All-In-One Security (AIOS) – Security and Firewall

Registro de cambios

5.4.4 – 5/Nov/2025

• FEATURE: Added new and improved existing modules for UpdraftCentral.
• FIX: The theme’s custom 404 page does not parse and instead displays the shortcodes for wp-login.php, due to the login page having been renamed.
• FIX: 404 detection was not working when using a custom 404 template page.
• FIX: PHP Strict Standards warning for AIOWPSecurity_Base_Tasks::run_for_a_site()
• FIX: Changed slider control class name from slider to aiowps_slider and updated CSS to prevent conflict with other plugins.
• FIX: Resolved deprecated error in fputcsv() by providing the required $escape parameter when exporting CSV files.

5.4.3 – 8/Sep/2025

• Característica: Añadida una característica para exigir el uso de las contraseñas seguras por parte de los usuarios
• Corrección: Omitir la prevención de fuerza bruta basada en cookies mediante la solicitud AJAX.
• Corrección: Aviso de PHP – el dominio de texto de carga de traducción se llamó incorrectamente.
• Corrección: Se ha resuelto la llamada a la función indefinida disk_total_space en wp-security-debug.php cuando el proveedor de alojamiento ha desactivado esta función de PHP.
• Corrección: Error fatal al acceder a un parámetro de consulta de array cuando se ha cambiado el nombre de la página de acceso.
• Corrección: Error de la consola de Chrome en el que el captcha matemático hace referencia a un «id» de entrada faltante, lo que provoca problemas de autocompletar y accesibilidad.
• Corrección: El archivo .pot de traducción de AIOS no incluye etiquetas TFA.
• Corrección: Cuando se actualiza un perfil de usuario, los ajustes «Aplicar al actualizar el perfil» de HIBP genera incorrectamente un error si no se ha cambiado la contraseña.
• Retoque: Añadido el filtro «aios_blocked_request_redirect_url» para permitir que las IP bloqueadas permanentemente se redirijan a una URL personalizada en lugar de 127.0.0.1.
• Retoque: Crea nuevas tablas AIOS y actualiza las tablas AIOS actuales para utilizar el motor InnoDB.
• Retoque: Se ha movido la característica de «reglas de cortafuegos 6G» a la pestaña de «reglas de PHP»
• Retoque: Se ha movido la pestaña «Bots de Internet» a la pestaña de «reglas de PHP»
• Retoque: Se ha resuelto el problema en el que el estado de detección de IP siempre estaba desactivado para la pestaña de Depuración.
• Retoque: La lista de usuarios registrados aprobados manualmente debe mostrar el mensaje de error «No puedes bloquear tu propia dirección IP».

5.4.2 – 15/Jul/2025

• Característica: Capacidad de imponer la verificación de contraseñas contra la API HIBP al actualizar perfiles de usuario y restablecer contraseñas.
• Característica: Añadir la capacidad de actualizar todas las llamadas http no seguras en el sitio.
• Corrección: El enlace de contraseña de la aplicación desactivada no regresa al lugar correcto.
• Corrección: Fatal en el almacén de mensajes del cortafuegos.
• Corrección: URLs malformadas en la pestaña cuentas de usuario.
• Corrección: Los usuarios se desconectan en Contact Form 7 si salt postfix está activado
• Corrección: La página «Establecer contraseña» no se carga para el usuario cuando la protección de fuerza bruta basada en cookies está activada.
• Corrección: Está activado no permitir solicitudes REST no autorizadas, pero /wp-json/ muestra las rutas de rest y los detalles de la API de rest
• Retoque: Añadir ayuda para el almacenamiento de mensajes AJAX
• Retoque: Desactivar el error de enumeración de usuarios; aios_user_lists_forbidden debería devolver un código de respuesta 403 en lugar de 500.
• Retoque: Renombrar el nombre del elemento del menú WP Admin de «WP Security» a «AIOS» y actualizar el ícono a la versión actual.
• Retoque: Mostrar la respuesta de la acción de la tabla AJAX en la ventana emergente modal
• Retoque: Hacer que el plugin sea más compatible con PCP
• Retoque: Añadir un aviso para el fin de la compatibilidad de PHP 5.6.
• Retoque: Cambiar la URL de twitter.com a x.com
• Retoque: Se han realizado cambios en los enlaces de anuncios en el aviso del escritorio de agradecimiento.

