Vigilante – Suite de seguridad 100% gratis: Cortafuegos, 2FA, login, cabeceras, escáner …

Seguridad Premium. Coste cero.

Vigilante ofrece características de seguridad para WordPress de calidad empresarial de forma totalmente gratuita. Sin versión premium, sin ventas cruzadas, sin características ocultas tras muros de pago.

Protege tu web con un paquete de seguridad completo: cortafuegos, identificación en dos pasos, protección contra ataques de fuerza bruta, cabeceras de seguridad, scanner de integridad de archivos, detección de malware, gestión de usuarios, registro de actividad, modo bajo ataque y mucho más.

Protección instantánea

Una vez activado, Vigilante aplica inmediatamente medidas de seguridad esenciales:

• Reglas de cortafuegos contra ataques comunes (inyecciones SQL, XSS, inclusión de archivos)
• Cabeceras de seguridad para protección desde el navegador
• Supervisión de intentos de inicio de sesión
• Bloqueo de XML-RPC
• Ocultación de la versión de WordPress
• Protección de archivos sensibles (.htaccess, wp-config.php)
• Copia de seguridad automática de tus archivos de configuración existentes

Preajustes de seguridad con un clic

Elige un preajuste y protégete al instante:

Estándar – Seguridad equilibrada adecuada para la mayoría de los sitios web. Activa todos los módulos con valores por defecto razonables que no interfieren con el funcionamiento normal del sitio.

Máxima seguridad – Ajustes más estrictos para sitios de alta seguridad. Límites de tráfico más estrictos, reglas CSP más rigurosas, avisos de administración obligatorios. Algunas configuraciones pueden requerir cierta adaptación.

Siempre puedes personalizar los ajustes individuales después de aplicar un preajuste.

Modo «Bajo ataque»

¿Tu sitio web está siendo objeto de un ataque activo? Activa el modo «Bajo ataque» con un solo clic y detén el tráfico malintencionado al instante:

• Desafío JavaScript: todos los visitantes deben pasar una verificación automática del navegador antes de acceder a tu sitio. Los navegadores auténticos lo resuelven en segundos, mientras que los bots quedan bloqueados por completo.
• Límite de tráfico agresivo: se limitan las solicitudes a 30 por minuto, con bloqueos de 15 minutos para los infractores.
• Restricción de métodos HTTP: solo se permiten GET, POST y HEAD. Se bloquean PUT, DELETE, PATCH, OPTIONS y TRACE.
• Bloqueo de agentes de usuario vacíos: se rechazan las solicitudes sin cabeceras de agente de usuario.
• Bloqueo total de XML-RPC: se bloquea todo el acceso a XML-RPC durante el ataque.
• Restricción de la API REST: solo los usuarios identificados pueden acceder a la API REST.
• Desactivación automática: el modo se apaga automáticamente después de 4 horas para que nunca se te olvide que está encendido.
• Avisos por correo electrónico: recibe un aviso cuando se active y desactive el modo.
• Cookies firmadas con HMAC: los visitantes verificados reciben una cookie firmada criptográficamente para que solo vean el desafío una vez.

El modo «Bajo ataque» funciona de manera independiente de la configuración de tus preajustes. Tus ajustes de seguridad habituales se conservan, y se restauran cuando se desactive este modo.

Características de seguridad principales

Identificación en dos pasos (2FA)

Añade un segundo paso de verificación a tu inicio de sesión de WordPress. Elige el método que funcione mejor para tu equipo:

• Aplicación de verificación (TOTP) – Google Authenticator, Authy, Microsoft Authenticator o cualquier aplicación compatible con TOTP
• Códigos por correo electrónico – Códigos de verificación únicos de 6 dígitos enviados por correo electrónico
• Configuración del código QR directamente en los perfiles de usuario
• 10 códigos de recuperación para acceso de emergencia si pierdes tu dispositivo
• Periodo de gracia configurable para que los usuarios configuren su aplicación de verificación
• Funcionalidad de dispositivos de confianza – permite a los usuarios, si lo desean, omitir la identificación en dos pasos en dispositivos reconocidos durante 30 días
• Forzado basado en perfiles – requiere 2FA a administradores, editores o cualquier perfil
• Excluir a usuarios específicos de los requisitos de 2FA
• Herramienta de administración para restablecer el TOTP de los usuarios que hayan perdido su verificación
• Caducidad del código, límite de intentos y nombre del remitente del correo electrónico configurables
• Correos electrónicos de aviso a los usuarios cuando se activa el 2FA o se cambia de método

