Vigilante – Suite de seguridad 100% gratis: Cortafuegos, 2FA, login, cabeceras, escáner…

Seguridad Premium. Coste cero.

Vigilante ofrece características de seguridad para WordPress de calidad empresarial de forma totalmente gratuita. Sin versión premium, sin ventas cruzadas, sin características ocultas tras muros de pago.

Protege tu web con un paquete de seguridad completo: cortafuegos, identificación en dos pasos, protección contra ataques de fuerza bruta, cabeceras de seguridad, exploración de integridad de archivos, detección de plugins cerrados, detección de malware, gestión de usuarios, registro de auditoría de seguridad, modo bajo ataque y mucho más.

Protección instantánea

Una vez activado, Vigilante aplica inmediatamente medidas de seguridad esenciales:

• Reglas de cortafuegos contra ataques comunes (inyecciones SQL, XSS, inclusión de archivos)
• Cabeceras de seguridad para protección desde el navegador
• Supervisión de intentos de inicio de sesión
• Bloqueo de XML-RPC
• Ocultación de la versión de WordPress
• Protección de archivos sensibles (.htaccess, wp-config.php)
• Copia de seguridad automática de tus archivos de configuración existentes

Preajustes de seguridad con un clic

Elige un preajuste y protégete al instante:

Estándar – Seguridad equilibrada adecuada para la mayoría de los sitios web. Activa todos los módulos con valores por defecto razonables que no interfieren con el funcionamiento normal del sitio.

Máxima seguridad – Ajustes más estrictos para sitios de alta seguridad. Límites de tráfico más estrictos, reglas CSP más rigurosas, avisos de administración obligatorios. Algunas configuraciones pueden requerir cierta adaptación.

Siempre puedes personalizar los ajustes individuales después de aplicar un preajuste.

Modo «Bajo ataque»

¿Tu sitio web está siendo objeto de un ataque activo? Activa el modo «Bajo ataque» con un solo clic y detén el tráfico malintencionado al instante:

• Desafío JavaScript: todos los visitantes deben pasar una verificación automática del navegador antes de acceder a tu sitio. Los navegadores auténticos lo resuelven en segundos, mientras que los bots quedan bloqueados por completo.
• Límite de tráfico agresivo: se limitan las solicitudes a 30 por minuto, con bloqueos de 15 minutos para los infractores.
• Restricción de métodos HTTP: solo se permiten GET, POST y HEAD. Se bloquean PUT, DELETE, PATCH, OPTIONS y TRACE.
• Bloqueo de agentes de usuario vacíos: se rechazan las solicitudes sin cabeceras de agente de usuario.
• Bloqueo total de XML-RPC: se bloquea todo el acceso a XML-RPC durante el ataque.
• Restricción de la API REST: solo los usuarios identificados pueden acceder a la API REST.
• Desactivación automática: el modo se apaga automáticamente después de 4 horas para que nunca se te olvide que está encendido.
• Avisos por correo electrónico: recibe un aviso cuando se active y desactive el modo.
• Cookies firmadas con HMAC: los visitantes verificados reciben una cookie firmada criptográficamente para que solo vean el desafío una vez.

El modo «Bajo ataque» funciona de manera independiente de la configuración de tus preajustes. Tus ajustes de seguridad habituales se conservan, y se restauran cuando se desactive este modo.

Características de seguridad principales

Identificación en dos pasos (2FA)

Añade un segundo paso de verificación a tu inicio de sesión de WordPress. Elige el método que funcione mejor para tu equipo:

• Aplicación de verificación (TOTP) – Google Authenticator, Authy, Microsoft Authenticator o cualquier aplicación compatible con TOTP
• Códigos por correo electrónico – Códigos de verificación únicos de 6 dígitos enviados por correo electrónico
• Configuración del código QR directamente en los perfiles de usuario
• 10 códigos de recuperación para acceso de emergencia si pierdes tu dispositivo
• Periodo de gracia configurable para que los usuarios configuren su aplicación de verificación
• Funcionalidad de dispositivos de confianza – permite a los usuarios, si lo desean, omitir la identificación en dos pasos en dispositivos reconocidos durante 30 días
• Forzado basado en perfiles – requiere 2FA a administradores, editores o cualquier perfil
• Excluir a usuarios específicos de los requisitos de 2FA
• Herramienta de administración para restablecer el TOTP de los usuarios que hayan perdido su verificación
• Caducidad del código, límite de intentos y nombre del remitente del correo electrónico configurables
• Correos electrónicos de aviso a los usuarios cuando se activa el 2FA o se cambia de método

