iThemes Security (anteriormente Better WP Security)

Descripción

iThemes Security es el plugin de seguridad WordPress nº1

iThemes Security (anteriormente Better WP Security) te ofrece más de 30 maneras de asegurar y proteger tu sitio WordPress. De promedio, 30.000 nuevas webs son hackeadas cada día. Los sitios WordPress pueden ser un blanco fácil para los ataques debido a vulnerabilidades de plugins, contraseñas débiles y software obsoleto.

La mayoría de los administradores de WordPress no saben que son vulnerables, pero iThemes Security se ocupa de bloquear WordPress, solucionar agujeros habituales, de frenar ataques automatizados y de fortalecer credenciales de usuarios. Con las características avanzadas para usuarios avanzados, nuestro plugin de seguridad WordPress puede ayudar a fortalecer WordPress.

Mantenimiento y soporte de iThemes

iThemes lleva creando y dando soporte para herramientas WordPress desde 2008 como BackupBuddy, nuestro plugin de copias de seguridad para WordPress. Con todo nuestro paquete de plugins, themes y formación, WordPress security es el siguiente paso al ofrecerte todo lo que necesitas para crear la web WordPress.

Consigue soporte para el plugin y características pro

Consigue más paz y tranquilidad con el soporte profesional de nuestro equipo de expertos y las características pro para llevar la seguridad de tu sitio al siguiente nivel con iThemes Security Pro.

Características Pro:

  • Identificación de dos factores – Utiliza una aplicación móvil como Google Authenticator o Authy para generar un código o que se te envíe un código generado por correo electrónico.
  • Salts y claves de seguridad de WordPress – El plugin iThemes Security hace que actualizar tus claves y salts de WordPress sea algo sencillo.
  • Programación de escaneo de malware – Escanea tu sitio para que busque malware automáticamente cada día. Si se encuentra algún error se envía un correo electrónico con los detalles.
  • Seguridad en contraseñas – Crea contraseñas seguras desde la pantalla de tu perfil.
  • Caducidad de contraseña – Establece una caducidad máxima para la contraseña y fuerza a los usuarios a elegir una nueva contraseña. También puedes forzar a los usuarios a elegir inmediatamente una nueva contraseña (si fuese necesario).
  • Google reCAPTCHA – Protege tu sitio contra spammers.
  • Registro de acciones de usuario – Haz un seguimiento del contenido que editan los usuarios, sus accesos y desconexiones.
  • Ajustes de importar/exportar – Ahorra tiempo configurando varios sitios WordPress.
  • Widget de escritorio – Gestiona tareas importantes como el baneo de usuarios o escaneos del sistema desde el escritorio de WordPress.
  • Comparación de archivos online – Cuando se detecta el cambio en un archivo se escaneará el origen de los archivos para determinar si el cambio fue malintencionado o no. Actualmente solo funciona con el núcleo de WordPress pero pronto lo hará en plugins y temas.
  • Escalado de privilegios temporal – da a un contratado u otra persona acceso temporal de administrador o editor en tu sitio, que se restablecerá automáticamente.
  • Integración con wp-cli – Gestiona la seguridad de tu sitio desde la línea de comandos.

Integración con iThemes Sync

¿Administras más de un sitio WordPress? Gestiona el modo de reposo, lanza bloqueos y protege tus temas, plugins y núcleo de WordPress con iThemes Sync. Empieza a administrar 10 sitios WordPress gratis con iThemes Sync.

Red de protección de ataques de fuerza bruta de iThemes

iThemes Security lleva la protección frente a ataques de fuerza bruta al siguiente nivel, baneando de tu sitio usuarios que hayan tratado de romper otros sitios. La red de protección frente a ataques de fuerza bruta de iThemes informará automáticamente direcciones IP con intentos fallidos de acceso, y las bloqueará durante el tiempo necesario para proteger tu sitio, basándose en el número de sitios en los que se haya visto un ataque similar.

Protege

iThemes Security sirve para proteger tu sitio, bloqueando usuarios maliciosos e incrementando la seguridad de las contraseñas y otra información vital.

