Descripción
EL PLUGIN DE SEGURIDAD Y CORTAFUEGOS DE WORDPRESS MEJOR VALORADO
All-in-One Security (AIOS) is a WordPress security plugin from the same, trusted team that brought you UpdraftPlus.
It’s called ‘All-In-One’ because it’s packed full of ways to keep your WordPress website(s) safe and secure.
It includes:
Login security features keep bots at bay. Lock out users based on a configurable number of login attempts, get two-factor authentication and more.
File and database security. Get notified of file changes that occur outside of normal operations. Block access to key files and scan files and folders to spot insecure permissions.
Firewall. Get PHP, .htaccess and 6G firewall rules courtesy of Perishable Press. Spot and block fake Google Bots and more!
Spam prevention. Prevent annoying spam comments and reduce unnecessary load on the server. Automatically and permanently block IP addresses that exceed a set number of spam comments.
Audit log. View events happening on your WordPress website. Find out if a plugin or theme has been added, removed, updated and more.
WHY ALL-IN-ONE SECURITY?
AIOS has a near-perfect 4.7 / 5-star user rating across more than 1 million installs.
Great for beginners and experts alike. AIOS guides you logically and clearly through each of its features which are all clearly explained. Security features are marked as basic, intermediate and advanced. Each step increases your security score. Turn them on and watch your protection grow!
We have a large support team of software developers. That means we have the availability and the skillset to help you with the trickiest of queries.
We comb the WordPress plugin directory for support tickets daily – most queries are responded to within 24 hours.
Excellent plugin with numerous well-thought-out options for making a website more secure. I have been using it for years and am very happy with it. I recently had a small problem setting up a website and – even as a non-premium user – I received support very quickly. Highly recommended!
For even more ways to stay safe and secure, upgrade to AIOS Premium – it packs a punch security-wise, whilst being extremely cost-competitive.
SEGURIDAD DEL ACCESO
Two-factor authentication (TFA) – Require TFA for specific user roles. Supports Google Authenticator, Microsoft Authenticator, Authy, and many more.
Detect and manage ‘admin’ usernames – Identify default ‘admin’ usernames and guide users to change them to protect against brute force attacks.
Identify and correct identical login and display names – Detect cases where the display name matches the username and provide guidance to improve login security.
Prevent user enumeration – Block unauthorised access to URLs that can reveal sensitive information such as usernames or other details.
Control login attempts – Prevent brute force attacks by limiting the number of failed login attempts. Choose how many login attempts are allowed, set lockout durations, and more.
Force user logout – Automatically log out users after a specified period of time. Unattended sessions are closed, reducing the risk of unauthorised access.
Manually approve new registrations – Review and approve new user registrations to prevent spam and fake sign-ups.
Enhance WordPress salt security – Adds 64 extra characters to WordPress salts, rotating them weekly. Makes cracking passwords virtually impossible, even if your database is stolen.
Soporte del plugin
- If you have a question or problem with the All-In-One Security plugin, post it on the support forum and we will help you. Premium customers can log queries directly with the team via https://teamupdraft.com/all-in-one-security/
Monitor and manage active sessions – If a user is logged in who shouldn’t be, log them out or add them to a blacklist.
SPAM PREVENTION
Block spam coming from bots – Reduce the load on your server and improve the user experience by automatically blocking spam comments from bots.
Monitor spam IP addresses – Monitor the IP addresses of people or bots leaving spam comments. Choose which ones to block based on a configurable number of comments left.
FILE / DATABASE Security
Scan and fix file permissions – Scan for insecure file permissions. Click once to fix issues and safeguard critical files and folders.
Disable PHP file editing – Disable editing of PHP files (such as plugins and themes) via the dashboard. It’s often the first tool that attackers use as it allows for code execution.
Protect sensitive files – Prevent access to files like readme.html that might reveal information about your WordPress installation.
File change scanner – Get notified of any file changes which occur on your system. Exclude files and folders which change as part of normal operations.
Prevent image hotlinking – Prevent other websites from displaying your images via hotlinking and protect server bandwidth.
Secure database backups – Perform a database backup via UpdraftPlus from AIOS. Change the default ‘wp_’ prefix to hide your WordPress database from hackers.
FIREWALL
Get .htaccess firewall rules – Deny access to the .htaccess and wp-config.php files. Disable the server signature and limit file uploads to a configurable size.**
Block access to the debug.log file and prevent Apache servers from listing the contents of a directory when an index.php file is not present
Get PHP firewall rules – PHP firewall rules prevent malicious users from exploiting well-known vulnerabilities in XML-RPC. Safeguard your content by disabling RSS and Atom feeds and avoid cross-site scripting (XSS) attacks.
Block fake Google bots and POST requests made by bots – Block fake Google bots and stop bots from making POST requests by blocking IP addresses where the user-agent and referrer fields are blank.
Utilise 6G firewall rules – Employ flexible blacklist rules to reduce the number of malicious URL requests that hit your website (courtesy of Perishable Press).
And more – Blacklist (and whitelist) IP ranges and user agents and block unauthorized access to data by disabling REST API access for non-logged-in requests.
TWO-FACTOR AUTHENTICATION ENHANCED [Premium]
Two-factor authentication is included in the free plugin. Upgrade to Premium if you’d like to:
Require TFA after a set time period – Mandate TFA for all admins or other roles after their accounts reach a specified age.
Control how often TFA is required – Set TFA to be required after a certain number of days on trusted devices instead of every login.
Customise design layout – Adjust the TFA design to match your website’s existing layout and branding.
Emergency codes – Generate one-time use emergency codes to regain access if you lose your TFA device.
WordPress Multisite Compatible – Ensure compatibility with WordPress multisite networks and their sub-sites for consistent TFA application.
Integration with login forms – Integrate TFA with various login forms, including WooCommerce, Affiliates-WP, Elementor Pro, bbPress, and ‘Theme My Login’ without additional coding.
SMART 404 BLOCKING [Premium]
Block IPs based on 404 errors – Detect hackers probing your URLs via script and bots by the 404 errors they leave behind.
Smart 404 Configuration – Set a figure for the maximum number of 404 events allowed before an IP address is blocked. Choose a time period within which the 404 events must occur (e.g., 10 errors within 10 minutes).
Smart 404 block by URL string – Instantly block an IP address if a 404 event includes a specific URL string.
Smart 404 whitelisting – Prevent particular IP addresses from being permanently blocked due to 404 events.
COUNTRY BLOCKING [Premium]
Block traffic to the entire site or to specific pages or posts – Useful if you’re an e-commerce site and you want to block sales to some countries for shipping or tax reasons.
Whitelist some users from blocked countries – Whitelist IP addresses or IP ranges even if they are part of a blocked country.