5.4.1 – 21/May/2025

• Corrección: Solucionado el error fatal al llamar a la función indefinida AIOWPS\Firewall\sanitize_text_field().
• Corrección: Resuelto un problema en el que cierta información en el correo electrónico del informe de depuración era inconsistente con la información que se mostraba en el Escritorio > Depuración
• Corrección: Corregido un un error de «llamada a función indefinida wp_strip_tags» en wp-security-user-login.php
• Corrección: Resuelto un problema en el que se mostraba HTML sin formato en el cuadro de información en Seguridad del usuario > Cuentas de usuario > Nombre para mostrar del usuario
• Corrección: Renombrar la página de acceso cuando se expuso a través de auth_redirect por otros plugins (por ejemplo, vista previa de Gravity Forms)
• Corrección: Corregido un problema donde la característica de restablecimiento de la contraseña no funcionaba con la característica de renombrar la página de acceso
• Corrección: Resuelto las traducciones faltantes en la página de acceso después de activar la característica de «Renombrar la página de acceso»
• Corrección: Actualizado el diseño de la página de acceso personalizado para que coincida con el nuevo diseño de la página de acceso por defecto de WordPress
• Corrección: Corregido el problema de redirección que ocurría después de la reactivación del plugin cuando las opciones de fuerza bruta de las cookies se guardaban en la base de datos
• Corrección: Corregida la variable indefinida $error en wp-security-user-security-commands.php
• Corrección: Corregido el problema de solicitud de bloqueo de acceso
• Corrección: La acción en lote «Eliminar seleccionados» en la lista del registro de auditoría no funcionaba
• Corrección: Prefijos AIOWSPEC corregidos a AIOWPSEC
• Corrección: El interruptor del cortafuegos 5G se comporta de manera inversa, al activarlo se eliminan las reglas .htaccess, mientras que al desactivarlo se añaden.
• Corrección: Corregido el código HTML que se mostraba incorrectamente en la pestaña .htaccess
• Retoque: Enlaces actualizados para apuntar a nuestro nuevo sitio web

5.4.0 – 27/Mar/2025

• Corrección: Reemplazado los analizadores de URI del cortafuegos con métodos que no son de WordPress
• Corrección: Resuelto un problema de compatibilidad con PHP 5.6 causado por el operador ?? en 5.3.10

5.3.10 – 26/Mar/2025

• Característica: Añadida la capacidad de comentar en las listas blancas de IP
• Característica: Añadido informes de diagnóstico
• Característica: Añadida una lista blanca y un límite de acceso basado en perfil de usuario al cortafuegos de la API REST
• Corrección: Error «Índice indefinido: ruta» cuando la identificación HTTP de la portada está activada.
• Corrección: Resuelto el problema de traducción del escritorio donde el texto carecía de espacios en blanco y no se traducía correctamente
• Retoque: Eliminado usos de unserialize sin restricción de allowed_classes
• Retoque: Clase de comandos IP reprogramados para usar el asistente de respuesta
• Retoque: Eliminada la pestaña API REST de WP
• Retoque: Se han cambiado los botones de alternancia de «Estado de características críticas» en el escritorio a un sistema claro de estado
• Retoque: Actualizado el medidor de fortaleza de seguridad en el escritorio
• Retoque: Se ha mejorado el widget del escritorio para mostrar un gráfico que muestra la cantidad de acceso en los últimos 7 días
• Retoque: Se ha mejorado el interruptor de modo de mantenimiento en el escritorio para mantener la coherencia con el resto del plugin
• Retoque: Se han convertido las acciones del menú de fuerza bruta para usar AJAX
• Retoque: Actualizados los avisos de temporada

5.3.8 – 16/Dec/2024

• Corrección: Actualizado los avisos del plugin para corregir errores fatales relacionados con la traducción.

5.3.7 – 5/Dec/2024

• Retoque: Cambiar el código de respuesta para solicitudes REST no autorizadas bloqueadas a 403.
• Retoque: Se ha eliminado temporalmente el acceso del cortafuegos

5.3.6 – 3/Dec/2024

• Corrección: Resuelto un problema con la clase AIOS_Firewall_Resource

5.3.5 – 24/Nov/2024

• Corrección: Las reglas .htaccess personalizadas ahora se escapan correctamente y se eliminan las barras invertidas.
• Corrección: Los ajustes de importación fallidos cuando los mensajes de bloqueo de visitantes tenían alineación de texto u otro formato aplicado
• Corrección: El filtro del registro de auditoría para el tipo de evento ahora funciona correctamente, incluso cuando el tipo de evento se traduce a idiomas distintos del inglés
• Corrección: Se ha resuelto el problema del desbordamiento de texto en el cuadro azul en la página Ajustes > Información de la versión de WP
• Corrección: Algunas claves meta de usuario no se eliminaban después de desinstalar el plugin
• Corrección: Los subsitios ya no detectan incorrectamente la característica prefijo de la base de datos como activo
• Corrección: Errores fatales prevenidos por falta de recursos del cortafuegos, reemplazándolos con entradas de registro de depuración
• Corrección: Error de base de datos de WordPress: Las columnas BLOB, TEXT, GEOMETRY o JSON no pueden tener un valor por defecto establecido
• Corrección: La función load_plugin_textdomain se llama durante la acción init y las traducciones se aplican después
• Corrección: La página de acceso renombrada ahora utiliza las traducciones de WordPress
• Retoque: Añadido un filtro para las plantillas de reglas de cortafuegos de PHP
• Retoque: Actualizado el campo de código de país para que los registros de auditoría se basen en la dirección IP (Premium)
• Retoque: Se ha mejorado el texto en la pestaña de «detección 404»
• Retoque: Se ha movido la lista blanca a la pestaña de lista negra y se ha renombrado a «Listas de bloqueo y de permisos»
• Retoque: Se ha movido la característica API REST de WP a la pestaña de reglas de PHP
• Retoque: Se han reprogramado varias clases de comandos para usar el nuevo método auxiliar de respuesta AJAX: Herramientas, exploración de archivos, archivos, ajustes y clases de comandos de registro
• Retoque: Actualizada la interfaz de usuario para las reglas de .htaccess, los ajustes de Captcha y las pestañas de protección de archivos.
• Retoque: Añadida una nota en la pestaña Ajustes > borrar del plugin
• Retoque: Las primeras llamadas a get_plugin_data() ya no requieren traducciones
• Retoque: Se ha reprogramado la clase de comando del cortafuegos para utilizar el método auxiliar de respuesta
• Retoque: Añadida una constante AIOS_DISABLE_HTTP_AUTHENTICATION. Define esto en tu «wp-config.php» para desactivar la identificación HTTP