  • Evita ataques de fuerza bruta baneando servidores y usuarios con demasiados intentos de acceso no válidos
  • Escanea tu sitio para que informe instantáneamente de cualquier vulnerabilidad existente y las soluciona en segundos
  • Banea agentes de usuario problemáticos, bots y otros servidores
  • Refuerza la seguridad del servidor
  • Fuerza el uso de contraseñas seguras en todas las cuentas a partir de un perfil mínimo configurable
  • Fuerza SSL en las páginas de administración (en los servidores compatibles)
  • Fuerza SSL en cualquier página o entrada (en los servidores compatibles)
  • Desactiva la modificación de archivos desde dentro del área de administración de WordPress
  • Detecta y bloquea numerosos ataques a tu sistema de archivos y base de datos

Detecta

iThemes Security vigila tu sitio e informa de cambios en el sistema de archivos y la base de datos que pudieran indicar que esté comprometido. iThemes Security también detecta bots y otras amenazas para buscar vulnerabilidades.

  • Detecta bots y otros intentos de búsqueda de vulnerabilidades.
  • Monitorea el archivo de sistema en busca de cambios no autorizados.
  • Ejecuta un escaneo de malware y listas negras desde la portada de tu sitio.
  • Recibe avisos por correo electrónico cuando se bloquee a alguien después de demasiados intentos de acceso fallidos, o cuando cambie un archivo en tu sitio.

Oculta

iThemes Security oculta las vulnerabilidades de seguridad más comunes de WordPress, evitando que los atacantes aprendan demasiado sobre tu sitio y manteniéndoles lejos de área sensibles, como la pantalla de acceso al sitio, la administración, etc.

  • Cambia las URLs de las áreas del escritorio de WordPress, incluyendo la de acceso, administración y más
  • Desactiva completamente la posibilidad de acceder durante un periodo de tiempo dado (modo de reposo)
  • Elimina avisos de actualizaciones de temas, plugins y núcleo a los usuarios que no tienen permisos para actualizarlos
  • Elimina la información de cabecera de Windows Live Writer
  • Elimina la información de cabecera RSD
  • Renombra la cuenta “admin”
  • Cambia el ID del usuario con ID 1
  • Cambia el prefijo de tabla de la base de datos de WordPress
  • Cambia la rut de wp-content
  • Elimina los mensajes de error de acceso

Recupera

iThemes Security hace copias de seguridad regulares de tu base de datos de WordPress, permitiéndote volver a estar online rápidamente en caso de recibir un ataque. Utiliza iThemes Security para crear y enviar por correo electrónico copias de seguridad con una programación personalizada.

Para copias de seguridad completas y la posibilidad de restaurar o mover WordPress a un nuevo sitio o alojamiento echa un vistazo a BackupBuddy.

Otros beneficios de seguridad para WordPress

  • Facilita a los usuarios no acostumbrados a WordPress recordar las URLs de administración y acceso personalizando las URLs por defecto de administración
  • Detecta errores 404 ocultos en tu sitio que podrían afectar a tu SEO, como enlaces rotos e imágenes inexistentes

Tutoriales de seguridad WordPress

Aprende a usar nuestro plugin de seguridad para WordPress con nuestra serie de videotutoriales en profundidad:

Compatibilidad

  • Funciona en instalaciones sencillas y multisitio (red)
  • Funciona con Apache, LiteSpeed o NGINX (Nota: NGINX requerirá que edites manualmente la configuración de tu servidor virtual)
  • Características como las copias de seguridad de la base de datos y las comprobaciones de archivos pueden ser problemáticas en servidores sin un mínimo de 64MB de RAM. Todos los servidores de prueba dedican 128MB a WordPress y normalmente no tienen otros plugins instalados.

Traducciones

Por favor, haznos saber si quieres colaborar con la traducción.

Advertencia

Por favor, lee las instrucciones de instalación y las preguntas frecuentes antes de instalar este plugin de seguridad WordPress. iThemes Security realiza cambios significativos en tu base de datos y otros archivos del sitio que pueden ser problemáticos, así que se recomienda encarecidamente hacer copia de seguridad antes de realizar ningún cambio en tu sitio con este plugin. Aunque es raro que haya problemas, la mayoría de las peticiones de soporte tienen que ver con no haber hecho una copia de seguridad adecuada antes de la instalación.

Licencia

Publicado bajo los términos de la licencia pública general GNU.

