All-In-One Security (AIOS) – Security and Firewall

Registro de cambios

5.4.2 – 15/Jul/2025

• FEATURE: Ability to enforce checking passwords against the HIBP API when updating user profiles and resetting passwords.
• FEATURE: Add ability to upgrade all unsafe http calls on the site.
• FIX: Disabled application password link doesn’t go back to the correct place.
• FIX: Fatal in the firewall’s message store.
• FIX: Malformed URLs in User accounts tab.
• FIX: Users are logged out on Contact Form 7 submit if salt postfix enabled
• FIX: The ‘Set Password’ page does not load for the user when cookie-based brute-force protection is enabled.
• FIX: Disallow unauthorized REST request is enabled, but the /wp-json/ shows the rest routes and rest api details
• TWEAK: Add AJAX message store helper
• TWEAK: Disable user enumeration error; aios_user_lists_forbidden should return a 403 response code instead of a 500.
• TWEAK: Rename the WP Admin menu item from ‘WP Security’ to ‘AIOS’ and update the icon to current version.
• TWEAK: Show AJAX table action response in popup modal
• TWEAK: Make the plugin more PCP compliant
• TWEAK: Add a notice for PHP 5.6 end of support.
• TWEAK: Change url from twitter.com to x.com
• TWEAK: Made changes to the advert links in the thank you dashboard notice.

5.4.1 – 21/May/2025

• FIX: Call to undefined function AIOWPS\Firewall\sanitize_text_field() fatal error solved.
• FIX: Resolved an issue where some information in the debugging report email was inconsistent with the information shown at Dashboard > Debugging
• FIX: Fixed a “call to undefined function wp_strip_tags” error in wp-security-user-login.php
• FIX: Resolved an issue where raw HTML was displaying in the info box under User Security > User Accounts > User Display Name
• FIX: Renamed the login page when it was exposed via auth_redirect by other plugins (e.g., Gravity Forms preview)
• FIX: Fixed an issue where the password reset functionality did not work with the renamed login page feature
• FIX: Resolved missing translations on the login page after enabling the “Rename login page” feature
• FIX: Updated the custom login page layout to match the new default WordPress login page design
• FIX: Fixed the redirection issue occurring after plugin reactivation when the cookie brute force options are saved in the database
• FIX: Fixed the undefined variable $error in wp-security-user-security-commands.php
• FIX: Fixed the login lockout request issue
• FIX: Bulk «Delete selected» action in the Audit Log list was not working
• FIX: Corrected AIOWSPEC prefixes to AIOWPSEC
• FIX: The 5G Firewall switch is behaving inversely, enabling it removes .htaccess rules, while disabling adds them.
• FIX: Fixed the HTML code shown incorrectly on the .htaccess tab
• TWEAK: Updated links to point to our new website

5.4.0 – 27/Mar/2025

• FIX: Replaced firewall URI parsers with non-WordPress methods
• FIX: Resolved PHP 5.6 compatibility issue caused by the ?? operator in 5.3.10

5.3.10 – 26/Mar/2025

• FEATURE: Added commenting capability to IP whitelists
• FEATURE: Added diagnostics reporting
• FEATURE: Added a whitelist and user role-based access limit to the REST API firewall
• FIX: «Undefined index: path» error when front-end HTTP Authentication is enabled.
• FIX: Resolved dashboard translation issue where text lacked whitespace and was not properly translated
• TWEAK: Remove uses of unserialize without restriction of allowed_classes
• TWEAK: Refactored IP commands class to use response helper
• TWEAK: Removed WP REST API tab
• TWEAK: Switched «Critical Feature Status» toggle buttons on the dashboard to a status light system
• TWEAK: Updated the security strength meter on the dashboard
• TWEAK: Improved the dashboard widget to display a chart showing the number of logins over the last 7 days
• TWEAK: Enhanced the maintenance mode switch on the dashboard for consistency with the rest of the plugin
• TWEAK: Converted Brute Force menu actions to use AJAX
• TWEAK: Updated seasonal notices

5.3.8 – 16/Dec/2024

• Corrección: Actualizado los avisos del plugin para corregir errores fatales relacionados con la traducción.

5.3.7 – 5/Dec/2024

• Retoque: Cambiar el código de respuesta para solicitudes REST no autorizadas bloqueadas a 403.
• Retoque: Se ha eliminado temporalmente el acceso del cortafuegos