MALWARE SCANNING [Premium]
Automatic malware scanning – Detect and protect against the latest malware, trojans, and spyware.
Alerts you to blacklisting by search engines – Monitor your site for blacklisting by search engines due to malicious code.
Response time monitoring – Keep track of your website’s response time to identify and address any performance issues.
Uptime monitoring – Checks your website’s uptime every 5 minutes and alerts you immediately if your site or server goes down.
Advice and malware removal – Need hands-on advice and support for malware removal? Our team of genuine cybersecurity experts is here to help.
Notification if something’s amiss – Receive notifications about any issues with your site so you can address problems before they escalate.
Soporte del plugin
Si tienes alguna pregunta o problema con el plugin All-In-One Security, publicarlo en el foro de soporte y te ayudaremos. Los clientes Premium pueden registrar consultas directamente con el equipo a través de https://teamupdraft.com/all-in-one-security
Desarrolladores
- Si es un desarrollador y necesita algunos ganchos o filtros adicionales para este complemento, háganoslo saber.
Traducciones
- El plugin All In One Security se puede traducir a cualquier idioma.
Traducciones actualmente disponibles:
- Inglés
- Alemán
- Español
- Francés
- Húngaro
- Italiano
- Sueco
- Ruso
- Chino
- Portugués (Brasil)
- persa
Política de privacidad
This plugin may collect IP addresses for security reasons such as mitigating brute force login threats and malicious activity.
The collected information is stored on your server. No information is transmitted to third parties or remote server locations.
Uso
Ir al menú de ajustes después de activar el plugin y sigue las instrucciones.
Uso
Ir al menú de ajustes después de activar el plugin y sigue las instrucciones.
Bloques
Este plugin proporciona 1 bloque.
- Twofactor User Settings
Instalación
Para empezar a hacer su sitio de WordPress más seguro:
- Cargue el archivo ‘all-in-one-wp-security.zip’ desde el Plugins->Añadir una nueva página en el panel de administración de WordPress.
- Activa el plugin a través del menú «Plugins» en WordPress
- Ir al menú de ajustes en ‘AIOS’ y comenzar a activar las características de seguridad del plugin.
FAQ
-
¿Cómo se apoya All-In-One Security (AIOS)?
-
Los clientes de AIOS ‘Gratis’ pueden obtener soporte desde esta misma página web. Selecciona ‘Soporte’ en las pestañas de arriba y publica un debate. Nuestro objetivo es responder a todas las solicitudes de soporte dentro de las 24 horas durante la semana laboral.
-
¿Es compatible All-In-One Security con otros plugins?
-
Sí. AIOS funciona sin problemas con los plugins de WordPress más populares.
-
¿Se actualiza regularmente All-in-One-Security?
-
Sí. La seguridad de WordPress es algo que evoluciona con el tiempo. Actualizamos AIOS con nuevas características de seguridad (y correcciones si es necesario) periódicamente para que puedas estar seguro de que tu sitio seguirá beneficiándose de las nuevas técnicas de protección de seguridad durante el tiempo que las necesites.
-
¿All-In-One Security hará que mi web sea más lento?
-
No.
-
La decisión es tuya. AIOS ‘gratuito’ incorpora un cortafuegos de aplicaciones web, herramientas integrales de seguridad de acceso que incluyen identificación de dos factores y todas las últimas prácticas y técnicas de seguridad recomendadas de WordPress.
Pero si tu sitio de WordPress es una web de negocios, si muestra lo que haces o quién eres, generalmente recomendamos AIOS Premium. Los precios comienzan desde tan solo $70 por año. -
AIOS Premium scans your WordPress website for malware whilst also monitoring your site’s response time and uptime, notifying you of any issues within 24 hours, AIOS Premium customers also benefit from hands-on ticketed support via email (rather than via WP Support forums).
Additional security tools include Country Blocking, Smart 404 Error Blocking and Advanced Two Factor Authentication.
More information is available from our All-In-One Security website
More information is available from our All-In-One Security website -
En la tienda web, compra tu suscripción preferida. Después de completar la compra, se te enviará por correo electrónico un enlace para descargar el plugin. También puedes acceder al enlace a través de tu página «Mi cuenta».
Después de descargar el archivo zip, instala y activa el plugin a través de Administración de WP->Plugins->Añadir nuevo->Subir plugin.
La versión premim amplía la versión gratuita. Por lo tanto, debes mantener la versión gratuita instalada y activa. También se le pedirá que introduzcas tu nombre de usuario y contraseña de AIOS para conectar tu sitio a las licencias. Esto permitirá que el plugin reciba actualizaciones. -
Sí, debes tener instalada y activada la versión gratuita del plugin antes de instalar Premium. El plugin Premium es una extensión que requiere que la versión gratuita esté presente.
-
¿Funciona All-In-One Security con instalaciones de red de multisitio?
-
Sí, AIOS Premium es compatible con los multisitios de WordPress. Para redes multisitio, la protección se aplicará a toda la red, y el escritorio y las opciones estarán disponibles en el sitio principal del multisitio de WordPress.
-
¿Puede un plugin de seguridad de WordPress detener todos los ataques en mi sitio?
-
No existe una garantía del 100% de que un plugin de seguridad pueda proteger contra todos los ataques, ya que siempre existe la posibilidad de vulnerabilidades desconocidas de WordPress u otros factores inesperados, y los atacantes siempre buscan desarrollar nuevas formas de evitar las protecciones. Sin embargo, All-In-One Security brinda una buena protección contra los métodos de ataque conocidos y está en continuo desarrollo para vigilar y mejorar las protecciones.
-
¿Funciona All-In-One Security en todos los servidores y proveedores?
-
AIOS debería ser compatible con la mayoría de los proveedores, a menos que el proveedor haya restringido específicamente el uso de plugins de seguridad. Del mismo modo, es posible que ciertas funciones no funcionen en algunos servidores, especialmente en las plataformas Windows/IIS. Las características que usan el archivo «.htaccess» no se aplicarán en un servidor Windows IIS o un servidor NGINX (pero el desarrollo está en curso para trasladar esas protecciones a todos los servidores).
-
Los sitios de desarrollo y prueba requieren su propia licencia si se necesitan actualizaciones del plugin.
Sin embargo, estos sitios pueden desconectarse de la licencia cuando hayan cumplido su propósito. Puedes desconectar la licencia a través de la página administración de WP->Plugins del sitio, y estará disponible para ser reasignada a un sitio diferente. -
¿Es compatible el plugin All In One Security & Firewall con RGPD y otras leyes de privacidad?
-
Please read more about GDPR compliance here: https://teamupdraft.com/privacy/ .