Capturas

  • Los ajustes de seguridad de WordPress están organizados en un escritorio fácil de usar.
  • También puedes gestionar los ajustes en visualización de lista.
  • Los ajustes se configuran con facilidad, y están explicados con descripciones detalladas.
  • Los ajustes de seguridad avanzada para WordPress te permiten hacer modificaciones más complejas a tu sitio.
  • Escaneo de malware gratuito gracias a Sucuri SiteCheck.

Instalación

NOTA: iThemes Security hace cambios significativos a tu base de datos y otros archivos del sitio que podrían ser problemáticos en sitios WordPress existentes, por eso te recomendamos encarecidamente hacer una copia de seguridad completa de tu sitio antes hacer cualquier cambio en tu sitio con este plugin. Aunque es raro que haya problemas la mayoría de las peticiones de soporte suelen tener que ver con no haber realizado antes de la instalación una copia de seguridad adecuada.

  1. ANTES DE EMPEZAR: Haz copia de seguridad de la base de datos de WordPress, el archivo de configuración y el archivo .htaccess. Recomendamos usar BackupBuddy, nuestro plugin de copias de seguridad WordPress para una copia de seguridad completa del sitio.
  2. Sube el archivo zip al directorio /wp-content/plugins/
  3. Descomprimir
  4. Activa el plugin en menú ‘Plugins’ de WordPress
  5. Visita el menú Seguridad para ver la lista de comprobaciones y las opciones

CESIÓN DE RESPONSABILIDAD: Bajo ninguna circunstancia ofrecemos este plugin con garantía alguna, implícita o de cualquier otro tipo. No podemos asumir responsabilidades por cualquier daño que pueda surgir del uso de este plugin.

Preguntas frecuentes

Installation Instructions

NOTA: iThemes Security hace cambios significativos a tu base de datos y otros archivos del sitio que podrían ser problemáticos en sitios WordPress existentes, por eso te recomendamos encarecidamente hacer una copia de seguridad completa de tu sitio antes hacer cualquier cambio en tu sitio con este plugin. Aunque es raro que haya problemas la mayoría de las peticiones de soporte suelen tener que ver con no haber realizado antes de la instalación una copia de seguridad adecuada.

  1. ANTES DE EMPEZAR: Haz copia de seguridad de la base de datos de WordPress, el archivo de configuración y el archivo .htaccess. Recomendamos usar BackupBuddy, nuestro plugin de copias de seguridad WordPress para una copia de seguridad completa del sitio.
  2. Sube el archivo zip al directorio /wp-content/plugins/
  3. Descomprimir
  4. Activa el plugin en menú ‘Plugins’ de WordPress
  5. Visita el menú Seguridad para ver la lista de comprobaciones y las opciones

CESIÓN DE RESPONSABILIDAD: Bajo ninguna circunstancia ofrecemos este plugin con garantía alguna, implícita o de cualquier otro tipo. No podemos asumir responsabilidades por cualquier daño que pueda surgir del uso de este plugin.