5.3.4 – 21/Oct/2024

• Característica: Añadida una característica de identificación HTTP que permite proteger el sitio con un nombre de usuario/contraseña de acceso.
• Corrección: Añadido un nuevo método para restablecer las reglas del cortafuegos en los ajustes «general»
• Corrección: Se ha resuelto el problema con el caché de las entradas que causaba un problema con la prevención de spam en los comentarios
• Retoque: Añadida una clase auxiliar para solicitudes API
• Retoque: Se han eliminado los espacios en blanco al final de las oraciones

5.3.3 – 16/Sep/2024

• Característica: Añadida la opción captcha para la página de pago del invitado clásico de WooCommerce.
• Corrección: Corregido los problemas de diseño adaptable con el logotipo de aviso del escritorio en dispositivos móviles.
• Corrección: El widget de captcha de Turnstile se muestra varias veces
• Corrección: Resuelto el problema de memoria para leer archivos de registro de sistemas de servidor más grandes
• Corrección: Eliminada las opciones .htaccess del menú «Ajustes» en Nginx, IIS y servidores web no compatibles
• Corrección: Se ha resuelto el problema de la ventana emergente de UX y se ha sanado la lista de permitidos del cortafuegos
• Corrección: Se ha resuelto un problema en el que las acciones de la tabla en lote aún se ejecutaban incluso si se cancelaba el cuadro de diálogo de confirmación.
• Corrección: Añadida una verificación nula para evitar advertencias de PHP en las reglas del cortafuegos
• Retoque: Ajaxificado las acciones en el menú de ajustes, seguridad del sistema de archivos, prevención de spam y seguridad del usuario
• Retoque: Añadido compatibilidad con Ajax para enumerar tablas y el registro de auditoría
• Retoque: Añadido el campo CAPTCHA a los formularios de registro y de olvido de contraseña de MemberPress
• Retoque: Pestañas .htaccess excluidas de los ajustes si el servidor no es compatible
• Retoque: Actualizada la interfaz de usuario de las reglas del cortafuegos y la descripción del explorador de malware.
• Retoque: Retocado el método de copia de seguridad htaccess para generar el nombre de archivo aleatorio
• Retoque: Eliminado «evitar acceso a archivos WP por defecto» de .htaccess y se ha añadido «license.txt» a la lista de borrar.

5.3.2 – 06/Aug/2024

• Corrección: Fallo que permitía a los administradores de subsitios borrar los registros de auditoría de otros subsitios
• Corrección: Desactivada la lista negra en subsitios porque el cortafuegos basado en PHP actualmente se aplica a todo el multisitio
• Corrección: Un problema con la obtención de los rangos de IP del bot falso de Google
• Retoque: Añadido protecciones adicionales antes de modificar el archivo «.htaccess»
• Retoque: Las acciones en el menú de herramientas, cortafuegos y explorador ahora se procesan mediante AJAX
• Retoque: Se eliminaron los espacios en blanco iniciales y finales de las entradas en la pestaña de búsqueda de WHOIS
• Retoque: Añadida una ventana emergente de confirmación cuando los usuarios vacían los registros en la tabla registros de depuración
• Retoque: Añadido compatibilidad con captcha para el plugin «MemberPress»
• Retoque: Se ha mejorado la experiencia de usuario de las opciones de WP Rest API
• Retoque: Mejoras en el código interno para mejorar la capacidad de mantenimiento
• Retoque: Actualizado el gestor de característica para mejorar el rendimiento.
• Retoque: Corregido el problema de las tablas en blanco en la vista móvil

