Wordfence Security – Firewall, Malware Scan, and Login Security

Descripción

EL CORTAFUEGOS DE WORDPRESS Y EL EXPLORADOR DE SEGURIDAD MÁS POPULARES

La seguridad de WordPress requiere un equipo de analistas dedicados que investiguen las últimas variantes de malware y exploits de WordPress, las conviertan en reglas de cortafuegos y firmas de malware, y las pongan a disposición de los clientes en tiempo real. Wordfence es ampliamente reconocido como el equipo de investigación de seguridad de WordPress número uno del mundo. Nuestro plugin proporciona un conjunto completo de funciones de seguridad, y la investigación de nuestro equipo es lo que impulsa nuestro plugin y proporciona el nivel de seguridad por el que somos conocidos.

En Wordfence, la seguridad de WordPress no es una división más de nuestro negocio: lo único que hacemos es seguridad de WordPress. Contamos con un equipo global de respuesta a incidentes dedicado las 24 horas del día que ofrece a nuestros clientes prioritarios un tiempo de respuesta de 1 hora para cualquier incidente de seguridad. El sol nunca se pone para nuestro equipo de seguridad global y gestionamos una sofisticada plataforma de inteligencia de amenazas para agregar, analizar y producir una investigación de seguridad innovadora sobre las amenazas de seguridad más recientes.

Wordfence incluye un cortafuegos variable, un explorador de malware, caractacterísticas de protección de acceso robustas, vistas de tráfico en vivo. Nuestro feed de defensa contra amenazas equipa Wordfence con las reglas de cortafuegos más recientes, firmas de malware y direcciones IP malintencionadas que necesitas para mantener tu web segura. Completado con 2FA y un conjunto de características adicionales, Wordfence es la solución de seguridad de WordPress más completa disponible.

CORTAFUEGOS DE WORDPRESS

  • El cortafuegos para aplicaciones web identifica y bloquea el tráfico maligno. Creado y mantenido por un gran equipo 100 % enfocado en la seguridad de WordPress.
  • [Premium] Actualizaciones de firmas de malware y reglas del cortafuegos en tiempo real a través de Threat Defense Feed (la versión gratuita se demora 30 días).
  • [Premium] La lista de bloqueo de IP en tiempo real bloquea todas las solicitudes de las IP más malintencionadas, protegiendo tu sitio mientras reduce la carga.
  • Protege tu sitio en el punto final, lo que permite una integración profunda con WordPress. A diferencia de las alternativas en la nube, no rompe el cifrado, no se puede omitir y no puede filtrar datos.
  • El explorador de malware integrado bloquea las solicitudes que incluyen código o contenido maligno.
  • Protección contra ataques de fuerza bruta al limitar los intentos de acceso.

EXPLORADOR DE SEGURIDAD PARA WORDPRESS

  • El escáner de malware comprueba los archivos centrales, los temas y los plugins en busca de malware, URL incorrectas, puertas traseras, spam de SEO, redireccionamientos malintencionados e inyecciones de código.
  • [Premium] Actualizaciones de firmas de malware en tiempo real a través de Threat Defense Feed (la versión gratuita se demora 30 días).
  • Compara tus archivos principales, temas y plugins con lo que está en el repositorio de WordPress.org, comprueba su integridad y te informa de cualquier cambio.
  • Repara los archivos que han cambiado sobreescribiéndolos con una versión original impecable. Borra cualquier archivo que no pertenezca fácilmente a la interfaz de Wordfence.
  • Comprueba tu sitio en busca de vulnerabilidades de seguridad conocidas y te alerta sobre cualquier problema. También te advierte sobre posibles problemas de seguridad cuando un plugin ha sido cerrado o abandonado.
  • Comprueba la seguridad de tu contenido explorando el contenido de los archivos, entradas y comentarios en busca de URLs peligrosas y contenido sospechoso.
  • [Premium] Comprueba si tu sitio o IP han sido añadidos a una lista negra debido a una actividad maliciosa, por generar spam o por otro problema de seguridad.

SEGURIDAD DEL ACCESO

  • Identificación de dos factores (2FA), una de las formas más seguras de identificación de sistema remoto disponible a través de cualquier aplicación o servicio de autenticación basado en TOTP.
  • Página de acceso CAPTCHA impide el acceso a los bots.
  • Desactiva o añade 2FA al XML-RPC.
  • Bloquea los accesos de los administradores que utilizan contraseñas comprometidas conocidas.

WORDFENCE CENTRAL

  • Wordfence Central es una forma potente y eficaz de gestionar la seguridad de múltiples sitios en un solo lugar.
  • Evalúa de forma eficaz el estado de seguridad de todas tus webs en un solo vistazo. Ve los resultados de seguridad en detalle sin salir de Wordfence Central.
  • Las potentes plantillas hacen que configurar Wordfence sea muy sencillo.
  • Las alertas altamente configurables se pueden enviar por correo electrónico, SMS o Slack. Mejorar la relación señal-ruido mediante el aprovechamiento de las opciones de nivel de importancia y una opción de resumen diario.
  • Realiza un seguimiento y recibe alertas sobre eventos de seguridad importantes, incluidos accesos del administrador, uso de contraseñas violadas y aumentos repentinos de la actividad de ataque.
  • De uso gratuito para sitios ilimitados.

HERRAMIENTAS DE SEGURIDAD

  • Con el tráfico en vivo, supervisa las visitas y los intentos de hackeo que no se muestran en otros paquetes de análisis en tiempo real; incluido el origen, su dirección IP, la hora del día y el tiempo que pasa en tu sitio.
  • Bloquea a los atacantes por IP o construye reglas avanzadas basadas en el rango de IP, el hostname, el agente de usuario y el referente.
  • Bloqueo de país disponible con Wordfence Premium.

Capturas

  • El escritorio te brinda una descripción general de la seguridad de tu sitio, incluidas los avisos, las estadísticas de ataques y el estado de las características de Wordfence.
  • El cortafuegos protege tu sitio de ataques comunes y vulnerabilidades de seguridad detectadas.
  • Wordfence Security Scanner te permite saber si tu sitio ha sido comprometido y te alerta sobre otros problemas de seguridad que deben ser tratados.
  • Wordfence es altamente configurable, con un amplio conjunto de opciones disponibles para cada característica. Las opciones de exploración de alto nivel se muestran arriba.
  • Las características de protección de fuerza bruta te protegen de los ataques de adivinación de contraseñas.
  • Bloquea atacantes por IP, país, rango de IP, hostname, navegador o referido.
  • La vista tráfico en vivo de Wordfence te muestra la actividad en tiempo real en tu sitio, incluido el tráfico de bots y los intentos de explotación.
  • Lleva la seguridad de acceso al siguiente nivel con la identificación de dos factores.
  • Acceder es fácil con Wordfence 2FA.

