Ir al contenido principalIr al pie de página
reportedIP
Comunicados

ReportedIP 2.0.22 — Sensor de ocultación de inicio de sesión, interfaz de usuario en alemán e inicio de sesión con 2FA más sencillo

Patrick Schlesinger
Banner de lanzamiento ReportedIP 2.0.22 que muestra un sensor de sondeo «Hide-Login», 1.845 cadenas de interfaz de usuario en alemán y un activador de escaneo de inicio de sesión de 5 por cada 10 minutos en las cinco versiones lanzadas desde la 2.0.16.

ReportedIP 2.0.22 es la versión principal de las cinco actualizaciones lanzadas desde la 2.0.16: un nuevo sensor de detección de «Hide-Login», una interfaz completa en alemán y un proceso de inicio de sesión con autenticación de dos factores (2FA) que ya no envía códigos que no hayas solicitado. Todas estas novedades se implementan en los sitios existentes a través de la comprobación de actualizaciones integrada cada 12 horas.

Este resumen abarca todas las versiones comprendidas entre la 2.0.17 y la 2.0.22. Los sitios configurados para la actualización automática recibirán la última versión en un plazo de doce horas; para descargarla ahora, fuerza la comprobación a través de Panel de control → Actualizaciones.

Novedades de ReportedIP 2.0.22 y versiones anteriores

El trabajo se divide en cuatro líneas de trabajo: un nuevo sensor de escaneo de inicio de sesión, un flujo de autenticación de dos factores (2FA) más sencillo y robusto, una traducción completa al alemán y una serie de correcciones relacionadas con el correo electrónico y la estabilidad. Cada una de las versiones que se indican a continuación es una versión etiquetada real en GitHub.

  • 2.0.17 — Los bloqueos por aplicación de la autenticación de dos factores ya no se disfrazan como «Credenciales no válidas».
  • 2.0.19 — Traducción al alemán, corrección de un error fatal de PHP 8 en la pestaña de configuración de la autenticación de dos factores y una comprobación de CI para garantizar la vigencia de las traducciones.
  • 2.0.20 — Se acabaron los correos repetidos con el mensaje «el plan está activo», un proceso de activación de la autenticación de dos factores (2FA) más ágil y el fin de los códigos no solicitados por correo electrónico o SMS.
  • 2.0.21 — El sensor de sonda «Hide-Login» y un selector de métodos que ya no se recorta en las tarjetas de inicio de sesión estrechas.
  • 2.0.22 — El proceso de autenticación de dos factores (2FA) mantiene el método elegido tras un código incorrecto, en lugar de volver al inicio.

El sensor de detección «Hide-Login» bloquea los escaneos de tu antigua URL de inicio de sesión

Si utilizas la función «Ocultar inicio de sesión» de Hive, tu página de inicio de sesión real se encuentra en una URL personalizada y /wp-login.php nunca debería ser visitada por un usuario legítimo. La versión 2.0.21 convierte eso en una señal de detección: las visitas directas repetidas a la antigua /wp-login.php procedentes de una misma dirección IP se consideran ahora un escaneo, se bloquean siguiendo el mismo procedimiento de escalado que los demás sensores y se notifican a la comunidad.

Una sola visita accidental no supone ningún problema: solo se registran los eventos de reconocimiento de baja gravedad. El bloqueo se activa cuando se detecta un patrón. El sensor se puede configurar en la pestaña «Ajustes de inicio de sesión»: un interruptor principal (activado por defecto), un umbral de detecciones (por defecto, 5) y un intervalo de tiempo (por defecto, 10 minutos). Las direcciones IP incluidas en la lista blanca nunca se tienen en cuenta, por lo que tu propio sistema de monitorización nunca lo activará.

Esto complementa la detección de rutas de señuelo descrita en las notas de la versión 2.0.16: las rutas de señuelo detectan intentos de suplantación de credenciales y de acceso a archivos de copia de seguridad, mientras que el sensor «Hide-Login» detecta herramientas de fuerza bruta que siguen lanzando ataques contra la URL de inicio de sesión predeterminada.

El proceso de inicio de sesión con autenticación de dos factores deja de enviar códigos que nunca has solicitado

Antes de la versión 2.0.20, los usuarios cuyo método principal fuera el correo electrónico o el SMS recibían un código de un solo uso en el momento en que se cargaba la pantalla de verificación, incluso antes de poder seleccionar un método. Ahora, ambos métodos de envío comienzan en la fase de solicitud: hay que seleccionar el método y hacer clic en «Enviar código» antes de que se envíe nada. Los métodos sin estado (aplicación de autenticación, clave de acceso, códigos de recuperación) no se ven afectados y muestran la información directamente.

El resultado práctico: no se reciben correos electrónicos ni SMS no solicitados, y no se agota el límite de frecuencia ni la cuota de retransmisión gestionada de un método que el usuario no ha elegido. En una página de inicio de sesión muy concurrida, esa cuota es importante; consulta cómo funcionan las cuotas de retransmisión y los correos de alerta del 80 % y el 100 % en las notas de la versión 2.0.16.

Ahora el reto consiste en mantener tu método tras un código erróneo

La versión 2.0.22 corrige un bucle frustrante. Cuando se configuraban varios métodos, al pasar de la pestaña «Correo electrónico» a la de «SMS», solicitar un código e introducir uno incorrecto o caducado, la página volvía inmediatamente a la pestaña «Correo electrónico», con lo que se perdían tanto el método seleccionado como el código introducido. Ahora, el gestor de excepciones conserva el método seleccionado tras una recarga de la página (ya sea por una verificación fallida o un bloqueo temporal), de modo que el usuario permanece en la pestaña, ve el error y puede volver a introducir el código. El valor sigue validándose con respecto a los métodos activos de la cuenta, por lo que un método falsificado se rechaza de forma segura. Tanto el wp-login.php y se trata el flujo de trabajo en la interfaz de usuario de WooCommerce.

