Descripción
Este plugin se integra con la API de WPVulnerability para proporcionar evaluaciones de vulnerabilidad en tiempo real para el núcleo de tu WordPress, plugins, temas, versión de PHP, Apache HTTPD, nginx, MariaDB, MySQL, ImageMagick, curl, memcached, Redis y SQLite
Entrega informes detallados directamente en tu escritorio de WordPress, ayudándote a estar al tanto de posibles riesgos de seguridad. Configura el plugin para enviar avisos periódicos acerca del estado de seguridad de tu sitio, asegurando que te mantengas informado sin sentirte abrumado. Diseñado para ser fácil de usar, es compatible con medidas de seguridad proactivas sin almacenar ni recuperar ningún dato personal de tu sitio.
Fiabilidad de los datos
La información proporcionada por la base de datos de información proviene de diferentes fuentes que han sido revisadas por terceros. No existe ningún tipo de responsabilidad sobre la información. Actúa por tu cuenta y riesgo.
Utilizando el plugin
WP-CLI
Puedes usar los siguientes comandos de WP-CLI para gestionar y comprobar vulnerabilidades.
- Núcleo:
wp wpvulnerability core
- Plugins:
wp wpvulnerability plugins
- Temas:
wp wpvulnerability themes
- PHP:
wp wpvulnerability php
- Apache HTTPD:
wp wpvulnerability apache
- nginx:
wp wpvulnerability nginx
- MariaDB:
wp wpvulnerability mariadb
- MySQL:
wp wpvulnerability mysql
- ImageMagick:
wp wpvulnerability imagemagick
- curl:
wp wpvulnerability curl
- memcached:
wp wpvulnerability memcached
- Redis:
wp wpvulnerability redis
- SQLite:
wp wpvulnerability sqlite
Todos los comandos dan soporte a la opción --format
para especificar el formato de salida.
--format=table
: Muestra los resultados en formato de tabla (por defecto).--format=json
: Muestra los resultados en formato JSON.
¿Necesitas ayuda?
wp wpvulnerability --help
: Muestra información de ayuda para los comandos de WPVulnerability.wp wpvulnerability [comando] --help
: Muestra información de ayuda para un comando WPVulnerability.
REST API
El plugin WPVulnerability proporciona varias rutas finales de la API REST para obtener información sobre vulnerabilidades de diferentes componentes de tu sitio WordPress.
- Core:
/wpvulnerability/v1/core
- Plugins:
/wpvulnerability/v1/plugins
- Themes:
/wpvulnerability/v1/themes
- PHP:
/wpvulnerability/v1/php
- Apache HTTPD:
/wpvulnerability/v1/apache
- nginx:
/wpvulnerability/v1/nginx
- MariaDB:
/wpvulnerability/v1/mariadb
- MySQL:
/wpvulnerability/v1/mysql
- ImageMagick:
/wpvulnerability/v1/imagemagick
- curl:
/wpvulnerability/v1/curl
- memcached:
/wpvulnerability/v1/memcached
- Redis:
/wpvulnerability/v1/redis
- SQLite:
/wpvulnerability/v1/sqlite
La API REST de WPVulnerability utiliza contraseñas de aplicación para identificación. Necesitas incluir una contraseña de aplicación válida en la cabecera de autorización de tus peticiones.
Ejemplo de solicitud con identificación
curl -X GET https://example.com/wp-json/wpvulnerability/v1/plugins -u username:application_password
Reemplaza nombre de usuario con tu username
de WordPress y application_password
con tu Contraseña de Aplicación.
Configuraciones Extra
«From:» de correo (desde: 3.2.2)
Si, por alguna razón, necesitas que los correos electrónicos enviados por el plugin tengan un From diferente al administrador del sitio, puedes cambiarlo desde el wp-config.php
añadiendo una constante:
define( 'WPVULNERABILITY_MAIL', 'sender@example.com' );
Si la constante está activa, será visible en la pantalla de configuración
Compatibilidad
- WordPress: 4.1 – 6.7
- PHP: 5.6 – 8.4
- WP-CLI: 2.3.0 – 2.11.0
Seguridad
Este plugin se adhiere a las siguientes medidas de seguridad y protocolos de revisión para cada versión:
- Manual de plugins WordPress
- Seguridad de los plugins de WordPress
- Seguridad de las APIs de WordPress
- Normas de codificación de WordPress
- Plugin Check (PCP)
- SonarCloud Code Review
Privacidad
- Este plugin o la WordPress Vulnerability Database API no recoge ninguna información sobre tu sitio, tu identidad, los plugins, temas o contenidos que tiene el sitio.
Vulnerabilidades
- No se han publicado vulnerabilidades hasta la versión 4.0.2.
¿Has encontrado una vulnerabilidad de seguridad? Infórmanos de ello en privado en el repositorio de GitHub de WPVulnerability.
Colaboradores
Puedes contribuir a este plugin desde el repositorio de GitHub de WPVulnerability.