5.3.6 – 3/Dec/2024

• Corrección: Resuelto un problema con la clase AIOS_Firewall_Resource

5.3.5 – 24/Nov/2024

• Corrección: Las reglas .htaccess personalizadas ahora se escapan correctamente y se eliminan las barras invertidas.
• Corrección: Los ajustes de importación fallidos cuando los mensajes de bloqueo de visitantes tenían alineación de texto u otro formato aplicado
• Corrección: El filtro del registro de auditoría para el tipo de evento ahora funciona correctamente, incluso cuando el tipo de evento se traduce a idiomas distintos del inglés
• Corrección: Se ha resuelto el problema del desbordamiento de texto en el cuadro azul en la página Ajustes > Información de la versión de WP
• Corrección: Algunas claves meta de usuario no se eliminaban después de desinstalar el plugin
• Corrección: Los subsitios ya no detectan incorrectamente la característica prefijo de la base de datos como activo
• Corrección: Errores fatales prevenidos por falta de recursos del cortafuegos, reemplazándolos con entradas de registro de depuración
• Corrección: Error de base de datos de WordPress: Las columnas BLOB, TEXT, GEOMETRY o JSON no pueden tener un valor por defecto establecido
• Corrección: La función load_plugin_textdomain se llama durante la acción init y las traducciones se aplican después
• Corrección: La página de acceso renombrada ahora utiliza las traducciones de WordPress
• Retoque: Añadido un filtro para las plantillas de reglas de cortafuegos de PHP
• Retoque: Actualizado el campo de código de país para que los registros de auditoría se basen en la dirección IP (Premium)
• Retoque: Se ha mejorado el texto en la pestaña de «detección 404»
• Retoque: Se ha movido la lista blanca a la pestaña de lista negra y se ha renombrado a «Listas de bloqueo y de permisos»
• Retoque: Se ha movido la característica API REST de WP a la pestaña de reglas de PHP
• Retoque: Se han reprogramado varias clases de comandos para usar el nuevo método auxiliar de respuesta AJAX: Herramientas, exploración de archivos, archivos, ajustes y clases de comandos de registro
• Retoque: Actualizada la interfaz de usuario para las reglas de .htaccess, los ajustes de Captcha y las pestañas de protección de archivos.
• Retoque: Añadida una nota en la pestaña Ajustes > borrar del plugin
• Retoque: Las primeras llamadas a get_plugin_data() ya no requieren traducciones
• Retoque: Se ha reprogramado la clase de comando del cortafuegos para utilizar el método auxiliar de respuesta
• Retoque: Añadida una constante AIOS_DISABLE_HTTP_AUTHENTICATION. Define esto en tu «wp-config.php» para desactivar la identificación HTTP

5.3.4 – 21/Oct/2024

• Característica: Añadida una característica de identificación HTTP que permite proteger el sitio con un nombre de usuario/contraseña de acceso.
• Corrección: Añadido un nuevo método para restablecer las reglas del cortafuegos en los ajustes «general»
• Corrección: Se ha resuelto el problema con el caché de las entradas que causaba un problema con la prevención de spam en los comentarios
• Retoque: Añadida una clase auxiliar para solicitudes API
• Retoque: Se han eliminado los espacios en blanco al final de las oraciones

5.3.3 – 16/Sep/2024

• Característica: Añadida la opción captcha para la página de pago del invitado clásico de WooCommerce.
• Corrección: Corregido los problemas de diseño adaptable con el logotipo de aviso del escritorio en dispositivos móviles.
• Corrección: El widget de captcha de Turnstile se muestra varias veces
• Corrección: Resuelto el problema de memoria para leer archivos de registro de sistemas de servidor más grandes
• Corrección: Eliminada las opciones .htaccess del menú «Ajustes» en Nginx, IIS y servidores web no compatibles
• Corrección: Se ha resuelto el problema de la ventana emergente de UX y se ha sanado la lista de permitidos del cortafuegos
• Corrección: Se ha resuelto un problema en el que las acciones de la tabla en lote aún se ejecutaban incluso si se cancelaba el cuadro de diálogo de confirmación.
• Corrección: Añadida una verificación nula para evitar advertencias de PHP en las reglas del cortafuegos
• Retoque: Ajaxificado las acciones en el menú de ajustes, seguridad del sistema de archivos, prevención de spam y seguridad del usuario
• Retoque: Añadido compatibilidad con Ajax para enumerar tablas y el registro de auditoría
• Retoque: Añadido el campo CAPTCHA a los formularios de registro y de olvido de contraseña de MemberPress
• Retoque: Pestañas .htaccess excluidas de los ajustes si el servidor no es compatible
• Retoque: Actualizada la interfaz de usuario de las reglas del cortafuegos y la descripción del explorador de malware.
• Retoque: Retocado el método de copia de seguridad htaccess para generar el nombre de archivo aleatorio
• Retoque: Eliminado «evitar acceso a archivos WP por defecto» de .htaccess y se ha añadido «license.txt» a la lista de borrar.