Protección con cortafuegos

Bloquea peticiones malintencionadas antes de que lleguen a WordPress:

• Bloqueo de inyecciones SQL
• Evitar ataques XSS (Cross-Site Scripting)
• Protección frente a inclusión de archivos (LFI/RFI)
• Bloqueo de exploración de directorios
• Filtrado de cadenas de consulta malintencionadas (recoge patrones sospechosos genéricos que los bloqueadores específicos no detectan)
• Detección y bloqueo de bots sospechosos
• Bloquea peticiones con agente de usuario vacío
• Bloqueo de peticiones HTTP/1.0. obsoletas (casi siempre de herramientas automatizadas, nunca de navegadores modernos)
• Limitación de peticiones para evitar ataques DDoS y de fuerza bruta, con bloqueos progresivos opcinales
• Gestión de lista blanca y lista negra de IPs (IPv4 e IPv6, con rangos CIDR y comodines)
• Lista blanca y lista negra de User-Agent con coincidencia parcial.
• Control de detección de IP de visitantes: Lee la IP real directamente desde la conexión (valor por defecto a prueba de suplantaciones) o desde una cabecera de proxy cuando se está detrás de Cloudflare, un proxy inverso o un balanceador de carga, con un aviso al administrador si se detecta un proxy pero no está configurado.
• Restricción de métodos HTTP
• Protección de archivos del servidor mediante .htaccess: bloquea el acceso directo a wp-config.php, .htaccess, wp-includes/ y archivos sensibles (.log, .sql, .bak, debug.log, readme.html, etc.) y, opcionalmente, el acceso externo a wp-cron.php
• Bloquea la ejecución de PHP en /uploads (uno de los métodos de ataque tipo post más habituales)
• Desactiva la navegación de directorios

Seguridad del inicio de sesión

Frena los intentos de acceso no autorizados:

• Límite de intentos de inicio de sesión con umbrales configurables
• Bloqueos progresivos – bloqueos más largos para los infractores reincidentes
• URL de inicio de sesión personalizada – oculta wp-login.php de los bots
• Avisos de cambio de URL de inicio de sesión a todos los usuarios del área de admnistración
• Ocultar mensajes de error en el inicio de sesión – no reveles nombres de usuario válidos
• Desactivación de XML-RPC – bloquea este método de ataque habitual, con un control independiente solo para el método pingback si aún necesitas otras características de XML-RPC
• Control de contraseñas de aplicación
• Aviso por correo electrónico cuando se bloquea una IP por superar el límite de intentos de acceso
• Avisos por correo electrónico de inicios de sesión de admins
• Lista blanca de IPs para ubicaciones de confianza

Seguridad de usuarios

Protección integral de las cuentas de usuarios:

• Bloquea nombres de usuario inseguros (admin, test, root, etc.) en los nuevos registros
• Advierte de usuarios existentes con nombres de usuario inseguros para que puedas renombrarlos o eliminarlos
• Bloquea la búsqueda de autores — intercepta las URLs del tipo ?author=N para que WordPress no las redirija a /author/USERNAME/ y no se filtre el slug de acceso.
• Forzar contraseñas seguras con longitud mínima
• Caducidad de contraseñas con intervalos configurables
• Historial de contraseñas – evita la reutilización de contraseñas anteriores
• Forzar restablecimiento de contraseñas – Por usuarios específicos, por perfilo o a todos los usuarios (recuperación después de un hackeo)
• Límites de sesión – controla los inicios de sesión simultáneos por usuario
• Gestión de sesiones – ve y cierra sesiones activas
• Verificación por correo electrónico de los nuevos registros
• Procedimiento de aprobación de registros – aprueba manualmente los nuevos usuarios
• Exploración de cuentas de admin – alertas ante nuevos admins, cambios de correo electrónico, cambios de contraseña, escalado de privilegios
• Protección del nombre a mostrar – Impide revelar públicamente el nombre de usuario con el que se accede

