Descripción
EL PLUGIN DE SEGURIDAD Y CORTAFUEGOS DE WORDPRESS MEJOR VALORADO
All-in-One Security (AIOS) es un plugin de seguridad diseñado especialmente para WordPress, ahora presentado por el equipo de UpdraftPlus.
A los clientes les encanta All-In-One Security porque es fácil de usar y hace muchas cosas gratis.
All-In-One Security te ofrece herramientas de seguridad de acceso, para mantener alejado a los bots y proteger tu web de ataques de fuerza bruta.
Nuestro cortafuegos de aplicaciones web te ofrece protección automática contra amenazas de seguridad.
Las características de protección de contenido protegen lo que has trabajado tanto para construir; All-In-One Security elimina los comentarios no deseados y evita que otros web roben tu contenido con características como la prevención de iFrame y la protección de redacción.
¿Todavía tienes dudas?
- Actualmente somos el único plugin de seguridad de WordPress con una valoración de usuario de 5 estrellas en más de 1 millón de instalaciones.
- Nuestro equipo de seguridad mantiene una lista de amenazas conocidas, creando activamente protecciones contra ellos que luego se lanzan como nuevas reglas de cortafuegos para clientes gratuitos y de pago, al mismo tiempo.
- Ya somos el número uno del mundo en copias de seguridad, así que ya sabes que también puedes confiarnos la seguridad de tu web.
SOLUCIÓN COMPLETA DE CARACTERÍSTICAS DE SEGURIDAD DE ACCESO
Protege contra los ataques de fuerza bruta y mantiene alejado a los bots. All-In-One Security lleva las características por defecto de seguridad de acceso de WordPress a un nivel completamente nuevo.
- Apoya las mejores prácticas: All-In-One Security detecta si una cuenta tiene el nombre de usuario «admin» por defecto o si un usuario tiene acceso y un nombre para mostrar idénticos, solicitando al usuario que cambie esto para apoyar las mejores prácticas de seguridad.
- Ocultar la página de acceso de los bots: Configura una URL personalizada para la página de acceso del «Administrador» de WordPress, haciéndolo más difícil para que los bots la encuentren.
- Cambiar el prefijo
wp_
prefijo: Los hackers usan código automatizado para atacar webs como la tuya. Hazle la vida más difícil y protege tu sitio con esta característica de seguridad de AIOS simple pero efectiva. - Bloqueo de acceso Los usuarios externos que realizan varios intentos de acceso pueden quedar bloqueados durante un período de tiempo configurado. También puede bloquear a los usuarios con nombres de usuario no válidos. Ver una lista de todos los usuarios bloqueados y desbloquea con un solo clic.
- Informe: All-In-One Security proporciona una gran cantidad de información sobre los usuarios de la web. Ver la actividad por nombre de usuario, dirección IP, fechas y horas de acceso y salida. Ver una lista de usuarios actualmente conectados y una lista de todos los intentos de acceso fallidos.
- Forzar salidas: Asegura que los usuarios no permanezcan conectados indefinidamente. Con All-In-One Security puedes forzar la salida de todos los usuarios después de un período de tiempo configurable.
- Verificación de robot: Para mayor seguridad y para evitar registros de spam, implementa Google reCAPTCHA, CAPTCHA matemática simple o un señuelo en las páginas de registro, o activa la aprobación manual de cuentas de usuario en su lugar.
- Detiene la enumeración de usuarios: Evita que los usuarios externos y los bots obtengan información del usuario a través del enlace permanente del autor.
- Identificación de dos factores: TFA de All-In-One Security es compatible con Google Authenticator, Microsoft Authenticator, Authy y muchos más.
- Herramienta de seguridad de la contraseña: Calcula cuánto tiempo tardará en descifrarse tu contraseña en caso de un ataque de fuerza bruta.
- Bloqueo general de visitantes Pon tu sitio en «modo de mantenimiento» y bloquea la portada para todos los visitantes. Esto puede ser útil al realizar tareas en el escritorio, como realizar actualizaciones del sitio o investigar amenazas de seguridad.
- Característica de seguridad de Salts de WordPress ampliada: All-In-One Security añade 64 caracteres nuevos a Salts de WordPress y los cambia semanalmente, lo que hace que sea aún más difícil para los hackers descifrar las contraseñas de WordPress de tus usuarios.
CORTAFUEGOS & SOLUCIÓN COMPLETA DE SEGURIDAD DE PROTECCIÓN DE ARCHIVOS
Un cortafuegos de aplicaciones web (WAF) es la primera línea de defensa de tu web y protege tu sitio al vigilar el tráfico y bloquear solicitudes malignas.
- Activar progresivamente los ajustes del cortafuegos: Estos van desde básico, intermedio y avanzado.
- Protección automática contra las amenazas más recientes: Nuestro equipo mantiene una lista de amenazas conocidas, creando activamente protecciones contra ellos que luego se lanzan como nuevas reglas de cortafuegos para clientes gratuitos y de pago.
- Lista negra 6G: All-In-One Security incorpora reglas de cortafuegos de «Lista negra 6G», que protege tu sitio contra una lista conocida de solicitudes de URL malignas, bots, remitentes de spam y otros ataques (cortesía de Perishable Press).
- Protégete contra los bots falsos de Google: Los bots que se presentan como rastreadores de Google pueden robar tu contenido y llenar tu página web con comentarios no deseados. Protégete contra él cortafuegos de aplicaciones web de All-In-One Security.
- Funcionalidad de la lista negra: Prohibir a los usuarios por dirección IP, rango de direcciones IP o especificando agentes de usuario.
- Evitar los ataques DDOS: Evita que los usuarios malignos realicen ataques DDOS a través de una vulnerabilidad conocida en la funcionalidad de pingback de XML-RPC de WordPress.
- Evitar el hotlinking de imágenes: Protege el ancho de banda del servidor y el contenido de tu web evitando que otros sitios usen tus imágenes a través de hotlinking.
- Protección contra cross site scripting (XSS): All-In-One Security evita que los atacantes inyecten un script maligno en tu web a través de una cookie especial.
- Detección de cambios de archivos: Los escáneres de seguridad te alertan sobre cambios de archivos en tu sistema de WordPress, para que puedas ver si un cambio es legítimo o sospechoso e investigar según sea adecuado.
- Desactivar la edición de archivos PHP: Protege tu código PHP desactivando la capacidad de editar archivos en el área de administración de WordPress.
- Alerta de ajustes de permisos: Identifica archivos o carpetas donde los ajustes de permisos no están seguros y se correcta con un solo clic.
- Capacidad para crear reglas personalizadas: Los usuarios avanzados pueden añadir reglas personalizadas para bloquear el acceso a varios recursos en tu sitio.
- Prevención de acceso: Evita que los usuarios externos accedan a los archivos readme.html, license.txt y wp-config-sample.php de tu sitio de WordPress.
SOLUCIÓN COMPLETA DE SEGURIDAD DE PROTECCIÓN DE CONTENIDO
Elimina el spam, protege tu contenido de WordPress y tu clasificación en los motores de búsqueda con estas importantes características de seguridad de All-In-One-Security.
- Prevención de spam de comentarios: Las páginas web llenas de comentarios de spam dañan tu marca, afectan la experiencia del usuario e impactan en el SEO.
All-In-One Security detiene el SPAM en la fuente al evitar los comentarios que se originan en otros dominios. AIOS bloquea automáticamente y permanentemente las direcciones IP de los spammers. Los propietarios de sitios pueden usar reCAPTCHA para reducir el spam de comentarios y bloquear usuarios malignos con solo un clic. - Protección de iFrame: Evitar que otros sitios web reproduzcan tu contenido a través de un «iFrame» es una característica de seguridad útil que protege tu propiedad intelectual y a los visitantes de tu web.