5.3.2 – 06/Aug/2024

• Corrección: Fallo que permitía a los administradores de subsitios borrar los registros de auditoría de otros subsitios
• Corrección: Desactivada la lista negra en subsitios porque el cortafuegos basado en PHP actualmente se aplica a todo el multisitio
• Corrección: Un problema con la obtención de los rangos de IP del bot falso de Google
• Retoque: Añadido protecciones adicionales antes de modificar el archivo «.htaccess»
• Retoque: Las acciones en el menú de herramientas, cortafuegos y explorador ahora se procesan mediante AJAX
• Retoque: Se eliminaron los espacios en blanco iniciales y finales de las entradas en la pestaña de búsqueda de WHOIS
• Retoque: Añadida una ventana emergente de confirmación cuando los usuarios vacían los registros en la tabla registros de depuración
• Retoque: Añadido compatibilidad con captcha para el plugin «MemberPress»
• Retoque: Se ha mejorado la experiencia de usuario de las opciones de WP Rest API
• Retoque: Mejoras en el código interno para mejorar la capacidad de mantenimiento
• Retoque: Actualizado el gestor de característica para mejorar el rendimiento.
• Retoque: Corregido el problema de las tablas en blanco en la vista móvil

5.3.1 – 26/Jun/2024

• Característica: Añadido CAPTCHA a páginas/entradas protegidas por contraseña
• Corrección: El captcha no se muestra en la página de registro de BuddyPress
• Corrección: Problema de salida en WooCommerce cuando la página de acceso renombrada y las características de lista blanca de acceso están activadas
• Corrección: CAPTCHA faltantes cuando hay varios formularios de acceso y registro de WooCommerce en la misma página
• Corrección: Corregido un problema con las acciones de detección 404
• Corrección: Un problema de interfaz de usuario con la imagen del código QR de 2FA
• Retoque: Añadido el atributo data-cfasync=»false» a la URL del captcha por defecto para permitir la carga en Cloudflare Rocket Loader
• Retoque: Purgar los registros de la tabla de bloqueo de acceso después de 90 días para restringir el tamaño. Añadida la constante AIOS_PURGE_LOGIN_LOCKOUT_RECORDS_AFTER_DAYS para cambiar el valor por defecto.
• Retoque: Actualizado el texto de frecuencia del explorador de malware de diario a semanal
• Retoque: Actualizada la interfaz de usuario del medidor de fortaleza de contraseña para la herramienta de contraseña
• Retoque: Añadir un enlace «Bloquear IP» y «IP en lista negra» a la columna de IP del registro de auditoría.
• Retoque: Mejorar la detección de falsos Googlebot. En caso de que gethostbyaddr falle, el cortafuegos volverá a comprobar los rangos de IP conocidos de Googlebot
• Retoque: Actualizada la cabecera de la columna de la tabla «Direcciones IP bloqueadas permanentemente» para que sea coherente con otras tablas
• Retoque: Prevenir advertencia cuando DISALLOW_FILE_EDIT ya se ha definido
• Retoque: Corrección de instancias de una función de traducción que se utiliza para varias oraciones
• Retoque: Mejorada la UX durante las llamadas AJAX
• Retoque: Eliminado los comentarios de spam de la papelera con descripciones duplicadas

5.3.0 – 01/May/2024

• Característica: Añadida característica de salida forzada por lotes para usuarios conectados
• Corrección: Un problema con la función de salida de la página de mi cuenta de WooCommerce cuando la característica de fuerza bruta basada en cookies está activada
• Corrección: Advertencia de clave de matriz no definida ‘SCRIPT_FILENAME’
• Corrección: La redirección personalizada después de acceder no funciona si la URL contiene el parámetro ‘redirect_to’
• Corrección: Lista de cuentas de administrador que no se muestran en la página de seguridad del usuario
• Corrección: El problema con la prevención de fuerza bruta basada en cookies se resolvió si la característica salt postfix está activada.
• Corrección: Corregido el campo de país que no se mostraba en los registros de eventos 404 (Premium)
• Corrección: Corregido el campo de país que no se mostraba en el registro de IP bloqueado 404 inteligente (Premium)
• Retoque: Corregido el problema de traducción que no se mostraba según el idioma establecido por el usuario administrador en lugar de los ajustes del sitio
• Retoque: Los cambios en la actualización del cortafuegos se aplican sin acceso a la interfaz de administración
• Retoque: Cambiar las etiquetas de los interruptores por una redacción más apropiada
• Retoque: En los resultados del explorador de archivos se muestran los tamaños de los archivos en un formato legible por humanos.
• Retoque: Actualizado el mensaje por defecto para intentos de acceder a wp-admin.
• Retoque: Refactor interno del código de actualización para mejorar la claridad del código.
• Retoque: Transferir la característica ‘Bloquear Googlebots falsos’ al cortafuegos basado en PHP
• Retoque: Eliminar el requisito para que al menos una IP esté activada para la ‘Lista negra’, ‘Lista blanca de acceso’ y ‘Lista blanca de IP de bloqueo de acceso’.
• Retoque: Añadido un mensaje de error cuando un usuario intenta bloquear su propia IP al aprobar el registro.
• Retoque: Añadido método para actualizar la insignia en una llamada AJAX
• Retoque: Refactor interno de la clase ‘AIOWPSecurity_Utility_File’ para mejorar la claridad del código.
• Retoque: Actualización de contenido del aviso estacional para 2024