Please read more about GDPR compliance here: https://www.teamupdraft.com/privacy?utm_source=aios-wp-dir&utm_medium=referral&utm_campaign=plugin-dir&utm_content=gdpr&utm_creative_format=faq.
Reseñas
Colaboradores y desarrolladores
«All-In-One Security (AIOS) – Security and Firewall» es un software de código abierto. Las siguientes personas han colaborado con este plugin.
Colaboradores«All-In-One Security (AIOS) – Security and Firewall» está traducido en 16 idiomas. Gracias a los traductores por sus contribuciones.
Traduce «All-In-One Security (AIOS) – Security and Firewall» a tu idioma.
¿Interesado en el desarrollo?
Revisa el código , echa un vistazo al repositorio SVN o suscríbete al registro de desarrollo por RSS.
Registro de cambios
5.4.2 – 15/Jul/2025
- FEATURE: Ability to enforce checking passwords against the HIBP API when updating user profiles and resetting passwords.
- FEATURE: Add ability to upgrade all unsafe http calls on the site.
- FIX: Disabled application password link doesn’t go back to the correct place.
- FIX: Fatal in the firewall’s message store.
- FIX: Malformed URLs in User accounts tab.
- FIX: Users are logged out on Contact Form 7 submit if salt postfix enabled
- FIX: The ‘Set Password’ page does not load for the user when cookie-based brute-force protection is enabled.
- FIX: Disallow unauthorized REST request is enabled, but the /wp-json/ shows the rest routes and rest api details
- TWEAK: Add AJAX message store helper
- TWEAK: Disable user enumeration error; aios_user_lists_forbidden should return a 403 response code instead of a 500.
- TWEAK: Rename the WP Admin menu item from ‘WP Security’ to ‘AIOS’ and update the icon to current version.
- TWEAK: Show AJAX table action response in popup modal
- TWEAK: Make the plugin more PCP compliant
- TWEAK: Add a notice for PHP 5.6 end of support.
- TWEAK: Change url from twitter.com to x.com
- TWEAK: Made changes to the advert links in the thank you dashboard notice.
5.4.1 – 21/May/2025
- FIX: Call to undefined function AIOWPS\Firewall\sanitize_text_field() fatal error solved.
- FIX: Resolved an issue where some information in the debugging report email was inconsistent with the information shown at Dashboard > Debugging
- FIX: Fixed a “call to undefined function wp_strip_tags” error in wp-security-user-login.php
- FIX: Resolved an issue where raw HTML was displaying in the info box under User Security > User Accounts > User Display Name
- FIX: Renamed the login page when it was exposed via auth_redirect by other plugins (e.g., Gravity Forms preview)
- FIX: Fixed an issue where the password reset functionality did not work with the renamed login page feature
- FIX: Resolved missing translations on the login page after enabling the “Rename login page” feature
- FIX: Updated the custom login page layout to match the new default WordPress login page design
- FIX: Fixed the redirection issue occurring after plugin reactivation when the cookie brute force options are saved in the database
- FIX: Fixed the undefined variable $error in wp-security-user-security-commands.php
- FIX: Fixed the login lockout request issue
- FIX: Bulk «Delete selected» action in the Audit Log list was not working
- FIX: Corrected AIOWSPEC prefixes to AIOWPSEC
- FIX: The 5G Firewall switch is behaving inversely, enabling it removes .htaccess rules, while disabling adds them.
- FIX: Fixed the HTML code shown incorrectly on the .htaccess tab
- TWEAK: Updated links to point to our new website
5.4.0 – 27/Mar/2025
- FIX: Replaced firewall URI parsers with non-WordPress methods
- FIX: Resolved PHP 5.6 compatibility issue caused by the ?? operator in 5.3.10
5.3.10 – 26/Mar/2025
- FEATURE: Added commenting capability to IP whitelists
- FEATURE: Added diagnostics reporting
- FEATURE: Added a whitelist and user role-based access limit to the REST API firewall
- FIX: «Undefined index: path» error when front-end HTTP Authentication is enabled.
- FIX: Resolved dashboard translation issue where text lacked whitespace and was not properly translated
- TWEAK: Remove uses of unserialize without restriction of allowed_classes
- TWEAK: Refactored IP commands class to use response helper
- TWEAK: Removed WP REST API tab
- TWEAK: Switched «Critical Feature Status» toggle buttons on the dashboard to a status light system
- TWEAK: Updated the security strength meter on the dashboard
- TWEAK: Improved the dashboard widget to display a chart showing the number of logins over the last 7 days
- TWEAK: Enhanced the maintenance mode switch on the dashboard for consistency with the rest of the plugin
- TWEAK: Converted Brute Force menu actions to use AJAX
- TWEAK: Updated seasonal notices
5.3.8 – 16/Dec/2024
- Corrección: Actualizado los avisos del plugin para corregir errores fatales relacionados con la traducción.
5.3.7 – 5/Dec/2024
- Retoque: Cambiar el código de respuesta para solicitudes REST no autorizadas bloqueadas a 403.
- Retoque: Se ha eliminado temporalmente el acceso del cortafuegos
5.3.6 – 3/Dec/2024
- Corrección: Resuelto un problema con la clase AIOS_Firewall_Resource
5.3.5 – 24/Nov/2024
- Corrección: Las reglas .htaccess personalizadas ahora se escapan correctamente y se eliminan las barras invertidas.
- Corrección: Los ajustes de importación fallidos cuando los mensajes de bloqueo de visitantes tenían alineación de texto u otro formato aplicado
- Corrección: El filtro del registro de auditoría para el tipo de evento ahora funciona correctamente, incluso cuando el tipo de evento se traduce a idiomas distintos del inglés
- Corrección: Se ha resuelto el problema del desbordamiento de texto en el cuadro azul en la página Ajustes > Información de la versión de WP
- Corrección: Algunas claves meta de usuario no se eliminaban después de desinstalar el plugin
- Corrección: Los subsitios ya no detectan incorrectamente la característica prefijo de la base de datos como activo
- Corrección: Errores fatales prevenidos por falta de recursos del cortafuegos, reemplazándolos con entradas de registro de depuración
- Corrección: Error de base de datos de WordPress: Las columnas BLOB, TEXT, GEOMETRY o JSON no pueden tener un valor por defecto establecido
- Corrección: La función load_plugin_textdomain se llama durante la acción init y las traducciones se aplican después
- Corrección: La página de acceso renombrada ahora utiliza las traducciones de WordPress
- Retoque: Añadido un filtro para las plantillas de reglas de cortafuegos de PHP
- Retoque: Actualizado el campo de código de país para que los registros de auditoría se basen en la dirección IP (Premium)
- Retoque: Se ha mejorado el texto en la pestaña de «detección 404»
- Retoque: Se ha movido la lista blanca a la pestaña de lista negra y se ha renombrado a «Listas de bloqueo y de permisos»
- Retoque: Se ha movido la característica API REST de WP a la pestaña de reglas de PHP
- Retoque: Se han reprogramado varias clases de comandos para usar el nuevo método auxiliar de respuesta AJAX: Herramientas, exploración de archivos, archivos, ajustes y clases de comandos de registro
- Retoque: Actualizada la interfaz de usuario para las reglas de .htaccess, los ajustes de Captcha y las pestañas de protección de archivos.