5.3.1 – 26/Jun/2024

• Característica: Añadido CAPTCHA a páginas/entradas protegidas por contraseña
• Corrección: El captcha no se muestra en la página de registro de BuddyPress
• Corrección: Problema de salida en WooCommerce cuando la página de acceso renombrada y las características de lista blanca de acceso están activadas
• Corrección: CAPTCHA faltantes cuando hay varios formularios de acceso y registro de WooCommerce en la misma página
• Corrección: Corregido un problema con las acciones de detección 404
• Corrección: Un problema de interfaz de usuario con la imagen del código QR de 2FA
• Retoque: Añadido el atributo data-cfasync=»false» a la URL del captcha por defecto para permitir la carga en Cloudflare Rocket Loader
• Retoque: Purgar los registros de la tabla de bloqueo de acceso después de 90 días para restringir el tamaño. Añadida la constante AIOS_PURGE_LOGIN_LOCKOUT_RECORDS_AFTER_DAYS para cambiar el valor por defecto.
• Retoque: Actualizado el texto de frecuencia del explorador de malware de diario a semanal
• Retoque: Actualizada la interfaz de usuario del medidor de fortaleza de contraseña para la herramienta de contraseña
• Retoque: Añadir un enlace «Bloquear IP» y «IP en lista negra» a la columna de IP del registro de auditoría.
• Retoque: Mejorar la detección de falsos Googlebot. En caso de que gethostbyaddr falle, el cortafuegos volverá a comprobar los rangos de IP conocidos de Googlebot
• Retoque: Actualizada la cabecera de la columna de la tabla «Direcciones IP bloqueadas permanentemente» para que sea coherente con otras tablas
• Retoque: Prevenir advertencia cuando DISALLOW_FILE_EDIT ya se ha definido
• Retoque: Corrección de instancias de una función de traducción que se utiliza para varias oraciones
• Retoque: Mejorada la UX durante las llamadas AJAX
• Retoque: Eliminado los comentarios de spam de la papelera con descripciones duplicadas

5.3.0 – 01/May/2024

• Característica: Añadida característica de salida forzada por lotes para usuarios conectados
• Corrección: Un problema con la función de salida de la página de mi cuenta de WooCommerce cuando la característica de fuerza bruta basada en cookies está activada
• Corrección: Advertencia de clave de matriz no definida ‘SCRIPT_FILENAME’
• Corrección: La redirección personalizada después de acceder no funciona si la URL contiene el parámetro ‘redirect_to’
• Corrección: Lista de cuentas de administrador que no se muestran en la página de seguridad del usuario
• Corrección: El problema con la prevención de fuerza bruta basada en cookies se resolvió si la característica salt postfix está activada.
• Corrección: Corregido el campo de país que no se mostraba en los registros de eventos 404 (Premium)
• Corrección: Corregido el campo de país que no se mostraba en el registro de IP bloqueado 404 inteligente (Premium)
• Retoque: Corregido el problema de traducción que no se mostraba según el idioma establecido por el usuario administrador en lugar de los ajustes del sitio
• Retoque: Los cambios en la actualización del cortafuegos se aplican sin acceso a la interfaz de administración
• Retoque: Cambiar las etiquetas de los interruptores por una redacción más apropiada
• Retoque: En los resultados del explorador de archivos se muestran los tamaños de los archivos en un formato legible por humanos.
• Retoque: Actualizado el mensaje por defecto para intentos de acceder a wp-admin.
• Retoque: Refactor interno del código de actualización para mejorar la claridad del código.
• Retoque: Transferir la característica ‘Bloquear Googlebots falsos’ al cortafuegos basado en PHP
• Retoque: Eliminar el requisito para que al menos una IP esté activada para la ‘Lista negra’, ‘Lista blanca de acceso’ y ‘Lista blanca de IP de bloqueo de acceso’.
• Retoque: Añadido un mensaje de error cuando un usuario intenta bloquear su propia IP al aprobar el registro.
• Retoque: Añadido método para actualizar la insignia en una llamada AJAX
• Retoque: Refactor interno de la clase ‘AIOWPSecurity_Utility_File’ para mejorar la claridad del código.
• Retoque: Actualización de contenido del aviso estacional para 2024

5.2.9 – 06/Mar/2024

• Corrección: Eliminar la llamada a ‘update_event_table_column_to_timestamp’ en la rutina de actualización
• Corrección: Eliminar la llamada a ‘wp_timezone()’ que solo está disponible en WP 5.3+

5.2.8 – 05/Mar/2024

• Corrección: La comprobación de usuario que afecta al plugin «Duo Two-Factor Authentication»
• Corrección: La rutina de actualización de la base de datos ahora se ejecuta sin necesidad de visitar la interfaz de administración o cada sitio individual en un multisitio
• Corrección: Algunos ajustes en el menú del cortafuegos no se restablecen después de desactivar y reactivar el plugin.
• Retoque: El registro de auditoría y la columna de fecha y hora del archivo de exportación CSV de eventos 404 ahora están en un formato legible por humanos, no en una marca de tiempo Unix.
• Retoque: El campo de fecha y hora existente de la tabla de registro de depuración convertido a marca de tiempo para que sea independiente de la zona horaria
• Retoque: El campo de fecha y hora existente de la tabla meta global convertido a marca de tiempo para ser independiente de la zona horaria
• Retoque: El campo de fecha y hora existente de la tabla de bloqueo permanente convertido a marca de tiempo para que sea independiente de la zona horaria
• Retoque: Reprogramar las acciones de los elementos de la lista para mejorar aún más la claridad del código
• Retoque: Eliminado el menú de administración «lista negra» como se anunció anteriormente
• Retoque: Eliminado el menú de administración «varios» como se anunció anteriormente
• Retoque: Eliminada varias pestañas del menú de administración como se anunció anteriormente
• Retoque: Almacenar el resultado de la búsqueda de IP para otros tipos de entradas en la tabla de bloqueo de acceso
• Retoque: Actualizar la indicación de revisión del pie de página
• Retoque: Eliminado el límite de tamaño máximo de carga de archivos a 250 MB por el filtro ‘aiowps_max_allowed_upload_config’
• Retoque: Mejorar la detección de spam en comentarios para no interferir con otros formularios

5.2.7 – 06/Feb/2024

• Seguridad: Añadido comprobaciones nonce a varias acciones de la tabla de listas para evitar una vulnerabilidad CSRF. Gracias a dhakal_ananda por revelar este defecto. Esto permitiría a un atacante que persuadiera a un administrador conectado a visitar un enlace especialmente diseñado para realizar acciones en los registros de eventos 404.