5.2.9 – 06/Mar/2024

• Corrección: Eliminar la llamada a ‘update_event_table_column_to_timestamp’ en la rutina de actualización
• Corrección: Eliminar la llamada a ‘wp_timezone()’ que solo está disponible en WP 5.3+

5.2.8 – 05/Mar/2024

• Corrección: La comprobación de usuario que afecta al plugin «Duo Two-Factor Authentication»
• Corrección: La rutina de actualización de la base de datos ahora se ejecuta sin necesidad de visitar la interfaz de administración o cada sitio individual en un multisitio
• Corrección: Algunos ajustes en el menú del cortafuegos no se restablecen después de desactivar y reactivar el plugin.
• Retoque: El registro de auditoría y la columna de fecha y hora del archivo de exportación CSV de eventos 404 ahora están en un formato legible por humanos, no en una marca de tiempo Unix.
• Retoque: El campo de fecha y hora existente de la tabla de registro de depuración convertido a marca de tiempo para que sea independiente de la zona horaria
• Retoque: El campo de fecha y hora existente de la tabla meta global convertido a marca de tiempo para ser independiente de la zona horaria
• Retoque: El campo de fecha y hora existente de la tabla de bloqueo permanente convertido a marca de tiempo para que sea independiente de la zona horaria
• Retoque: Reprogramar las acciones de los elementos de la lista para mejorar aún más la claridad del código
• Retoque: Eliminado el menú de administración «lista negra» como se anunció anteriormente
• Retoque: Eliminado el menú de administración «varios» como se anunció anteriormente
• Retoque: Eliminada varias pestañas del menú de administración como se anunció anteriormente
• Retoque: Almacenar el resultado de la búsqueda de IP para otros tipos de entradas en la tabla de bloqueo de acceso
• Retoque: Actualizar la indicación de revisión del pie de página
• Retoque: Eliminado el límite de tamaño máximo de carga de archivos a 250 MB por el filtro ‘aiowps_max_allowed_upload_config’
• Retoque: Mejorar la detección de spam en comentarios para no interferir con otros formularios

5.2.7 – 06/Feb/2024

• Seguridad: Añadido comprobaciones nonce a varias acciones de la tabla de listas para evitar una vulnerabilidad CSRF. Gracias a dhakal_ananda por revelar este defecto. Esto permitiría a un atacante que persuadiera a un administrador conectado a visitar un enlace especialmente diseñado para realizar acciones en los registros de eventos 404.

5.2.6 – 06/Feb/2024

• Seguridad: Se ha eliminado el uso innecesario del parámetro de consulta «pestaña» en varias páginas del menú de administración para evitar una vulnerabilidad XSS no persistente. Gracias a Matthew Rollings por revelar este defecto. (Esto permitiría que un atacante que lo apunte deliberadamente mientras está conectado como administrador y lo convenza de visitar un enlace que él controla para inyectar scripts no deseados en una sola visita a tu página de administración de AIOS).
• Característica: Añadido un evento de cerrar sesión a los registros de auditoría
• Característica: Añadir la capacidad de borrar el archivo «readme.html» por defecto y el archivo «wp-config-sample.php»
• Corrección: Corregir algunas llamadas de traducción que utilizaban el dominio de texto incorrecto
• Corrección: Aviso de PHP causado por el explorador de archivos no puede leer su archivo de datos
• Corrección: El botón de solicitud de desbloqueo no se mostraba y redirige a 127.0.0.1
• Corrección: Errores de la base de datos para la tabla aiowps_login_lockdown durante la instalación del plugin
• Retoque: Rediseñar la interfaz de usuario 6G
• Retoque: Añadida una opción para establecer el tema de CAPTCHA de Cloudflare Turnstile
• Retoque: Añadido estilo CSS para la columna de detalles del registro de auditoría
• Retoque: Se han corregido los enlaces de estado de las funciones críticas del escritorio y solo se muestran las funciones que se pueden activar en un subsitio de multisitio
• Retoque: Desactivar el plugin ahora elimina la información de acceso almacenada para que en la próxima activación los usuarios no sean forzados a desconectarse
• Retoque: Mostrar cadena json en lugar de nulo si ‘json_decode’ no funciona para los detalles del registro de auditoría
• Retoque: El campo de fecha y hora existente de la tabla de eventos convertido a marca de tiempo para que sea independiente de la zona horaria
• Retoque: Varios retoques para que el código base cumpla con los estándares de codificación
• Retoque: Varios retoques para garantizar que no se pasen varias oraciones a una única función de traducción
• Retoque: Se ha corregido la interfaz de usuario rota para los ajustes del cortafuegos RSS y Atom y se añadió un cuadro de «más información»
• Retoque: Corrección del problema de la identificación única en DOM
• Retoque: Se han unido las pestañas «Nombre de usuario» y «Nombre para mostrar» en los ajustes de «Seguridad del usuario»
• Retoque: Se ha movido la pestaña de «Detección 404» al menú de administración de «Fuerza bruta»
• Retoque: Se ha movido la pestaña de «Edición de archivos PHP» a la pestaña de «Protección de archivos»
• Retoque: Se ha movido la pestaña de «Enumeración de usuarios» a la pestaña «Cuentas de usuario» en el menú de «Seguridad del usuario»
• Retoque: Se ha movido la pestaña de «WP Rest API» al menú de «Cortafuegos»
• Retoque: Se ha movido la pestaña de «Protección de copiado» y «Marcos» al menú de «Seguridad de archivos»
• Retoque: Se ha movido la pestaña de «Salt» al menú de «Seguridad del usuario»
• Retoque: Se ha movido la pestaña de «Gestor de lista negra» al menú de «Cortafuegos».
• Retoque: Los restablecimientos de la contraseña, los usuarios eliminados y borrados ahora se registran en el registro de auditoría
• Retoque: Evita que la IP 404 se bloquee si hay un bloqueo actual en esa IP
• Retoque: Unifica la conversión de fecha y hora con compatibilidad con la zona horaria de los usuarios
• Retoque: Se ha modificado la forma en que los datos vacíos en el resultado de la búsqueda de IP se almacenan en la base de datos.
• Retoque: Rehacer la página del menú del cortafuegos para que tenga dos pestañas para las reglas de PHP y .htaccess
• Retoque: Añadida compatibilidad de captcha para Contact Form 7
• Retoque: Añadida una función de guardar ajustes de AJAX y obtener detalles de las características de función de insignia como parte del trabajo en curso para añadir compatibilidad con AJAX a los ajustes del plugin
• Retoque: Mejora en el correo electrónico para restablecer la contraseña añadiendo información de IP
• Retoque: Eliminar la metaetiqueta de la barra de herramientas de la imagen desaparecida
• Retoque: El campo de fecha y hora existente de las tablas de bloqueo de acceso se ha convertido a marca de tiempo para que sea independiente de la zona horaria
• Retoque: Mejoras en el código – utilizando objetos de WP_Error en lugar de arrays