- Retoque: Añadida una nota en la pestaña Ajustes > borrar del plugin
- Retoque: Las primeras llamadas a get_plugin_data() ya no requieren traducciones
- Retoque: Se ha reprogramado la clase de comando del cortafuegos para utilizar el método auxiliar de respuesta
- Retoque: Añadida una constante AIOS_DISABLE_HTTP_AUTHENTICATION. Define esto en tu «wp-config.php» para desactivar la identificación HTTP
5.3.4 – 21/Oct/2024
- Característica: Añadida una característica de identificación HTTP que permite proteger el sitio con un nombre de usuario/contraseña de acceso.
- Corrección: Añadido un nuevo método para restablecer las reglas del cortafuegos en los ajustes «general»
- Corrección: Se ha resuelto el problema con el caché de las entradas que causaba un problema con la prevención de spam en los comentarios
- Retoque: Añadida una clase auxiliar para solicitudes API
- Retoque: Se han eliminado los espacios en blanco al final de las oraciones
5.3.3 – 16/Sep/2024
- Característica: Añadida la opción captcha para la página de pago del invitado clásico de WooCommerce.
- Corrección: Corregido los problemas de diseño adaptable con el logotipo de aviso del escritorio en dispositivos móviles.
- Corrección: El widget de captcha de Turnstile se muestra varias veces
- Corrección: Resuelto el problema de memoria para leer archivos de registro de sistemas de servidor más grandes
- Corrección: Eliminada las opciones .htaccess del menú «Ajustes» en Nginx, IIS y servidores web no compatibles
- Corrección: Se ha resuelto el problema de la ventana emergente de UX y se ha sanado la lista de permitidos del cortafuegos
- Corrección: Se ha resuelto un problema en el que las acciones de la tabla en lote aún se ejecutaban incluso si se cancelaba el cuadro de diálogo de confirmación.
- Corrección: Añadida una verificación nula para evitar advertencias de PHP en las reglas del cortafuegos
- Retoque: Ajaxificado las acciones en el menú de ajustes, seguridad del sistema de archivos, prevención de spam y seguridad del usuario
- Retoque: Añadido compatibilidad con Ajax para enumerar tablas y el registro de auditoría
- Retoque: Añadido el campo CAPTCHA a los formularios de registro y de olvido de contraseña de MemberPress
- Retoque: Pestañas .htaccess excluidas de los ajustes si el servidor no es compatible
- Retoque: Actualizada la interfaz de usuario de las reglas del cortafuegos y la descripción del explorador de malware.
- Retoque: Retocado el método de copia de seguridad htaccess para generar el nombre de archivo aleatorio
- Retoque: Eliminado «evitar acceso a archivos WP por defecto» de .htaccess y se ha añadido «license.txt» a la lista de borrar.
5.3.2 – 06/Aug/2024
- Corrección: Fallo que permitía a los administradores de subsitios borrar los registros de auditoría de otros subsitios
- Corrección: Desactivada la lista negra en subsitios porque el cortafuegos basado en PHP actualmente se aplica a todo el multisitio
- Corrección: Un problema con la obtención de los rangos de IP del bot falso de Google
- Retoque: Añadido protecciones adicionales antes de modificar el archivo «.htaccess»
- Retoque: Las acciones en el menú de herramientas, cortafuegos y explorador ahora se procesan mediante AJAX
- Retoque: Se eliminaron los espacios en blanco iniciales y finales de las entradas en la pestaña de búsqueda de WHOIS
- Retoque: Añadida una ventana emergente de confirmación cuando los usuarios vacían los registros en la tabla registros de depuración
- Retoque: Añadido compatibilidad con captcha para el plugin «MemberPress»
- Retoque: Se ha mejorado la experiencia de usuario de las opciones de WP Rest API
- Retoque: Mejoras en el código interno para mejorar la capacidad de mantenimiento
- Retoque: Actualizado el gestor de característica para mejorar el rendimiento.
- Retoque: Corregido el problema de las tablas en blanco en la vista móvil
5.3.1 – 26/Jun/2024
- Característica: Añadido CAPTCHA a páginas/entradas protegidas por contraseña
- Corrección: El captcha no se muestra en la página de registro de BuddyPress
- Corrección: Problema de salida en WooCommerce cuando la página de acceso renombrada y las características de lista blanca de acceso están activadas
- Corrección: CAPTCHA faltantes cuando hay varios formularios de acceso y registro de WooCommerce en la misma página
- Corrección: Corregido un problema con las acciones de detección 404
- Corrección: Un problema de interfaz de usuario con la imagen del código QR de 2FA
- Retoque: Añadido el atributo data-cfasync=»false» a la URL del captcha por defecto para permitir la carga en Cloudflare Rocket Loader
- Retoque: Purgar los registros de la tabla de bloqueo de acceso después de 90 días para restringir el tamaño. Añadida la constante AIOS_PURGE_LOGIN_LOCKOUT_RECORDS_AFTER_DAYS para cambiar el valor por defecto.
- Retoque: Actualizado el texto de frecuencia del explorador de malware de diario a semanal
- Retoque: Actualizada la interfaz de usuario del medidor de fortaleza de contraseña para la herramienta de contraseña
- Retoque: Añadir un enlace «Bloquear IP» y «IP en lista negra» a la columna de IP del registro de auditoría.
- Retoque: Mejorar la detección de falsos Googlebot. En caso de que gethostbyaddr falle, el cortafuegos volverá a comprobar los rangos de IP conocidos de Googlebot
- Retoque: Actualizada la cabecera de la columna de la tabla «Direcciones IP bloqueadas permanentemente» para que sea coherente con otras tablas
- Retoque: Prevenir advertencia cuando DISALLOW_FILE_EDIT ya se ha definido
- Retoque: Corrección de instancias de una función de traducción que se utiliza para varias oraciones
- Retoque: Mejorada la UX durante las llamadas AJAX
- Retoque: Eliminado los comentarios de spam de la papelera con descripciones duplicadas
5.3.0 – 01/May/2024
- Característica: Añadida característica de salida forzada por lotes para usuarios conectados
- Corrección: Un problema con la función de salida de la página de mi cuenta de WooCommerce cuando la característica de fuerza bruta basada en cookies está activada
- Corrección: Advertencia de clave de matriz no definida ‘SCRIPT_FILENAME’
- Corrección: La redirección personalizada después de acceder no funciona si la URL contiene el parámetro ‘redirect_to’
- Corrección: Lista de cuentas de administrador que no se muestran en la página de seguridad del usuario
- Corrección: El problema con la prevención de fuerza bruta basada en cookies se resolvió si la característica salt postfix está activada.