Cabeceras de seguridad:

Consigue una calificación A de seguridad:

• Content Security Policy (CSP) con generador visual y modo Report-Only para realizar pruebas de forma segura antes de su aplicación
• HSTS (HTTP Strict Transport Security) con includeSubdomains y opciones de precarga
• X-Frame-Options – evita el clickjacking
• X-Content-Type-Options – evita la detección de MIMEs
• Referrer Policy control
• Política de permisos (cámara, micrófono, geolocalización, pagos, USB)
• Políticas Cross-Origin (COEP, COOP, CORP)
• Forzado de HTTPS con corrección automática de contenido mixto
• Ocultación de la huella digital del servidor — Neutraliza la cabeceras Server: Apache/x.y.z, X-Powered-By y otras cabeceras de huella digital de las respuestas

Auditoría de integridad de archivos

Detecta plugins vulnerables y cambios no autorizados en tus archivos:

• Verificación del núcleo de WordPress con las sumas de comprobación oficiales
• Monitorización de archivos de plugins y temas con sumas de comprobación de WordPress.org
• Los archivos de configuración críticos (wp-config.php, .htaccess) se supervisan comparándolos con la versión de referencia – Detecta inyecciones de código incluso en archivos sin suma de comprobación oficial
• Detección de plugins cerradas y eliminadas — Comprobación diaria cruzada con el repositorio de plugins de WordPress.org que marca cualquier plugin instalado que haya sido cerrado por malware, problemas de seguridad, violación de directrices o ataques en la cadena de suministro. Detecta dos tipos de cierre: el cierre explícito, con fecha y motivo, y el «eliminado» (metadatos ocultos por wp.org, típico de las suspensiones por problemas de seguridad). Se puede ignorar por slug los plugins obsoletos que aún no se puedan desinstalar.
• Vista de diferencias lína a línea de los cambios, con un flujo de trabajo de aprobación por archivo
• Exploración en busca de código sospechoso sin sumas de comprobación en plugins y temas
• Detección de archivos adicionales en plugins y temas (archivos que no se encuentran en la distribución original)
• Detección en dos niveles: combinaciones estrictas de ofuscación para plugins, patrones amplios para archivos subidos
• Exploración del directorio de subidas en busca de archivos PHP, extensiones dobles y .htaccess
• Exploración del directorio raíz en busca de archivos PHP que no son de la instalación (una forma común de ataque)
• Clasificación inteligente de archivos .htaccess en la carpeta «uploads» – Distingue las reglas peligrosas de las de protección
• Detección de ofuscación por concatenación de cadenas
• Niveles de aviso configurables (todos los resultados, solo los sospechosos o desactivados)
• Lista de ignorados para descartar de los resultados los archivos conocidos
• Rutas y extensiones de archivo excluidas
• Exploraciones automáticas programadas (a diario, semanalmente)
• Alertas por correo electrónico con formato HTML que incluyen secciones con el nivel de gravedad, entre las que se encuentra una sección específica para los plugins cerrados

Auditoría de seguridad

Haz seguimiento de todo lo que pasa en tu sitio:

• Intentos de inicio de sesión correctos y fallidos
• Eventos de la identificación en dos pasos
• Cambios en cuentas de usuarios (creación, borrado, cambios de perfil)
• Modificaciones de contenido (entradas, páginas)
• Activaciones/desactivaciones de plugins y temas
• Eventos de seguridad y amenazas bloqueadas
• Seguimiento y filtrado de métodos de solicitud HTTP (GET, POST, PUT, DELETE).
• Ventana emergente con detalles de registro mejorados, con secciones agrupadas y acciones rápidas.
• Añade con un solo clic una IP o un User-Agent a la lista blanca/lista negra del cortafuegos desde las entradas del registro.
• Enlaces de búsqueda directa de IP a AbuseIPDB.
• Periodo de retención configurable
• Exporta registros a CSV
• Filtra por tipo de evento, gravedad, método de solicitud o fecha.

