de fuerza bruta automatizados.

Cuando la opción «Ocultar inicio de sesión» está activada, al pulsar repetidamente directamente sobre el antiguo /wp-login.php procedentes de una misma dirección IP se consideran un escaneo y se bloquean según la escala de escalado estándar. Una sola visita accidental no supone ningún riesgo; solo un patrón repetido activa el bloqueo. Ajusta el umbral o desactiva el bloqueo en Configuración → Ocultar inicio de sesión.

Autenticación de dos factores

¿Qué métodos de autenticación de dos factores admite Hive?

Cuatro: TOTP (RFC 6238 — Google Authenticator, Authy, 1Password, Bitwarden, …), OTP por correo electrónico, OTP por SMS (a través del relé gestionado, plan Professional), WebAuthn (claves de acceso, YubiKey, Touch ID, Face ID, Windows Hello). Además de códigos de recuperación de un solo uso y tokens de dispositivos de confianza.

¿Puedo aplicar la autenticación de dos factores solo a algunos usuarios?

Sí: selecciona los roles en Configuración → 2FA → Roles obligatorios. Los usuarios sujetos a esta obligación encontrarán un asistente de configuración de 5 pasos al iniciar sesión por primera vez, con un periodo de gracia configurable (por defecto, 7 días) antes de que se active el bloqueo.

He perdido mi teléfono o mi aplicación de autenticación, ¿cómo puedo volver a acceder?

Utiliza uno de los diez códigos de recuperación que guardaste durante la configuración de la autenticación de dos factores. Si también los has perdido, un administrador puede restablecer la autenticación de dos factores para cualquier usuario en Usuarios → Autenticación de dos factores. Como último recurso: wp reportedip 2fa reset <user_id> a través de WP-CLI / SSH.

¿Durante cuánto tiempo se mantiene la condición de «dispositivo de confianza»?

Configurable; por defecto, 30 días. El token es un hash SHA-256 almacenado en wp_reportedip_hive_trusted_devices junto con la dirección IP y el nombre del dispositivo. El sensor de anomalías geográficas puede revocar automáticamente los tokens de dispositivos de confianza en caso de cambio de país o de ASN.

¿Funciona WebAuthn en todos los navegadores?

Las versiones modernas de Chrome, Edge, Safari y Firefox en macOS, Windows, iOS y Android: sí. WebAuthn requiere HTTPS (o localhost (para desarrolladores). Los navegadores más antiguos o con configuraciones de seguridad reforzadas que no admiten WebAuthn recurren automáticamente a TOTP, correo electrónico o SMS.

¿Puedo integrar la autenticación de dos factores (2FA) en una aplicación sin interfaz gráfica o móvil?

Sí, el espacio de nombres REST reportedip-hive/v1 revela POST /2fa/challenge, POST /2fa/verify y GET /2fa/methods. Límite por IP (20 / 30 / ilimitado por cada intervalo de 5 minutos).

Rendimiento y compatibilidad

¿Es compatible Hive con WP Rocket, W3 Total Cache, WP Super Cache y LiteSpeed?

Sí, desde la versión 1.5.2, la respuesta de página bloqueada establece DONOTCACHEPAGE, DONOTCACHEDB y DONOTCACHEOBJECT además de explícito Cache-Control: no-store, no-cache, must-revalidate, max-age=0, Pragma: no-cache y el núcleo de WordPress nocache_headers() establecido. Un atacante bloqueado ya no puede contaminar la caché de páginas.

¿Funciona con Cloudflare?

Sí. El complemento lee CF-Connecting-IP primero, y luego recurre a X-Forwarded-For y REMOTE_ADDR. Añade a la lista blanca las direcciones IP de monitorización de tu origen si utilizas Cloudflare como proxy para una página de estado.

¿Qué hay de que el editor de bloques de WordPress (Gutenberg) realice más de 50 llamadas REST?