Protección con cortafuegos

Bloquea peticiones malintencionadas antes de que lleguen a WordPress:

• Bloqueo de inyecciones SQL
• Evitar ataques XSS (Cross-Site Scripting)
• Protección frente a inclusión de archivos (LFI/RFI)
• Bloqueo de exploración de directorios
• Detección y bloqueo de bots sospechosos
• Limitación de tráfico frente a ataques DDOS y de fuerza bruta
• Gestión de lista blanca y lista negra de IPs
• Lista blanca y lista negra de User-Agent con coincidencia parcial.
• Restricción de métodos HTTP

Seguridad del inicio de sesión

Frena los intentos de acceso no autorizados:

• Límite de intentos de inicio de sesión con umbrales configurables
• Bloqueos progresivos – bloqueos más largos para los infractores reincidentes
• URL de inicio de sesión personalizada – oculta wp-login.php de los bots
• Avisos de cambio de URL de inicio de sesión a todos los usuarios del área de admnistración
• Ocultar mensajes de error en el inicio de sesión – no reveles nombres de usuario válidos
• Desactivar XML-RPC – bloquea este vector común de ataques
• Control de contraseñas de aplicación
• Avisos por correo electrónico de inicios de sesión de admins
• Lista blanca de IPs para ubicaciones de confianza

Seguridad de usuarios

Protección integral de las cuentas de usuarios:

• Bloquear nombres de usuario inseguros (admin, test, root, etc.)
• Forzar contraseñas seguras con longitud mínima
• Caducidad de contraseñas con intervalos configurables
• Historial de contraseñas – evita la reutilización de contraseñas anteriores
• Fuerza el restablecimiento de contraseñas de todos los usuarios (recuperación post-hackeo)
• Límites de sesión – controla los inicios de sesión simultáneos por usuario
• Gestión de sesiones – ve y cierra sesiones activas
• Verificación por correo electrónico de los nuevos registros
• Procedimiento de aprobación de registros – aprueba manualmente los nuevos usuarios
• Exploración de cuentas de admin – alertas ante nuevos admins, cambios de correo electrónico, cambios de contraseña, escalado de privilegios
• Protección del nombre a mostrar – Impide revelar públicamente el nombre de usuario con el que se accede

Cabeceras de seguridad:

Consigue una calificación A de seguridad:

• Content Security Policy (CSP) con maquetadores visuales
• HSTS (HTTP Strict Transport Security) con opción de precarga
• X-Frame-Options – evita el clickjacking
• X-Content-Type-Options – evita la detección de MIMEs
• Referrer Policy control
• Permissions Policy (camera, microphone, geolocation)
• Políticas Cross-Origin (COEP, COOP, CORP)
• Forzado de HTTPS con corrección automática de contenido mixto
• Herramienta integrada de prueba de cabeceras

Monitorización de integridad de archivos

Detecta cambios no autorizados en tus archivos:

• Verificación del núcleo de WordPress con las sumas de comprobación oficiales
• Monitorización de archivos de plugins y temas con sumas de comprobación de WordPress.org
• Exploración en busca de código sospechoso sin sumas de comprobación en plugins y temas
• Detección de archivos adicionales en plugins y temas (archivos que no se encuentran en la distribución original)
• Detección en dos niveles: combinaciones estrictas de ofuscación para plugins, patrones amplios para archivos subidos
• Exploración del directorio de subidas en busca de archivos PHP, extensiones dobles y .htaccess
• Exploración del directorio raíz en busca de archivos PHP que no son de la instalación (una forma común de ataque)
• Clasificación inteligente de archivos .htaccess en la carpeta «uploads» – Distingue las reglas peligrosas de las de protección
• Detección de ofuscación por concatenación de cadenas
• Niveles de aviso configurables (todos los resultados, solo los sospechosos o desactivados)
• Lista de ignorados para descartar de los resultados los archivos conocidos
• Rutas y extensiones de archivo excluidas
• Exploraciones automáticas programadas (a diario, semanalmente)
• Alertas por correo electrónico con formato HTML y secciones según la gravedad

Registro de actividad

Haz seguimiento de todo lo que pasa en tu sitio:

• Intentos de inicio de sesión correctos y fallidos
• Eventos de la identificación en dos pasos
• Cambios en cuentas de usuarios (creación, borrado, cambios de perfil)
• Modificaciones de contenido (entradas, páginas)
• Activaciones/desactivaciones de plugins y temas
• Eventos de seguridad y amenazas bloqueadas
• Seguimiento y filtrado de métodos de solicitud HTTP (GET, POST, PUT, DELETE).
• Ventana emergente con detalles de registro mejorados, con secciones agrupadas y acciones rápidas.
• Añade con un solo clic una IP o un User-Agent a la lista blanca/lista negra del cortafuegos desde las entradas del registro.
• Enlaces de búsqueda directa de IP a AbuseIPDB.
• Periodo de retención configurable
• Exporta registros a CSV
• Filtra por tipo de evento, gravedad, método de solicitud o fecha.