Instalación

Asegura tu sitio web siguiendo los próximos pasos para instalar Wordfence:

  1. Instala Wordfence automáticamente o subiendo el archivo ZIP.
  2. Activa Wordfence a través del menú «Plugins» en WordPress. Wordfence está ahora activado.
  3. Ve al menú de exploración e inicia tu primera exploración. También se activará la exploración programada.
  4. Una vez que se haya completado tu primera exploración, aparecerá una lista de amenazas. Revíselas una por unw para asegurar tu sitio.
  5. Visita la página de opciones de Wordfence Security para introducir tu correo electrónico y poder recibir las alertas de seguridad por correo.
  6. Opcionalmente cambia tu nivel de seguridad o ajusta las opciones avanzadas para configurar escaneos de seguridad individuales y opciones de protección para tu web.
  7. Haz clic en la opción de menú «tráfico en vivo» para ver la actividad de tu sitio en tiempo real. La conciencia de la situación es una parte importante de la seguridad de una web.

Para instalar Wordfence en instalaciones de sitios múltiples de WordPress:

  1. Instala Wordfence Security a través del directorio de plugins o subiendo el archivo ZIP.
  2. Red Activar Wordfence. Este paso es importante porque hasta que lo actives en red, tus sitios verán la opción del plugin en tu menú de plugins. Una vez activada esa opción desaparece.
  3. Ahora que Wordfence está activado en la red, aparecerá en el menú administrador de red. Wordfence no aparecerá en el menú de ningún sitio individual.
  4. Ve al menú «Escanear» y empieza tu primer escaneo de seguridad.
  5. Wordfence explorará todos los archivos de tu instalación de WordPress, incluidos los del directorio blogs.dir de tus sitios individuales.
  6. Live Traffic aparecerá para todos los sitios de tu red. Si tienes un sistema con mucho tráfico, es posible que desees desactivar el tráfico en vivo, lo que dejará de registrarse en la base de datos.
  7. Las reglas del cortafuegos y las reglas de acceso se aplican a todo el sistema. Por lo tanto, si falla un acceso en site1.example.com y site2.example.com, cuenta como 2 fallos. El tráfico del rastreador se cuenta entre blogs, por lo que si llega a tres sitios en la red, se suman todos los accesos y eso cuenta como la tasa de acceso al sistema.

FAQ

Visita nuestra web para acceder a nuestra documentación oficial que incluye descripciones de las características de seguridad, soluciones comunes y ayuda exhaustiva.

¿Cómo protege Wordfence Security los sitios de los atacantes?

El plugin de seguridad de WordPress proporciona la mejor protección disponible para tu web. Wordfence Firewall, que cuenta con la actualización constante de Threat Defense Feed, evita que te pirateen. Wordfence Scan aprovecha la misma fuente patentada, lo que le alerta rápidamente sobre problemas de seguridad o si tu sitio está comprometido. La vista de tráfico en vivo te brinda visibilidad en tiempo real del tráfico y los intentos de pirateo en tu web. Un amplio conjunto de herramientas adicionales completan la solución de seguridad de WordPress más completa disponible.

¿Qué características activa Wordfence Premium?

Ofrecemos una clave de API Premium que te brinda actualizaciones en tiempo real de Threat Defense Feed, que incluye una lista de bloqueo de IP en tiempo real, reglas de cortafuegos y firmas de malware. También se incluyen soporte premium, bloqueo de países, análisis más frecuentes y comprobaciones de spam y publicidad no deseada. Haz clic aquí para registrarte en Wordfence Premium ahora o simplemente instala Wordfence gratis y comience a proteger tu web.

¿Cómo protege el cortafuegos Wordfence WordPress las web?

  • El cortafuegos de la aplicación web previene que seas atacado identificando tráfico malicioso, bloqueando atacantes antes de que pueda acceder a tu sitio web.
  • El feed de defensa ante amenazas actualiza automáticamente las reglas del cortafuegos que te protege de las últimas amenazas. Los miembros Premium reciben la versión actualizada en tiempo real.
  • Bloquea amenazas de seguridad comunes como falsos Googlebots, escaneos maliciosos de hackers y botnets.

¿Qué comprobaciones realiza el explorador de seguridad de Wordfence?

  • Explorar los archivos del núcleo, los temas y los plugins con las versiones del repositorio de WordPress.org para verificar su integridad. Verifica la seguridad de su fuente.
  • Ver cómo han cambiado los archivos. Opcionalmente, reparar los archivos modificados que sean amenazas a la seguridad.
  • Explorar firmas de más de 44.000 variantes de malware conocidas que son amenazas de seguridad conocidas de WordPress.
  • Explora muchas puertas traseras conocidas que crean agujeros de seguridad, incluidos C99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx y muchos más.
  • Analiza continuamente el malware y phishing de URLs, incluyendo todas las URL de la lista de navegación segura de Google en todos tus comentarios, publicaciones y archivos que sean amenazas de seguridad.
  • Explora la heurística de puertas traseras, troyanos, código sospechoso y otros problemas de seguridad.

¿Qué características de seguimiento de seguridad incluye Wordfence?

  • Ver todo tu tráfico en tiempo real, incluidos robots, humanos, errores 404, accesos y cierres de sesión y quién consume la mayor parte de tu contenido. Mejora tu conocimiento de la situación de las amenazas de seguridad que enfrenta tu sitio.
  • Una vista en tiempo real de todo el tráfico, incluidos los bots automatizados que a menudo constituyen amenazas de seguridad que los paquetes de análisis de Javascript nunca te muestran.
  • El tráfico en tiempo real incluye DNS inverso y geolocalización a nivel de ciudad. Sabrás de qué áreas geográficas se originan las amenazas a la seguridad.
  • Supervisa el espacio en disco que está relacionado con la seguridad porque muchos ataques DDoS intentan consumir todo el espacio en disco para crear una denegación de servicio.

¿Qué características de seguridad de acceso están incluidas?

  • Ver todo tu tráfico en tiempo real, incluidos robots, humanos, errores 404, accesos y cierres de sesión y quién consume la mayor parte de tu contenido. Mejora tu conocimiento de la situación de las amenazas de seguridad que enfrenta tu sitio.
  • Una vista en tiempo real de todo el tráfico, incluidos los bots automatizados que a menudo constituyen amenazas de seguridad que los paquetes de análisis de Javascript nunca te muestran.
  • El tráfico en tiempo real incluye DNS inverso y geolocalización a nivel de ciudad. Sabrás de qué áreas geográficas se originan las amenazas a la seguridad.
  • Supervisa el espacio en disco que está relacionado con la seguridad porque muchos ataques DDoS intentan consumir todo el espacio en disco para crear una denegación de servicio.