- Corrección: Corregido el campo de país que no se mostraba en los registros de eventos 404 (Premium)
- Corrección: Corregido el campo de país que no se mostraba en el registro de IP bloqueado 404 inteligente (Premium)
- Retoque: Corregido el problema de traducción que no se mostraba según el idioma establecido por el usuario administrador en lugar de los ajustes del sitio
- Retoque: Los cambios en la actualización del cortafuegos se aplican sin acceso a la interfaz de administración
- Retoque: Cambiar las etiquetas de los interruptores por una redacción más apropiada
- Retoque: En los resultados del explorador de archivos se muestran los tamaños de los archivos en un formato legible por humanos.
- Retoque: Actualizado el mensaje por defecto para intentos de acceder a wp-admin.
- Retoque: Refactor interno del código de actualización para mejorar la claridad del código.
- Retoque: Transferir la característica ‘Bloquear Googlebots falsos’ al cortafuegos basado en PHP
- Retoque: Eliminar el requisito para que al menos una IP esté activada para la ‘Lista negra’, ‘Lista blanca de acceso’ y ‘Lista blanca de IP de bloqueo de acceso’.
- Retoque: Añadido un mensaje de error cuando un usuario intenta bloquear su propia IP al aprobar el registro.
- Retoque: Añadido método para actualizar la insignia en una llamada AJAX
- Retoque: Refactor interno de la clase ‘AIOWPSecurity_Utility_File’ para mejorar la claridad del código.
- Retoque: Actualización de contenido del aviso estacional para 2024
5.2.9 – 06/Mar/2024
- Corrección: Eliminar la llamada a ‘update_event_table_column_to_timestamp’ en la rutina de actualización
- Corrección: Eliminar la llamada a ‘wp_timezone()’ que solo está disponible en WP 5.3+
5.2.8 – 05/Mar/2024
- Corrección: La comprobación de usuario que afecta al plugin «Duo Two-Factor Authentication»
- Corrección: La rutina de actualización de la base de datos ahora se ejecuta sin necesidad de visitar la interfaz de administración o cada sitio individual en un multisitio
- Corrección: Algunos ajustes en el menú del cortafuegos no se restablecen después de desactivar y reactivar el plugin.
- Retoque: El registro de auditoría y la columna de fecha y hora del archivo de exportación CSV de eventos 404 ahora están en un formato legible por humanos, no en una marca de tiempo Unix.
- Retoque: El campo de fecha y hora existente de la tabla de registro de depuración convertido a marca de tiempo para que sea independiente de la zona horaria
- Retoque: El campo de fecha y hora existente de la tabla meta global convertido a marca de tiempo para ser independiente de la zona horaria
- Retoque: El campo de fecha y hora existente de la tabla de bloqueo permanente convertido a marca de tiempo para que sea independiente de la zona horaria
- Retoque: Reprogramar las acciones de los elementos de la lista para mejorar aún más la claridad del código
- Retoque: Eliminado el menú de administración «lista negra» como se anunció anteriormente
- Retoque: Eliminado el menú de administración «varios» como se anunció anteriormente
- Retoque: Eliminada varias pestañas del menú de administración como se anunció anteriormente
- Retoque: Almacenar el resultado de la búsqueda de IP para otros tipos de entradas en la tabla de bloqueo de acceso
- Retoque: Actualizar la indicación de revisión del pie de página
- Retoque: Eliminado el límite de tamaño máximo de carga de archivos a 250 MB por el filtro ‘aiowps_max_allowed_upload_config’
- Retoque: Mejorar la detección de spam en comentarios para no interferir con otros formularios
5.2.7 – 06/Feb/2024
- Seguridad: Añadido comprobaciones nonce a varias acciones de la tabla de listas para evitar una vulnerabilidad CSRF. Gracias a dhakal_ananda por revelar este defecto. Esto permitiría a un atacante que persuadiera a un administrador conectado a visitar un enlace especialmente diseñado para realizar acciones en los registros de eventos 404.
5.2.6 – 06/Feb/2024
- Seguridad: Se ha eliminado el uso innecesario del parámetro de consulta «pestaña» en varias páginas del menú de administración para evitar una vulnerabilidad XSS no persistente. Gracias a Matthew Rollings por revelar este defecto. (Esto permitiría que un atacante que lo apunte deliberadamente mientras está conectado como administrador y lo convenza de visitar un enlace que él controla para inyectar scripts no deseados en una sola visita a tu página de administración de AIOS).
- Característica: Añadido un evento de cerrar sesión a los registros de auditoría
- Característica: Añadir la capacidad de borrar el archivo «readme.html» por defecto y el archivo «wp-config-sample.php»
- Corrección: Corregir algunas llamadas de traducción que utilizaban el dominio de texto incorrecto
- Corrección: Aviso de PHP causado por el explorador de archivos no puede leer su archivo de datos
- Corrección: El botón de solicitud de desbloqueo no se mostraba y redirige a 127.0.0.1
- Corrección: Errores de la base de datos para la tabla aiowps_login_lockdown durante la instalación del plugin
- Retoque: Rediseñar la interfaz de usuario 6G
- Retoque: Añadida una opción para establecer el tema de CAPTCHA de Cloudflare Turnstile
- Retoque: Añadido estilo CSS para la columna de detalles del registro de auditoría
- Retoque: Se han corregido los enlaces de estado de las funciones críticas del escritorio y solo se muestran las funciones que se pueden activar en un subsitio de multisitio
- Retoque: Desactivar el plugin ahora elimina la información de acceso almacenada para que en la próxima activación los usuarios no sean forzados a desconectarse
- Retoque: Mostrar cadena json en lugar de nulo si ‘json_decode’ no funciona para los detalles del registro de auditoría
- Retoque: El campo de fecha y hora existente de la tabla de eventos convertido a marca de tiempo para que sea independiente de la zona horaria
- Retoque: Varios retoques para que el código base cumpla con los estándares de codificación
- Retoque: Varios retoques para garantizar que no se pasen varias oraciones a una única función de traducción
- Retoque: Se ha corregido la interfaz de usuario rota para los ajustes del cortafuegos RSS y Atom y se añadió un cuadro de «más información»
- Retoque: Corrección del problema de la identificación única en DOM
- Retoque: Se han unido las pestañas «Nombre de usuario» y «Nombre para mostrar» en los ajustes de «Seguridad del usuario»
- Retoque: Se ha movido la pestaña de «Detección 404» al menú de administración de «Fuerza bruta»
- Retoque: Se ha movido la pestaña de «Edición de archivos PHP» a la pestaña de «Protección de archivos»
- Retoque: Se ha movido la pestaña de «Enumeración de usuarios» a la pestaña «Cuentas de usuario» en el menú de «Seguridad del usuario»
- Retoque: Se ha movido la pestaña de «WP Rest API» al menú de «Cortafuegos»
- Retoque: Se ha movido la pestaña de «Protección de copiado» y «Marcos» al menú de «Seguridad de archivos»
- Retoque: Se ha movido la pestaña de «Salt» al menú de «Seguridad del usuario»
- Retoque: Se ha movido la pestaña de «Gestor de lista negra» al menú de «Cortafuegos».