5.2.6 – 06/Feb/2024

• Seguridad: Se ha eliminado el uso innecesario del parámetro de consulta «pestaña» en varias páginas del menú de administración para evitar una vulnerabilidad XSS no persistente. Gracias a Matthew Rollings por revelar este defecto. (Esto permitiría que un atacante que lo apunte deliberadamente mientras está conectado como administrador y lo convenza de visitar un enlace que él controla para inyectar scripts no deseados en una sola visita a tu página de administración de AIOS).
• Característica: Añadido un evento de cerrar sesión a los registros de auditoría
• Característica: Añadir la capacidad de borrar el archivo «readme.html» por defecto y el archivo «wp-config-sample.php»
• Corrección: Corregir algunas llamadas de traducción que utilizaban el dominio de texto incorrecto
• Corrección: Aviso de PHP causado por el explorador de archivos no puede leer su archivo de datos
• Corrección: El botón de solicitud de desbloqueo no se mostraba y redirige a 127.0.0.1
• Corrección: Errores de la base de datos para la tabla aiowps_login_lockdown durante la instalación del plugin
• Retoque: Rediseñar la interfaz de usuario 6G
• Retoque: Añadida una opción para establecer el tema de CAPTCHA de Cloudflare Turnstile
• Retoque: Añadido estilo CSS para la columna de detalles del registro de auditoría
• Retoque: Se han corregido los enlaces de estado de las funciones críticas del escritorio y solo se muestran las funciones que se pueden activar en un subsitio de multisitio
• Retoque: Desactivar el plugin ahora elimina la información de acceso almacenada para que en la próxima activación los usuarios no sean forzados a desconectarse
• Retoque: Mostrar cadena json en lugar de nulo si ‘json_decode’ no funciona para los detalles del registro de auditoría
• Retoque: El campo de fecha y hora existente de la tabla de eventos convertido a marca de tiempo para que sea independiente de la zona horaria
• Retoque: Varios retoques para que el código base cumpla con los estándares de codificación
• Retoque: Varios retoques para garantizar que no se pasen varias oraciones a una única función de traducción
• Retoque: Se ha corregido la interfaz de usuario rota para los ajustes del cortafuegos RSS y Atom y se añadió un cuadro de «más información»
• Retoque: Corrección del problema de la identificación única en DOM
• Retoque: Se han unido las pestañas «Nombre de usuario» y «Nombre para mostrar» en los ajustes de «Seguridad del usuario»
• Retoque: Se ha movido la pestaña de «Detección 404» al menú de administración de «Fuerza bruta»
• Retoque: Se ha movido la pestaña de «Edición de archivos PHP» a la pestaña de «Protección de archivos»
• Retoque: Se ha movido la pestaña de «Enumeración de usuarios» a la pestaña «Cuentas de usuario» en el menú de «Seguridad del usuario»
• Retoque: Se ha movido la pestaña de «WP Rest API» al menú de «Cortafuegos»
• Retoque: Se ha movido la pestaña de «Protección de copiado» y «Marcos» al menú de «Seguridad de archivos»
• Retoque: Se ha movido la pestaña de «Salt» al menú de «Seguridad del usuario»
• Retoque: Se ha movido la pestaña de «Gestor de lista negra» al menú de «Cortafuegos».
• Retoque: Los restablecimientos de la contraseña, los usuarios eliminados y borrados ahora se registran en el registro de auditoría
• Retoque: Evita que la IP 404 se bloquee si hay un bloqueo actual en esa IP
• Retoque: Unifica la conversión de fecha y hora con compatibilidad con la zona horaria de los usuarios
• Retoque: Se ha modificado la forma en que los datos vacíos en el resultado de la búsqueda de IP se almacenan en la base de datos.
• Retoque: Rehacer la página del menú del cortafuegos para que tenga dos pestañas para las reglas de PHP y .htaccess
• Retoque: Añadida compatibilidad de captcha para Contact Form 7
• Retoque: Añadida una función de guardar ajustes de AJAX y obtener detalles de las características de función de insignia como parte del trabajo en curso para añadir compatibilidad con AJAX a los ajustes del plugin
• Retoque: Mejora en el correo electrónico para restablecer la contraseña añadiendo información de IP
• Retoque: Eliminar la metaetiqueta de la barra de herramientas de la imagen desaparecida
• Retoque: El campo de fecha y hora existente de las tablas de bloqueo de acceso se ha convertido a marca de tiempo para que sea independiente de la zona horaria
• Retoque: Mejoras en el código – utilizando objetos de WP_Error en lugar de arrays

