WPVulnerability

Descripción

Este plugin se integra con la API de WPVulnerability para proporcionar evaluaciones de vulnerabilidad en tiempo real para el núcleo de tu WordPress, plugins, temas, versión de PHP, Apache HTTPD, nginx, MariaDB, MySQL, ImageMagick, curl, memcached, Redis y SQLite

Entrega informes detallados directamente en tu escritorio de WordPress, ayudándote a estar al tanto de posibles riesgos de seguridad. Configura el plugin para enviar avisos periódicos acerca del estado de seguridad de tu sitio, asegurando que te mantengas informado sin sentirte abrumado. Diseñado para ser fácil de usar, es compatible con medidas de seguridad proactivas sin almacenar ni recuperar ningún dato personal de tu sitio.

Fiabilidad de los datos

La información proporcionada por la base de datos de información proviene de diferentes fuentes que han sido revisadas por terceros. No existe ningún tipo de responsabilidad sobre la información. Actúa por tu cuenta y riesgo.

Utilizando el plugin

WP-CLI

Puedes usar los siguientes comandos de WP-CLI para gestionar y comprobar vulnerabilidades.

  • Núcleo: wp wpvulnerability core
  • Plugins: wp wpvulnerability plugins
  • Temas: wp wpvulnerability themes
  • PHP: wp wpvulnerability php
  • Apache HTTPD: wp wpvulnerability apache
  • nginx: wp wpvulnerability nginx
  • MariaDB: wp wpvulnerability mariadb
  • MySQL: wp wpvulnerability mysql
  • ImageMagick: wp wpvulnerability imagemagick
  • curl: wp wpvulnerability curl
  • memcached: wp wpvulnerability memcached
  • Redis: wp wpvulnerability redis
  • SQLite: wp wpvulnerability sqlite

Todos los comandos dan soporte a la opción --format para especificar el formato de salida.

  • --format=table: Muestra los resultados en formato de tabla (por defecto).
  • --format=json: Muestra los resultados en formato JSON.

¿Necesitas ayuda?

  • wp wpvulnerability --help: Muestra información de ayuda para los comandos de WPVulnerability.
  • wp wpvulnerability [comando] --help: Muestra información de ayuda para un comando WPVulnerability.

REST API

El plugin WPVulnerability proporciona varias rutas finales de la API REST para obtener información sobre vulnerabilidades de diferentes componentes de tu sitio WordPress.

  • Core: /wpvulnerability/v1/core
  • Plugins: /wpvulnerability/v1/plugins
  • Themes: /wpvulnerability/v1/themes
  • PHP: /wpvulnerability/v1/php
  • Apache HTTPD: /wpvulnerability/v1/apache
  • nginx: /wpvulnerability/v1/nginx
  • MariaDB: /wpvulnerability/v1/mariadb
  • MySQL: /wpvulnerability/v1/mysql
  • ImageMagick: /wpvulnerability/v1/imagemagick
  • curl: /wpvulnerability/v1/curl
  • memcached: /wpvulnerability/v1/memcached
  • Redis: /wpvulnerability/v1/redis
  • SQLite: /wpvulnerability/v1/sqlite

La API REST de WPVulnerability utiliza contraseñas de aplicación para identificación. Necesitas incluir una contraseña de aplicación válida en la cabecera de autorización de tus peticiones.

Ejemplo de solicitud con identificación

curl -X GET https://example.com/wp-json/wpvulnerability/v1/plugins -u username:application_password

Reemplaza nombre de usuario con tu username de WordPress y application_password con tu Contraseña de Aplicación.

Configuraciones Extra

«From:» de correo (desde: 3.2.2)

Si, por alguna razón, necesitas que los correos electrónicos enviados por el plugin tengan un From diferente al administrador del sitio, puedes cambiarlo desde el wp-config.php añadiendo una constante:

define( 'WPVULNERABILITY_MAIL', 'sender@example.com' );

Si la constante está activa, será visible en la pantalla de configuración

Compatibilidad

  • WordPress: 4.1 – 6.7
  • PHP: 5.6 – 8.4
  • WP-CLI: 2.3.0 – 2.11.0

Seguridad

Este plugin se adhiere a las siguientes medidas de seguridad y protocolos de revisión para cada versión:

Privacidad

  • Este plugin o la WordPress Vulnerability Database API no recoge ninguna información sobre tu sitio, tu identidad, los plugins, temas o contenidos que tiene el sitio.

Vulnerabilidades

  • No se han publicado vulnerabilidades hasta la versión 4.0.2.

¿Has encontrado una vulnerabilidad de seguridad? Infórmanos de ello en privado en el repositorio de GitHub de WPVulnerability.

Colaboradores

Puedes contribuir a este plugin desde el repositorio de GitHub de WPVulnerability.

Capturas

  • Widget del escritorio de WP-Admin.
  • Lista de vulnerabilidades en Lista de plugins.
  • Lista de vulnerabilidades en Salud del Sitio.

Instalación

Descarga automática

Visita la sección de plugins en tu WordPress, busca [wpvulnerability]; descarga e instala el plugin.

Descarga manual

Extrae el contenido del ZIP y sube el contenido al directorio /wp-content/plugins/wpvulnerability/. Una vez subido, aparecerá en tu lista de plugins.

FAQ

¿De dónde procede la información sobre la vulnerabilidad?

El origen está en la API de WPVulnerability.com. Las vulnerabilidades que aparecen en esta API provienen de diferentes fuentes, como los CVE.

¿Se envían los datos de mi sitio a alguna parte?

No. Nunca. Tu privacidad es muy importante para nosotros. No comercializamos con tus datos.