- Protección de redacción: Evita que los usuarios roben tu contenido desactivando la función de clic derecho, seleccionar y copiar texto.
- Desactivar RSS y Atom Feeds: Los bots pueden usar RSS y Atom Feeds para «extraer» el contenido de tu web y presentarlo como propio. Esta característica evita eso al desactivar RSS y Atom Feeds en tu web.
CARACTERÍSTICAS DE SEGURIDAD GENERALES Y ÚLTIMAS
- Registro de auditoría: El registro de auditoría de All-In-One Security brinda a los administradores una vista de los eventos que tienen lugar en su web de WordPress. Pueden ver si ocurre algo extraño y detectar riesgos de seguridad. Por ejemplo, puedes ver si se ha añadido, eliminado, actualizado, activado o desactivado un plugin o un tema sin tu conocimiento o consentimiento.
¿INTERESADO EN AIOS PREMIUM?
Para obtener protecciones aún mayores, considera All-In-One Security (AIOS) Premium. Es uno de los plugins de seguridad de WordPress más rentables y completos del mercado y amplía los poderes de ‘Gratis’ con:
EXPLORACIÓN DE MALWARE (Solo premium)
Descubrir por accidente que la seguridad de tu web se ha visto comprometida debido a un malware es demasiado tarde.
El malware puede tener un efecto dramático en las clasificaciones de búsqueda. Puede retrasar tu sitio, acceder a datos de clientes, enviar correos electrónicos no solicitados, cambiar tu contenido o evitar que los usuarios accedan a él.
- Te alerta sobre la lista negra: Los motores de búsqueda pueden incluir rápidamente en la lista negra un sitio hackeado con código maligno. All-In-One Security Premium supervisa el estado de tu sitio diariamente y te alerta si ha sido incluido en la lista negra.
- Aviso si algo anda mal: Te avisaremos de cualquier problema de malware dentro de las 24 horas para que puedas tomar medidas antes de que sea demasiado tarde.
- Supervisión del tiempo de respuesta: Sabrás de inmediato si el tiempo de respuesta de la web se ve afectado negativamente.
- Supervisión del tiempo de actividad: All-In-One Security comprueba el tiempo de actividad de la web cada 5 minutos. Te avisaremos si tu sitio/servidor se cae.
- Asignación flexible: Regístrate y elimina los sitios de WordPress del análisis de seguridad en cualquier momento.
- Informes de seguridad: Los informes de seguridad están disponibles a través de la página «Mi cuenta» y directamente por correo electrónico.
IDENTIFICACIÓN DE DOS FACTORES FLEXIBLE (SOLO PREMIUM)
TFA está disponible en nuestros paquetes gratuitos. All-In-One Security Premium ofrece niveles completamente nuevos de control sobre cómo se implementa TFA.
- Configuración específica del perfil: Hacer que TFA sea obligatorio para ciertos perfiles, p.ej. para perfiles de administrador y editor.
- Requerir TFA después del período de tiempo establecido: Por ejemplo, podrías requerir que todos los administradores tengan TFA una vez que sus cuentas tengan una semana de antigüedad.
- Dispositivos de confianza: Solicita TFA después de una cantidad determinada de días para dispositivos de confianza en lugar de en cada acceso.
- Protección contra bots: Opción para ocultar la existencia de formularios en las páginas de acceso de WooCommerce a menos que JavaScript está activo.
- Personalizar el diseño de la estructura: Personaliza el diseño de TFA para que se alinee con tu diseño web existente.
- Códigos de emergencia: Genera un código de emergencia de un solo uso para permitir el acceso si se pierde tu dispositivo.
- Compatible con multisitio: Compatible con redes y subsitios de multisitio de WordPress.
- Es compatible con formularios de acceso: Es compatible con WooCommerce y Affiliates-WP, Elementor Pro, bbPress y todos los formularios de acceso de terceros sin necesidad de codificación adicional. También es compatible con «Theme my Login»
BLOQUEO INTELIGENTE DE 404 (SÓLO PREMIUM)
Los errores 404 pueden ocurrir cuando alguien escribe incorrectamente una URL de forma legítima, pero también son generados por hackers que buscan debilidades de seguridad en tu sitio.
- Bloquear bots que generan errores 404: All-In-One Security Premium bloquea de forma automática y permanente las direcciones IP de bots y hackers según la cantidad de errores 404 que generan.
- Informes: Los prácticos gráficos te mantienen informado sobre cuántos errores 404 se han producido y qué dirección IP o país los produce.
BLOQUEO DE PAÍS (SOLO PREMIUM)
La mayoría de los ataques de seguridad provienen de un puñado de países, por lo que es posible prevenir la mayoría de los ataques con nuestra herramienta de bloqueo de países.
* Bloquear el tráfico según el país de origen: All-In-One Security Premium usa una base de datos de IP que promete un 99,5% de precisión.
* Bloquear el tráfico a páginas específicas: Bloquear el acceso a todo tu sitio de WordPress o página por página.
* Lista blanca de algunos usuarios de países bloqueados: Lista blanca de direcciones IP o rangos de IP incluso si son parte de un país bloqueado.
SOPORTE PREMIUM
- Asistencia ilimitada: Asistencia personalizada por correo electrónico cuando la necesites.
- Tiempos de respuesta más rápidos: Ofrecemos un tiempo de respuesta de tres días. El 99% de los clientes All-In-One Security Premium reciben una respuesta a
su consulta dentro de las 24 horas.
Soporte del plugin
- Si tienes alguna pregunta o problema con el plugin All-In-One Security, publicarlo en el foro de soporte y te ayudaremos. Los clientes Premium pueden registrar consultas directamente con el equipo a través de aiosplugin.com
Desarrolladores
- Si es un desarrollador y necesita algunos ganchos o filtros adicionales para este complemento, háganoslo saber.
Traducciones
- El plugin All In One Security se puede traducir a cualquier idioma.
Traducciones actualmente disponibles:
- Inglés
- Alemán
- Español
- Francés
- Húngaro
- Italiano
- Sueco
- Ruso
- Chino
- Portugués (Brasil)
- persa
Política de privacidad
Este plugin puede recopilar direcciones IP por razones de seguridad, como mitigar amenazas de acceso de fuerza bruta y actividades malignas.
La información recopilada se almacena en tu servidor. No se transmite información a terceros ni a ubicaciones remotas de servidores.
Uso
Ir al menú de ajustes después de activar el plugin y sigue las instrucciones.
Capturas
Bloques
Este plugin proporciona 1 bloque.
- Twofactor User Settings
Instalación
Para empezar a hacer su sitio de WordPress más seguro:
- Cargue el archivo ‘all-in-one-wp-security.zip’ desde el Plugins->Añadir una nueva página en el panel de administración de WordPress.
- Activa el plugin a través del menú «Plugins» en WordPress
- Ir al menú de ajustes en ‘Seguridad de WP’ y comenzar a activar las características de seguridad del plugin.
FAQ
-
¿Cómo se apoya All-In-One Security (AIOS)?
-
Los clientes de AIOS ‘Gratis’ pueden obtener soporte desde esta misma página web. Selecciona ‘Soporte’ en las pestañas de arriba y publica un debate. Nuestro objetivo es responder a todas las solicitudes de soporte dentro de las 24 horas durante la semana laboral.
-
¿Es compatible All-In-One Security con otros plugins?
-
Sí. AIOS funciona sin problemas con los plugins de WordPress más populares.