Desde la versión 1.2.2, los usuarios que han iniciado sesión se saltan el monitor global de ráfagas REST; solo se contabilizan las ráfagas anónimas. La coincidencia de ruta del escáner sigue siendo válida (por lo que Gutenberg no puede sondear accidentalmente .env). Asegúrate de que tienes instalada la versión 1.2.2 o una posterior.

¿Cómo puedo mantener bajo el uso de la API?

Por defecto, la caché de ETag conserva las consultas positivas durante 24 horas y las negativas durante 2 horas. Aumenta ambos valores si tu sitio web tiene poco tráfico. El panel de control muestra el límite de cuota en tiempo real y la cola, para que puedas ver si estás llegando al límite. Los informes por lotes generados por cron (cada 15 minutos) agrupan los eventos individuales.

¿Hive ralentizará mi sitio web?

La comprobación por bloques es una consulta indexada única en wp_reportedip_hive_blocked a petición, enganchado en init Prioridad 1. La lista blanca se almacena en caché en memoria para cada solicitud. Las consultas de reputación son asíncronas: primero se genera la página pública, y el informe se pone en cola y se envía en la siguiente ejecución de la tarea programada.

Privacidad y el RGPD

¿Cumple el plugin con el RGPD?

Sí: Local Shield nunca envía datos a ningún sitio; Community Network solo envía los tres campos mencionados anteriormente; los user-agents se recortan a 50 caracteres, y las direcciones IP pueden anonimizarse automáticamente tras un número de días configurable. El desglose completo del tratamiento de datos se encuentra en nuestra política de privacidad.

¿Tengo que mencionar a Hive en mi propia política de privacidad?

Sí, si utilizas el modo «Community Network»: debes informar del uso de Hive y de la transmisión de la IP del atacante, su categoría y la marca de tiempo a reportedip.de. Si solo utilizas «Local Shield», no se produce ninguna transmisión, pero sigues procesando las IP por motivos de seguridad (art. 6, apartado 1, letra f) del RGPD), lo cual merece una mención en tu política de privacidad.

¿Qué pasa con mis datos si desinstalo la aplicación?

La desinstalación elimina todo wp_reportedip_hive_* tablas y elimina todo reportedip_hive_* opciones. Los informes que ya se encuentran en la base de datos de la comunidad se mantienen; no se pueden vincular de forma específica a tu sitio web (solo el hash de la clave API los vincula).

Personalización y ampliación

Los visitantes del banner de cookies / punto final de consentimiento son bloqueados: ¿cómo puedo ampliar la lista de excepciones?

Desde la versión 1.5.0, los cuatro espacios de nombres comunes (real-cookie-banner, complianz, borlabs-cookie, cookie-law-info) se omiten de forma predeterminada. Para una pila personalizada, aplica el filtro:

add_filter('reportedip_hive_rest_bypass_routes', function ($routes) {
    $routes[] = '/my-consent-plugin/v1';
    return $routes;
});

¿Cómo puedo añadir mis propias rutas de honeypot al detector de análisis?

Gancho reportedip_hive_scan_paths:

add_filter('reportedip_hive_scan_paths', function ($paths) {
    $paths[] = '/.aws/credentials';
    return $paths;
});

¿Puedo crear mi propio proveedor de correo electrónico?

Sí — implementar interface-mail-provider.php para el correo y registrarlo a través del filtro de correo (reportedip_hive_mail_provider). Los SMS, por el contrario, se envían exclusivamente a través del servidor de retransmisión gestionado reportedip.de (plan Professional y superiores); no hay que configurar ningún proveedor de SMS autohospedado.

¿De dónde proceden los datos de los códigos cortos del front-end?

Una caché temporal de 6 horas. Claves: attacks_30d, attacks_total, blocked_active, whitelist_active, logins_30d, spam_30d, api_reports_30d, reports_total. Los códigos cortos nunca realizan llamadas a la API por cada visita a la página.

Cuotas, planes y cuenta

¿Qué funciones tiene cada puesto?