Refuerzo de WordPress

Medidas de seguridad adicionales:

• Constantes de seguridad en wp-config.php (DISALLOW_FILE_EDIT, etc.)
• Detección de WP_DEBUG – Advertencia en el escritorio cuando esté activo en producción el modo de depuración
• Eliminación automática de readme.html, license.txt y licencia.txt (limpieza diaria)
• Comprobación de seguridad del prefijo de la base de datos y herramienta de cambio con un solo clic.
• Protección contra spam en comentarios con campos señuelo
• Desactiva pingbacks y trackbacks
• Cierra comentarios en entradas antiguas
• Limpieza de la cabecera de WordPress (eliminar versión, RSD, enlaces WLW)
• Gestión y seguridad de feeds

Seguridad de API REST

Controla el acceso a la API en tu sitio:

• Tres modos de acceso: público, sólo identificado o selectivo
• Bloquea la enumeración de usuarios usando la API REST
• Protege variables sensibles
• Mantiene la compatibilidad con los plugins más populares (WooCommerce, Contact Form 7, Elementor)

Herramientas de seguridad

Utilidades incluidas:

• Copia de seguridad de la base de datos: descarga una copia de seguridad completa o parcial de la base de datos en formato ZIP con selección de tablas.
• Cambio del prefijo de la base de datos: cambie el prefijo por defecto wp_ por un prefijo aleatorio seguro.
• Ajustes de exportación/importación – Transfiere tu configuración entre sitios
• Copia de seguridad manual – Crea copias de seguridad de .htaccess y wp-config.php cuando lo necesites
• Restablecer valores por defecto – Empieza desde cero con un solo clic

Seguro por principios

Sistema de copias de seguridad automáticas

Tus archivos .htaccess, wp-config.php y robots.txt existentes se copian automáticamente antes de realizar cualquier modificación. Las copias de seguridad incluyen verificación de integridad (sumas de comprobación MD5) y se almacenan de forma segura en wp-content/vigilante-backups/, donde permanecen incluso tras las actualizaciones del plugin.

Restablecimiento limpio

Cuando desactivas Vigilante se eliminan automáticamente todas las reglas de seguridad y se restauran tus archivos de configuración originales. Sin código residual, sin sitios web rotos.

¿Por qué debería elegir Vigilante?

La mayoría de los plugins de seguridad para WordPress reservan sus mejores funcionalidades para los planes de pago. Vigilante te ofrece todo desde el principio — sin planes premium, sin restricciones de características, sin ventas dirigidas. Cortafuegos, identificación en dos pasos con aplicación de verificación, cabeceras de seguridad, escáner de integridad de archivos, registro de actividad y mucho más. Todo gratis, actualizándose constantemente y siguiendo los estándares de programación de WordPress.

Si tu plugin de seguridad actual te pide que pagues por funcionalidades que deberían ser básicas, echa un vistazo a lo que ofrece Vigilante de serie.

¿Con qué es comparable Vigilante?

Disponemos de una comparación detallada de las funcionalidades de Vigilante respecto a otros populares plugins de seguridad (Wordfence, Solid Security, AIOS, Sucuri, SG Security). Descubre qué ofrece cada plugin en su versión gratuita y en qué aspectos Vigilante cubre carencias.

→ Ver la comparativa completa

Soporte

¿Necesitas ayuda o tienes sugerencias?

• Web oficial
• Foro de soporte en WordPress
• Canal en YouTube
• Documentación y tutoriales

¿Te gusta el plugin? ¡Déjanos un comentario de 5 estrellas y así ayudas a que lo conozcan otros!

Acerca de Ayuda WordPress

Somos especialistas en plugins de optimización de seguridad, SEO y rendimiento para WordPress. Creamos herramientas que solucionan problemas reales a los propietarios de sitios WordPress manteniendo los más altos estándares de programación y requisitos de accesibilidad.