-
¿Se actualiza regularmente All-in-One-Security?
-
Sí. La seguridad de WordPress es algo que evoluciona con el tiempo. Actualizamos AIOS con nuevas características de seguridad (y correcciones si es necesario) periódicamente para que puedas estar seguro de que tu sitio seguirá beneficiándose de las nuevas técnicas de protección de seguridad durante el tiempo que las necesites.
-
¿All-In-One Security hará que mi web sea más lento?
-
No.
-
La decisión es tuya. AIOS ‘gratuito’ incorpora un cortafuegos de aplicaciones web, herramientas integrales de seguridad de acceso que incluyen identificación de dos factores y todas las últimas prácticas y técnicas de seguridad recomendadas de WordPress.
Pero si tu sitio de WordPress es una web de negocios, si muestra lo que haces o quién eres, generalmente recomendamos AIOS Premium. Los precios comienzan desde tan solo $70 por año. -
AIOS Premium escanea tu web de WordPress en busca de malware mientras que también supervisa el tiempo de respuesta y el tiempo de actividad de tu sitio, notificándote cualquier problema dentro de las 24 horas. Los clientes de AIOS Premium también se benefician del soporte de tiques por correo electrónico (en lugar de los foros de soporte de WP).
Las herramientas de seguridad adicionales incluyen Bloqueo de países, Bloqueo inteligente de errores 404 y Identificación avanzada de dos factores.
Hay más información disponible en nuestra web de All-In-One Security -
En la tienda web, compra tu suscripción preferida. Después de completar la compra, se te enviará por correo electrónico un enlace para descargar el plugin. También puedes acceder al enlace a través de tu página «Mi cuenta».
Después de descargar el archivo zip, instala y activa el plugin a través de Administración de WP->Plugins->Añadir nuevo->Subir plugin.
La versión premim amplía la versión gratuita. Por lo tanto, debes mantener la versión gratuita instalada y activa. También se le pedirá que introduzcas tu nombre de usuario y contraseña de AIOS para conectar tu sitio a las licencias. Esto permitirá que el plugin reciba actualizaciones. -
Sí, debes tener instalada y activada la versión gratuita del plugin antes de instalar Premium. El plugin Premium es una extensión que requiere que la versión gratuita esté presente.
-
¿Funciona All-In-One Security con instalaciones de red de multisitio?
-
Sí, AIOS Premium es compatible con los multisitios de WordPress. Para redes multisitio, la protección se aplicará a toda la red, y el escritorio y las opciones estarán disponibles en el sitio principal del multisitio de WordPress.
-
¿Puede un plugin de seguridad de WordPress detener todos los ataques en mi sitio?
-
No existe una garantía del 100% de que un plugin de seguridad pueda proteger contra todos los ataques, ya que siempre existe la posibilidad de vulnerabilidades desconocidas de WordPress u otros factores inesperados, y los atacantes siempre buscan desarrollar nuevas formas de evitar las protecciones. Sin embargo, All-In-One Security brinda una buena protección contra los métodos de ataque conocidos y está en continuo desarrollo para vigilar y mejorar las protecciones.
-
¿Funciona All-In-One Security en todos los servidores y proveedores?
-
AIOS debería ser compatible con la mayoría de los proveedores, a menos que el proveedor haya restringido específicamente el uso de plugins de seguridad. Del mismo modo, es posible que ciertas funciones no funcionen en algunos servidores, especialmente en las plataformas Windows/IIS. Las características que usan el archivo «.htaccess» no se aplicarán en un servidor Windows IIS o un servidor NGINX (pero el desarrollo está en curso para trasladar esas protecciones a todos los servidores).
-
Los sitios de desarrollo y prueba requieren su propia licencia si se necesitan actualizaciones del plugin.
Sin embargo, estos sitios pueden desconectarse de la licencia cuando hayan cumplido su propósito. Puedes desconectar la licencia a través de la página administración de WP->Plugins del sitio, y estará disponible para ser reasignada a un sitio diferente. -
¿Es compatible el plugin All In One Security & Firewall con RGPD y otras leyes de privacidad?
-
Por favor, lee más acerca del plugin de RGPD aquí: https://aiosplugin.com/privacy-policy/.
Reseñas
Colaboradores y desarrolladores
«All-In-One Security (AIOS) – Security and Firewall» es un software de código abierto. Las siguientes personas han colaborado con este plugin.
Colaboradores«All-In-One Security (AIOS) – Security and Firewall» está traducido en 12 idiomas. Gracias a los traductores por sus contribuciones.
Traduce «All-In-One Security (AIOS) – Security and Firewall» a tu idioma.
¿Interesado en el desarrollo?
Revisa el código , echa un vistazo al repositorio SVN o suscríbete al registro de desarrollo por RSS.
Registro de cambios
5.3.3 – 16/Sep/2024
- Característica: Añadida la opción captcha para la página de pago del invitado clásico de WooCommerce.
- Corrección: Corregido los problemas de diseño adaptable con el logotipo de aviso del escritorio en dispositivos móviles.
- Corrección: El widget de captcha de Turnstile se muestra varias veces
- Corrección: Resuelto el problema de memoria para leer archivos de registro de sistemas de servidor más grandes
- Corrección: Eliminada las opciones .htaccess del menú «Ajustes» en Nginx, IIS y servidores web no compatibles
- Corrección: Se ha resuelto el problema de la ventana emergente de UX y se ha sanado la lista de permitidos del cortafuegos
- Corrección: Se ha resuelto un problema en el que las acciones de la tabla en lote aún se ejecutaban incluso si se cancelaba el cuadro de diálogo de confirmación.
- Corrección: Añadida una verificación nula para evitar advertencias de PHP en las reglas del cortafuegos
- Retoque: Ajaxificado las acciones en el menú de ajustes, seguridad del sistema de archivos, prevención de spam y seguridad del usuario
- Retoque: Añadido compatibilidad con Ajax para enumerar tablas y el registro de auditoría
- Retoque: Añadido el campo CAPTCHA a los formularios de registro y de olvido de contraseña de MemberPress
- Retoque: Pestañas .htaccess excluidas de los ajustes si el servidor no es compatible
- Retoque: Actualizada la interfaz de usuario de las reglas del cortafuegos y la descripción del explorador de malware.
- Retoque: Retocado el método de copia de seguridad htaccess para generar el nombre de archivo aleatorio
- Retoque: Eliminado «evitar acceso a archivos WP por defecto» de .htaccess y se ha añadido «license.txt» a la lista de borrar.
5.3.2 – 06/Aug/2024
- Corrección: Fallo que permitía a los administradores de subsitios borrar los registros de auditoría de otros subsitios
- Corrección: Desactivada la lista negra en subsitios porque el cortafuegos basado en PHP actualmente se aplica a todo el multisitio
- Corrección: Un problema con la obtención de los rangos de IP del bot falso de Google
- Retoque: Añadido protecciones adicionales antes de modificar el archivo «.htaccess»
- Retoque: Las acciones en el menú de herramientas, cortafuegos y explorador ahora se procesan mediante AJAX
- Retoque: Se eliminaron los espacios en blanco iniciales y finales de las entradas en la pestaña de búsqueda de WHOIS
- Retoque: Añadida una ventana emergente de confirmación cuando los usuarios vacían los registros en la tabla registros de depuración
- Retoque: Añadido compatibilidad con captcha para el plugin «MemberPress»
- Retoque: Se ha mejorado la experiencia de usuario de las opciones de WP Rest API
- Retoque: Mejoras en el código interno para mejorar la capacidad de mantenimiento
- Retoque: Actualizado el gestor de característica para mejorar el rendimiento.