El selector de métodos ya no se trunca en «A…/E…/S…/W…».

En el interior de una columna estrecha de inicio de sesión con diseño temático, las pestañas de métodos solían reducirse a abreviaturas de una sola letra. Ahora, el selector se adapta al ancho real de la tarjeta mediante una consulta de contenedor CSS y apila los métodos en una lista vertical con etiquetas completas cuando el espacio es reducido, de modo que «Autenticador», «Correo electrónico», «SMS» y «WebAuthn» siguen siendo legibles.

Hive 2.0.19 incluye una interfaz completa en alemán

Todas las cadenas de texto destinadas al usuario —unas 1.845 en total— ya están traducidas al alemán (de_DE, tratamiento formal «Sie») y se distribuyen como un archivo compilado .po / .mo par. Las cadenas originales permanecen en inglés; WordPress carga automáticamente la traducción al alemán cuando el idioma del sitio es el alemán, por lo que el resto de configuraciones regionales no se ven afectadas.

Para garantizar la veracidad de esa traducción, en ese mismo comunicado se añadió un filtro de frescura. composer i18n:check La compilación falla cuando la plantilla de traducción está desactualizada, el archivo en alemán contiene entradas sin traducir o con traducciones provisionales, o el binario compilado no está sincronizado. Se ejecuta como una tarea de integración continua (CI) bloqueante, por lo que la interfaz de usuario en alemán se mantiene actualizada con el código fuente cada vez que se produce un cambio. En esta versión también se ha actualizado el encabezado «tested-up-to» a WordPress 7.0.

Correcciones relacionadas con el bloqueo, el correo electrónico y la estabilidad

Los bloqueos por la autenticación de dos factores ya no se muestran como «Credenciales no válidas»

En la versión 2.0.17, un usuario que había agotado el límite de omisiones de la autenticación de dos factores durante el proceso de incorporación veía cómo el motivo real —«Se requiere autenticación de dos factores: se ha agotado el límite de omisiones; póngase en contacto con un administrador»— quedaba sustituido por el mensaje genérico «Credenciales no válidas» debido a la máscara de inicio de sesión de enumeración de usuarios. Esto provocaba que los administradores bloqueados se vieran obligados a realizar un restablecimiento de contraseña innecesario. Ahora la máscara deja pasar los mensajes de 2FA, ya que ese bloqueo solo se activa después de que la contraseña haya sido validada, por lo que mostrar el motivo no revela nada sobre si el nombre de usuario existe. Los errores de credenciales genuinos permanecen ocultos.

Se acabaron los correos repetitivos del tipo «el plan está activo»

El correo de bienvenida por cambio de nivel solía obtener el nivel anterior a partir de un estado transitorio de cinco minutos. Una vez que ese estado transitorio caducaba, el nivel anterior se reducía a «gratuito», por lo que cada actualización posterior de una clave de pago volvía a detectar una transición fantasma de gratuito a de pago y reenviaba el correo. La versión 2.0.20 convierte la línea de base en una opción duradera: la primera observación la inicia de forma silenciosa y el correo solo se envía cuando se produce un cambio de nivel real. Se ha comprobado en vivo que no se envían correos tras repetidas actualizaciones de un nivel activo, y que se envía exactamente un correo en caso de una actualización real.

Pequeñas correcciones de errores

  • 2.0.19 — a TypeError En PHP 8, se eliminó la pestaña de configuración de la autenticación de dos factores (2FA) y el paso del asistente de configuración cuando las opciones «enforce-roles» o «allowed-methods» se almacenaban como una matriz. Ahora, las lecturas pasan por un ayudante tolerante al formato.
  • 2.0.20 — El asistente de configuración eliminó de forma silenciosa los roles con autenticación de dos factores obligatoria cuyo identificador no estuviera en minúsculas (roles del complemento de membresía como um_Premium-Member); ahora conserva el slug, tal y como se indica en la pestaña de configuración.
  • 2.0.20 — Los avisos de administración no tenían estilo en las pantallas de administración que no eran de plugins, y el botón principal perdía contraste dentro de WordPress .notice. Ahora se incluye una hoja de estilo independiente en todas las pantallas de administración.
  • 2.0.20 — Ahora se puede acceder al asistente de configuración de la autenticación de dos factores (2FA) directamente desde el banner de recomendación y desde la sección de 2FA del perfil, y el asistente en sí es más sencillo.

Cómo actualizar a la versión 2.0.22

  • Actualización automática desde el propio plugin. El Plugin Update Checker consulta GitHub Releases cada 12 horas. Si no quieres esperar, puedes forzar una comprobación desde el Panel de control → Actualizaciones.
  • Descarga manual. Descarga el archivo ZIP de la versión 2.0.22 en GitHub.
  • WP-CLI. wp plugin update reportedip-hive si gestionas WordPress desde la línea de comandos.

Para consultar la versión anterior y el historial completo de versiones, consulta las notas de la versión 2.0.16 y el registro de cambios de la API y los complementos. La configuración, la función «Ocultar inicio de sesión» y la configuración de la autenticación de dos factores se encuentran en la documentación del complemento de WordPress.

Consigue ReportedIP →

Deja un comentario

Tu dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con *

Rellena este campo
Rellena este campo
Introduce una dirección de correo electrónico válida.
Debes aceptar los términos para continuar