Comprobación de seguridad

Auditoría de seguridad bajo demanda integrada en el escritorio. Sin servicios externos, sin cuentas, sin claves API – Todo se ejecuta en tu servidor:

• Más de 40 comprobaciones en 6 categorías: SSL/TLS, cabeceras HTTP, exposición de WordPress, acceso e identificación archivos sensibles y comprobaciones internas
• Puntuación de 0 a 100 con calificación de A a E, además de un desglose por categorías y detalles explicativos para cada comprobación
• 14 comprobaciones internas exclusivas que no se pueden realizar desde el exterior: estado de fin de vida útil de PHP, actualizaciones pendientes, plugins inactivos, plugins cerrados o eliminados del repositorio de WordPress.org, permisos de archivos, detección de salts por defecto, prefijo de tabla wp_, nombre de usuario admin, administradores sin 2FA, estado de los módulos, errores de auditoría recientes y resultado de la última exploración de integridad de archivos
• Verificación de reputación basada únicamente en DNS con Spamhaus ZEN, Barracuda BRBL y SpamCop SCBL (informativa — los listados aparecen marcados, pero no afectan a la puntuación)
• Exploración en dos fases: Las comprobaciones rápidas locales aparecen en menos de un segundo, las comprobaciones remotas aparecen a medida que se completan
• Exploración semanal automática con alerta por correo electrónico opcional si la puntuación baja en 10 o más puntos o si una nueva comprobación crítica empieza a dar fallos
• Historial de 30 exploraciones con gráfico de tendencia y diferencial para que puedas ver cómo los cambios en tu sitio web afectan a la seguridad a lo largo del tiempo
• El enlace «Ir al ajuste» se revisa en cada comprobación fallida – Te lleva directamente al campo concreto de Vigilante que lo resuelve, con un indicador visual al llegar
• El diagnóstico inteligente de cabeceras informa de que «está configurado pero no se está aplicando» cuando una caché o una CDN anula tus cabeceras, en lugar de limitarse a marcarlo en verde o en rojo

Refuerzo de WordPress

Protección multinivel en WordPress — administración, contenido, cabecera, feeds y base de datos:

• Protege la administración de WordPress: desactiva el editor integrado de plugins y temas, bloquea las instalaciones y actualizaciones desde el área de administración y obliga el uso de HTTPS en el área de administración. Compatible con cualquier tipo de alojamiento, incluidos los hosting gestionados y configuraciones personalizadas que ya definan algunos de estos ajustes por su cuenta — Vigilante siempre respeta los valores ya establecidos y nunca los anula
• Desactiva el cron interno de visitas a la página de WordPress si ya tienes configurado un cron real en el servidor, eliminando así la pequeña pérdida de rendimiento que supone la ejecución de tareas programadas en cada visita
• Aviso en el escritorio cuando el modo de depuración sigue activado en producción, para que los mensajes de error nunca lleguen a los visitantes
• Oculta la versión de WordPress en todos los lugares donde pueda revelarse: en la cabecera HTML, en los feeds RSS y Atom y, si quieres, en todas las URL de scripts y hojas de estilo de la parte pública. La limpieza de recursos es precisa y solo elimina la versión de WordPress, dejando intactas las versiones añadidas por los plugins y los temas para que su función de invalidación de caché siga funcionando
• Eliminación automática diaria de los archivos «readme.html», «license.txt» y «licencia.txt» de la carpeta raíz de WordPress, ya que, de lo contrario, revelarían la versión de WordPress a cualquiera que los visitara directamente
• Limpieza del encabezado HTML — elimina el enlace RSD, el manifest de Windows Live Writer, la cabecera de enlaces cortos y el enlace de descubrimiento de la API REST
• Refuerzo de la base de datos — comprobación de seguridad del prefijo de las tablas por defecto wp_, y herramienta de renombrado con un solo clic, con copia de seguridad completa antes del cambio
• Seguridad en los comentarios — campo tipo tarro de miel contra bots de spam, moderación obligatoria para todos los comentarios nuevos, cierre de comentarios en entradas antiguas tras un número de días configurable, desactivación de pingbacks y trackbacks
• Gestión de feeds — desactivar por completo los feeds RSS y Atom, o desactivarlos solo cuando el sitio no tenga contenido publicado