- Retoque: Corregido el problema de las tablas en blanco en la vista móvil
5.3.1 – 26/Jun/2024
- Característica: Añadido CAPTCHA a páginas/entradas protegidas por contraseña
- Corrección: El captcha no se muestra en la página de registro de BuddyPress
- Corrección: Problema de salida en WooCommerce cuando la página de acceso renombrada y las características de lista blanca de acceso están activadas
- Corrección: CAPTCHA faltantes cuando hay varios formularios de acceso y registro de WooCommerce en la misma página
- Corrección: Corregido un problema con las acciones de detección 404
- Corrección: Un problema de interfaz de usuario con la imagen del código QR de 2FA
- Retoque: Añadido el atributo data-cfasync=»false» a la URL del captcha por defecto para permitir la carga en Cloudflare Rocket Loader
- Retoque: Purgar los registros de la tabla de bloqueo de acceso después de 90 días para restringir el tamaño. Añadida la constante AIOS_PURGE_LOGIN_LOCKOUT_RECORDS_AFTER_DAYS para cambiar el valor por defecto.
- Retoque: Actualizado el texto de frecuencia del explorador de malware de diario a semanal
- Retoque: Actualizada la interfaz de usuario del medidor de fortaleza de contraseña para la herramienta de contraseña
- Retoque: Añadir un enlace «Bloquear IP» y «IP en lista negra» a la columna de IP del registro de auditoría.
- Retoque: Mejorar la detección de falsos Googlebot. En caso de que gethostbyaddr falle, el cortafuegos volverá a comprobar los rangos de IP conocidos de Googlebot
- Retoque: Actualizada la cabecera de la columna de la tabla «Direcciones IP bloqueadas permanentemente» para que sea coherente con otras tablas
- Retoque: Prevenir advertencia cuando DISALLOW_FILE_EDIT ya se ha definido
- Retoque: Corrección de instancias de una función de traducción que se utiliza para varias oraciones
- Retoque: Mejorada la UX durante las llamadas AJAX
- Retoque: Eliminado los comentarios de spam de la papelera con descripciones duplicadas
5.3.0 – 01/May/2024
- Característica: Añadida característica de salida forzada por lotes para usuarios conectados
- Corrección: Un problema con la función de salida de la página de mi cuenta de WooCommerce cuando la característica de fuerza bruta basada en cookies está activada
- Corrección: Advertencia de clave de matriz no definida ‘SCRIPT_FILENAME’
- Corrección: La redirección personalizada después de acceder no funciona si la URL contiene el parámetro ‘redirect_to’
- Corrección: Lista de cuentas de administrador que no se muestran en la página de seguridad del usuario
- Corrección: El problema con la prevención de fuerza bruta basada en cookies se resolvió si la característica salt postfix está activada.
- Corrección: Corregido el campo de país que no se mostraba en los registros de eventos 404 (Premium)
- Corrección: Corregido el campo de país que no se mostraba en el registro de IP bloqueado 404 inteligente (Premium)
- Retoque: Corregido el problema de traducción que no se mostraba según el idioma establecido por el usuario administrador en lugar de los ajustes del sitio
- Retoque: Los cambios en la actualización del cortafuegos se aplican sin acceso a la interfaz de administración
- Retoque: Cambiar las etiquetas de los interruptores por una redacción más apropiada
- Retoque: En los resultados del explorador de archivos se muestran los tamaños de los archivos en un formato legible por humanos.
- Retoque: Actualizado el mensaje por defecto para intentos de acceder a wp-admin.
- Retoque: Refactor interno del código de actualización para mejorar la claridad del código.
- Retoque: Transferir la característica ‘Bloquear Googlebots falsos’ al cortafuegos basado en PHP
- Retoque: Eliminar el requisito para que al menos una IP esté activada para la ‘Lista negra’, ‘Lista blanca de acceso’ y ‘Lista blanca de IP de bloqueo de acceso’.
- Retoque: Añadido un mensaje de error cuando un usuario intenta bloquear su propia IP al aprobar el registro.
- Retoque: Añadido método para actualizar la insignia en una llamada AJAX
- Retoque: Refactor interno de la clase ‘AIOWPSecurity_Utility_File’ para mejorar la claridad del código.
- Retoque: Actualización de contenido del aviso estacional para 2024
5.2.9 – 06/Mar/2024
- Corrección: Eliminar la llamada a ‘update_event_table_column_to_timestamp’ en la rutina de actualización
- Corrección: Eliminar la llamada a ‘wp_timezone()’ que solo está disponible en WP 5.3+
5.2.8 – 05/Mar/2024
- Corrección: La comprobación de usuario que afecta al plugin «Duo Two-Factor Authentication»
- Corrección: La rutina de actualización de la base de datos ahora se ejecuta sin necesidad de visitar la interfaz de administración o cada sitio individual en un multisitio
- Corrección: Algunos ajustes en el menú del cortafuegos no se restablecen después de desactivar y reactivar el plugin.
- Retoque: El registro de auditoría y la columna de fecha y hora del archivo de exportación CSV de eventos 404 ahora están en un formato legible por humanos, no en una marca de tiempo Unix.
- Retoque: El campo de fecha y hora existente de la tabla de registro de depuración convertido a marca de tiempo para que sea independiente de la zona horaria
- Retoque: El campo de fecha y hora existente de la tabla meta global convertido a marca de tiempo para ser independiente de la zona horaria
- Retoque: El campo de fecha y hora existente de la tabla de bloqueo permanente convertido a marca de tiempo para que sea independiente de la zona horaria
- Retoque: Reprogramar las acciones de los elementos de la lista para mejorar aún más la claridad del código
- Retoque: Eliminado el menú de administración «lista negra» como se anunció anteriormente
- Retoque: Eliminado el menú de administración «varios» como se anunció anteriormente
- Retoque: Eliminada varias pestañas del menú de administración como se anunció anteriormente
- Retoque: Almacenar el resultado de la búsqueda de IP para otros tipos de entradas en la tabla de bloqueo de acceso
- Retoque: Actualizar la indicación de revisión del pie de página
- Retoque: Eliminado el límite de tamaño máximo de carga de archivos a 250 MB por el filtro ‘aiowps_max_allowed_upload_config’
- Retoque: Mejorar la detección de spam en comentarios para no interferir con otros formularios
5.2.7 – 06/Feb/2024
- Seguridad: Añadido comprobaciones nonce a varias acciones de la tabla de listas para evitar una vulnerabilidad CSRF. Gracias a dhakal_ananda por revelar este defecto. Esto permitiría a un atacante que persuadiera a un administrador conectado a visitar un enlace especialmente diseñado para realizar acciones en los registros de eventos 404.
5.2.6 – 06/Feb/2024
- Seguridad: Se ha eliminado el uso innecesario del parámetro de consulta «pestaña» en varias páginas del menú de administración para evitar una vulnerabilidad XSS no persistente. Gracias a Matthew Rollings por revelar este defecto. (Esto permitiría que un atacante que lo apunte deliberadamente mientras está conectado como administrador y lo convenza de visitar un enlace que él controla para inyectar scripts no deseados en una sola visita a tu página de administración de AIOS).