5.2.5 – 25/Oct/2023

• Seguridad: En una instalación multisitio, si se usaba la característica AIOS para cambiar el nombre y ocultar la página de acceso, existía una ruta para que un atacante descubriera la página de acceso oculta, negando así la utilidad de la característica. Gracias a Naveen Muthusamy por revelar este defecto.
• Característica: Bloquear las solicitudes POST que tengan un agente de usuario y un referente en blanco
• Característica: Añadido datos de búsqueda de IP inversa al correo electrónico de aviso de bloqueo de acceso
• Corrección: Evitar un error fatal al configurar el cortafuegos si el servidor ha desactivado la función parse_ini_file
• Corrección: Evitar que el almacén de mensajes del cortafuegos se llene con entradas no usadas
• Corrección: Evitar que se bloquee el tráfico legítimo de Googlebot en sitios donde la función gethostbyaddr falla o está desactivada
• Corrección: Un problema que impedía que las actualizaciones de MainWP se realizaran correctamente
• Corrección: Evitar la enumeración de usuarios a través de la REST API y el protocolo oEmbed
• Corrección: La lista negra del agente de usuario no coincide correctamente con todas las cadenas
• Corrección: La tabla del usuario conectado no muestra la información correcta
• Retoque: Mejorar la detección de spam en comentarios mediante el uso de campos ocultos y cookies
• Retoque: La lista blanca de acceso sugiere direcciones IPv4 e IPv6 para la lista blanca
• Retoque: Las acciones del menú en el menú de administración del escritorio ahora se procesan a través de AJAX
• Retoque: Casillas de verificación convertidas en las páginas del menú de administración a interruptores
• Retoque: Añadir las columnas network_id y site_id a la tabla de registros de depuración para diferenciar los registros entre sitios en multisitio
• Retoque: Se han combinado varios menús de administración de usuarios en un nuevo menú de administración de «Seguridad de usuario»
• Retoque: El nombre del archivo de configuración de exportación ahora refleja la zona horaria local.
• Retoque: Mejorar la UI/UX del explorador de archivos dando paso a futuras mejoras
• Retoque: Rediseñar las insignias del gestor de característica
• Retoque: Eliminada varias pestañas del menú de administración como se anunció anteriormente
• Retoque: Añadir características que dependen de otros plugins al gestor de característica de forma condicional
• Retoque: Añadida una comprobación nula a la función que elimina la metainformación de wp de los scripts y estilos src para evitar una advertencia de obsolescencia de PHP
• Retoque: La fecha y la hora del registro de auditoría ahora se muestran en la zona horaria del sitio
• Retoque: Advertencia de PHP clave de matriz indefinida REQUEST_METHOD en rule-proxy-comment-posting.php
• Retoque: Cuando TranslatePress está activo, cerrar la sesión a través de WooCommerce no debería mostrar una página 404 si el ajuste «renombrar la página de acceso» está activado.

5.2.4 – 16/Aug/2023

• Corrección: Los ajustes del cortafuegos portado se desactivaban en la actualización

5.2.3 – 09/Aug/2023

• Corrección: Error fatal «set_value() en nulo» cuando falta la configuración del cortafuegos
• Corrección: Avisos de PHP cuando se ejecuta bajo cron
• Corrección: Revertir el cambio que causó que la lista blanca de acceso de fuerza bruta mostrara las IPs del servidor y no los usuarios
• Retoque: Añadir un mecanismo de comunicación para que el cortafuegos pueda enviar datos a WordPress
• Retoque: Eliminar las menciones incorrectas del archivo «.htaccess» en las reglas de cortafuegos de PHP