¿Cómo seré alertado de que mi sitio web tiene un problema de seguridad?

Wordfence Security envía alertas de seguridad por correo electrónico. Una vez lo instales, configurarás una lista de direcciones de correo electrónico en las que recibirás las alertas de seguridad.
Cuando recibas una alerta de seguridad, asegúrate pronto de que tu sitio web permanece seguro.

¿Necesito un plugin de seguridad como Wordfence si uso un cortafuegos basado en la nube (WAF)?

Wordfence proporciona una verdadera seguridad de punto final para tu web de WordPress. A diferencia de los cortafuegos basados ​​en la nube, Wordfence se ejecuta dentro del entorno de WordPress, lo que le brinda conocimientos como si el usuario ha accedido, su identidad y el nivel de acceso que tiene. Wordfence usa el nivel de acceso del usuario en más del 80% de las reglas del cortafuegos que usa para proteger las web de WordPress. Obten más información sobre el problema de identidad WAF en la nube aquí .
Además, los cortafuegos basados ​​en la nube se pueden eludir, dejando tu sitio expuesto a los atacantes. Debido a que Wordfence es una parte integral del punto final (tu web de WordPress), no se puede omitir. Obten más información sobre el problema de omisión de WAF en la nube aquí . Para proteger completamente la inversión que has realizado en tu web, debes emplear un enfoque de defensa en profundidad para la seguridad. Wordfence adopta este enfoque.

¿Qué características de bloqueo incluye Wordfence?

  • Bloqueo en tiempo real de atacantes conocidos. Si otro sitio que usa Wordfence es atacado y bloquea al atacante, tu sitio se protege automáticamente.
  • Bloquea redes completas malintencionadas. Incluye IP avanzada y WHOIS de dominio para informar IP o redes malintencionadas y bloquear redes enteras mediante el cortafuegos. Informa de las amenazas de seguridad de WordPress al propietario de la red.
  • Limita o bloquea las amenazas de seguridad de WordPress como rastreadores agresivos, raspadores y bots que realizan exploraciones de seguridad en busca de vulnerabilidades en tu sitio.
  • Elige si deseas bloquear o limitar a los usuarios y robots que infrinjan las reglas de seguridad de WordPress.
  • Los usuarios premium también pueden bloquear países y programar exploraciones para momentos específicos y una frecuencia más alta.

¿Qué diferencia a Wordfence de otros plugins de seguridad de WordPress?

  • Wordfence Security proporciona un cortafuegos de WordPress desarrollado específicamente para WordPress y bloquea a los atacantes que buscan vulnerabilidades en tu sitio. El cortafuegos funciona con nuestro Threat Defense Feed, que se actualiza continuamente a medida que surgen nuevas amenazas. Los clientes Premium reciben actualizaciones en tiempo real.
  • Wordfence verifica la integridad del código fuente de tu web con el repositorio oficial de WordPress y te muestra los cambios.
  • Las exploraciones de Wordfence comprueban todos sus archivos, comentarios y entradas en busca de URL en la lista de navegación segura de Google. Somos el único plugin que ofrece esta importante mejora de seguridad.
  • Las exploraciones de Wordfence no consumen grandes cantidades de tu ancho de banda porque todos los escaneos de seguridad ocurren en tu servidor web, lo que los hace muy rápidos.
  • Wordfence es totalmente compatible con WordPress Multisitio, lo que significa que puede explorar todos los blogs de su instalación de Multisitio con un solo clic.
  • Wordfence incluye identificación de dos factores, la forma más segura de detener a los atacantes de fuerza bruta en seco.
  • Wordfence es totalmente compatible con IPv6, incluida la posibilidad de buscar la ubicación de direcciones IPv6, bloquear rangos de IPv6, detectar el país IPv6 y realizar una búsqueda whois en direcciones IPv6 y más.

¿Wordfence ralentizará mi web?

No. Wordfence Security es extremadamente rápido y utiliza técnicas como almacenar en caché sus propios datos de configuración para evitar búsquedas en la base de datos y bloquear ataques malintencionados que ralentizarían tu sitio.

¿Qué pasa si mi sitio ya ha sido pirateado?

Wordfence Security is able to repair core files, themes and plugins on sites where security is already compromised. You can follow this guide on how to clean a hacked website using Wordfence. If you are cleaning your own site after a hack, note that site security cannot be assured unless you do a full reinstall if your site has been hacked. We recommend you only use Wordfence Security to get your site into a running state in order to recover the data you need to do a full reinstall. If you need help with a security issue, check out Wordfence Care, which offers hands-on support from our team, including dealing with a hacked site. For mission-critical sites, check out Wordfence Response.

¿Wordfence Security soporta IPv6?

Sí. Somos totalmente compatibles con IPv6 con todas las funciones de seguridad, incluyendo el bloqueo por país, por rango, por ciudad, por WhoIs y otras funciones de seguridad. Si no estás ejecutando IPv6, Wordfence también funcionará bien en tu sitio. Somos totalmente compatibles con IPv4 e IPv6, tanto si ejecutas un esquema de direcciones con ambos o solo con uno.

¿Soporta Wordfence Security instalaciones multisitio?

Sí. WordPress Multisitio es totalmente compatible. Con Wordfence, puedes explorar todos los blogs de tu red en busca de malware con un solo clic. Si uno de tus clientes publica una página o una entrada con una URL de malware conocida que amenaza todo tu dominio con ser bloqueado por Google, te avisaremos en la siguiente exploración.

¿Qué opciones de soporte están disponibles para los usuarios de Wordfence?

Proporcionar un excelente servicio de atención al cliente es muy importante para nosotros. Nuestros usuarios gratuitos reciben soporte de nivel voluntario en nuestros foros de soporte. Los clientes de Wordfence Premium reciben asistencia de pago basada en tickets. Los clientes de Wordfence Care reciben asistencia práctica, que incluye ayuda en caso de incidentes de seguridad y una auditoría de seguridad anual. Los clientes de Wordfence Response reciben asistencia 24 horas al día, 7 días a la semana, 365 días al año de nuestro equipo de respuesta a incidentes, con un tiempo de respuesta de 1 hora y un máximo de 24 horas para resolver un problema de seguridad.