¿Qué vulnerabilidades voy a encontrar?

Se documentan vulnerabilidades en el núcleo de WordPress, plugins, temas, PHP, Apache HTTPD, nginx, MariaDB, MySQL, ImageMagick, curl, memcached, Redis y SQLite

¿Qué hago si mi sitio tiene una vulnerabilidad?

Primero que nada, tranquilidad. Investiga cuál es la vulnerabilidad y, sobre todo, comprueba que tienes la última versión del elemento comprometido. Te recomendamos activamente que mantengas todo tu WordPress y sus plugins actualizados. Contacta a tu proveedor de alojamiento para parchear vulnerabilidades que no son de WordPress (como el servidor web, bases de datos y otro software).

Reseñas

17 de abril de 2024
Vulnerabilities are listed into your plugins list.You should also being able to receive an automatic email too. It doesn’t work on my system, but email test yes.So awesome plugin anyway!
8 de abril de 2024 1 respuesta
Exactly what I was looking for ! On the roadmap, it would be nice if : we can chose if we want to receive an email OR not (I may use it as a vuln reminder on the dashboard, as I have other plugins already keeping me informed) we can chose what will be in the email – php or not for exemple (it seems that it is planned, thanks) only receive an email if one the vuln is considered high risk etc.
21 de febrero de 2024
This plugin alerts you about known vulnerabilities in your WordPress core, plugins, themes, and even PHP, so you can take action in a timely manner. If you don’t have this plugin on your site already, you absolutely need it!
4 de febrero de 2024
Este plugin es de los primeros que instalo en cada proyecto que ejecuto. Tanto para proyectos desde cero y con mucha más razón para corrección de fallos en proyectos iniciados.
26 de enero de 2024
Sin duda alguna, es el plugin que te ayuda estar informado de vulnerabilidades. Uno de los plugins que instalo por defecto en cuanto empiezo una web.
Leer todas las 18 reseñas

Colaboradores y desarrolladores

«WPVulnerability» es un software de código abierto. Las siguientes personas han colaborado con este plugin.

Colaboradores

«WPVulnerability» está traducido en 13 idiomas. Gracias a los traductores por sus contribuciones.

Traduce «WPVulnerability» a tu idioma.

¿Interesado en el desarrollo?

Revisa el código , echa un vistazo al repositorio SVN o suscríbete al registro de desarrollo por RSS.

Registro de cambios

[4.0.3] – 2024-10-28

  • Recreación de la versión 4.0.2. Algo no creó la versión 4.0.2.

[4.0.2] – 2024-10-25

Corregido

  • ImageMagick: se bloquea en algunos casos donde el alojamiento no tiene ImageMagick

Compatibilidad

  • WordPress: 4.1 – 6.7
  • PHP: 5.6 – 8.4
  • WP-CLI: 2.3.0 – 2.11.0

Pruebas

  • PHP Coding Standards: 3.10.3
  • WordPress Coding Standards: 3.1.0
  • Plugin Check (PCP): 1.1.0
  • SonarCloud Code Review

[4.0.1] – 2024-10-04

Corregido

  • Variables de API: algunas variables de API estaban fallando.
  • Variables de CLI: algunas variables de CLI estaban fallando.

Compatibilidad

  • WordPress: 4.1 – 6.7
  • PHP: 5.6 – 8.4
  • WP-CLI: 2.3.0 – 2.11.0

Pruebas

  • PHP Coding Standards: 3.10.3
  • WordPress Coding Standards: 3.1.0
  • Plugin Check (PCP): 1.1.0
  • SonarCloud Code Review

[4.0.0] – 2024-10-01

Añadido

  • Vulnerabilidades de ImageMagic (Salud del Sitio + WP-CLI + API + correo)
  • Vulnerabilidades de curl (Salud del sitio + WP-CLI + API + correo)
  • Vulnerabilidades de memcached (Salud del Sitio + WP-CLI + API + correo)
  • Vulnerabilidades de Redis (Salud del Sitio + WP-CLI + API + correo)
  • Vulnerabilidades de SQLite (Salud del Sitio + WP-CLI + API + correo)

Corregido

  • Prueba de correo electrónico sin correo electrónico
  • Detección mejorada de MariaDB 11.x
  • Detección de versiones mejoradas (mayor-menor.parche-construcción)
  • WordPress < 5.3: uso de wp_date().
  • WordPress < 5.0: detección de configuración regional.
  • Widget del escritorio solo para usuarios con capacidades.
  • WordPress < 5.2: enlace a la Salud del Sitio

Modificado

  • Gran reprogramación.
  • Menos archivos, menos tamaño, mejor calidad de código

Compatibilidad

  • WordPress: 4.1 – 6.7
  • PHP: 5.6 – 8.4
  • WP-CLI: 2.3.0 – 2.11.0

Pruebas

  • Manual Testing:
    • WordPress 6.7 / PHP 8.4
    • WordPress 6.6 / PHP 8.3
    • WordPress 6.4 / PHP 8.2
    • WordPress 6.1 / PHP 8.1
    • WordPress 5.8 / PHP 8.0
    • WordPress 5.5 / PHP 7.4
    • WordPress 5.3 / PHP 7.3
    • WordPress 4.9 / PHP 7.2
    • WordPress 4.8 / PHP 7.1
    • WordPress 4.6 / PHP 7.0
    • WordPress 4.1 / PHP 5.6
  • PHP Coding Standards: 3.10.3
  • WordPress Coding Standards: 3.1.0
  • Plugin Check (PCP): 1.1.0
  • SonarCloud Code Review

Previous versions

Si quieres ver el registro de cambios completo, visita el archivo changelog.txt.