5.2.5 – 25/Oct/2023

• Seguridad: En una instalación multisitio, si se usaba la característica AIOS para cambiar el nombre y ocultar la página de acceso, existía una ruta para que un atacante descubriera la página de acceso oculta, negando así la utilidad de la característica. Gracias a Naveen Muthusamy por revelar este defecto.
• Característica: Bloquear las solicitudes POST que tengan un agente de usuario y un referente en blanco
• Característica: Añadido datos de búsqueda de IP inversa al correo electrónico de aviso de bloqueo de acceso
• Corrección: Evitar un error fatal al configurar el cortafuegos si el servidor ha desactivado la función parse_ini_file
• Corrección: Evitar que el almacén de mensajes del cortafuegos se llene con entradas no usadas
• Corrección: Evitar que se bloquee el tráfico legítimo de Googlebot en sitios donde la función gethostbyaddr falla o está desactivada
• Corrección: Un problema que impedía que las actualizaciones de MainWP se realizaran correctamente
• Corrección: Evitar la enumeración de usuarios a través de la REST API y el protocolo oEmbed
• Corrección: La lista negra del agente de usuario no coincide correctamente con todas las cadenas
• Corrección: La tabla del usuario conectado no muestra la información correcta
• Retoque: Mejorar la detección de spam en comentarios mediante el uso de campos ocultos y cookies
• Retoque: La lista blanca de acceso sugiere direcciones IPv4 e IPv6 para la lista blanca
• Retoque: Las acciones del menú en el menú de administración del escritorio ahora se procesan a través de AJAX
• Retoque: Casillas de verificación convertidas en las páginas del menú de administración a interruptores
• Retoque: Añadir las columnas network_id y site_id a la tabla de registros de depuración para diferenciar los registros entre sitios en multisitio
• Retoque: Se han combinado varios menús de administración de usuarios en un nuevo menú de administración de «Seguridad de usuario»
• Retoque: El nombre del archivo de configuración de exportación ahora refleja la zona horaria local.
• Retoque: Mejorar la UI/UX del explorador de archivos dando paso a futuras mejoras
• Retoque: Rediseñar las insignias del gestor de característica
• Retoque: Eliminada varias pestañas del menú de administración como se anunció anteriormente
• Retoque: Añadir características que dependen de otros plugins al gestor de característica de forma condicional
• Retoque: Añadida una comprobación nula a la función que elimina la metainformación de wp de los scripts y estilos src para evitar una advertencia de obsolescencia de PHP
• Retoque: La fecha y la hora del registro de auditoría ahora se muestran en la zona horaria del sitio
• Retoque: Advertencia de PHP clave de matriz indefinida REQUEST_METHOD en rule-proxy-comment-posting.php
• Retoque: Cuando TranslatePress está activo, cerrar la sesión a través de WooCommerce no debería mostrar una página 404 si el ajuste «renombrar la página de acceso» está activado.