- Característica: Añadido un evento de cerrar sesión a los registros de auditoría
- Característica: Añadir la capacidad de borrar el archivo «readme.html» por defecto y el archivo «wp-config-sample.php»
- Corrección: Corregir algunas llamadas de traducción que utilizaban el dominio de texto incorrecto
- Corrección: Aviso de PHP causado por el explorador de archivos no puede leer su archivo de datos
- Corrección: El botón de solicitud de desbloqueo no se mostraba y redirige a 127.0.0.1
- Corrección: Errores de la base de datos para la tabla aiowps_login_lockdown durante la instalación del plugin
- Retoque: Rediseñar la interfaz de usuario 6G
- Retoque: Añadida una opción para establecer el tema de CAPTCHA de Cloudflare Turnstile
- Retoque: Añadido estilo CSS para la columna de detalles del registro de auditoría
- Retoque: Se han corregido los enlaces de estado de las funciones críticas del escritorio y solo se muestran las funciones que se pueden activar en un subsitio de multisitio
- Retoque: Desactivar el plugin ahora elimina la información de acceso almacenada para que en la próxima activación los usuarios no sean forzados a desconectarse
- Retoque: Mostrar cadena json en lugar de nulo si ‘json_decode’ no funciona para los detalles del registro de auditoría
- Retoque: El campo de fecha y hora existente de la tabla de eventos convertido a marca de tiempo para que sea independiente de la zona horaria
- Retoque: Varios retoques para que el código base cumpla con los estándares de codificación
- Retoque: Varios retoques para garantizar que no se pasen varias oraciones a una única función de traducción
- Retoque: Se ha corregido la interfaz de usuario rota para los ajustes del cortafuegos RSS y Atom y se añadió un cuadro de «más información»
- Retoque: Corrección del problema de la identificación única en DOM
- Retoque: Se han unido las pestañas «Nombre de usuario» y «Nombre para mostrar» en los ajustes de «Seguridad del usuario»
- Retoque: Se ha movido la pestaña de «Detección 404» al menú de administración de «Fuerza bruta»
- Retoque: Se ha movido la pestaña de «Edición de archivos PHP» a la pestaña de «Protección de archivos»
- Retoque: Se ha movido la pestaña de «Enumeración de usuarios» a la pestaña «Cuentas de usuario» en el menú de «Seguridad del usuario»
- Retoque: Se ha movido la pestaña de «WP Rest API» al menú de «Cortafuegos»
- Retoque: Se ha movido la pestaña de «Protección de copiado» y «Marcos» al menú de «Seguridad de archivos»
- Retoque: Se ha movido la pestaña de «Salt» al menú de «Seguridad del usuario»
- Retoque: Se ha movido la pestaña de «Gestor de lista negra» al menú de «Cortafuegos».
- Retoque: Los restablecimientos de la contraseña, los usuarios eliminados y borrados ahora se registran en el registro de auditoría
- Retoque: Evita que la IP 404 se bloquee si hay un bloqueo actual en esa IP
- Retoque: Unifica la conversión de fecha y hora con compatibilidad con la zona horaria de los usuarios
- Retoque: Se ha modificado la forma en que los datos vacíos en el resultado de la búsqueda de IP se almacenan en la base de datos.
- Retoque: Rehacer la página del menú del cortafuegos para que tenga dos pestañas para las reglas de PHP y .htaccess
- Retoque: Añadida compatibilidad de captcha para Contact Form 7
- Retoque: Añadida una función de guardar ajustes de AJAX y obtener detalles de las características de función de insignia como parte del trabajo en curso para añadir compatibilidad con AJAX a los ajustes del plugin
- Retoque: Mejora en el correo electrónico para restablecer la contraseña añadiendo información de IP
- Retoque: Eliminar la metaetiqueta de la barra de herramientas de la imagen desaparecida
- Retoque: El campo de fecha y hora existente de las tablas de bloqueo de acceso se ha convertido a marca de tiempo para que sea independiente de la zona horaria
- Retoque: Mejoras en el código – utilizando objetos de WP_Error en lugar de arrays
5.2.5 – 25/Oct/2023
- Seguridad: En una instalación multisitio, si se usaba la característica AIOS para cambiar el nombre y ocultar la página de acceso, existía una ruta para que un atacante descubriera la página de acceso oculta, negando así la utilidad de la característica. Gracias a Naveen Muthusamy por revelar este defecto.
- Característica: Bloquear las solicitudes POST que tengan un agente de usuario y un referente en blanco
- Característica: Añadido datos de búsqueda de IP inversa al correo electrónico de aviso de bloqueo de acceso
- Corrección: Evitar un error fatal al configurar el cortafuegos si el servidor ha desactivado la función parse_ini_file
- Corrección: Evitar que el almacén de mensajes del cortafuegos se llene con entradas no usadas
- Corrección: Evitar que se bloquee el tráfico legítimo de Googlebot en sitios donde la función gethostbyaddr falla o está desactivada
- Corrección: Un problema que impedía que las actualizaciones de MainWP se realizaran correctamente
- Corrección: Evitar la enumeración de usuarios a través de la REST API y el protocolo oEmbed
- Corrección: La lista negra del agente de usuario no coincide correctamente con todas las cadenas
- Corrección: La tabla del usuario conectado no muestra la información correcta
- Retoque: Mejorar la detección de spam en comentarios mediante el uso de campos ocultos y cookies
- Retoque: La lista blanca de acceso sugiere direcciones IPv4 e IPv6 para la lista blanca
- Retoque: Las acciones del menú en el menú de administración del escritorio ahora se procesan a través de AJAX
- Retoque: Casillas de verificación convertidas en las páginas del menú de administración a interruptores
- Retoque: Añadir las columnas network_id y site_id a la tabla de registros de depuración para diferenciar los registros entre sitios en multisitio
- Retoque: Se han combinado varios menús de administración de usuarios en un nuevo menú de administración de «Seguridad de usuario»
- Retoque: El nombre del archivo de configuración de exportación ahora refleja la zona horaria local.
- Retoque: Mejorar la UI/UX del explorador de archivos dando paso a futuras mejoras
- Retoque: Rediseñar las insignias del gestor de característica
- Retoque: Eliminada varias pestañas del menú de administración como se anunció anteriormente
- Retoque: Añadir características que dependen de otros plugins al gestor de característica de forma condicional
- Retoque: Añadida una comprobación nula a la función que elimina la metainformación de wp de los scripts y estilos src para evitar una advertencia de obsolescencia de PHP
- Retoque: La fecha y la hora del registro de auditoría ahora se muestran en la zona horaria del sitio
- Retoque: Advertencia de PHP clave de matriz indefinida REQUEST_METHOD en rule-proxy-comment-posting.php
- Retoque: Cuando TranslatePress está activo, cerrar la sesión a través de WooCommerce no debería mostrar una página 404 si el ajuste «renombrar la página de acceso» está activado.
5.2.4 – 16/Aug/2023
- Corrección: Los ajustes del cortafuegos portado se desactivaban en la actualización
5.2.3 – 09/Aug/2023
- Corrección: Error fatal «set_value() en nulo» cuando falta la configuración del cortafuegos
- Corrección: Avisos de PHP cuando se ejecuta bajo cron
- Corrección: Revertir el cambio que causó que la lista blanca de acceso de fuerza bruta mostrara las IPs del servidor y no los usuarios
- Retoque: Añadir un mecanismo de comunicación para que el cortafuegos pueda enviar datos a WordPress
- Retoque: Eliminar las menciones incorrectas del archivo «.htaccess» en las reglas de cortafuegos de PHP
5.2.2 – 04/Aug/2023
- Característica: Una lista de direcciones IP permitidas que eluden las reglas del cortafuegos
- Corrección: Corrección de ‘get_class()’ en un error fatal nulo al actualizar a través de «ManageWP»
- Corrección: No existe tal aviso de archivo o directorio generado por el archivo de configuración del cortafuegos
- Corrección: Solo envía el correo electrónico de actualización si se han activado una o más de las reglas portadas
- CORRECCIÓN: Los bots falsos de Google ahora se bloquean si la dirección IP del servidor del bot no se resuelve con un hostname
- CORREGIDO: Google reCaptcha ahora aparece correctamente en la página de pago de WooCommerce
- CORREGIDO: Impide el acceso automático de WooCommerce si se activa la aprobación de registro manual
- Corrección: Problema de superposición de la interfaz de usuario de la pestaña de actualización premium.