Consulta la documentación sobre autenticación para ver la tabla completa. En resumen: gratuita (1 000 comprobaciones / 50 informes al día), colaborador (5 000 / 200), profesional (25 000 / 1 000), business 100 000 / 5 000), corporativa (ilimitada), honeypot (ilimitada).

El panel de control muestra un retraso en la cola, ¿qué debo hacer?

Ve a Ajustes → Cola de API. El botón «Reintentar» (corrección 1.2.4) ahora realmente realiza la llamada a la API, en lugar de limitarse a restablecer el estado. Si los reintentos fallan debido a un límite de cuota, aumenta la duración de la caché o cambia a un plan superior.

¿Puedo ejecutar Hive en una instalación multisitio o en red?

Sí, totalmente, desde la versión 2.0.0. La Edición Completa es solo en red (Network: true): WordPress oculta la activación por sitio para que la configuración de seguridad se mantenga uniforme. Todas las tablas se encuentran en $wpdb->base_prefix, por lo que una única decisión sobre una amenaza se aplica a toda la red: los intentos de fuerza bruta entre sitios se acumulan en un contador central y un solo bloqueo excluye la IP de todos los subsitios. Los administradores de red disponen de la configuración completa y de una vista de registros de todos los sitios; los administradores de sitio de un subsitio tienen una interfaz de usuario de estado/registros de solo lectura, además de dos opciones de anulación editables por sitio (slug de 2FA de frontend y roles de aplicación de 2FA adicionales). Cron solo se ejecuta en el sitio principal.

Solución de problemas

El complemento no bloquea ninguna dirección IP

Comprueba si el «Modo solo de informe» está activado: registra las amenazas sin bloquearlas. Comprueba también que el umbral de bloqueo no esté fijado en un valor demasiado alto (por defecto, 75 %) y que el «Bloqueo automático» esté activado (la estrategia de duración se desactiva cuando el bloqueo automático está desactivado).

Errores de conexión a la API en el modo Red comunitaria

Asegúrate de que tu servidor pueda realizar solicitudes HTTPS salientes a reportedip.de. Algunos servidores bloquean las conexiones salientes de forma predeterminada. Comprueba la clave API en el Panel de control.

Se bloquea a los visitantes que ignoran el aviso sobre cookies

Desde la versión 1.5.0, los cuatro espacios de nombres de Consent (real-cookie-banner, complianz, borlabs-cookie, cookie-law-info) se omiten de forma predeterminada. Si tu pila utiliza un espacio de nombres diferente, amplía la lista de omisiones mediante el reportedip_hive_rest_bypass_routes filtro.

Se bloquea a los usuarios legítimos

Añade sus direcciones IP o rangos CIDR a la lista blanca local. Las direcciones IP incluidas en la lista blanca nunca se bloquean, independientemente de su reputación.

Alto uso de la API / agotamiento de las comprobaciones

Las respuestas se almacenan en caché localmente (con ETag) durante 24 horas de forma predeterminada. Si sigues quedándote sin comprobaciones, aumenta cache_duration o cambia a un plan superior. Controla la cola y el límite de Panel de control.

Bloqueado por la autenticación de dos factores

Utiliza uno de los códigos de recuperación guardados durante la configuración de la autenticación de dos factores. Si los has perdido, un administrador puede restablecer la autenticación de dos factores para cualquier usuario en Usuarios → Autenticación de dos factores. Como último recurso: wp reportedip 2fa reset <user_id>.

El editor de bloques (Gutenberg) sigue sufriendo ralentizaciones

El editor de bloques realiza más de 50 llamadas REST en pocos segundos. A partir de la versión 1.2.2, los usuarios que han iniciado sesión no se ven afectados por el controlador global de picos de tráfico REST; solo se contabilizan los picos de tráfico de los usuarios anónimos. Asegúrate de que utilizas la versión 1.2.2 o una posterior.

RGPD y privacidad

El complemento se ha diseñado teniendo en cuenta la privacidad y cumple plenamente con el RGPD.