5.2.4 – 16/Aug/2023

• Corrección: Los ajustes del cortafuegos portado se desactivaban en la actualización

5.2.3 – 09/Aug/2023

• Corrección: Error fatal «set_value() en nulo» cuando falta la configuración del cortafuegos
• Corrección: Avisos de PHP cuando se ejecuta bajo cron
• Corrección: Revertir el cambio que causó que la lista blanca de acceso de fuerza bruta mostrara las IPs del servidor y no los usuarios
• Retoque: Añadir un mecanismo de comunicación para que el cortafuegos pueda enviar datos a WordPress
• Retoque: Eliminar las menciones incorrectas del archivo «.htaccess» en las reglas de cortafuegos de PHP

5.2.2 – 04/Aug/2023

• Característica: Una lista de direcciones IP permitidas que eluden las reglas del cortafuegos
• Corrección: Corrección de ‘get_class()’ en un error fatal nulo al actualizar a través de «ManageWP»
• Corrección: No existe tal aviso de archivo o directorio generado por el archivo de configuración del cortafuegos
• Corrección: Solo envía el correo electrónico de actualización si se han activado una o más de las reglas portadas
• CORRECCIÓN: Los bots falsos de Google ahora se bloquean si la dirección IP del servidor del bot no se resuelve con un hostname
• CORREGIDO: Google reCaptcha ahora aparece correctamente en la página de pago de WooCommerce
• CORREGIDO: Impide el acceso automático de WooCommerce si se activa la aprobación de registro manual
• Corrección: Problema de superposición de la interfaz de usuario de la pestaña de actualización premium.
• Corrección: Permitir que el modo de mantenimiento se controle a través de WP-CLI (Premium)
• Corrección: Usar la identificación del sitio correcto para los eventos de éxito de acceso añadidos a la tabla de registro de auditoría en multisitio
• Corrección: Añadido características faltantes a la lista del administrador de funciones
• Corrección: Una advertencia al usar el comando actualizar todo a través de WP-CLI
• Retoque: La dirección IP basada en los ajustes de AIOS ahora se usa en lugar de la variable del servidor ‘REMOTE_ADDR’ para múltiples avisos de códigos 2FA incorrectos
• Retoque: Añadido el filtro ‘aios_audit_log_record_event’ para permitir que los eventos no se registren
• Retoque: Mejorar la estructura del código del administrador de elementos de características para dar paso a futuras mejoras
• Retoque: La lista blanca de acceso sugiere direcciones IPv4 e IPv6 para la lista blanca.
• Retoque: Se ha movido la pestaña de «Reglas personalizadas» de la sección de «Cortafuegos» a su propia pestaña en la sección de «Herramientas»
• Retoque: Se ha movido la pestaña de «Evitar hotlinking» a la pestaña de «Protección de archivos» en el menú de «Seguridad del sistema de archivos»
• Retoque: Se ha movido todos los ajustes de CAPTCHA a la pestaña de «Ajustes de CAPTCHA» en el menú de «Fuerza bruta»
• Retoque: Se ha movido la pestaña de «Herramienta de contraseña» al menú de administración de «Herramientas»
• Retoque: Se ha movido la pestaña de «Bloqueo de visitantes» al menú de administración de «Herramientas»
• Retoque: Se ha movido la pestaña de «Señuelo de registro de usuario» al menú de administración de «Fuerza bruta»
• Retoque: Eliminar la «tabla de actividad de la cuenta» ya que estas entradas también se registran en el registro de auditoría
• Retoque: Eliminada la pestaña de «Registros de acceso fallidos» como se anunció anteriormente, estos ahora se registran en el registro de auditoría
• Retoque: Mejorar el rendimiento del código de la tabla de listas
• Retoque: Eliminado el uso de $_GET, $_POST, $_REQUEST de todos los archivos de plantilla para dar paso a mejoras futuras.

5.2.1 – 12/Jul/2023

• Corrección: Incluir archivo de clase auxiliar del cargador
• Retoque: Cargar condicionalmente el JavaScript del bloque TFA