Seguridad de API REST

Controla el acceso a la API en tu sitio:

• Tres modos de acceso: público (comportamiento por defecto de WordPress), solo para usuarios identificados (cierra el acceso a la API a visitantes anónimos) o selectivo (listas personalizadas de usuarios permitidos y bloqueados)
• Bloquea la enumeración de usuarios a traves de /wp-json/wp/v2/users
• Protege cualquier lista de variables sensibles contra accesos anónimos
• Opciones de compatibilidad por plugin para que el modo identificado no afecte a la parte pública de la web: WooCommerce, Contact Form 7, Gravity Forms, WPForms, Elementor, Jetpack. Las variables de oEmbed y la salud del sitio siguen estando disponibles por defecto, de modo que los contenidos incrustados y la pantalla «Herramientas > Salud del sitio» siguen funcionando

Herramientas de seguridad

Utilidades incluidas:

• Copia de seguridad de la base de datos: descarga una copia de seguridad completa o parcial de la base de datos en formato ZIP con selección de tablas.
• Cambio del prefijo de la base de datos: cambie el prefijo por defecto wp_ por un prefijo aleatorio seguro.
• Ajustes de exportación/importación – Transfiere tu configuración entre sitios
• Copia de seguridad manual – Crea copias de seguridad de .htaccess y wp-config.php cuando lo necesites
• Restablecer valores por defecto – Empieza desde cero con un solo clic

Seguro por principios

Sistema de copias de seguridad automáticas

Se realiza automáticamente una copia de seguridad de tus archivos .htaccess, wp-config.php y robots.txt actuales antes de realizar cualquier modificación. Las copias de seguridad se almacenan en la base de datos de WordPress, nunca como archivos en el directorio raíz del sitio, y se verifican mediante sumas de comprobación MD5.

Restablecimiento limpio

Cuando desactivas Vigilante se eliminan automáticamente todas las reglas de seguridad y se restauran tus archivos de configuración originales. Sin código residual, sin sitios web rotos.

¿Por qué debería elegir Vigilante?

La mayoría de los plugins de seguridad para WordPress reservan sus mejores funcionalidades para los planes de pago. Vigilante te ofrece todo desde el principio — sin planes premium, sin restricciones de características, sin ventas dirigidas. Cortafuegos, identificación en dos pasos con aplicación de verificación, cabeceras de seguridad, integridad de archivos, registro de auditoría, comprobación de seguridad con alertas semanales en caso de bajada y mucho más. Todo gratis, actualizándose constantemente y siguiendo los estándares de programación de WordPress.

Si tu plugin de seguridad actual te pide que pagues por funcionalidades que deberían ser básicas, echa un vistazo a lo que ofrece Vigilante de serie.

¿Con qué es comparable Vigilante?

Disponemos de una comparación detallada de las funcionalidades de Vigilante respecto a otros populares plugins de seguridad (Wordfence, Solid Security, AIOS, Sucuri, SG Security). Descubre qué ofrece cada plugin en su versión gratuita y en qué aspectos Vigilante cubre carencias.

→ Ver la comparativa completa

Soporte

¿Necesitas soporte privado o un desarrollo personalizado?

¿Necesitas ayuda individualizada, resolución de problemas prioritaria o una funcionalidad, integración o adaptaciones personalizadas creadas específicamente para tu sitio? Ofrezco soporte privado y desarrollos personalizados. Solo tienes que contactarme y decirme qué necesitas.

¿Necesitas ayuda o tienes sugerencias?

• Web oficial
• Foro de soporte en WordPress
• Canal en YouTube
• Documentación y tutoriales

¿Te gusta el plugin? ¡Déjanos un comentario de 5 estrellas y así ayudas a que lo conozcan otros!

Acerca de Ayuda WordPress

Somos especialistas en plugins de optimización de seguridad, SEO, IA y rendimiento para WordPress. Creamos herramientas que solucionan problemas reales a los propietarios de sitios WordPress manteniendo los más altos estándares de programación y requisitos de accesibilidad.