¿Dónde puedo aprender más sobre seguridad para WordPress?

Diseñado para cada nivel de habilidad, El Centro de aprendizaje de seguridad de WordPress está dedicado a profundizar la comprensión de los usuarios sobre las mejores prácticas de seguridad al proporcionar acceso gratuito a artículos de nivel de entrada, artículos detallados, videos, resultados de encuestas de la industria, gráficos y más.

¿Dónde puedo encontrar los términos del servicio y la política de privacidad de Wordfence?

Están disponibles en nuestra web: Términos del servicio y política de privacidad

Reseñas

14 de marzo de 2024 1 respuesta
Simply the best choice for protecting your website - without Wordfence my sites would be hacked (almost unrepairable). I used to spend a day or more once hacked and in some cases had to start again. Now, I actually don't have to worry about it. It just plain takes care of detecting and stopping hack attacks.
13 de marzo de 2024 1 respuesta
With Security, one must have Constant Vigilance. With Wordfence, I am constantly thankful for their Constant Vigilance. I am also thankful that they treat me like a pro even though I run some free education sites and don't use their pro service. Pages of options, pages of notifications when something needs looking at. They are the tops and their product is the tops as well.
Leer todas las 4.068 reseñas

Colaboradores y desarrolladores

«Wordfence Security – Firewall, Malware Scan, and Login Security» es un software de código abierto. Las siguientes personas han colaborado con este plugin.

Colaboradores

«Wordfence Security – Firewall, Malware Scan, and Login Security» está traducido en 17 idiomas. Gracias a los traductores por sus contribuciones.

Traduce «Wordfence Security – Firewall, Malware Scan, and Login Security» a tu idioma.

¿Interesado en el desarrollo?

Revisa el código , echa un vistazo al repositorio SVN o suscríbete al registro de desarrollo por RSS.

Registro de cambios

7.11.4 – March 11, 2024

  • Change: CAPTCHA verification when enabled now additionally applies to 2FA logins (may send an email verification on low scores) and no longer reveals whether a user exists for the submitted account credentials (credit: Raxis)
  • Fix: Addressed a potential PHP 8 notice in the human/bot detection AJAX call
  • Fix: Addressed a potential PHP 8 notice when requesting a lockout unlock verification email
  • Fix: Fixed the emailed diagnostics view not showing the missing table information when applicable
  • Fix: Improved quick scan logic to base timing on regular scans so they’re more evenly distributed

7.11.3 – February 15, 2024

  • Fix: Fixed an issue with sites containing invalid Wordfence Central site data where they could throw an error when viewing Wordfence pages

7.11.2 – February 14, 2024

  • Improvement: Enhanced the vulnerability scan to check and alert for WordPress core vulnerabilities and to adjust the severity of the scan result based on findings or available updates
  • Improvement: Updated the bundled GeoIP database
  • Improvement: Increased compatibility of brute force protection with plugins that override the normal login flow and omit traditional hooks
  • Change: Adjusted the behavior of automatic quick scans to schedule themselves further away from full scans
  • Fix: Added detection for a site being linked to a non-matching Wordfence Central record (e.g., when cloning the database to a staging site)
  • Fix: Streamlined the license and terms of use installation flow to avoid unnecessary prompting
  • Fix: Fixed an issue where user profiles with a selected locale different from the site itself could end up loading the site’s locale instead

7.11.1 – January 2, 2024

  • Improvement: Added «.env» to the files checked for «Scan for publicly accessible configuration, backup, or log files»
  • Improvement: Provided better descriptive text for the option «Block IPs who send POST requests with blank User-Agent and Referer»
  • Improvement: The diagnostics page now displays the contents of any auto_prepend_file .htaccess/.user.ini block for troubleshooting
  • Fix: Fixed an issue where a login lockout on a WooCommerce login form could fail silently
  • Fix: The scan result for abandoned plugins no longer states it has been removed from wordpress.org if it is still listed
  • Fix: Addressed an exception parsing date information in non-repo plugins that have a bad last_updated value
  • Fix: The URL scanner no longer generates a log warning when matching a potential URL fragment that ends up not being a valid URL

7.11.0 – November 28, 2023

  • Improvement: Added new functionality for trusted proxy presets to support proxies such as Amazon CloudFront, Ezoic, and Quic.cloud
  • Improvement: WAF rule and malware signature updates are now signed with SHA-256 as well for hosts that no longer build SHA1 support
  • Improvement: Updated the bundled trusted CA certificates
  • Change: The WAF will no longer attempt to fetch rule or blocklist updates when run via WP-CLI
  • Fix: Removed uses of SQL_CALC_FOUND_ROWS, which is deprecated as of MySQL 8.0.17
  • Fix: Fixed an issue where final scan summary counts in some instances were not sent to Central
  • Fix: Fixed a deprecation notice for get_class in PHP 8.3.0
  • Fix: Corrected an output error in the connectivity section of Diagnostics in text mode

7.10.7 – November 6, 2023

  • Fix: Compatibility fix for WordPress 6.4 on the login page styling

7.10.6 – October 30, 2023

  • Fix: Addressed an issue with multisite installations when the wp_options tables had different encodings/collations

7.10.5 – October 23, 2023

  • Improvement: Updated the bundled GeoIP database
  • Improvement: Added detection for Cloudflare reverse proxies blocking callbacks to the site
  • Change: Files are no longer excluded from future scans if a previous scan stopped during their processing
  • Fix: Added handling for the pending WordPress 6.4 change that removes $wpdb->use_mysqli
  • Fix: The WAF MySQLi storage engine will now work correctly when either DB_COLLATE or DB_CHARSET are not defined
  • Fix: Added additional error handling to Central calls to better handle request failures or conflicts
  • Fix: Addressed a warning that would occur if a non-repo plugin update hook did not provide a last updated date
  • Fix: Fixed an error in PHP 8 that could occur if the time correction offset was not numeric
  • Fix: 2FA AJAX calls now use an absolute path rather than a full URL to avoid CORS issues on sites that do not canonicalize www and non-www requests
  • Fix: Addressed a race condition where multiple concurrent hits on multisite could trigger overlapping role sync tasks
  • Fix: Improved performance when viewing the user list on large multisites
  • Fix: Fixed a UI bug where an invalid code on 2FA activation would leave the activate button disabled
  • Fix: Reverted a change on error modals to bring back the additional close button for better accessibility