5.2.0 – 10/Jul/2023

• Seguridad: Eliminar los datos de identificación de pila de la traza antes de guardarlos en la base de datos. Este defecto significaba que un administrador del sitio tenía el potencial, entre las versiones 5.1.9 y 5.2.0 (que elimina los datos existentes), de saber cuáles son las contraseñas de los usuarios del sitio. Esta información tiene un valor limitado (un administrador ya puede restablecer la contraseña de cualquier persona), excepto en la medida en que los usuarios puedan reutilizar las contraseñas en otros sitios. En ese escenario de «administrador hostil», tu sitio tiene otros problemas (ya que el administrador hostil tiene una gran cantidad de formas equivalentes de causar daño a los usuarios, especialmente si no está en varios sitios donde un administrador del sitio no es potencialmente un superadministrador y puede no serlo o capaz de instalar o configurar los plugins). Este registro de cambios se amplió en respuesta a informes incorrectos que sugerían un problema más amplio (por ejemplo, no mencionaron que el atacante ya debe estar conectado como administrador para leer el registro, o que la actualización a 5.2.0 borra los datos afectados).
• Seguridad: Establecer restricciones más estrictas sobre lo que los administradores de subsitios pueden hacer en un multisitio.
• Corrección: Después de editar un archivo, restablecer los permisos a los permisos originales
• Corrección: Corregidos algunos enlaces rotos en el plugin
• Corrección: Error fatal: No se puede declarar la clase
• Corrección: Normalizar todos los argumentos en pila de la traza
• Corrección: Añadido registros de acceso incorrectos a la tabla de actividad de acceso en varios sitios cuando el usuario accede en un subsitio al que no pertenece.
• Corrección: Resuelto demasiados errores de redireccionamiento para usuarios de salida forzada
• Retoque: Para Cronjob, WP CLI y la constante definida ‘AIOS_DISABLE_EXTERNAL_IP_ADDR’ no usan servicios externos para las direcciones IP de los usuarios. Advertencia de error en la solicitud silenciada de «api.ipify.org».
• Retoque: Restablecer la traducción de la página de contraseña y generar el botón de contraseña añadido para la página de acceso renombrada
• Retoque: Añadido el filtro ‘aios_audit_log_event_user_ip’ para permitir el filtrado de direcciones IP en el registro de auditoría
• Retoque: Añadido el gancho de acción ‘aios_reset_all_settings’ para restablecer todos los ajustes.
• Retoque: Página de acceso renombrada para tener un menú desplegable de cambio de idioma y otros retoques según WordPress 6.2

5.1.9 – 09/May/2023

• Característica: Direcciones IP – Funcionalidad del gestor de la lista negra basada en PHP en lugar de reglas «.htaccess». Añadida la constante ‘AIOS_DISABLE_BLACKLIST_IP_MANAGER’, defínela en tu archivo «wp-config.php» para desactivar el gestor de la lista negra de IP.
• Característica: Detectar a los bots de spam que publican comentarios y descartarlo por completo o marcarlo como spam.
• Característica: Cifrar las claves secretas de TFA que se almacenan en la base de datos (protección adicional en caso de que tu base de datos sean hackeados)
• Característica: Añadida una acción en lote «Borrar todo» y «Borrar filtrado» a la tabla de registro de auditoría
• Corrección: Evita que Cloudflare Turnstile se añada a los formularios de acceso cuando no se hayan establecido credenciales
• Corrección: Cambiar el lugar donde se carga el controlador de eventos del registro de auditoría para evitar un error al borrar el plugin
• Corrección: Corrección de las comprobaciones de las clases de contexto para ser compatibles con cli
• Retoque: El superadministrador de multisitio puede acceder al escritorio sin volver a acceder si el sufijo de salt está activado
• Retoque: El archivo Captcha JavaScript se carga innecesariamente en algunas páginas del sitio si está activado el captcha de comentario o el captcha de acceso personalizado
• Retoque: Se han cambiado algunos controles de nonce para usar nuestra función interna para verificar la capacidad del usuario y los nonces
• Retoque: Los registros de usuarios y los accesos correctos ahora se registran en el registro de auditoría
• Retoque: Añadido una clase de comandos y se reprogramaron los controladores Ajax.
• Retoque: Verificación de captcha para evitar conflictos con algunos plugins que recuerdan el código de identificación de WordPress
• Retoque: Mejora de la interfaz de usuario de la característica de prefijo de la tabla de la base de datos.
• Retoque: Las actualizaciones principales de WordPress ahora se registran en el registro de auditoría
• Retoque: Las actualizaciones de traducción ahora se registran en el registro de auditoría
• Retoque: Añadir un evento de cambio de entidad al registro de auditoría cuando la información del actualizador no está disponible
• Retoque: Correos electrónicos automatizados enviados por AIOS que no se pudo enviar debido a la dirección del remitente

5.1.8 – 11/April/2023

• Corrección: Detección 404 – las acciones de bloqueo temporal, borrar y lista negra de registros individuales dejaron de funcionar en 5.1.7
• Corrección: Error fatal no detectado en ‘set_value’ nulo
• Corrección: Eliminar las acciones del controlador de eventos del registro de auditoría al borrar el plugin para evitar un error
• Corrección: Eliminar algunos controladores de eventos de registro de auditoría al borrar el plugin para evitar un error
• Corrección: Obtén la ruta «wp-config» correcta cuando se instala en un subdirectorio
• Retoque: Ignorada la excepción de tiempo de espera agotado ‘AIOS_Helper::request_remote’.
• Retoque: El nombre de la clase ‘Requests_IPv6’ está obsoleto en WordPress 6.2.
• Retoque: Los intentos de acceso fallidos ahora se registran en el registro de auditoría

5.1.7 – 24/March/2023

• Corrección: Evitar errores fatales al llamar a ‘get_server_detected_user_ip_address()’ cuando el cortafuegos no está configurado.
• Retoque: Aclarar el título del aviso del escritorio y cambiar la imagen.