5.2.2 – 04/Aug/2023

• Característica: Una lista de direcciones IP permitidas que eluden las reglas del cortafuegos
• Corrección: Corrección de ‘get_class()’ en un error fatal nulo al actualizar a través de «ManageWP»
• Corrección: No existe tal aviso de archivo o directorio generado por el archivo de configuración del cortafuegos
• Corrección: Solo envía el correo electrónico de actualización si se han activado una o más de las reglas portadas
• CORRECCIÓN: Los bots falsos de Google ahora se bloquean si la dirección IP del servidor del bot no se resuelve con un hostname
• CORREGIDO: Google reCaptcha ahora aparece correctamente en la página de pago de WooCommerce
• CORREGIDO: Impide el acceso automático de WooCommerce si se activa la aprobación de registro manual
• Corrección: Problema de superposición de la interfaz de usuario de la pestaña de actualización premium.
• Corrección: Permitir que el modo de mantenimiento se controle a través de WP-CLI (Premium)
• Corrección: Usar la identificación del sitio correcto para los eventos de éxito de acceso añadidos a la tabla de registro de auditoría en multisitio
• Corrección: Añadido características faltantes a la lista del administrador de funciones
• Corrección: Una advertencia al usar el comando actualizar todo a través de WP-CLI
• Retoque: La dirección IP basada en los ajustes de AIOS ahora se usa en lugar de la variable del servidor ‘REMOTE_ADDR’ para múltiples avisos de códigos 2FA incorrectos
• Retoque: Añadido el filtro ‘aios_audit_log_record_event’ para permitir que los eventos no se registren
• Retoque: Mejorar la estructura del código del administrador de elementos de características para dar paso a futuras mejoras
• Retoque: La lista blanca de acceso sugiere direcciones IPv4 e IPv6 para la lista blanca.
• Retoque: Se ha movido la pestaña de «Reglas personalizadas» de la sección de «Cortafuegos» a su propia pestaña en la sección de «Herramientas»
• Retoque: Se ha movido la pestaña de «Evitar hotlinking» a la pestaña de «Protección de archivos» en el menú de «Seguridad del sistema de archivos»
• Retoque: Se ha movido todos los ajustes de CAPTCHA a la pestaña de «Ajustes de CAPTCHA» en el menú de «Fuerza bruta»
• Retoque: Se ha movido la pestaña de «Herramienta de contraseña» al menú de administración de «Herramientas»
• Retoque: Se ha movido la pestaña de «Bloqueo de visitantes» al menú de administración de «Herramientas»
• Retoque: Se ha movido la pestaña de «Señuelo de registro de usuario» al menú de administración de «Fuerza bruta»
• Retoque: Eliminar la «tabla de actividad de la cuenta» ya que estas entradas también se registran en el registro de auditoría
• Retoque: Eliminada la pestaña de «Registros de acceso fallidos» como se anunció anteriormente, estos ahora se registran en el registro de auditoría
• Retoque: Mejorar el rendimiento del código de la tabla de listas
• Retoque: Eliminado el uso de $_GET, $_POST, $_REQUEST de todos los archivos de plantilla para dar paso a mejoras futuras.

5.2.1 – 12/Jul/2023

• Corrección: Incluir archivo de clase auxiliar del cargador
• Retoque: Cargar condicionalmente el JavaScript del bloque TFA

5.2.0 – 10/Jul/2023

• Seguridad: Eliminar los datos de identificación de pila de la traza antes de guardarlos en la base de datos. Este defecto significaba que un administrador del sitio tenía el potencial, entre las versiones 5.1.9 y 5.2.0 (que elimina los datos existentes), de saber cuáles son las contraseñas de los usuarios del sitio. Esta información tiene un valor limitado (un administrador ya puede restablecer la contraseña de cualquier persona), excepto en la medida en que los usuarios puedan reutilizar las contraseñas en otros sitios. En ese escenario de «administrador hostil», tu sitio tiene otros problemas (ya que el administrador hostil tiene una gran cantidad de formas equivalentes de causar daño a los usuarios, especialmente si no está en varios sitios donde un administrador del sitio no es potencialmente un superadministrador y puede no serlo o capaz de instalar o configurar los plugins). Este registro de cambios se amplió en respuesta a informes incorrectos que sugerían un problema más amplio (por ejemplo, no mencionaron que el atacante ya debe estar conectado como administrador para leer el registro, o que la actualización a 5.2.0 borra los datos afectados).
• Seguridad: Establecer restricciones más estrictas sobre lo que los administradores de subsitios pueden hacer en un multisitio.
• Corrección: Después de editar un archivo, restablecer los permisos a los permisos originales
• Corrección: Corregidos algunos enlaces rotos en el plugin
• Corrección: Error fatal: No se puede declarar la clase
• Corrección: Normalizar todos los argumentos en pila de la traza
• Corrección: Añadido registros de acceso incorrectos a la tabla de actividad de acceso en varios sitios cuando el usuario accede en un subsitio al que no pertenece.
• Corrección: Resuelto demasiados errores de redireccionamiento para usuarios de salida forzada
• Retoque: Para Cronjob, WP CLI y la constante definida ‘AIOS_DISABLE_EXTERNAL_IP_ADDR’ no usan servicios externos para las direcciones IP de los usuarios. Advertencia de error en la solicitud silenciada de «api.ipify.org».
• Retoque: Restablecer la traducción de la página de contraseña y generar el botón de contraseña añadido para la página de acceso renombrada
• Retoque: Añadido el filtro ‘aios_audit_log_event_user_ip’ para permitir el filtrado de direcciones IP en el registro de auditoría
• Retoque: Añadido el gancho de acción ‘aios_reset_all_settings’ para restablecer todos los ajustes.
• Retoque: Página de acceso renombrada para tener un menú desplegable de cambio de idioma y otros retoques según WordPress 6.2