7.10.4 – September 25, 2023

  • Improvement: «Admin created outside of WordPress» scan results may now be reviewed and approved
  • Improvement: The WAF storage engine may now be specified by setting the environmental variable «WFWAF_STORAGE_ENGINE»
  • Improvement: Detect when a plugin or theme with a custom update handler is broken and blocking update version checks
  • Change: Deprecated support for WordPress versions lower than 4.7.0
  • Change: Exclude parse errors of a damaged compiled rules file from reporting
  • Fix: Suppress PHP notices related to rule loading when running WP-CLI
  • Fix: Fixed an issue with the scan monitor cron that could leave it running unnecessarily

7.10.3 – July 31, 2023

  • Improvement: Updated GeoIP database
  • Fix: Added missing text domain to translation function call
  • Fix: Corrected inconsistent styling of switch controls
  • Change: Made MySQLi storage engine the default for Flywheel hosted sites

7.10.2 – July 17, 2023

  • Fix: Prevented bundled sodium_compat library from conflicting with versions included with older WordPress versions

7.10.1 – July 12, 2023

  • Improvement: Added support for processing arrays of files in the WAF
  • Improvement: Refactored security event processing to send events in bulk
  • Improvement: Updated bundled sodium_compat and random_compat libraries
  • Fix: Prevented deprecation warning caused by dynamic property creation
  • Fix: Added translation support for additional strings
  • Change: Adjusted Wordfence registration UI

7.10.0 – June 21, 2023

  • Improvement: Added translation support for strings from login security plugin
  • Improvement: Added translator notes regarding word order and hidden text
  • Improvement: Added translation support for additional strings
  • Improvement: Prevented scans from failing if unreadable directories are encountered
  • Improvement: Added help link to IPv4 scan option
  • Improvement: Updated scan result text to clarify meaning of plugins removed from wordpress.org
  • Improvement: Made «Increased Attack Rate» emails actionable
  • Improvement: Updated GeoIP database
  • Improvement: Updated JavaScript libraries
  • Fix: Corrected IPv6 address expansion
  • Fix: Ensured long request payloads for malicious requests are recorded in live traffic
  • Fix: Prevented «commands out of sync» database error messages when the database connection has failed
  • Fix: Prevented rare JSON encoding issues from breaking free license registration
  • Fix: Prevented PHP notice from being logged when request parameter is missing
  • Fix: Prevented deprecation warning in PHP 8.1
  • Change: Moved detection for old TimThumb files to malware signature
  • Change: Moved translation file from .po to .pot
  • Change: Renamed «Macedonia» to «North Macedonia, Republic of»

7.9.3 – May 31, 2023

  • Improvement: Added exception handling to prevent WAF errors from being fatal
  • Fix: Corrected error caused by method call on null in WAF
  • Change: Deprecated support for PHP 5.5 and 5.6, ended support for PHP 5.3 and 5.4
  • Change: Specified WAF version parameter when requesting firewall rules

7.9.2 – March 27, 2023

  • Improvement: The vulnerability severity score (CVSS) is now shown with any vulnerability findings from the scanner
  • Improvement: Changed several links during initial setup to open in a new window/tab so it doesn’t interrupt installation
  • Change: Removed the non-https callback test to the Wordfence servers
  • Fix: Fixed an error on PHP 8 that could occur when checking for plugin updates and another plugin has a broken hook
  • Fix: Added a check for disabled functions when generating support diagnostics to avoid an error on PHP 8
  • Fix: Prevent double-clicking when activating 2FA to avoid an «already set up» error

7.9.1 – March 1, 2023

  • Improvement: Further improved performance when viewing 2FA settings and hid user counts by default on sites with many users
  • Fix: Adjusted style inclusion and usage to prevent missing icons
  • Fix: Avoided using the ctype extension as it may not be enabled
  • Fix: Prevented fatal errors caused by malformed Central keys

7.9.0 – February 14, 2023

  • Improvement: Added 2FA management shortcode and WooCommerce account integration
  • Improvement: Improved performance when viewing 2FA settings on sites with many users
  • Improvement: Updated GeoIP database
  • Fix: Ensured Captcha and 2FA scripts load on WooCommerce when activated on a sub-site in multisite
  • Fix: Prevented reCAPTCHA logo from being obscured by some themes
  • Fix: Enabled wfls_registration_blocked_message filter support for WooCommerce integration

7.8.2 – December 13, 2022

  • Fix: Releasing same changes as 7.8.1, due to wordpress.org error

7.8.1 – December 13, 2022

  • Improvement: Added more granualar data deletion options to deactivation prompt
  • Improvement: Allowed accessing diagnostics prior to completing registration
  • Fix: Prevented installation prompt from displaying when a license key is already installed but the alert email address has been removed

7.8.0 – November 28, 2022

  • Improvement: Added feedback when login form is submitted with 2FA
  • Fix: Restored click support on login button when using 2FA with WooCommerce
  • Fix: Corrected display issue with reCAPTCHA score history graph
  • Fix: Prevented errors on PHP caused by corrupted login timestamps
  • Fix: Prevented deprecation notices on PHP 8.2 related to dynamic properties
  • Change: Updated Wordfence registration workflow

7.7.1 – October 4, 2022

  • Fix: Prevented scan resume attempts from repeating indefinitely when the initial scan stage fails

7.7.0 – October 3, 2022

  • Improvement: Added configurable scan resume functionality to prevent scan failures on sites with intermittent connectivity issues
  • Improvement: Added new scan result for vulnerabilities found in plugins that do not have patched versions available via WordPress.org
  • Improvement: Implemented stand-alone MMDB reader for IP address lookups to prevent plugin conflicts and support additional PHP versions
  • Improvement: Added option to disable looking up IP address locations via the Wordfence API
  • Improvement: Prevented successful logins from resetting brute force counters
  • Improvement: Clarified IPv6 diagnostic
  • Improvement: Included maximum number of days in live traffic option text
  • Corregido: ahora las zonas horarias en la página del cortafuegos son consistentes
  • Fix: Added «Use only IPv4 to start scans» option to search
  • Fix: Prevented deprecation notices on PHP 8.1 when emailing the activity log
  • Fix: Prevented warning on PHP 8 related to process owner diagnostic
  • Fix: Prevented PHP Code Sniffer false positive related to T_BAD_CHARACTER
  • Fix: Removed unsupported beta feed option

7.6.2 – September 19, 2022

  • Improvement: Hardened 2FA login flow to reduce exposure in cases where an attacker is able to obtain privileged information from the database

7.6.1 – September 6, 2022

  • Fix: Prevented XSS that would have required admin privileges to exploit (CVE-2022-3144)