Capturas
Instalación
Descarga automática
Visita la sección de plugins en tu WordPress, busca [wpvulnerability]; descarga e instala el plugin.
Descarga manual
Extrae el contenido del ZIP y sube el contenido al directorio /wp-content/plugins/wpvulnerability/
. Una vez subido, aparecerá en tu lista de plugins.
FAQ
-
¿De dónde procede la información sobre la vulnerabilidad?
-
El origen está en la API de WPVulnerability.com. Las vulnerabilidades que aparecen en esta API provienen de diferentes fuentes, como los CVE.
-
¿Se envían los datos de mi sitio a alguna parte?
-
No. Nunca. Tu privacidad es muy importante para nosotros. No comercializamos con tus datos.
-
¿Qué vulnerabilidades voy a encontrar?
-
Se documentan vulnerabilidades en el núcleo de WordPress, plugins, temas, PHP, Apache HTTPD, nginx, MariaDB, MySQL, ImageMagick, curl, memcached, Redis y SQLite
-
¿Qué hago si mi sitio tiene una vulnerabilidad?
-
Primero que nada, tranquilidad. Investiga cuál es la vulnerabilidad y, sobre todo, comprueba que tienes la última versión del elemento comprometido. Te recomendamos activamente que mantengas todo tu WordPress y sus plugins actualizados. Contacta a tu proveedor de alojamiento para parchear vulnerabilidades que no son de WordPress (como el servidor web, bases de datos y otro software).
Reseñas
Colaboradores y desarrolladores
«WPVulnerability» es un software de código abierto. Las siguientes personas han colaborado con este plugin.
Colaboradores«WPVulnerability» está traducido en 13 idiomas. Gracias a los traductores por sus contribuciones.
Traduce «WPVulnerability» a tu idioma.
¿Interesado en el desarrollo?
Revisa el código , echa un vistazo al repositorio SVN o suscríbete al registro de desarrollo por RSS.
Registro de cambios
[4.0.3] – 2024-10-28
- Recreación de la versión 4.0.2. Algo no creó la versión 4.0.2.
[4.0.2] – 2024-10-25
Corregido
- ImageMagick: se bloquea en algunos casos donde el alojamiento no tiene ImageMagick
Compatibilidad
- WordPress: 4.1 – 6.7
- PHP: 5.6 – 8.4
- WP-CLI: 2.3.0 – 2.11.0
Pruebas
- PHP Coding Standards: 3.10.3
- WordPress Coding Standards: 3.1.0
- Plugin Check (PCP): 1.1.0
- SonarCloud Code Review
[4.0.1] – 2024-10-04
Corregido
- Variables de API: algunas variables de API estaban fallando.
- Variables de CLI: algunas variables de CLI estaban fallando.
Compatibilidad
- WordPress: 4.1 – 6.7
- PHP: 5.6 – 8.4
- WP-CLI: 2.3.0 – 2.11.0
Pruebas
- PHP Coding Standards: 3.10.3
- WordPress Coding Standards: 3.1.0
- Plugin Check (PCP): 1.1.0
- SonarCloud Code Review
[4.0.0] – 2024-10-01
Añadido
- Vulnerabilidades de ImageMagic (Salud del Sitio + WP-CLI + API + correo)
- Vulnerabilidades de curl (Salud del sitio + WP-CLI + API + correo)
- Vulnerabilidades de memcached (Salud del Sitio + WP-CLI + API + correo)
- Vulnerabilidades de Redis (Salud del Sitio + WP-CLI + API + correo)
- Vulnerabilidades de SQLite (Salud del Sitio + WP-CLI + API + correo)
Corregido
- Prueba de correo electrónico sin correo electrónico
- Detección mejorada de MariaDB 11.x
- Detección de versiones mejoradas (mayor-menor.parche-construcción)
- WordPress < 5.3: uso de wp_date().
- WordPress < 5.0: detección de configuración regional.
- Widget del escritorio solo para usuarios con capacidades.
- WordPress < 5.2: enlace a la Salud del Sitio
Modificado
- Gran reprogramación.
- Menos archivos, menos tamaño, mejor calidad de código
Compatibilidad
- WordPress: 4.1 – 6.7
- PHP: 5.6 – 8.4
- WP-CLI: 2.3.0 – 2.11.0
Pruebas
- Manual Testing:
- WordPress 6.7 / PHP 8.4
- WordPress 6.6 / PHP 8.3
- WordPress 6.4 / PHP 8.2
- WordPress 6.1 / PHP 8.1
- WordPress 5.8 / PHP 8.0
- WordPress 5.5 / PHP 7.4
- WordPress 5.3 / PHP 7.3
- WordPress 4.9 / PHP 7.2
- WordPress 4.8 / PHP 7.1
- WordPress 4.6 / PHP 7.0
- WordPress 4.1 / PHP 5.6
- PHP Coding Standards: 3.10.3
- WordPress Coding Standards: 3.1.0
- Plugin Check (PCP): 1.1.0
- SonarCloud Code Review
Previous versions
Si quieres ver el registro de cambios completo, visita el archivo changelog.txt.