- Retoque: Los restablecimientos de la contraseña, los usuarios eliminados y borrados ahora se registran en el registro de auditoría
- Retoque: Evita que la IP 404 se bloquee si hay un bloqueo actual en esa IP
- Retoque: Unifica la conversión de fecha y hora con compatibilidad con la zona horaria de los usuarios
- Retoque: Se ha modificado la forma en que los datos vacíos en el resultado de la búsqueda de IP se almacenan en la base de datos.
- Retoque: Rehacer la página del menú del cortafuegos para que tenga dos pestañas para las reglas de PHP y .htaccess
- Retoque: Añadida compatibilidad de captcha para Contact Form 7
- Retoque: Añadida una función de guardar ajustes de AJAX y obtener detalles de las características de función de insignia como parte del trabajo en curso para añadir compatibilidad con AJAX a los ajustes del plugin
- Retoque: Mejora en el correo electrónico para restablecer la contraseña añadiendo información de IP
- Retoque: Eliminar la metaetiqueta de la barra de herramientas de la imagen desaparecida
- Retoque: El campo de fecha y hora existente de las tablas de bloqueo de acceso se ha convertido a marca de tiempo para que sea independiente de la zona horaria
- Retoque: Mejoras en el código – utilizando objetos de WP_Error en lugar de arrays
5.2.5 – 25/Oct/2023
- Seguridad: En una instalación multisitio, si se usaba la característica AIOS para cambiar el nombre y ocultar la página de acceso, existía una ruta para que un atacante descubriera la página de acceso oculta, negando así la utilidad de la característica. Gracias a Naveen Muthusamy por revelar este defecto.
- Característica: Bloquear las solicitudes POST que tengan un agente de usuario y un referente en blanco
- Característica: Añadido datos de búsqueda de IP inversa al correo electrónico de aviso de bloqueo de acceso
- Corrección: Evitar un error fatal al configurar el cortafuegos si el servidor ha desactivado la función parse_ini_file
- Corrección: Evitar que el almacén de mensajes del cortafuegos se llene con entradas no usadas
- Corrección: Evitar que se bloquee el tráfico legítimo de Googlebot en sitios donde la función gethostbyaddr falla o está desactivada
- Corrección: Un problema que impedía que las actualizaciones de MainWP se realizaran correctamente
- Corrección: Evitar la enumeración de usuarios a través de la REST API y el protocolo oEmbed
- Corrección: La lista negra del agente de usuario no coincide correctamente con todas las cadenas
- Corrección: La tabla del usuario conectado no muestra la información correcta
- Retoque: Mejorar la detección de spam en comentarios mediante el uso de campos ocultos y cookies
- Retoque: La lista blanca de acceso sugiere direcciones IPv4 e IPv6 para la lista blanca
- Retoque: Las acciones del menú en el menú de administración del escritorio ahora se procesan a través de AJAX
- Retoque: Casillas de verificación convertidas en las páginas del menú de administración a interruptores
- Retoque: Añadir las columnas network_id y site_id a la tabla de registros de depuración para diferenciar los registros entre sitios en multisitio
- Retoque: Se han combinado varios menús de administración de usuarios en un nuevo menú de administración de «Seguridad de usuario»
- Retoque: El nombre del archivo de configuración de exportación ahora refleja la zona horaria local.
- Retoque: Mejorar la UI/UX del explorador de archivos dando paso a futuras mejoras
- Retoque: Rediseñar las insignias del gestor de característica
- Retoque: Eliminada varias pestañas del menú de administración como se anunció anteriormente
- Retoque: Añadir características que dependen de otros plugins al gestor de característica de forma condicional
- Retoque: Añadida una comprobación nula a la función que elimina la metainformación de wp de los scripts y estilos src para evitar una advertencia de obsolescencia de PHP
- Retoque: La fecha y la hora del registro de auditoría ahora se muestran en la zona horaria del sitio
- Retoque: Advertencia de PHP clave de matriz indefinida REQUEST_METHOD en rule-proxy-comment-posting.php
- Retoque: Cuando TranslatePress está activo, cerrar la sesión a través de WooCommerce no debería mostrar una página 404 si el ajuste «renombrar la página de acceso» está activado.
5.2.4 – 16/Aug/2023
- Corrección: Los ajustes del cortafuegos portado se desactivaban en la actualización
5.2.3 – 09/Aug/2023
- Corrección: Error fatal «set_value() en nulo» cuando falta la configuración del cortafuegos
- Corrección: Avisos de PHP cuando se ejecuta bajo cron
- Corrección: Revertir el cambio que causó que la lista blanca de acceso de fuerza bruta mostrara las IPs del servidor y no los usuarios
- Retoque: Añadir un mecanismo de comunicación para que el cortafuegos pueda enviar datos a WordPress
- Retoque: Eliminar las menciones incorrectas del archivo «.htaccess» en las reglas de cortafuegos de PHP
5.2.2 – 04/Aug/2023
- Característica: Una lista de direcciones IP permitidas que eluden las reglas del cortafuegos
- Corrección: Corrección de ‘get_class()’ en un error fatal nulo al actualizar a través de «ManageWP»
- Corrección: No existe tal aviso de archivo o directorio generado por el archivo de configuración del cortafuegos
- Corrección: Solo envía el correo electrónico de actualización si se han activado una o más de las reglas portadas
- CORRECCIÓN: Los bots falsos de Google ahora se bloquean si la dirección IP del servidor del bot no se resuelve con un hostname
- CORREGIDO: Google reCaptcha ahora aparece correctamente en la página de pago de WooCommerce
- CORREGIDO: Impide el acceso automático de WooCommerce si se activa la aprobación de registro manual
- Corrección: Problema de superposición de la interfaz de usuario de la pestaña de actualización premium.