Modo «Local Shield»: No se envían datos fuera de tu servidor. Toda la detección y el bloqueo se realizan de forma local.
Modo de red comunitaria: solo se comparten la IP del atacante, la categoría de la amenaza y la marca de tiempo. No se comparten nombres de usuario, contraseñas, contenido de comentarios ni datos de los usuarios finales.
Los agentes de usuario se acortan a 50 caracteres antes de almacenarse.
Limpieza automática: los registros de seguridad se eliminan tras el periodo de conservación configurado (por defecto, 30 días). La anonimización automática se activa antes (por defecto, 7 días).
Cifrado en reposo: los claves TOTP, las credenciales WebAuthn y los números de teléfono para SMS se cifran con libsodium (con OpenSSL como alternativa).
Sin seguimiento: sin cookies, sin píxeles de seguimiento, sin telemetría.
Código abierto: El código fuente completo está publicado en GitHub; cada línea es verificable.

Aspectos destacados del registro de cambios

2.1.x — La versión del cortafuegos: un Marco de Entrega de Reglas (Rule Delivery Framework) proporcionado por el servidor y firmado con Ed25519 que alimenta un cortafuegos de aplicaciones web (Web Application Firewall) que inspecciona las solicitudes (motor gratuito + configuración básica de Nivel 1 de Paranoia, Niveles 2/3 PRO a través de Priority Sync), detección de bots verificados, bloqueo de correos electrónicos desechables, un honeypot de comentarios, encabezados de respuesta de seguridad (básicos gratuitos, avanzados PRO), una puntuación de protección y refuerzo en el panel de control, y códigos de referencia de la página de bloqueo (X-RIP-Ref), el registro de eventos Business (esquema v9), la integración con MainWP y un área de administración del cortafuegos.
2.0.x — Activación multisitio en toda la red (Network: true), gestión de niveles por blog, banners de actualización de nivel, refuerzo de la seguridad de los monitores de contraseñas de aplicaciones y anomalías geográficas, autenticación de dos factores (2FA) en la interfaz de usuario de WooCommerce disponible a partir de PRO+, modo de refuerzo contra ataques coordinados, detección y notificación de rutas de señuelo.
1.5.2 — Compatibilidad del complemento de caché en la página 403; la limitación de la autenticación de dos factores (2FA) pasa a ser un bloqueo por escalada real; init prioridad 1.
1.5.1 — Claridad de la pestaña «Bloqueo» (Solo informes > Bloqueo automático > Estrategia de duración); los editores de longitud fija y escalonados se intercambian en línea.
1.5.0 — Escalada progresiva de bloqueos (escalera de 5 m → 7 días); omisión predeterminada de los puntos finales de los banners de cookies; flexibilización de los valores predeterminados para los errores 404 y el spam en los comentarios.
1.2.4 — El botón «Reintentar» de la cola de la API ahora ejecuta realmente la llamada a la API.
1.2.0 — Siete nuevos sensores: monitor de contraseñas de aplicaciones, monitor de ráfagas REST, bloqueo de enumeración de usuarios, detector de errores 404/escaneos, anomalías geográficas, solidez de contraseñas y ocultación de la URL de inicio de sesión.
1.1.0 — Sistema central de envío de correos con plantilla de marca.
1.0.0 — Versión pública inicial: bloqueo de direcciones IP, autenticación de dos factores con cuatro métodos, asistente de configuración, tablas de listas.

Historial completo: CHANGELOG.md en GitHub.

¿Buscas la edición más pequeña?

ReportedIP Light es la edición ligera distribuida por WordPress.org: protección contra el inicio de sesión por fuerza bruta, además de consultas opcionales sobre la reputación de IP de la comunidad. Sin 2FA, sin niveles de servicio, sin retransmisión gestionada. La opción ideal para sitios web pequeños y aficionados. Lee la documentación de Hive Light o instálalo directamente desde WordPress.org.

Centrado en la seguridad

Conforme al RGPD

Fabricado en Alemania

Volver a la documentación