¿Por qué iThemes Security requiere la última versión de WordPress? ¿Puedo usarlo con una versión un poco más antigua?
  • Una de las mejores prácticas de seguridad de un propietario de un sitio WordPress es tener el software actualizado. Debido a esto solo probamos este plugin con la última versión estable de WordPress y solo garantizamos que funcione en la última versión.
¿Frenará este plugin completamente todos los ataques a mi sitio?
  • No. iThemes Security está diseñado para ayudar a mejorar la seguridad de tu instalación de WordPress frente a la mayoría de los métodos de ataque más comunes, pero no puede impedir todo posible ataque. Nada reemplaza la diligencia y las buenas prácticas. Este plugin hace que te sea un poco más fácil aplicarlas.
¿Este plugin es solo para nuevas instalaciones de WordPress o puedo usarlo también en sitios existentes?
  • Muchos de los cambios que hace este plugin son complejos y pueden romper sitios existentes. Aunque puedes instalar iThemes Security en un sitio nuevo o existente, recomendamos encarecidamente hacer una copia de seguridad completa de tu sitio existente antes de activar cualquiera de las características incluidas en este plugin.
¿Funcionará este plugin en todos los servidores y alojamientos?
  • iThemes Security requiere Apache o LiteSpeed y mod_rewrite o NGINX para funcionar.
  • Aunque este plugin debería funcionar en todos los alojamientos con Apache, LiteSpeed y mod_rewrite o NGINX, se han observado problemas en entornos de alojamientos compartidos con pocos recursos de CPU o RAM. Por este motivo, es extremadamente importante que hagas una copia de seguridad de tu sitio antes de instalarlo en cualquier sitio existente. Si te quedas sin recursos durante una operación tal como la de renombrar tablas de tu base de datos puede que necesites una copia de seguridad para poder restaurar el acceso a tu sitio.
  • Para finalizar, asegúrate de que tienes suficiente RAM si planeas usar el detector de cambio en archivos o vas a hacer copias de seguridad grandes.
¿Funciona en una red o en instalaciones multisitio?
  • Sí. Estamos a punto de publicar más documentación, así que avisaremos tan pronto como esté disponible.
¿Puedo ayudar?
¿Qué cambios hace este plugin que puedan romper mi sitio?
  • iThemes Security hace cambios significativos a tu base de datos y otros archivos del sitio que podrían ser problemáticos en sitios WordPress existentes. De nuevo, te recomendamos encarecidamente hacer una copia de seguridad completa de tu sitio antes de usar este plugin. Aunque es raro que haya problemas la mayoría de las peticiones de soporte suelen tener que ver con no haber realizado antes de la instalación una copia de seguridad adecuada.
    CESIÓN DE RESPONSABILIDAD: Bajo ninguna circunstancia ofrecemos este plugin con garantía alguna, implícita o de cualquier otro tipo. No podemos asumir responsabilidades por cualquier daño que pueda surgir del uso de este plugin.
  • Date cuenta de que renombrar el directorio wp-content no modificará las rutas en el contenido existente. Utiliza esta característica solo en sitio nuevos o en una situación en la que puedas modificar fácilmente todos los enlaces existentes.
  • Solución a bloqueos con iThemes Security
  • Qué es lo que ha cambiado en iThemes Security
He activado la opción de Forzar SSL y ha roto mi sitio. ¿Como lo recupero?
  • Abre tu archivo wp-config.php en un editor de texto y quita las siguientes 2 líneas:
  • define(‘FORCE_SSL_LOGIN’, true);
  • define(‘FORCE_SSL_ADMIN’, true);
¿Dónde puedo conseguir ayuda si algo va mal?
  • El soporte oficial para este plugin está disponible para los clientes de iThemes Security Pro. Nuestro equipo de expertos está listo para ayudar.

Puedes obtener soporte gratuito con la ayuda de la comunidad en los foros de soporte de WordPress.org (Nota: es soporte ofrecido por la comunidad. iThemes no revisa los foros de soporte de WordPress.org).

Reseñas

Great plugin, thank you!

Many features make it possible to easily solve some security bottlenecks. Really simple and powerful!

Thanks to developer team!

Pretty good plugin

It has a lot of functionality, which makes the plugin a bit complex. However, together with a youtube tutorial it was super easy to set up. And so much of the functionality is free.

Plugin has a lot of good features, but …

This plugin has a lot of good features, but…

The main reason for me installing this plugin was to hide my backend (or default WordPress stuff like wp-login, wp-admin, etc), but all this did was redirect back to the default login page. Pretty useless on that front and not really securing anything. Great idea in theory, but not in practice. Hope this gets fixed as there is alot of other useful stuff in this plugin worth keeping it for.

Doesn’t hide the backend

This plugin has a lot of good features, but they are not implemented very well. The main reason for me installing this plugin was to hide my backend (or default WordPress stuff like login, etc), but all this did was redirect back to the default login page. Pretty useless on that front.

Leer todas las 3.831 reseñas

Colaboradores y desarrolladores

“iThemes Security (anteriormente Better WP Security)” es un software de código abierto. Las siguientes personas han colaborado con este plugin.

Colaboradores

“iThemes Security (anteriormente Better WP Security)” ha sido traducido a 8 idiomas. Gracias a los traductores por sus colaboraciones.

Traduce “iThemes Security (anteriormente Better WP Security)” a tu idioma.

¿Interesado en el desarrollo?

Revisa el código , echa un vistazo al repositorio SVN , o suscríbete al log de desarrollo por RSS .

