Seguridad
8 módulos de seguridad independientes, cada uno activable/desactivable desde el panel de administración. Sin dependencias externas.
Desactivar XML-RPC
Filtra xmlrpc_enabled a false, deshabilitando completamente el protocolo XML-RPC de WordPress.
- Reduce la superficie de ataque frente a ataques de fuerza bruta
- Elimina el vector de ataque DDoS por amplificación pingback
- No afecta a la REST API ni a las funcionalidades modernas de WordPress
Deshabilitar JSON API para invitados
Devuelve un error WP_Error 401 a cualquier petición a la REST API de WordPress realizada por usuarios no autenticados.
- Impide la enumeración de usuarios via
/wp-json/wp/v2/users - Protege datos sensibles expuestos por endpoints públicos
- Los usuarios logueados siguen teniendo acceso completo
Eliminar enlaces RSS
Elimina los siguientes elementos del wp_head:
rsd_link— enlace de Really Simple Discoveryfeed_links— enlaces a feeds RSS principalesfeed_links_extra— enlaces a feeds de categorías, tags, etc.wlwmanifest_link— enlace de Windows Live Writer
Ocultar versión de WordPress
Elimina toda referencia a la versión de WordPress del código fuente público:
- Elimina el meta tag
wp_generatordel<head> - Elimina el generador de WooCommerce
- Elimina los parámetros
?ver=de todos los archivos CSS y JS encolados
Headers de seguridad
Añade cabeceras HTTP de seguridad a todas las respuestas del servidor:
| Header | Valor | Protección |
|---|---|---|
| X-Content-Type-Options | nosniff | Previene MIME type sniffing |
| X-Frame-Options | SAMEORIGIN | Previene ataques clickjacking |
| Referrer-Policy | strict-origin-when-cross-origin | Controla información de referrer |
| Permissions-Policy | Configurado | Restringe acceso a APIs del navegador |
Límite de intentos de login
Limita el número de intentos de inicio de sesión fallidos por IP.
| Parámetro | Default | Descripción |
|---|---|---|
| Intentos máximos | 5 | Número de intentos fallidos antes del bloqueo |
| Tiempo de bloqueo | 15 minutos | Duración del bloqueo temporal por IP |
Ambos valores son configurables desde el panel de administración.
Login personalizado
Oculta la URL estándar de login de WordPress (wp-login.php) y redirige a un slug personalizado.
- El slug es configurable (ejemplo:
/acceso,/entrada) - Las peticiones directas a
wp-login.phpreciben un error 404 - Funciona con
wp-adminredirigiendo al nuevo slug si no hay sesión
Registro de actividad
Registra las acciones relevantes que ocurren en el sitio para auditoría y control.
Eventos registrados
- Autenticación — Login y logout de usuarios
- Contenido — Creación y edición de posts/páginas
- Ajustes — Cambios en opciones de WordPress
- Plugins — Activación, desactivación, instalación y eliminación
- Temas — Cambio de tema activo
- Usuarios — Creación, edición y eliminación de usuarios
Configuración
| Parámetro | Default | Descripción |
|---|---|---|
| Retención | 90 días | Los registros más antiguos se eliminan automáticamente |
| Modo GDPR | Desactivado | Cuando está activo, las IPs se almacenan como hash en lugar de texto plano |
Verificación de integridad
Además de los 8 módulos configurables, FlowKit incluye un sistema de verificación de la instalación:
- Verificación remota periódica — Comprueba la validez de la licencia contra el servidor
- Verificación distribuida — Múltiple puntos de validación para evitar fallos
- Checksum de integridad — Verifica que los archivos del tema no han sido modificados