WPVulnerability

Este plugin se integra con la API de WPVulnerability para proporcionar evaluaciones de vulnerabilidad en tiempo real para el núcleo de tu WordPress, plugins, temas, versión de PHP, Apache HTTPD, nginx, MariaDB, MySQL, ImageMagick, curl, memcached, Redis y SQLite

Entrega informes detallados directamente en tu escritorio de WordPress, ayudándote a estar al tanto de posibles riesgos de seguridad. Configura el plugin para enviar avisos periódicos acerca del estado de seguridad de tu sitio, asegurando que te mantengas informado sin sentirte abrumado. Diseñado para ser fácil de usar, es compatible con medidas de seguridad proactivas sin almacenar ni recuperar ningún dato personal de tu sitio.

Fiabilidad de los datos

La información proporcionada por la base de datos de información proviene de diferentes fuentes que han sido revisadas por terceros. No existe ningún tipo de responsabilidad sobre la información. Actúa por tu cuenta y riesgo.

Utilizando el plugin

WP-CLI

Puedes usar los siguientes comandos de WP-CLI para gestionar y comprobar vulnerabilidades.

• Núcleo: wp wpvulnerability core
• Plugins: wp wpvulnerability plugins
• Temas: wp wpvulnerability themes
• PHP: wp wpvulnerability php
• Apache HTTPD: wp wpvulnerability apache
• nginx: wp wpvulnerability nginx
• MariaDB: wp wpvulnerability mariadb
• MySQL: wp wpvulnerability mysql
• ImageMagick: wp wpvulnerability imagemagick
• curl: wp wpvulnerability curl
• memcached: wp wpvulnerability memcached
• Redis: wp wpvulnerability redis
• SQLite: wp wpvulnerability sqlite

Para configurar el plugin puedes usar:

• Ocultar componente: wp wpvulnerability config hide <component> [on|off]
• Avisos por correo electrónico: wp wpvulnerability config email <emails> (separado por comas)
• Periodo de avisos: wp wpvulnerability config period <never|daily|weekly>
• Log retention: wp wpvulnerability config log-retention <0|1|7|14|28> (in days)
• Duración de la caché: wp wpvulnerability config cache <1|6|12|24> (en horas)

Todos los comandos dan soporte a la opción --format para especificar el formato de salida.

• --format=table: Muestra los resultados en formato de tabla (por defecto).
• --format=json: Muestra los resultados en formato JSON.

¿Necesitas ayuda?

• wp wpvulnerability --help: Muestra información de ayuda para los comandos de WPVulnerability.
• wp wpvulnerability [comando] --help: Muestra información de ayuda para un comando WPVulnerability.

REST API

El plugin WPVulnerability proporciona varias rutas finales de la API REST para obtener información sobre vulnerabilidades de diferentes componentes de tu sitio WordPress.

• Core: /wpvulnerability/v1/core
• Plugins: /wpvulnerability/v1/plugins
• Themes: /wpvulnerability/v1/themes
• PHP: /wpvulnerability/v1/php
• Apache HTTPD: /wpvulnerability/v1/apache
• nginx: /wpvulnerability/v1/nginx
• MariaDB: /wpvulnerability/v1/mariadb
• MySQL: /wpvulnerability/v1/mysql
• ImageMagick: /wpvulnerability/v1/imagemagick
• curl: /wpvulnerability/v1/curl
• memcached: /wpvulnerability/v1/memcached
• Redis: /wpvulnerability/v1/redis
• SQLite: /wpvulnerability/v1/sqlite

La API REST de WPVulnerability utiliza contraseñas de aplicación para identificación. Necesitas incluir una contraseña de aplicación válida en la cabecera de autorización de tus peticiones.

Ejemplo de solicitud con identificación

Reemplaza nombre de usuario con tu username de WordPress y application_password con tu Contraseña de Aplicación.

Configuraciones Extra

«From:» de correo (desde: 3.2.2)

Si, por alguna razón, necesitas que los correos electrónicos enviados por el plugin tengan un From diferente al administrador del sitio, puedes cambiarlo desde el wp-config.php añadiendo una constante:

Si la constante está activa, será visible en la pantalla de configuración

Forzar ocultación de comprobaciones (desde: 4.1.0)

Si quieres ocultar siempre un componente concreto, puedes definir una constante en wp-config.php. Si se establece en true, la opción se marcará automáticamente en la pantalla de configuración y se omitirá el análisis correspondiente.

Ejemplo:

Constantes disponibles: WPVULNERABILITY_HIDE_CORE, WPVULNERABILITY_HIDE_PLUGINS, WPVULNERABILITY_HIDE_THEMES, WPVULNERABILITY_HIDE_PHP, WPVULNERABILITY_HIDE_APACHE, WPVULNERABILITY_HIDE_NGINX, WPVULNERABILITY_HIDE_MARIADB, WPVULNERABILITY_HIDE_MYSQL, WPVULNERABILITY_HIDE_IMAGEMAGICK, WPVULNERABILITY_HIDE_CURL, WPVULNERABILITY_HIDE_MEMCACHED, WPVULNERABILITY_HIDE_REDIS, WPVULNERABILITY_HIDE_SQLITE.

Duración de la caché (desde: 4.1.0)

Por defecto, los datos de la API se almacenan en caché durante 12 horas. Para cambiar esto, define WPVULNERABILITY_CACHE_HOURS en wp-config.php con uno de estos 1, 6, 12 o 24. Este valor anula la pantalla de configuración y el comando WP-CLI.

Log rotation (since: 4.2.0)

WPVulnerability stores the most recent API responses so you can review recent calls from the new log tab. Define WPVULNERABILITY_LOG_RETENTION_DAYS in wp-config.php to control how many days of entries are preserved. Supported values are 0, 1, 7, 14 or 28; using 0 disables logging entirely.

When the constant is present its value is enforced in the settings UI and through WP-CLI, ensuring consistent log rotation across environments.

Compatibilidad

• WordPress: 4.7 – 6.9
• PHP: 5.6 – 8.4
• WP-CLI: 2.3.0 – 2.11.0

Seguridad

Este plugin se adhiere a las siguientes medidas de seguridad y protocolos de revisión para cada versión:

• Manual de plugins WordPress
• Seguridad de los plugins de WordPress
• Seguridad de las APIs de WordPress
• Normas de codificación de WordPress
• Plugin Check (PCP)

Privacidad

• Este plugin o la WordPress Vulnerability Database API no recoge ninguna información sobre tu sitio, tu identidad, los plugins, temas o contenidos que tiene el sitio.

Vulnerabilidades

• No vulnerabilities have been published up to version 4.2.1.

¿Has encontrado una vulnerabilidad de seguridad? Infórmanos de ello en privado en el repositorio de GitHub de WPVulnerability.

Colaboradores

Puedes contribuir a este plugin desde el repositorio de GitHub de WPVulnerability.