Registro de cambios

6.7.0

  • New Feature: Introduces the Notification Center, a centralized place to manage and customize email notifications sent by iThemes Security.
  • Enhancement: Updated queries and prepare statements to account for changes to the esc_sql() function in WordPress 4.8.3.
  • Bug Fix: Corrected some Javascript and CSS links not generating correctly on Windows servers.

6.6.1

  • Bug Fix: Fixed SQL query bug that resulted in the “Minutes to Remember Bad Login (check period)” setting being ignored.
  • Bug Fix: Fixed bug that prevents wp-admin/install.php blocking from working properly on nginx servers.
  • Bug Fix: Don’t attempt to do an SSL redirect when WP CLI is running.

6.6.0

  • Nueva característica: Añadido un nuevo ajuste en los Ajustes de WordPress: “Acceso con dirección de correo electrónico o nombre de usuario”.
  • Mejora: Se alojan las imágenes de correo electrónico en el plugin en vez de en los servidores de iThemes para ayudar a los clientes de correo electrónico a marcar mensajes como spam o a bloquear imágenes.
  • Bug Fix: Error when searching for modules preventing modules from appearing.
  • Bug Fix: Use the wp_options table when acquiring locks in Multisite.
  • Bug Fix: Prevent duplicate daily digest emails on sites with high load.
  • Misc: Added Magic Links, a new Pro-only feature, to be activated by Security Check.
  • Misc: Rearranged modules to be listed alphabetically.

6.5.1

  • Bug Fix: Fixed logical error that prevented backups from executing.
  • Bug Fix: Fixed issue that could cause database locks to flood the database.

6.5.0

  • Enhancement: Simplified the SSL module to offer a simple Enable/Disable setting and simplified explanations. The legacy settings are available by selecting Advanced.
  • Enhancement: Added the itsec-get-ip filter to allow code to supply the remote IP directly.
  • Enhancement: Enabling SSL support will only log you out if you are not already on an https connection.
  • Enhancement: Improve password requirements compatibility with plugins and systems that integrate with WordPress Users.
  • Removed Old Feature: Removed the “Replace jQuery With a Safe Version” feature as its use (protecting against a specific jQuery bug: https://bugs.jquery.com/ticket/9521) is many years old and is no longer a concern.
  • Bug Fix: Bumped version number of some scripts to ensure that they refresh properly.
  • Bug Fix: Fixed way to work around Hide Backend on some hosts.

6.4.0

  • Enhancement: Replaced file locking with database locking. This method of locking is compatible with all systems as it does not require the ability to write files. It also allows for locking to work on sites that have multiple front-end servers with a shared database. Since file locking is no longer used, the Global Settings > Disable File Locking setting was removed.
  • Enhancement: Add “Copy to Clipboard” functionality for server and wp-config rules.
  • Bug Fix: Prevent 404s when following links in email notifications on a site with Hide Backend enabled.
  • Bug Fix: Ensure uninstall process is not run when another version of iThemes Security is still active.
  • Bug Fix: Fixed method of working around Hide Backend.
  • Bug Fix: Warnings are no longer generated when saving a user profile with a role of “No role for this site” selected.