- Corrección: Permitir que el modo de mantenimiento se controle a través de WP-CLI (Premium)
- Corrección: Usar la identificación del sitio correcto para los eventos de éxito de acceso añadidos a la tabla de registro de auditoría en multisitio
- Corrección: Añadido características faltantes a la lista del administrador de funciones
- Corrección: Una advertencia al usar el comando actualizar todo a través de WP-CLI
- Retoque: La dirección IP basada en los ajustes de AIOS ahora se usa en lugar de la variable del servidor ‘REMOTE_ADDR’ para múltiples avisos de códigos 2FA incorrectos
- Retoque: Añadido el filtro ‘aios_audit_log_record_event’ para permitir que los eventos no se registren
- Retoque: Mejorar la estructura del código del administrador de elementos de características para dar paso a futuras mejoras
- Retoque: La lista blanca de acceso sugiere direcciones IPv4 e IPv6 para la lista blanca.
- Retoque: Se ha movido la pestaña de «Reglas personalizadas» de la sección de «Cortafuegos» a su propia pestaña en la sección de «Herramientas»
- Retoque: Se ha movido la pestaña de «Evitar hotlinking» a la pestaña de «Protección de archivos» en el menú de «Seguridad del sistema de archivos»
- Retoque: Se ha movido todos los ajustes de CAPTCHA a la pestaña de «Ajustes de CAPTCHA» en el menú de «Fuerza bruta»
- Retoque: Se ha movido la pestaña de «Herramienta de contraseña» al menú de administración de «Herramientas»
- Retoque: Se ha movido la pestaña de «Bloqueo de visitantes» al menú de administración de «Herramientas»
- Retoque: Se ha movido la pestaña de «Señuelo de registro de usuario» al menú de administración de «Fuerza bruta»
- Retoque: Eliminar la «tabla de actividad de la cuenta» ya que estas entradas también se registran en el registro de auditoría
- Retoque: Eliminada la pestaña de «Registros de acceso fallidos» como se anunció anteriormente, estos ahora se registran en el registro de auditoría
- Retoque: Mejorar el rendimiento del código de la tabla de listas
- Retoque: Eliminado el uso de $_GET, $_POST, $_REQUEST de todos los archivos de plantilla para dar paso a mejoras futuras.
5.2.1 – 12/Jul/2023
- Corrección: Incluir archivo de clase auxiliar del cargador
- Retoque: Cargar condicionalmente el JavaScript del bloque TFA
5.2.0 – 10/Jul/2023
- Seguridad: Eliminar los datos de identificación de pila de la traza antes de guardarlos en la base de datos. Este defecto significaba que un administrador del sitio tenía el potencial, entre las versiones 5.1.9 y 5.2.0 (que elimina los datos existentes), de saber cuáles son las contraseñas de los usuarios del sitio. Esta información tiene un valor limitado (un administrador ya puede restablecer la contraseña de cualquier persona), excepto en la medida en que los usuarios puedan reutilizar las contraseñas en otros sitios. En ese escenario de «administrador hostil», tu sitio tiene otros problemas (ya que el administrador hostil tiene una gran cantidad de formas equivalentes de causar daño a los usuarios, especialmente si no está en varios sitios donde un administrador del sitio no es potencialmente un superadministrador y puede no serlo o capaz de instalar o configurar los plugins). Este registro de cambios se amplió en respuesta a informes incorrectos que sugerían un problema más amplio (por ejemplo, no mencionaron que el atacante ya debe estar conectado como administrador para leer el registro, o que la actualización a 5.2.0 borra los datos afectados).
- Seguridad: Establecer restricciones más estrictas sobre lo que los administradores de subsitios pueden hacer en un multisitio.
- Corrección: Después de editar un archivo, restablecer los permisos a los permisos originales
- Corrección: Corregidos algunos enlaces rotos en el plugin
- Corrección: Error fatal: No se puede declarar la clase
- Corrección: Normalizar todos los argumentos en pila de la traza
- Corrección: Añadido registros de acceso incorrectos a la tabla de actividad de acceso en varios sitios cuando el usuario accede en un subsitio al que no pertenece.
- Corrección: Resuelto demasiados errores de redireccionamiento para usuarios de salida forzada
- Retoque: Para Cronjob, WP CLI y la constante definida ‘AIOS_DISABLE_EXTERNAL_IP_ADDR’ no usan servicios externos para las direcciones IP de los usuarios. Advertencia de error en la solicitud silenciada de «api.ipify.org».
- Retoque: Restablecer la traducción de la página de contraseña y generar el botón de contraseña añadido para la página de acceso renombrada
- Retoque: Añadido el filtro ‘aios_audit_log_event_user_ip’ para permitir el filtrado de direcciones IP en el registro de auditoría
- Retoque: Añadido el gancho de acción ‘aios_reset_all_settings’ para restablecer todos los ajustes.
- Retoque: Página de acceso renombrada para tener un menú desplegable de cambio de idioma y otros retoques según WordPress 6.2
5.1.9 – 09/May/2023
- Característica: Direcciones IP – Funcionalidad del gestor de la lista negra basada en PHP en lugar de reglas «.htaccess». Añadida la constante ‘AIOS_DISABLE_BLACKLIST_IP_MANAGER’, defínela en tu archivo «wp-config.php» para desactivar el gestor de la lista negra de IP.
- Característica: Detectar a los bots de spam que publican comentarios y descartarlo por completo o marcarlo como spam.
- Característica: Cifrar las claves secretas de TFA que se almacenan en la base de datos (protección adicional en caso de que tu base de datos sean hackeados)
- Característica: Añadida una acción en lote «Borrar todo» y «Borrar filtrado» a la tabla de registro de auditoría
- Corrección: Evita que Cloudflare Turnstile se añada a los formularios de acceso cuando no se hayan establecido credenciales
- Corrección: Cambiar el lugar donde se carga el controlador de eventos del registro de auditoría para evitar un error al borrar el plugin
- Corrección: Corrección de las comprobaciones de las clases de contexto para ser compatibles con cli
- Retoque: El superadministrador de multisitio puede acceder al escritorio sin volver a acceder si el sufijo de salt está activado
- Retoque: El archivo Captcha JavaScript se carga innecesariamente en algunas páginas del sitio si está activado el captcha de comentario o el captcha de acceso personalizado
- Retoque: Se han cambiado algunos controles de nonce para usar nuestra función interna para verificar la capacidad del usuario y los nonces
- Retoque: Los registros de usuarios y los accesos correctos ahora se registran en el registro de auditoría
- Retoque: Añadido una clase de comandos y se reprogramaron los controladores Ajax.
- Retoque: Verificación de captcha para evitar conflictos con algunos plugins que recuerdan el código de identificación de WordPress
- Retoque: Mejora de la interfaz de usuario de la característica de prefijo de la tabla de la base de datos.