7.6.0 – July 28, 2022

  • Improvement: Added option to start scans using only IPv4
  • Improvement: Added diagnostic for internal IPv6 connectivity to site
  • Improvement: Added AUTOMATIC_UPDATER_DISABLED diagnostic
  • Mejora: se ha actualizado la comprobación de fortaleza de la contraseña
  • Improvement: Added support for scanning plugin/theme files in when using the WP_CONTENT_DIR/WP_PLUGIN_DIR constants
  • Improvement: Updated GeoIP database
  • Improvement: Made DISABLE_WP_CRON diagnostic more clear
  • Improvement: Added «Hostname» to Live Traffic message displayed for hostname blocking
  • Improvement: Improved compatibility with Flywheel hosting
  • Improvement: Adopted semantic versioning
  • Improvement: Added support for dynamic cookie redaction patterns when logging requests
  • Fix: Prevented scanned paths from being displayed as skipped in rare cases
  • Fix: Corrected indexed files count in scan messages
  • Fix: Prevented overlapping AJAX requests when viewing Live Traffic on slower servers
  • Fix: Corrected WP_DEBUG_DISPLAY diagnostic
  • Fix: Prevented extraneous warnings caused by DNS resolution failures
  • Fix: Corrected display issue with Save/Cancel buttons on All Options page
  • Fix: Prevented errors caused by WHOIS searches for invalid values

7.5.11 – June 14, 2022

  • Improvement: Added option to toggle display of last login column on WP Users page
  • Improvement: Improved autocomplete support for 2FA code on Apple devices
  • Improvement: Prevented Batcache from caching block pages
  • Improvement: Updated GeoIP database
  • Fix: Prevented extraneous scan results when non-existent paths are configured using UPLOADS and related constants
  • Fix: Corrected issue that prevented reCAPTCHA scores from being recorded
  • Fix: Prevented invalid JSON setting values from triggering fatal errors
  • Fix: Made text domains consistent for translation support
  • Fix: Clarified that allowlisted IP addresses also bypass reCAPTCHA

7.5.10 – May 17, 2022

  • Improvement: Improved scan support for sites with non-standard directory structures
  • Improvement: Increased accuracy of executable PHP upload detection
  • Improvement: Addressed various deprecation notices with PHP 8.1
  • Improvement: Improved handling of invalidated license keys
  • Corregido: se ha corregido la URL de redirección de contraseña olvidada cuando se usa con WooCommerce
  • Fix: Prevented errors when live traffic data exceeds database column length
  • Fix: Prevented bulk password resets from locking out admins
  • Fix: Corrected issue that prevented saving country blocking settings in certain cases
  • Cambio: se ha actualizado la información de copyright

7.5.9 – March 22, 2022

  • Improvement: Updated GeoIP database
  • Improvement: Removed blocking data update logic in order to reduce timeouts
  • Improvement: Increased timeout value for API calls in order to reduce timeouts
  • Improvement: Clarified notification count on Wordfence menu
  • Improvement: Improved scan compatibility with WooCommerce
  • Improvement: Added messaging when application passwords are disabled
  • Fix: Prevented warnings and errors when constants are defined based on the value of other constants in wp-config.php
  • Fix: Corrected redundant escaping that prevented viewing or repairing files in scan results

7.5.8 – February 1, 2022

  • Launch of Wordfence Care and Wordfence Response

7.5.7 – November 22, 2021

  • Improvement: Made preliminary changes for compatibility with PHP 8.1
  • Change: Added GPLv3 license and updated EULA

7.5.6 – October 18, 2021

  • Fix: Prevented login errors with WooCommerce integration when manual username entry is enabled on the WooCommerce registration form
  • Fix: Corrected theme incompatibilities with WooCommerce integration

7.5.5 – August 16, 2021

  • Improvement: Enhanced accessibility
  • Improvement: Replaced regex in scan log with signature ID
  • Improvement: Updated Knockout JS dependency to version 3.5.1
  • Improvement: Removed PHP 8 compatibility notice
  • Improvement: Added NTP status for Login Security to Diagnostics
  • Improvement: Updated plugin headers for compatibility with WordPress 5.8
  • Improvement: Updated Nginx documentation links to HTTPS
  • Improvement: Updated IP address geolocation database
  • Improvement: Expanded WAF SQL syntax support
  • Improvement: Added optional constants to configure WAF database connection
  • Improvement: Added support for matching punycode domain names
  • Improvement: Updated Wordfence install count
  • Improvement: Deprecated support for WordPress versions older than 4.4.0
  • Improvement: Added warning messages when blocking U.S.
  • Improvement: Added MYSQLI_CLIENT_SSL support to WAF database connection
  • Improvement: Added 2FA and reCAPTCHA support for WooCommerce login and registration forms
  • Improvement: Added option to require 2FA for any role
  • Improvement: Added logic to automatically disable NTP after repeated failures and option to manually disable NTP
  • Improvement: Updated reCAPTCHA setup note
  • Fix: Prevented issue where country blocking changes are not saved
  • Fix: Corrected string placeholder
  • Fix: Added missing text domain to translation calls
  • Fix: Corrected warning about sprintf arguments on Central setup page
  • Fix: Prevented lost password functionality from revealing valid logins

7.5.4 – June 7, 2021

  • Fix: Resolve conflict with woocommerce-gateway-amazon-payments-advanced plugin

7.5.3 – May 10, 2021

  • Improvement: Expanded WAF capabilities including better JSON and user permission handling
  • Improvement: Switched to relative paths in WAF auto_prepend file to increase portability
  • Improvement: Eliminated unnecessary calls to Wordfence servers
  • Fix: Prevented errors on PHP 8.0 when disk_free_space and/or disk_total_space are included in disabled_functions
  • Fix: Fixed PHP notices caused by unexpected plugin version data
  • Fix: Gracefully handle unexpected responses from Wordfence servers
  • Fix: Time field now displays correctly on «See Recent Traffic» overlay
  • Fix: Corrected typo on Diagnostics page
  • Fix: Corrected IP counts on activity report
  • Fix: Added missing line break in scan result emails
  • Fix: Sending test activity report now provides success/failure response
  • Fix: Reduced SQLi false positives caused by comma-separated strings
  • Fix: Fixed JS error when resolving last scan result

7.5.2 – March 24, 2021

  • Fix: Fixed fatal error on single-sites running WordPress <4.9.

7.5.1 – 24 de marzo de 2021

  • Fix: Fixed fatal error when viewing the Login Security settings page from an allowlisted IP.