6.3.0

  • Important: The way that Hide Backend functions changes in this release. Previously, if your Hide Backend Login Slug was wplogin, going to example.com/wplogin would result in the URL remaining example.com/wplogin. The new implementation of this feature results in a redirect to a URL that looks as follows: example.com/wp-login.php?itsec-hb-token=wplogin. While this may not be desireable for some users, this change was necessary to fix longstanding compatibility issues with other plugins. Once you access the login page using the Login Slug page, a cookie is set with an expiration time of one hour. As long as the cookie remains, you can access example.com/wp-login.php without having to access the Hide Backend Login Slug first. If you wish to confirm that Hide Backend is working properly on your site, opening up a private browsing window is a quick way to test without having to log out and clear cookies.
  • New Feature: Added support for iThemes Sync to run the Security Check feature from inside the Sync service.
  • New Feature: Added support for the ITSEC_DISABLE_MODULES define.
  • Bug Fix: Removed warning: “Non-static method ITSEC_Setup::uninstall() should not be called statically”.
  • Bug Fix: Fixed the ability to manually enter a page number to navigate to on the Security > Logs page.
  • Bug Fix: Fixed source of warning that could appear when creating a backup while running a PHP version less than 5.4.
  • Bug Fix: Fixed source of notice that could appear when reseting a user’s password when the Strong Passwords Enforcement feature is enabled.
  • Bug Fix: Fixed bugs that prevented reporting of specific error messages related to updating the wp-config.php file.
  • Bug Fix: Fixed an infinite loop that could occur when expiring a cookie and Hide Backend is enabled.
  • Bug Fix: Fixed compatibility issue with the Jetpack plugin when Hide Backend is enabled which could prevent Jetpack from redirecting users to the wordpress.com login page.
  • Bug Fix: Fixed issue where access to wp-admin/admin-post.php when Hide Backend is enabled.
  • Bug Fix: Fixed issue that could prevent “Register” and “Lost your password?” links from working properly on the login page when Hide Backend is enabled.
  • Bug Fix: Fix fatal error when updating a profile.
  • Bug Fix: Fix strong passwords not being recognized as strong on the profile page.
  • Bug Fix: Fix fatal error when registering a new user without specifying a role ( iThemes Exchange ).
  • Bug Fix: Compatability with JetPack SSO and Password Requirements.
  • Bug Fix: Ensure viewport meta is defined when loading the password requirements update password form.
  • Bug Fix: Hide Backend is now compatible with Jetpack Single Sign On.
  • Bug Fix: Hide Backend now hides registration pages on multisite sites.
  • Bug Fix: Fixed password-protected posts not properly handling the password when Hide Backend is enabled.
  • Enhancement: Removed AhrefsBot from the HackRepair blacklist as they are legitimate bot.
  • Enhancement: Improved efficiency of Hide Backend code, increasing site performance when the feature is enabled.
  • Enhancement: Enforce strong passwords during log-in. Can be disabled via the ITSEC_DISABLE_PASSWORD_REQUIREMENTS constant.
  • Enhancement: Use canonical roles library to determine if a new user or an updated role requires a strong password.
  • Enhancement: Introduce password requirements module to centralize handling of password updates.
  • Enhancement: The Hide Backend hidden login URL is no longer leaked by password-protected content.
  • Enhancement: Allow for searching through modules and settings.
  • Enhancement: Link to other module settings pages without forcing the page to refresh.
  • Enhancement: Fire an action, “itsec_change_admin_user_id”, when the admin user id changes.
  • Enhancement: Changed default Hide Backend Register Slug from wp-register.php to wp-signup.php since WordPress switched from using wp-register.php to wp-signup.php for registrations. This will not affect existing sites.
  • Enhancement: Hide Backend functions purely in PHP code now rather than relying half on PHP code and half on .htaccess and nginx.conf modifications. This allows Hide Backend to function on web servers and server configurations that it was previously not compatible with.
  • Misc: Updated or added phpDoc to many functions.
  • Misc: Updated Disable File Locking description.

6.2.1

  • Bug Fix: When a requesting IP address cannot be found, default to 127.0.0.1. This fixes issues with some alternate cron setups.
  • Bug Fix: Having more than one iThemes Security modification in a .htaccess, nginx.conf, or wp-config.php file will no longer result in having all the file content between each section removed when updating the file.
  • Bug Fix: Modifications to the wp-config.php file added by W3 Total Cache now have their Windows-style newlines preserved when iThemes Security updates the file.

6.2.0

  • Enhancement: Improved plugin performance by reducing the number of queries made on each page.
  • Enhancement: Reduced memory and CPU usage due to various code improvements.
  • Bug Fix: A database backup will no longer be created when first activating the plugin.
  • Bug Fix: Added compatibility for MySQL strict mode in database creation syntax.
  • Bug Fix: Removed warning about a “non well formed numeric value encountered” in PHP 7.1.
  • Bug Fix: Modifications to wp-config.php, .htaccess, and nginx.conf files are now properly re-added upon reactivation.
  • Bug Fix: Fixed full settings for Hide Backend being displayed after disabling the feature and saving the settings.
  • Bug Fix: Enabling or disabling the Hide Backend feature will update the “Log Out” link so that it works as expected without having to load a new page.
  • Bug Fix: Enabling or disabling the Hide Backend feature now properly updates the .htaccess/nginx.conf file on enable and disable rather than at some future point.
  • Bug Fix: Fixed issue that could cause improper database table creation on multisite sites.
  • Bug Fix: Fixed a bug that could prevent settings from saving properly if the site was migrated to a new server or a new home path on the server.