- Corrección: Permitir que el modo de mantenimiento se controle a través de WP-CLI (Premium)
- Corrección: Usar la identificación del sitio correcto para los eventos de éxito de acceso añadidos a la tabla de registro de auditoría en multisitio
- Corrección: Añadido características faltantes a la lista del administrador de funciones
- Corrección: Una advertencia al usar el comando actualizar todo a través de WP-CLI
- Retoque: La dirección IP basada en los ajustes de AIOS ahora se usa en lugar de la variable del servidor ‘REMOTE_ADDR’ para múltiples avisos de códigos 2FA incorrectos
- Retoque: Añadido el filtro ‘aios_audit_log_record_event’ para permitir que los eventos no se registren
- Retoque: Mejorar la estructura del código del administrador de elementos de características para dar paso a futuras mejoras
- Retoque: La lista blanca de acceso sugiere direcciones IPv4 e IPv6 para la lista blanca.
- Retoque: Se ha movido la pestaña de «Reglas personalizadas» de la sección de «Cortafuegos» a su propia pestaña en la sección de «Herramientas»
- Retoque: Se ha movido la pestaña de «Evitar hotlinking» a la pestaña de «Protección de archivos» en el menú de «Seguridad del sistema de archivos»
- Retoque: Se ha movido todos los ajustes de CAPTCHA a la pestaña de «Ajustes de CAPTCHA» en el menú de «Fuerza bruta»
- Retoque: Se ha movido la pestaña de «Herramienta de contraseña» al menú de administración de «Herramientas»
- Retoque: Se ha movido la pestaña de «Bloqueo de visitantes» al menú de administración de «Herramientas»
- Retoque: Se ha movido la pestaña de «Señuelo de registro de usuario» al menú de administración de «Fuerza bruta»
- Retoque: Eliminar la «tabla de actividad de la cuenta» ya que estas entradas también se registran en el registro de auditoría
- Retoque: Eliminada la pestaña de «Registros de acceso fallidos» como se anunció anteriormente, estos ahora se registran en el registro de auditoría
- Retoque: Mejorar el rendimiento del código de la tabla de listas
- Retoque: Eliminado el uso de $_GET, $_POST, $_REQUEST de todos los archivos de plantilla para dar paso a mejoras futuras.
5.2.1 – 12/Jul/2023
- Corrección: Incluir archivo de clase auxiliar del cargador
- Retoque: Cargar condicionalmente el JavaScript del bloque TFA
5.2.0 – 10/Jul/2023
- Seguridad: Eliminar los datos de identificación de pila de la traza antes de guardarlos en la base de datos. Este defecto significaba que un administrador del sitio tenía el potencial, entre las versiones 5.1.9 y 5.2.0 (que elimina los datos existentes), de saber cuáles son las contraseñas de los usuarios del sitio. Esta información tiene un valor limitado (un administrador ya puede restablecer la contraseña de cualquier persona), excepto en la medida en que los usuarios puedan reutilizar las contraseñas en otros sitios. En ese escenario de «administrador hostil», tu sitio tiene otros problemas (ya que el administrador hostil tiene una gran cantidad de formas equivalentes de causar daño a los usuarios, especialmente si no está en varios sitios donde un administrador del sitio no es potencialmente un superadministrador y puede no serlo o capaz de instalar o configurar los plugins). Este registro de cambios se amplió en respuesta a informes incorrectos que sugerían un problema más amplio (por ejemplo, no mencionaron que el atacante ya debe estar conectado como administrador para leer el registro, o que la actualización a 5.2.0 borra los datos afectados).
- Seguridad: Establecer restricciones más estrictas sobre lo que los administradores de subsitios pueden hacer en un multisitio.
- Corrección: Después de editar un archivo, restablecer los permisos a los permisos originales
- Corrección: Corregidos algunos enlaces rotos en el plugin
- Corrección: Error fatal: No se puede declarar la clase
- Corrección: Normalizar todos los argumentos en pila de la traza
- Corrección: Añadido registros de acceso incorrectos a la tabla de actividad de acceso en varios sitios cuando el usuario accede en un subsitio al que no pertenece.
- Corrección: Resuelto demasiados errores de redireccionamiento para usuarios de salida forzada
- Retoque: Para Cronjob, WP CLI y la constante definida ‘AIOS_DISABLE_EXTERNAL_IP_ADDR’ no usan servicios externos para las direcciones IP de los usuarios. Advertencia de error en la solicitud silenciada de «api.ipify.org».
- Retoque: Restablecer la traducción de la página de contraseña y generar el botón de contraseña añadido para la página de acceso renombrada
- Retoque: Añadido el filtro ‘aios_audit_log_event_user_ip’ para permitir el filtrado de direcciones IP en el registro de auditoría
- Retoque: Añadido el gancho de acción ‘aios_reset_all_settings’ para restablecer todos los ajustes.
- Retoque: Página de acceso renombrada para tener un menú desplegable de cambio de idioma y otros retoques según WordPress 6.2
5.1.9 – 09/May/2023
- Característica: Direcciones IP – Funcionalidad del gestor de la lista negra basada en PHP en lugar de reglas «.htaccess». Añadida la constante ‘AIOS_DISABLE_BLACKLIST_IP_MANAGER’, defínela en tu archivo «wp-config.php» para desactivar el gestor de la lista negra de IP.
- Característica: Detectar a los bots de spam que publican comentarios y descartarlo por completo o marcarlo como spam.
- Característica: Cifrar las claves secretas de TFA que se almacenan en la base de datos (protección adicional en caso de que tu base de datos sean hackeados)
- Característica: Añadida una acción en lote «Borrar todo» y «Borrar filtrado» a la tabla de registro de auditoría
- Corrección: Evita que Cloudflare Turnstile se añada a los formularios de acceso cuando no se hayan establecido credenciales
- Corrección: Cambiar el lugar donde se carga el controlador de eventos del registro de auditoría para evitar un error al borrar el plugin
- Corrección: Corrección de las comprobaciones de las clases de contexto para ser compatibles con cli
- Retoque: El superadministrador de multisitio puede acceder al escritorio sin volver a acceder si el sufijo de salt está activado
- Retoque: El archivo Captcha JavaScript se carga innecesariamente en algunas páginas del sitio si está activado el captcha de comentario o el captcha de acceso personalizado
- Retoque: Se han cambiado algunos controles de nonce para usar nuestra función interna para verificar la capacidad del usuario y los nonces
- Retoque: Los registros de usuarios y los accesos correctos ahora se registran en el registro de auditoría
- Retoque: Añadido una clase de comandos y se reprogramaron los controladores Ajax.