7.5.0 – March 24, 2021

  • Mejora: Preparación para la traducción: Ahora todas las cadenas de caracteres orientadas al usuario se ejecutan mediante las funciones i18n de WordPress.
  • Mejora: Eliminar las funciones de administración heredadas que ya no se usan en la interfaz de usuario.
  • Mejora: Actualización de la base de datos GeoIP local.
  • Improvement: Remove Lynwood IP range from allowlist, and add new AWS IP range.
  • Corrección: se corrigió el fallo al desbloquear una IP bloqueada sin restablecer correctamente sus contadores de fallos.
  • Fix: Sites using deleted premium licenses correctly revert to free license behavior.
  • Corrección: Cuando está activado, las cookies se establecen para los perfiles correctos en los dispositivos usados ​​anteriormente.
  • Corrección: Los trabajos cron de WAF ahora se omiten cuando se ejecutan en la CLI.
  • Fix: PHP 8.0 compatibility – prevent syntax error when linting files.
  • Corrección: se corrigió el problema por el cual el aviso de PHP 8 a veces no se puede descartar.

7.4.14 – December 3, 2020

  • Mejora: Añadidas opciones para desactivar las contraseñas de las aplicaciones.
  • Mejora: Leyenda de limpieza del sitio actualizada con garantía de 1 año.
  • Mejora: Actualizada la biblioteca sodium_compat a 1.13.0.
  • Mejora: Se han sustituido los términos lista blanca y lista negra por lista de permitidos y lista de bloqueados.
  • Mejora: Realizadas varias mejoras de compatibilidad con WordPress 5.6 y jQuery 3.x.
  • Mejora: Realizadas varias mejoras de compatibilidad con PHP8.
  • Mejora: Se ha añadido un aviso desechable que informa a los usuarios de posibles problemas de compatibilidad con PHP8.

7.4.12 – October 21, 2020

  • Improvement: Initial integration of i18n in Wordfence.
  • Improvement: Prevent Wordfence from loading under <PHP 5.3.
  • Improvement: Updated GeoIP database.
  • Improvement: Prevented wildcard from running/saving for scan’s excluded files pattern.
  • Improvement: Included Wordfence Login Security tables in diagnostics missing table list.
  • Fix: Removed new scan issues when WordPress update occurs mid-scan.
  • Fix: Specified category when saving whitelistedServiceIPs to WAF storage engine.
  • Corrección: Se eliminó la IP del host local para las alertas de correo electrónico de actualización automática.
  • Fix: Fixed broken message in Live Traffic with MySQLi storage engine for blocklisted hits.
  • Corrección: Se eliminaron los valores de parámetros opcionales para la compatibilidad con PHP 8.

7.4.11 – 27 de Agosto de 2020

  • Improvement: Added diagnostic debug button to clear Wordfence Central connection data from the database.
  • Improvement: Added help documentation links to modified plugin/theme file scan results.
  • Fix: Prevent file system scan from following symlinks to root.
  • Fix: Cleared pending plugin/theme update scan results and notification when a plugin/theme is auto-updated.
  • Fix: Added check for when site is disconnected on Central’s end, but not in the plugin.

7.4.10 – 5 de Agosto de 2020

  • Improvement: Prevent author sitemap from leaking usernames in WordPress >= 5.5.0.
  • Fix: Prevent Wordfence auto-update from running if the user has enabled auto-update through WordPress.
  • Fix: Added default permission_callback params to Wordfence Central REST routes.
  • Fix: Fixed missing styling on WAF optimization admin notice.

7.4.9 – July 8, 2020

  • Improvement: Added list of known malicious usernames to suspicious administrator scan.
  • Improvement: Added ability for the WAF to determine if a given plugin/theme/core version is installed.
  • Improvement: Added a feature to export a diagnostics report.
  • Improvement: Add php_errorlog to the list of downloadable logs in diagnostics.
  • Improvement: Added a prompt to allow user to download a backup prior to repairing files.
  • Improvement: Prevent scan from failing when the home URL has changed and the key is no longer valid.
  • Improvement: Deprecated PHP 5.3, and ended PHP 5.2 support by prevent auto-update from running on older versions.
  • Fix: Fixed issue where WAF mysqli storage engine cannot find credentials if wflogs/ does not exist.
  • Fix: Changed capability checked to read WP REST API users endpoint when «Prevent discovery of usernames through …» is enabled.
  • Fix: Prevented duplicate queries for wordfenceCentralConnected wfconfig value.
  • Fix: Prevented custom wp-content or other directories from appearing in «skipped paths» scan result, even when scanned.
  • Fix: Login Attempts dashboard widget «Show more» link is not visible when long usernames and IPs cause wrapping.
  • Fix: Fix typo in the readme.

7.4.8 – June 16, 2020

  • Fix: Fixed issue with fatal errors encountered during activation under certain conditions.

7.4.7 – April 23, 2020

  • Mejora: Actualizada la base de datos incluida de GeoIP.
  • Improvement: Better messaging when selecting restrictive rate limits.
  • Improvement: Scan result emails now include the count of issues that were found again.
  • Improvement: Resolved scan issues will now email again if they reoccur.
  • Improvement: Added the state/province name when applicable to geolocation displays in Live Traffic.
  • Improvement: New blocking page design to better inform blocked visitors on how to resolve the block.
  • Improvement: Custom WP_CONTENT_DIR, WP_PLUGIN_DIR, and UPLOADS path constants will now get scanned correctly.
  • Improvement: Added TLS connection failure detection to brute force reporting and checking and a corresponding backoff period.
  • Fix: Fixed an issue where a bad cron record could interfere with automatic WAF rule updates.
  • Fix: Fixed a PHP warning that could occur if a bad response was received while updating an IP list.
  • Fix: The new user tour and onboarding flow will now work correctly on the 2FA page.

7.4.6 – February 12, 2020

  • Improvement: Enhanced the detection ability of the WAF for SQLi attacks.
  • Improvement: Updated the bundled GeoIP database.
  • Improvement: Modified some country names in the block configuration to align with those shown in Live Traffic.
  • Change: Moved the skipped files scan check to the Server State category.
  • Fix: Fixed an issue where after scrolling on the Live Traffic page, updates would no longer automatically load.
  • Fix: Modified the number of login records kept to align better with Live Traffic so they’re trimmed around the same time.

7.4.5 – January 15, 2020

  • Improvement: Improved WAF coverage for an Infinite WP authentication bypass vulnerability.

7.4.4 – January 14, 2020

  • Fix: Fixed a UI issue where the scan summary status marker for malware didn’t always match the findings.