6.1.1

  • Bug Fix: Fixed bug that prevented Away Mode from activating on some sites.

6.1.0

  • Enhancement: Added logging for failed two-factor, OAuth, and REST API authentications.
  • Enhancement: Added logging details about the source of login failures and the type of authentication that failed.
  • Enhancement: Due to improvements in tracking authentication failures, brute force attempts using alternate authentication methods are more reliably found and blocked.
  • Enhancement: The server’s IP is treated as whitelisted and will not be considered for lockouts or bans.
  • Enhancement: Reduced memory usage when creating a backup.
  • Enhancement: Changed log entry description of “IP Flagged as bad by iThemes IPCheck” to “IP Flagged by Network Brute Force Protection”. This should help clarify the meaning of the log entry.
  • Enhancement: Improved efficiency of the Network Brute Force Protection feature.
  • Bug Fix: Fixed bug that prevented Network Brute Force Protection from working properly on some sites.

6.0.0

  • Bug Fix: Removed “comodo” from the list of user agents blocked by the HackRepair.com blacklist. This ensures that Comodo’s AutoSSL feature of cPanel/WHM is able to function.
  • Updated Feature: Updated the “REST API” feature in the WordPress Tweaks section. The feature now has proper support for protecting privacy on your site without preventing the REST API from functioning.
  • Enhancement: Updated Security Check to enforce setting the “REST API” setting to “Restricted Access”.

5.9.0

  • New Feature: Added a “REST API” feature in the WordPress Tweaks section. This new feature allows you to block or restrict access to the REST API.

5.8.1

  • Bug Fix: Fixed issue that could cause database backup emails to be sent without the backup zip attached.

5.8.0

  • Enhancement: Updated the lockouts notification email to a new design. This new design also cleaned up the translation strings to allow better translations.
  • New Feature: Added a “Protect Against Tabnapping” feature in the WordPress Tweaks section. Details of what this feature protects against can be found here: https://www.jitbit.com/alexblog/256-targetblank—the-most-underestimated-vulnerability-ever/
  • Misc: Updated the description for the Lockout Period setting to indicate that the default value of 15 minutes is recommended.

5.7.1

  • Bug Fix: Remote IP is now correctly identified if the server is behind a reverse proxy that sends requests with more than one IP listed in a single header.
  • Bug Fix: Fixed the link for a user in the logs page so that it properly works on sites that are inside a subdirectory.
  • Bug Fix: Improved how Strong Password Enforcement works on password resets to improve compatibility with various plugins.
  • Bug Fix: Improved the logic for determining whether a user should have Strong Password Enforcement applied. This covers situations where the user may have a custom role, a customized default role, or added capabilities beyond their role.
  • Enhancement: Improved the logic for determing the requesting IP address to better handle situations where the site is behind a reverse proxy.
  • Enhancement: Strong Password Enforcement now uses a PHP port of zxcvbn to ensure that a strong password was selected.
  • Enhancement: All links in Security that have target=”_blank” now have added rel attributes to protect against tabnapping.
  • Misc: Updated remaining ip-lookup.net links to instead link to traceip.net in keeping with other links that were previously updated to traceip.net.