- Retoque: Las actualizaciones principales de WordPress ahora se registran en el registro de auditoría
- Retoque: Las actualizaciones de traducción ahora se registran en el registro de auditoría
- Retoque: Añadir un evento de cambio de entidad al registro de auditoría cuando la información del actualizador no está disponible
- Retoque: Correos electrónicos automatizados enviados por AIOS que no se pudo enviar debido a la dirección del remitente
5.1.8 – 11/April/2023
- Corrección: Detección 404 – las acciones de bloqueo temporal, borrar y lista negra de registros individuales dejaron de funcionar en 5.1.7
- Corrección: Error fatal no detectado en ‘set_value’ nulo
- Corrección: Eliminar las acciones del controlador de eventos del registro de auditoría al borrar el plugin para evitar un error
- Corrección: Eliminar algunos controladores de eventos de registro de auditoría al borrar el plugin para evitar un error
- Corrección: Obtén la ruta «wp-config» correcta cuando se instala en un subdirectorio
- Retoque: Ignorada la excepción de tiempo de espera agotado ‘AIOS_Helper::request_remote’.
- Retoque: El nombre de la clase ‘Requests_IPv6’ está obsoleto en WordPress 6.2.
- Retoque: Los intentos de acceso fallidos ahora se registran en el registro de auditoría
5.1.7 – 24/March/2023
- Corrección: Evitar errores fatales al llamar a ‘get_server_detected_user_ip_address()’ cuando el cortafuegos no está configurado.
- Retoque: Aclarar el título del aviso del escritorio y cambiar la imagen.
5.1.6 – 21/March/2023
- Característica: Añadido un registro de auditoría.
- Característica: Añadir la opción de sufijo de salt para mejorar la seguridad de tu sitio.
- Característica: Biblioteca compartida que se puede usar desde el cortafuegos.
- Corrección: Cambia el nombre del slug de acceso usando como ‘wp-login-RANDOM_SUFFIX’ que muestra el problema de la página 404 resuelto y la limpieza del código para la activación en multisitio.
- Corrección: Conflicto de tema secundario de Divi – solucionada la llamada a la función indefinida ‘et_builder_get_fonts()’ en «functions.php» en la línea 208.
- Corrección: La pestaña de ajustes de captcha en la instalación de sitios múltiples para subsitios que no se muestran.
- Corrección: Error de evento de reprogramación de cron para el gancho ‘aios_15_minutes_cron_event’ si el plugin está desactivado o desinstalado.
- Retoque: Detener la enumeración de usuarios ahora muestra el código de error prohibido 403 en lugar del error del servidor 500.
- Retoque: PHP 8.1 advierte que rawurldecode pasa nulo en lugar de tipo de cadena está en obsoleto para la regla de cadena de solicitud de bloque 6g.
- Retoque: Código de limpieza para desactivar la constante de fuerza bruta basada en cookies cuando la regla se movió al cortafuegos.
- Retoque: Interfaz de usuario de la página de vigilancia de IP de comentario spam.
- Retoque: Actualizados los avisos de temporada.
- Retoque: Mejora de la estructura del código interno para dar paso a futuras mejoras
- Retoque: Eliminar la mención de que las reglas de cortafuegos 6g están basadas en «.htaccess», ya que ahora están basadas en php.
- Retoque: Añadida una nueva función interna para verificar la capacidad del usuario y los nonces.
- Retoque: Mejorar el código de configuración con guardado integrado.
- Retoque: Permitir que el registro de auditoría se filtre y se exporte a CSV.
5.1.5 – 13/February/2023
- Característica: Añadida compatibilidad con Cloudflare Turnstile CAPTCHA
- Corrección: Se resolvieron los avisos sobre la clave de array no definida ‘HTTP_USER_AGENT’.
- Corrección: Las nuevas características v5 no se guardan en el archivo de exportación y no se restablecen correctamente después de la desinstalación.
- Corrección: El cambio de permiso de archivo se aplica al último registro no seleccionado. Además, ya no cambia los permisos cuando ya son más estrictos que los sugeridos.
- Corrección: Error fatal ‘Llamar a una función miembro contains_contents() en nulo’
- Retoque: Eliminada la información incorrecta acerca de la implementación de la lista blanca de acceso a través de «htaccess».
- Retoque: Tareas de ajustes de rediseñar para los comandos premium de WP CLI de AIOS.
- Retoque: Mejorado el problema de rendimiento de la carga de la página debido a la comprobación activa del plugin premium tfa incompatible.
- Retoque:: Asegúrate de que el dominio de traducción está registrado antes de intentar usarlo
- Retoque: Reemplazar el clic con presionar en el texto porque los usuarios podrían estar en dispositivos móviles, etc. y no usar un ratón.
- Retoque: Las páginas de administración de registro, comentario, Buddypress y bbPress para mostrar el aviso activado de los ajustes de captcha.
- Retoque: Mejorar la UI/UX para la pestaña de «detección 404»
- Retoque: Mejora de la estructura del código interno para dar paso a futuras mejoras
- Retoque: Advertencia obsoleta de PHP 8.2 para propiedades dinámicas
- Retoque: Eliminar la capacidad no deseada para atravesar directorios y la falta de escape al generar archivos con la característica «ver registro del sistema». Esta función solo está disponible para un administrador (quien, por supuesto, ya puede hacer cualquier cosa en el sitio, por lo que esto no tiene implicaciones de seguridad) y les permite ver (las últimas 50 líneas) de cualquier archivo o enumerar cualquier directorio en el sistema donde el servidor web tiene acceso de lectura.
- Corrección: Error fatal ‘Llamar a una función miembro contains_contents() en nulo’
- Retoque: El cortafuegos obtiene constantes de una sola fuente.
5.1.4 – 14/December/2022
- Característica: Añadir la opción para desactivar los feeds RSS y ATOM.
- Corrección: El gestor de la lista negra de direcciones IP no funcionaba.
5.1.3 – 09/December/2022
- Seguridad: Ya no se guardan los archivos de importación de ajustes en una carpeta de acceso público donde los motores de búsqueda pueden indexarlos potencialmente si el administrador no importa realmente los ajustes (lo que borra el archivo de importación)
- Característica: Implementar un sistema de eventos de cortafuegos
- Corrección: Protege los subsitios cuando el cortafuegos se carga a través de ‘plugins_hook’
- Retoque: Mejorar la experiencia de usuario para la subida de archivos de importación
- Retoque: Añade una opción de CAPTCHA por defecto para dar paso a nuevas CAPTCHAs en el futuro
5.1.2 – 07/December/2022
- Característica: Agente de usuario – la funcionalidad del gestor de lista negra debe basarse en PHP en lugar de reglas .htaccess.
- Corrección: Clasificación por ‘estado’ en la tabla de spam de comentarios
- Corrección: La característica de protección contra copias no funciona en iPhone
- Corrección: La prevención de fuerza bruta basada en cookies se bloquea si el plugin se desactiva y se vuelve a activar.
- Corrección: El aviso para volver a aplicar las reglas de «.htaccess» después de reactivar el plugin se muestra en los subsitios.
- Corrección: Varios avisos de línea de comandos de WordPress acerca de índices ‘$_SERVER’ no definidos
- Corrección: Resuelto el problema de desactivar y reactivar la sincronización del archivo de los ajustes del cortafuegos del plugin.
- Retoque: La página de ajustes de 2FA para mostrar opciones premium para AIOS premium.
- Retoque: Eliminar los caracteres que no deberían haber estado en la página del explorador
- Retoque: Organiza las reglas del cortafuegos en subdirectorios
- Retoque: Añadida la respuesta a la pregunta RGPD a la sección de FAQ del plugin AIOS en WP org.
- Retoque: Permitir que el permiso de gestión de AIOS se filtre a través del filtro
aios_management_permission
- Retoque: Haz uso de la función ‘is_main_site()’.
- Retoque: Copia la IP al portapapeles al hacer clic en ella en WP Security -> Fuerza bruta -> Lista blanca de acceso.
