Ir al contenido principalIr al pie de página
reportedIP
Comunicados

Hive Light en WordPress.org: protección gratuita del inicio de sesión para WordPress

Patrick Schlesinger
Ficha de lanzamiento de ReportedIP Light — Directorio de plugins de WordPress.org, dos modos de funcionamiento, requisitos: WP 6.0+ y PHP 8.1+, licencia GPL-2.0+

ReportedIP Light ya está disponible en el directorio oficial de plugins de WordPress.org. Una instalación, un interruptor y estándar wp-login.php cuenta con un contador por IP, un sistema de bloqueo progresivo por escalonamiento y, si lo deseas, una consulta de reputación de la comunidad.

Es la versión reducida de Hive Full: se limita a una única función, es gratuita bajo la licencia GPL-2.0+, no requiere crear una cuenta y se distribuye a través del mismo canal que las actualizaciones del núcleo de WordPress.

Qué hace realmente Hive Light

El plugin se integra en dos acciones muy conocidas de WordPress:

  • wp_login_failed incrementa un contador atómico por IP (sin condiciones de carrera en un ataque paralelo de «password spray»).
  • wp_authenticate_user desvía las direcciones IP que se sabe que son maliciosas antes de que se ejecute la autenticación del núcleo de WordPress; de este modo, el atacante nunca llega a la comprobación de la contraseña.

Cuando el contador supera el límite configurado, la dirección IP se bloquea siguiendo una progresión fija: 5 minutos, luego 15, luego 30, luego 24 horas, luego 48 y, finalmente, 7 días completos. La respuesta de bloqueo es un código HTTP 403 limpio con encabezados «no-cache» explícitos; WP Rocket, W3 Total Cache, WP Super Cache y LiteSpeed muestran correctamente la página de bloqueo en lugar de un formulario de inicio de sesión almacenado en caché.

Eso es todo lo que ofrece el producto. No hay que aprender a manejar ningún panel de control, ni hay un motor de pólizas, ni puntuación basada en IA, ni pantalla de ventas adicionales.

¿Light o Full? ¿Cuál necesitas realmente?

Ambas ediciones comparten el núcleo de protección contra ataques de fuerza bruta. La elección depende de la superficie de ataque y de los requisitos operativos. Una breve matriz de decisión:

Si tu sitio web necesita…Utiliza esta edición
Solo protección de inicio de sesión, nada más.Luz de colmena
Pestaña «Actualizaciones» de WordPress.org y configuración automática.Luz de colmena
Un sitio que, por ley, no debe realizar llamadas a ningún punto final externo de forma predeterminada.Hive Light (el escudo local es la configuración predeterminada)
Autenticación de dos factores (TOTP, correo electrónico, SMS, WebAuthn).Colmena llena
Protección contra XML-RPC, ataques REST, spam en los comentarios, escáneres de errores 404 o enumeración de usuarios.Colmena completa (12 sensores)
Activación de la red multisitio o autenticación de dos factores (2FA) en la interfaz de usuario de WooCommerce.Colmena llena
Servicio gestionado de reenvío de correo electrónico o SMS con paquetes de prepago.Hive Full (nivel PRO y superiores)
Modo de refuerzo y detección de ataques coordinados en varias direcciones IP.Colmena llena

Si no estás seguro de cuál te conviene, empieza con la versión Light. Se ejecuta en cuanto la actives, y luego puedes pasar a la versión Full sin perder tu tabla de bloques; ambas ediciones comparten la misma wp_reportedip_hive_* esquema de la base de datos. El desglose completo de las funciones se encuentra en la Página de documentación de Hive Light.

Cómo se mantiene la privacidad de forma predeterminada

Por defecto, Hive Light funciona en modo Local Shield. Cada contador, cada decisión de bloqueo y cada escritura de metadatos se realiza en tu propio servidor. No hay ninguna solicitud HTTP saliente: el complemento, literalmente, no tiene constancia de la existencia de reportedip.de a menos que tú se lo indiques.

Si decides Red comunitaria modo gratuito Clave de acceso a la comunidad, el complemento comienza a realizar dos acciones adicionales: comprueba la IP de origen con la base de datos de reputación de la comunidad durante los intentos de inicio de sesión, y añade las IP bloqueadas a una cola para notificarlas a la red mediante una tarea cron cada 15 minutos. La información que se envía es estrictamente la dirección IP, una SHA-256 hash del nombre de usuario introducido, con sal wp_salt(), una categoría de evento entera y la marca de tiempo. Los nombres de usuario, las contraseñas, los nombres de dominio, los encabezados y los datos de tráfico en texto sin cifrar nunca salen de tu servidor.

La base jurídica para el tratamiento de datos personales es el artículo 6, apartado 1, letra f), del RGPD: interés legítimo en la seguridad de las redes y la información. Las pestañas «Conexión», «Protección» y «Privacidad» de la configuración del complemento muestran todas las llamadas externas y te permiten desactivarlas de forma independiente.

Instálalo

  1. En WP-Admin, ve a Plugins → Añadir nuevo y busca ReportedIP Light».
  2. Haz clic en «Instalar ahora» y, a continuación, en «Activar».
  3. Abre ReportedIP Light → Configuración y revisa las pestañas Conexión / Protección / Privacidad. En este momento, Local Shield ya está protegiendo el formulario de inicio de sesión; no es necesario que hagas nada más en el caso básico.

Las actualizaciones se publican a través del canal estándar de WordPress.org. La distribución completa se encuentra en wordpress.reportedip.

Para desarrolladores

Hive Light es compatible con filtros. Los cuatro ganchos que probablemente te interesen son:

  • reportedip_hive_is_whitelisted — Bloquea cualquier dirección IP en la que confíes ciegamente (servidores de CI, sondas de monitorización, el rango de tu oficina).
  • reportedip_hive_get_client_ip — Anula el resolutor de IP si te conectas a través de un proxy inverso que no admita los encabezados compatibles.
  • reportedip_hive_event_category_map — reasignar las categorías de eventos antes de enviarlas al punto final de la comunidad.
  • reportedip_hive_api_endpoint — apunta a una instancia de reportedip alojada en tus propios servidores en lugar de a reportedip.de.

El código fuente está disponible en GitHub, en github.reportedip. Se aceptan incidencias y solicitudes de incorporación de cambios.

¿Ya tienes instalado Hive Full?

Skip Light — Full es un superconjunto estricto y utiliza las mismas tablas de la base de datos. Si has llegado aquí desde las notas de la versión 2.0.15 de Hive, esa es la versión que te interesa. La versión Light está pensada para los usuarios de WordPress.org que solo necesitan protección de inicio de sesión y nada más: un plugin más ligero y más fácil de manejar.

Descarga Hive Light desde WordPress.org →

Deja un comentario

Tu dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con *

Rellena este campo
Rellena este campo
Introduce una dirección de correo electrónico válida.
Debes aceptar los términos para continuar