5.1.9 – 09/May/2023

• Característica: Direcciones IP – Funcionalidad del gestor de la lista negra basada en PHP en lugar de reglas «.htaccess». Añadida la constante ‘AIOS_DISABLE_BLACKLIST_IP_MANAGER’, defínela en tu archivo «wp-config.php» para desactivar el gestor de la lista negra de IP.
• Característica: Detectar a los bots de spam que publican comentarios y descartarlo por completo o marcarlo como spam.
• Característica: Cifrar las claves secretas de TFA que se almacenan en la base de datos (protección adicional en caso de que tu base de datos sean hackeados)
• Característica: Añadida una acción en lote «Borrar todo» y «Borrar filtrado» a la tabla de registro de auditoría
• Corrección: Evita que Cloudflare Turnstile se añada a los formularios de acceso cuando no se hayan establecido credenciales
• Corrección: Cambiar el lugar donde se carga el controlador de eventos del registro de auditoría para evitar un error al borrar el plugin
• Corrección: Corrección de las comprobaciones de las clases de contexto para ser compatibles con cli
• Retoque: El superadministrador de multisitio puede acceder al escritorio sin volver a acceder si el sufijo de salt está activado
• Retoque: El archivo Captcha JavaScript se carga innecesariamente en algunas páginas del sitio si está activado el captcha de comentario o el captcha de acceso personalizado
• Retoque: Se han cambiado algunos controles de nonce para usar nuestra función interna para verificar la capacidad del usuario y los nonces
• Retoque: Los registros de usuarios y los accesos correctos ahora se registran en el registro de auditoría
• Retoque: Añadido una clase de comandos y se reprogramaron los controladores Ajax.
• Retoque: Verificación de captcha para evitar conflictos con algunos plugins que recuerdan el código de identificación de WordPress
• Retoque: Mejora de la interfaz de usuario de la característica de prefijo de la tabla de la base de datos.
• Retoque: Las actualizaciones principales de WordPress ahora se registran en el registro de auditoría
• Retoque: Las actualizaciones de traducción ahora se registran en el registro de auditoría
• Retoque: Añadir un evento de cambio de entidad al registro de auditoría cuando la información del actualizador no está disponible
• Retoque: Correos electrónicos automatizados enviados por AIOS que no se pudo enviar debido a la dirección del remitente

5.1.8 – 11/April/2023

• Corrección: Detección 404 – las acciones de bloqueo temporal, borrar y lista negra de registros individuales dejaron de funcionar en 5.1.7
• Corrección: Error fatal no detectado en ‘set_value’ nulo
• Corrección: Eliminar las acciones del controlador de eventos del registro de auditoría al borrar el plugin para evitar un error
• Corrección: Eliminar algunos controladores de eventos de registro de auditoría al borrar el plugin para evitar un error
• Corrección: Obtén la ruta «wp-config» correcta cuando se instala en un subdirectorio
• Retoque: Ignorada la excepción de tiempo de espera agotado ‘AIOS_Helper::request_remote’.
• Retoque: El nombre de la clase ‘Requests_IPv6’ está obsoleto en WordPress 6.2.
• Retoque: Los intentos de acceso fallidos ahora se registran en el registro de auditoría

5.1.7 – 24/March/2023

• Corrección: Evitar errores fatales al llamar a ‘get_server_detected_user_ip_address()’ cuando el cortafuegos no está configurado.
• Retoque: Aclarar el título del aviso del escritorio y cambiar la imagen.

5.1.6 – 21/March/2023

• Característica: Añadido un registro de auditoría.
• Característica: Añadir la opción de sufijo de salt para mejorar la seguridad de tu sitio.
• Característica: Biblioteca compartida que se puede usar desde el cortafuegos.
• Corrección: Cambia el nombre del slug de acceso usando como ‘wp-login-RANDOM_SUFFIX’ que muestra el problema de la página 404 resuelto y la limpieza del código para la activación en multisitio.
• Corrección: Conflicto de tema secundario de Divi – solucionada la llamada a la función indefinida ‘et_builder_get_fonts()’ en «functions.php» en la línea 208.
• Corrección: La pestaña de ajustes de captcha en la instalación de sitios múltiples para subsitios que no se muestran.
• Corrección: Error de evento de reprogramación de cron para el gancho ‘aios_15_minutes_cron_event’ si el plugin está desactivado o desinstalado.
• Retoque: Detener la enumeración de usuarios ahora muestra el código de error prohibido 403 en lugar del error del servidor 500.
• Retoque: PHP 8.1 advierte que rawurldecode pasa nulo en lugar de tipo de cadena está en obsoleto para la regla de cadena de solicitud de bloque 6g.
• Retoque: Código de limpieza para desactivar la constante de fuerza bruta basada en cookies cuando la regla se movió al cortafuegos.
• Retoque: Interfaz de usuario de la página de vigilancia de IP de comentario spam.
• Retoque: Actualizados los avisos de temporada.
• Retoque: Mejora de la estructura del código interno para dar paso a futuras mejoras
• Retoque: Eliminar la mención de que las reglas de cortafuegos 6g están basadas en «.htaccess», ya que ahora están basadas en php.
• Retoque: Añadida una nueva función interna para verificar la capacidad del usuario y los nonces.
• Retoque: Mejorar el código de configuración con guardado integrado.
• Retoque: Permitir que el registro de auditoría se filtre y se exporte a CSV.

5.1.5 – 13/February/2023

• Característica: Añadida compatibilidad con Cloudflare Turnstile CAPTCHA
• Corrección: Se resolvieron los avisos sobre la clave de array no definida ‘HTTP_USER_AGENT’.
• Corrección: Las nuevas características v5 no se guardan en el archivo de exportación y no se restablecen correctamente después de la desinstalación.
• FIX: File permission change being applied to the last record not selected one. …