- Retoque: Mejor detección de contexto para el cortafuegos
5.1.1 – 16/November/2022
- Seguridad: Corregido un falló al verificar los nonces de acción en lote, lo que generaba una vulnerabilidad CSRF. La explotación requiere que un atacante elabore un enlace específicamente para tu sitio y convencerte para que hagas clic en él mientras estás conectado; si lo hicieras, esto podría provocar que se llevaran a cabo acciones en lote en las tablas de listas de AIOS (p.ej. eliminar entradas de listas de direcciones IP bloqueadas), con el atacante restringido a eliminar entradas por números de ID de la base de datos que no puede conocer directamente (p.ej. 15, 16, 17) y no la dirección IP (p.ej. 100.101.102.103).
- Característica: Prevención de fuerza bruta basada en cookies implementada con el nuevo sistema de cortafuegos basado en PHP.
- Corrección: Visibilidad del método ‘AIOWPSecurity_WP_Loaded_Tasks::site_lockout_tasks()’
- Corrección: Evita que el botón de descartar el aviso elimine todos los avisos de la página, incluidos los avisos que contenían información importante
- Corrección: Resuelto el problema de Fuerza bruta > Lista blanca de acceso para acceder a páginas protegidas con contraseña por parte del usuario.
- Corrección: Forzar el enlace de salida que no funciona en la lista de usuarios actualmente conectados.
- Corrección: La clave del sitio de Google reCAPTCHA y la clave secreta no se verifican de inmediato.
- Retoque: Cambios de estilo de código para páginas relacionadas con el escáner y clase de administrador de elementos futuros.
- Retoque: El estilo de mayúsculas se vuelve a aplicar para las pestañas del menú del cortafuegos.
- Retoque: En su lugar, el bloqueo de acceso usó la palabra de bloqueo de acceso en la interfaz de usuario y el contenido del correo. Se ha cambiado la constante ‘AIOWPS_DISABLE_LOGIN_LOCKDOWN’ a ‘AIOWPS_DISABLE_LOGIN_LOCKOUT’.
- Retoque: Actualizado pestañas, enlaces para que coincidan con el estilo de mayúsculas de otros plugins de UpdraftPlus.
- Retoque: Añadido el filtro
aios_server_type
para anular el valor de retorno del métodoAIOWPSecurity_Utility::get_server_type()
. - Retoque: Aviso – Registros de actividad de la cuenta, registros de eventos 404 con más de 90 días borrados automáticamente para mostrar.
- Retoque: FAQs de la página de actualización premium enlazado con la URL correcta.
- Retoque: La búsqueda de direcciones IP se llama solo una vez en la misma solicitud de página. Se llama al bloqueo de visitantes cuando el usuario no está conectado. La información en línea del usuario se actualiza solo al acceder.
- Retoque: Bloqueo de acceso de usuario – El tiempo mínimo de bloqueo debe ser menor que el tiempo máximo de bloqueo validado.
- Retoque: Realiza una copia de seguridad de wp-config antes de insertar el contenido del cortafuegos.
- Retoque: Posibilidad de degradar la protección del cortafuegos, lo que permite a los usuarios revertir los cambios de configurar el cortafuegos.
- Retoque: Establecer un contexto global para el contexto ‘$wp_file_descriptions’ para que se asigne correctamente, evitando un cambio visual sutil en el editor de temas
- Retoque: Aviso de Black Friday
- Retoque: Actualizar el archivo «readme.txt»
5.1.0 – 12/October/2022
- Corrección: El cargador de acceso es visible infinitamente en la pantalla de acceso y los administradores no pueden acceder si el usuario ha activado el modo de mantenimiento y la identificación 2FA simultáneamente.
- Corrección: Al presionar el botón «Desactivar cortafuegos» no se vaciaban las nuevas reglas de cortafuegos 6G.
- Corrección: La contraseña de la aplicación estaba desactivada de forma por defecto en la activación del plugin AIOS.
- Correccion: El error ocurrió con el mensaje de error: TypeError no capturado: fclose(): El argumento #1 ($stream) debe ser de tipo recurso, bool dado en all-in-one-wp-security-and-firewall/classes/wp -security-utility-htaccess.php:164 en el servidor donde no tiene permiso de escritura en la carpeta raíz.
- Retoque: Se ha eliminado el servicio de búsqueda de direcciones IP whatismyipaddress, la API para bot.whatismyipaddress.com ya no está disponible.
- Retoque: El cuadro de captcha matemático simple se mostró cuando el usuario estaba rellenando el código 2FA en el momento del acceso.
- Retoque: El valor por defecto del límite máximo de carga del cortafuegos aumentó en lugar de 10MB a 100MB.
- Retoque: Implementado Google reCaptcha multilingüe para mostrar mensajes en el idioma local en lugar de solo en inglés.
- Retoque: Actualizar los encabezados, las etiquetas y los botones para que coincidan con el estilo de mayúsculas de otros plugins.
- Retoque: Añadir pestaña de actualización premium.
5.0.9 – 06/October/2022
- Corrección: Aviso de PHP: Solo las variables deben pasarse por referencia en «/wp-content/plugins/all-in-one-wp-security-and-firewall/classes/wp-security-notices.php» en la línea 202.
- Retoque: Desactivar automáticamente la lista blanca de acceso en la actualización para todos los tipos de servidor y se muestra el aviso relacionado.
- Retoque: 2FA – Advertencia: Obsoleto: Llamada a ‘get_controller(‘totp’)’, no a ‘get_totp_controller()’ en «/includes/simba-tfa/simba-tfa.php» en la línea 713.
5.0.8 – 29/September/2022
- Seguridad/característica: Corrección de la detección de direcciones IP y proporciona los ajustes de detección de direcciones IP en el Escritorio de administración > Seguridad WP > Ajustes > Ajustes avanzados, proporciona orientación al usuario sobre cómo usarlas y notifica al usuario si hay algún problema aparente. Las versiones de 5.0.0 a 5.0.7 tenían un defecto que permitía a un atacante falsificar su dirección IP, lo que les ayudaba a evitar la detección o bloquear a usuarios legítimos. Gracias a Calvin Alkan por la revelación responsable.
- Corrección: El error prohibido 403 se mostró en la pantalla de acceso de wp si la URL de acceso contiene el parámetro ‘redirect_to’ y la característica de denegar cortafuegos de cadenas de consulta incorrectas está activada en localhost.
- Corrección: El método de solicitud PUT se bloqueó cuando el usuario activo el cortafuegos 6G.
- Corrección: La lista blanca de acceso no funcionaba en servidores que no admitían archivos «.htaccess», sin que esta información se mostrara en la interfaz de usuario. La característica ahora está portada a PHP para que funcione en todos los servidores. Gracias a Calvin Alkan por identificar este problema.
- Retoque: Añadir claves de índice para el bloqueo de acceso, los accesos fallidos y las tablas de bloqueo permanente para evitar un rendimiento de lectura de base de datos deficiente en caso de que se almacenen grandes cantidades de filas en estas tablas (consulta el elemento «SEGURIDAD» anterior, ya que el defecto descrito allí puede permitir esto). Gracias a Calvin Alkan por identificar este problema.
- Retoque: Resuelve un mensaje de registro de PHP-firewall ‘No se puede ubicar el espacio de trabajo’.
- Retoque: Añadida una constante ‘AIOS_DISABLE_GET_EXTERNAL_IP’. Define esto en tu archivo «wp-config.php» para desactivar la obtención de la dirección IP a través de una API externa cuando el método de recuperación de IP no logra obtener una dirección IP válida.
- Retoque: Reemplazar el obsoleto …