5.1.6 – 21/March/2023

• Característica: Añadido un registro de auditoría.
• Característica: Añadir la opción de sufijo de salt para mejorar la seguridad de tu sitio.
• Característica: Biblioteca compartida que se puede usar desde el cortafuegos.
• Corrección: Cambia el nombre del slug de acceso usando como ‘wp-login-RANDOM_SUFFIX’ que muestra el problema de la página 404 resuelto y la limpieza del código para la activación en multisitio.
• Corrección: Conflicto de tema secundario de Divi – solucionada la llamada a la función indefinida ‘et_builder_get_fonts()’ en «functions.php» en la línea 208.
• Corrección: La pestaña de ajustes de captcha en la instalación de sitios múltiples para subsitios que no se muestran.
• Corrección: Error de evento de reprogramación de cron para el gancho ‘aios_15_minutes_cron_event’ si el plugin está desactivado o desinstalado.
• Retoque: Detener la enumeración de usuarios ahora muestra el código de error prohibido 403 en lugar del error del servidor 500.
• Retoque: PHP 8.1 advierte que rawurldecode pasa nulo en lugar de tipo de cadena está en obsoleto para la regla de cadena de solicitud de bloque 6g.
• Retoque: Código de limpieza para desactivar la constante de fuerza bruta basada en cookies cuando la regla se movió al cortafuegos.
• Retoque: Interfaz de usuario de la página de vigilancia de IP de comentario spam.
• Retoque: Actualizados los avisos de temporada.
• Retoque: Mejora de la estructura del código interno para dar paso a futuras mejoras
• Retoque: Eliminar la mención de que las reglas de cortafuegos 6g están basadas en «.htaccess», ya que ahora están basadas en php.
• Retoque: Añadida una nueva función interna para verificar la capacidad del usuario y los nonces.
• Retoque: Mejorar el código de configuración con guardado integrado.
• Retoque: Permitir que el registro de auditoría se filtre y se exporte a CSV.

5.1.5 – 13/February/2023

• Característica: Añadida compatibilidad con Cloudflare Turnstile CAPTCHA
• Corrección: Se resolvieron los avisos sobre la clave de array no definida ‘HTTP_USER_AGENT’.
• Corrección: Las nuevas características v5 no se guardan en el archivo de exportación y no se restablecen correctamente después de la desinstalación.
• Corrección: El cambio de permiso de archivo se aplica al último registro no seleccionado. Además, ya no cambia los permisos cuando ya son más estrictos que los sugeridos.
• Corrección: Error fatal ‘Llamar a una función miembro contains_contents() en nulo’
• Retoque: Eliminada la información incorrecta acerca de la implementación de la lista blanca de acceso a través de «htaccess».
• Retoque: Tareas de ajustes de rediseñar para los comandos premium de WP CLI de AIOS.
• Retoque: Mejorado el problema de rendimiento de la carga de la página debido a la comprobación activa del plugin premium tfa incompatible.
• Retoque:: Asegúrate de que el dominio de traducción está registrado antes de intentar usarlo
• Retoque: Reemplazar el clic con presionar en el texto porque los usuarios podrían estar en dispositivos móviles, etc. y no usar un ratón.
• Retoque: Las páginas de administración de registro, comentario, Buddypress y bbPress para mostrar el aviso activado de los ajustes de captcha.
• Retoque: Mejorar la UI/UX para la pestaña de «detección 404»
• Retoque: Mejora de la estructura del código interno para dar paso a futuras mejoras
• Retoque: Advertencia obsoleta de PHP 8.2 para propiedades dinámicas
• Retoque: Eliminar la capacidad no deseada para atravesar directorios y la falta de escape al generar archivos con la característica «ver registro del sistema». Esta función solo está disponible para un administrador (quien, por supuesto, ya puede hacer cualquier cosa en el sitio, por lo que esto no tiene implicaciones de seguridad) y les permite ver (las últimas 50 líneas) de cualquier archivo o enumerar cualquier directorio en el sistema donde el servidor web tiene acceso de lectura.
• Corrección: Error fatal ‘Llamar a una función miembro contains_contents() en nulo’
• Retoque: El cortafuegos obtiene constantes de una sola fuente.

5.1.4 – 14/December/2022

• Característica: Añadir la opción para desactivar los feeds RSS y ATOM.
• Corrección: El gestor de la lista negra de direcciones IP no funcionaba.

5.1.3 – 09/December/2022

• Seguridad: Ya no se guardan los archivos de importación de ajustes en una carpeta de acceso público donde los motores de búsqueda pueden indexarlos potencialmente si el administrador no importa realmente los ajustes (lo que borra el archivo de importación)
• Característica: Implementar un sistema de eventos de cortafuegos
• Corrección: Protege los subsitios cuando el cortafuegos se carga a través de ‘plugins_hook’
• Retoque: Mejorar la experiencia de usuario para la subida de archivos de importación
• TWEAK: Add a default …