7.4.3 – January 13, 2020

  • Improvement: Added WAF coverage for an Infinite WP authentication bypass vulnerability.
  • Improvement: The malicious URL scan now includes protocol-relative URLs (e.g., //example.com)
  • Improvement: Malware signatures are now better applied to large files read in multiple passes.
  • Improvement: Added a scan issue that will appear when one or more paths are skipped due to scan settings excluding them.
  • Changed: AJAX endpoints now send the application/json Content-Type header.
  • Changed: Updated text on scan issues for plugins removed from wordpress.org to better indicate possible reasons.
  • Changed: Added compatibility messaging for reCAPTCHA when WooCommerce is active.
  • Fixed: Added missing $wp_query->set_404() call when outputting a 404 page on a custom action.
  • Fixed: Fixed the logout username display in Live Traffic broken by a change in WordPress 5.3.
  • Fixed: Improved the response callback used for the WAF status check during extended protection installation.
  • Fixed: The «Require 2FA for all administrators» notice is now automatically dismissed if an administrator sets up 2FA.

7.4.2 – December 3, 2019

  • Improvement: Increased performance of IP CIDR range comparisons.
  • Improvement: Added parameter signature to remote scanning for better validation during forking.
  • Change: Removed duplicate browser label in Live Traffic.
  • Fix: Added compensation for PHP 7.4 deprecation notice with get_magic_quotes_gpc.
  • Fix: Fixed potential notice in dashboard widget when no updates are found.
  • Fix: Updated JS hashing library to compensate for a variable name collision that could occur.
  • Fix: Fixed an issue where certain symlinks could cause a scan to erroneously skip files.
  • Fix: Fixed PHP memory test for newer PHP versions whose optimizations prevented it from allocating memory as desired.

7.4.1 – November 6, 2019

  • Improvement: Updated the bundled GeoIP database.
  • Improvement: Minor changes to ensure compatibility with PHP 7.4.
  • Improvement: Updated the WHOIS lookup for better reliability.
  • Improvement: Added better diagnostic data when the WAF MySQL storage engine is active.
  • Improvement: Improved the messaging when switching between premium and free licenses.
  • Change: Deprecated DNS changes scan.
  • Change: The plugin will no longer email alerts when Central is managing them.
  • Fix: Added error suppression to ignore_user_abort calls to silence it on hosts with it disabled.
  • Fix: Improved path generation to better avoid outputting extra slashes in URLs.
  • Fix: Applied a length limit to malware reporting to avoid failures due to large content size.

7.4.0 – August 22, 2019

  • Improvement: Added a MySQL-based configuration and data storage for the WAF to expand the number of hosting environments supported. For more detail, see: https://www.wordfence.com/help/firewall/mysqli-storage-engine/
  • Mejora: Actualizada la base de datos incluida de GeoIP.
  • Fix: Fixed several console notices when running via the CLI.

7.3.6 – July 31, 2019

  • Improvement: Multiple «php.ini file in core directory» issues are now consolidated into a single issue for clearer scan results.
  • Improvement: The AJAX error detection for false positive WAF blocks now better detects and processes the response for presenting the allowlisting prompt.
  • Improvement: Added overdue cron detection and highlighting to diagnostics to help identify issues.
  • Improvement: Added the necessary directives to exclude backwards compatibility code from creating warnings with phpcs for future compatibility with WP Tide.
  • Improvement: Normalized all PHP require/include calls to use full paths for better code quality.
  • Change: Removed deprecated high sensitivity scan option since current signatures are more accurate.
  • Fix: Fixed the status circle tooltips not showing.
  • Fix: IP detection at the WAF level better mirrors the main plugin exactly when using the automatic setting.
  • Fix: Fixed a currently-unused code path in email address verification for the strict check.

7.3.5 – July 16, 2019

  • Improvement: Improved tagging of the login endpoint for brute force protection.
  • Improvement: Added additional information about reCAPTCHA to its setting control.
  • Improvement: Added a constant that may be overridden to customize the expiration time of login verification email links.
  • Improvement: reCAPTCHA keys are now tested on saving to prevent accidentally inputting a v2 key.
  • Improvement: Added a setting to control the reCAPTCHA human/bot threshold.
  • Improvement: Added a separate option to trigger removal of Login Security tables and data on deactivation.
  • Improvement: Reworked the reCAPTCHA implementation to trigger the token check on login/registration form submission to avoid the token expiring.
  • Fix: Widened the reCAPTCHA key fields to allow the full keys to be visible.
  • Fix: Fixed encoding of the ellipsis character when reporting malware finds.
  • Fix: Disabling the IP blocklist once again correctly clears the block cache.
  • Fix: Addressed an issue when outbound UDP connections are blocked where the NTP check could log an error.
  • Fix: Added handling for reCAPTCHA’s JavaScript failing to load, which previously blocked logging in.
  • Fix: Fixed the functionality of the button to send 2FA grace period notifications.
  • Fix: Fixed a missing icon for some help links when running in standalone mode.

7.3.4 – June 17, 2019

  • Improvement: Added security events and alerting features built into Wordfence Central.

7.3.3 – June 11, 2019

  • Improvement: Added support for managing the login security settings to Wordfence Central.
  • Improvement: Updated the bundled root CA certificate store.
  • Improvement: Added a check and update flow for mod_php hosts with only the PHP5 directive set for the WAF’s extended protection mode.
  • Improvement: Added additional values to Diagnostics for debugging time-related issues, the new fatal error handler settings, and updated the PHP version check to reflect the new 5.6.20 requirement of WordPress.
  • Change: Changed the autoloader for our copy of sodium_compat to always load after WordPress core does.
  • Fix: Fixed the «removed from wordpress.org» detection for plugin, which was broken due to an API change.
  • Fix: Fixed the bulk repair function in the scan results when it included core files.

7.3.2 – May 16, 2019

  • Improvement: Updated sodium_compat to address an incompatibility that may occur with the pending WordPress 5.2.1 update.
  • Improvement: Clarified text around the reCAPTCHA setting to indicate v3 keys must be used.
  • Improvement: Added detection for Jetpack and a notice when XML-RPC authentication is disabled.
  • Fix: Suppressed error messages on the NTP time check to compensate for hosts with UDP connections disabled.

7.3.1 – May 14, 2019

  • Improvement: Two-factor authentication is new and improved, now available on all Premium and Free installations.
  • Improvement: Added Google reCAPTCHA v3 support to the login and registration forms.
  • Improvement: XML-RPC authentication may now be disabled or forced to require 2FA.
  • Improvement: Reduced size of SVG assets.
  • Improvement: Clarified text on «Maximum execution time for each scan stage» option.
  • Improvement: Added detection for an additional config file that may be created and …