5.7.0

  • Bug Fix: Fixed data save issue that could cause multiple notification emails to be sent in a short period of time.
  • Bug Fix: Fixed issue that could cause the malware scanner to fail on sites that change the arg_separator.output php.ini value from its default value.
  • Bug Fix: Removed redundant entries in the HackRepair blacklist.
  • Bug Fix: Enabling Protect System Files in System Tweaks will now only block install.php for the current site. This fixes the issue where the setting can block installation of a site in a subdirectory.
  • Bug Fix: Fixed problem that could cause requests for iThemes Security data from iThemes Sync to fail due to large amounts of log entries.
  • Bug Fix: Scheduled backups now run if the ITSEC_BACKUP_CRON define is set with a non-boolean value.
  • Bug Fix: Replaced static references to wp-includes with the WPINC define.
  • Bug Fix: Moved blocking of query strings containing %0[0-9A-F] characters from the Non-English Characters setting to the Suspicious Query Strings setting as those characters are control code characters and are not associated with a language.
  • Bug Fix: Added escaping to some translation strings.
  • Bug Fix: Removed unused files from the WordPress Tweaks module directory.
  • Bug Fix: Fixed the Daily Digest email reversing the user and host lockout counts.
  • Bug Fix: The database backup email no longer sends from the email address configured in Settings > General. It now defaults to the same from address that the wp_mail() function uses. This will fix the mail being blocked by some mail servers due to a spoofed from address.
  • Enhancement: Updated the server config rules generated by the System Tweaks settings. They are now more consistent between Apache, LiteSpeed, and nginx. They are also more efficient and have been improved to limit accidentally blocking non-targeted requests.
  • Enhancement: Updated the database backup email to a new design.
  • Enhancement: Added a note that the Filter Request Methods setting in System Tweaks should not be enabled if the WordPress REST API is used. This is becasue the DELETE HTTP method is blocked when the setting is enabled.
  • New Feature: Added setting to block requests for PHP files in the plugins directory in System Tweaks.
  • New Feature: Added setting to block requests for PHP files in the themes directory in System Tweaks.

5.6.4

  • Bug Fix: Fixed issue that reported invalid counts for host and user lockouts in the daily digest email.
  • Bug Fix: Fixed issue that caused the daily digest email to be sent every day, even if no lockouts occurred and no file changes were found.
  • Bug Fix: Fixed issue that could prevent saving of File Change settings, resulting in an error messages of “A validation function for file-change received data that did not have the required entry for latest_changes.”
  • Bug Fix: Fixed iThemes Security Pro logo appearing in daily digest emails.

5.6.3

  • Bug Fix: Removed the “Wget” user agent from the Hack Repair blacklist as it can block wp-cron jobs on some hosts.
  • Bug Fix: Fixed error “PHP message: PHP Fatal error: ‘continue’ not in the ‘loop’ or ‘switch’ context”.
  • Enhancement: Added new Daily Digest email design.

5.6.2

  • Security Fix: Fixed issue where a locked out but not yet blacklisted IP/user could receive different HTTP headers when testing a valid username/password combination. Thanks Leon Atkinson of 18INT for contacting us about this issue.
  • Security Fix: Updated log output to prevent specific kinds of logged requests from displaying without sanitization. Thanks to Slavco Mihajloski for contacting us about this issue.
  • Bug Fix: The Security > Security Check link now works as expected in multisite.
  • Bug Fix: Fixed bug that could prevent the “Filter Long URL Strings” feature from working properly.
  • Bug Fix: Removed restrictions in the “Filter Long URL Strings” feature that were unrelated to request length.
  • Bug Fix: Corrected a settings description typo in Global Settings.
  • Bug Fix: Fixed bug that could result in issues authenticating over XML-RPC when the WordPress Tweaks > Multiple Authentication Attempts per XML-RPC Request setting is set to “Block”.
  • Misc: Added placeholder for the Version Management module of iThemes Security Pro.
  • Misc: Updated build number to trigger some updates.

5.6.1

  • Bug Fix: Fixed a potential logging issue that could prevent some lockout notices from being properly logged on non-English sites.
  • Bug Fix: Prevented some notices from displaying to users who do not need to see them.
  • Bug Fix: Limited notices to only display on specific pages on the dashboard.
  • Compatibility Fix: Changed name of the $HTTP_RAW_POST_DATA variable to avoid erroneously tripping PHP 7 compatibility checks.
  • Code Cleanup: Removed legacy code that is no longer needed.
  • Enhancement: Started tracking when a user was last seen as logged in and active for future use.
  • Misc: Added a placeholder for the Pro feature “User Security Check”.

5.6.0

  • New Feature: Added a new Security Check section on the settings page. This new feature adds a tool to quickly ensure that the recommended features are enabled and the recommended settings are used.
  • Bug Fix: Fixed the ability to remove the itsec_away.confg file in order to disable Away Mode.
  • Enhancement: The “Ban Lists” setting of Banned Users is now enabled by default.