- Retoque: Verificación de captcha para evitar conflictos con algunos plugins que recuerdan el código de identificación de WordPress
- Retoque: Mejora de la interfaz de usuario de la característica de prefijo de la tabla de la base de datos.
- Retoque: Las actualizaciones principales de WordPress ahora se registran en el registro de auditoría
- Retoque: Las actualizaciones de traducción ahora se registran en el registro de auditoría
- Retoque: Añadir un evento de cambio de entidad al registro de auditoría cuando la información del actualizador no está disponible
- Retoque: Correos electrónicos automatizados enviados por AIOS que no se pudo enviar debido a la dirección del remitente
5.1.8 – 11/April/2023
- Corrección: Detección 404 – las acciones de bloqueo temporal, borrar y lista negra de registros individuales dejaron de funcionar en 5.1.7
- Corrección: Error fatal no detectado en ‘set_value’ nulo
- Corrección: Eliminar las acciones del controlador de eventos del registro de auditoría al borrar el plugin para evitar un error
- Corrección: Eliminar algunos controladores de eventos de registro de auditoría al borrar el plugin para evitar un error
- Corrección: Obtén la ruta «wp-config» correcta cuando se instala en un subdirectorio
- Retoque: Ignorada la excepción de tiempo de espera agotado ‘AIOS_Helper::request_remote’.
- Retoque: El nombre de la clase ‘Requests_IPv6’ está obsoleto en WordPress 6.2.
- Retoque: Los intentos de acceso fallidos ahora se registran en el registro de auditoría
5.1.7 – 24/March/2023
- Corrección: Evitar errores fatales al llamar a ‘get_server_detected_user_ip_address()’ cuando el cortafuegos no está configurado.
- Retoque: Aclarar el título del aviso del escritorio y cambiar la imagen.
5.1.6 – 21/March/2023
- Característica: Añadido un registro de auditoría.
- Característica: Añadir la opción de sufijo de salt para mejorar la seguridad de tu sitio.
- Característica: Biblioteca compartida que se puede usar desde el cortafuegos.
- Corrección: Cambia el nombre del slug de acceso usando como ‘wp-login-RANDOM_SUFFIX’ que muestra el problema de la página 404 resuelto y la limpieza del código para la activación en multisitio.
- Corrección: Conflicto de tema secundario de Divi – solucionada la llamada a la función indefinida ‘et_builder_get_fonts()’ en «functions.php» en la línea 208.
- Corrección: La pestaña de ajustes de captcha en la instalación de sitios múltiples para subsitios que no se muestran.
- Corrección: Error de evento de reprogramación de cron para el gancho ‘aios_15_minutes_cron_event’ si el plugin está desactivado o desinstalado.
- Retoque: Detener la enumeración de usuarios ahora muestra el código de error prohibido 403 en lugar del error del servidor 500.
- Retoque: PHP 8.1 advierte que rawurldecode pasa nulo en lugar de tipo de cadena está en obsoleto para la regla de cadena de solicitud de bloque 6g.
- Retoque: Código de limpieza para desactivar la constante de fuerza bruta basada en cookies cuando la regla se movió al cortafuegos.
- Retoque: Interfaz de usuario de la página de vigilancia de IP de comentario spam.
- Retoque: Actualizados los avisos de temporada.
- Retoque: Mejora de la estructura del código interno para dar paso a futuras mejoras
- Retoque: Eliminar la mención de que las reglas de cortafuegos 6g están basadas en «.htaccess», ya que ahora están basadas en php.
- Retoque: Añadida una nueva función interna para verificar la capacidad del usuario y los nonces.
- Retoque: Mejorar el código de configuración con guardado integrado.
- Retoque: Permitir que el registro de auditoría se filtre y se exporte a CSV.
5.1.5 – 13/February/2023
- Característica: Añadida compatibilidad con Cloudflare Turnstile CAPTCHA
- Corrección: Se resolvieron los avisos sobre la clave de array no definida ‘HTTP_USER_AGENT’.
- Corrección: Las nuevas características v5 no se guardan en el archivo de exportación y no se restablecen correctamente después de la desinstalación.
- Corrección: El cambio de permiso de archivo se aplica al último registro no seleccionado. Además, ya no cambia los permisos cuando ya son más estrictos que los sugeridos.
- Corrección: Error fatal ‘Llamar a una función miembro contains_contents() en nulo’
- Retoque: Eliminada la información incorrecta acerca de la implementación de la lista blanca de acceso a través de «htaccess».
- Retoque: Tareas de ajustes de rediseñar para los comandos premium de WP CLI de AIOS.
- Retoque: Mejorado el problema de rendimiento de la carga de la página debido a la comprobación activa del plugin premium tfa incompatible.
- Retoque:: Asegúrate de que el dominio de traducción está registrado antes de intentar usarlo
- Retoque: Reemplazar el clic con presionar en el texto porque los usuarios podrían estar en dispositivos móviles, etc. y no usar un ratón.
- Retoque: Las páginas de administración de registro, comentario, Buddypress y bbPress para mostrar el aviso activado de los ajustes de captcha.
- Retoque: Mejorar la UI/UX para la pestaña de «detección 404»
- Retoque: Mejora de la estructura del código interno para dar paso a futuras mejoras
- Retoque: Advertencia obsoleta de PHP 8.2 para propiedades dinámicas
- Retoque: Eliminar la capacidad no deseada para atravesar directorios y la falta de escape al generar archivos con la característica «ver registro del sistema». Esta función solo está disponible para un administrador (quien, por supuesto, ya puede hacer cualquier cosa en el sitio, por lo que esto no tiene implicaciones de seguridad) y les permite ver (las últimas 50 líneas) de cualquier archivo o enumerar cualquier directorio en el sistema donde el servidor web tiene acceso de lectura.
- Corrección: Error fatal ‘Llamar a una función miembro contains_contents() en nulo’
- Retoque: El cortafuegos obtiene constantes de una sola fuente.
5.1.4 – 14/December/2022
- Característica: Añadir la opción para desactivar los feeds RSS y ATOM.
- Corrección: El gestor de la lista negra de direcciones IP no funcionaba.
5.1.3 – 09/December/2022
- Seguridad: Ya no se guardan los archivos de importación de ajustes en una carpeta de acceso público donde los motores de búsqueda pueden indexarlos potencialmente si el administrador no importa realmente los ajustes (lo que borra el archivo de importación)
- Característica: Implementar un sistema de eventos de cortafuegos
- Corrección: Protege los subsitios cuando el cortafuegos se carga a través de ‘plugins_hook’
- Retoque: Mejorar la experiencia de usuario para la subida de archivos de importación
- TWEAK: Add a default …