ReportedIP 2.1.4: La versión del cortafuegos, de 12 a 16 sensores
ReportedIP 2.1.4 convierte el complemento en un cortafuegos. Desde la última versión de la que hablamos —la 2.0.22—, Hive ha incorporado un cortafuegos de aplicaciones web con inspección de solicitudes, tres sensores gratuitos más y un servicio de reglas gestionado por el servidor, lo que ha ampliado la capacidad de detección de 12 a 16 sensores.
Todo el núcleo de protección sigue siendo gratuito y está bajo la licencia GPL-2.0. Actualízalo desde «Plugins» → «Buscar actualizaciones», o descarga el último archivo ZIP desde la página de versiones de GitHub.
¿Qué ha cambiado desde la versión 2.0.22 de Hive?
Se lanzaron nueve versiones entre la 2.0.22 y la 2.1.4. La línea 2.1.x es la más destacada —una capa de cortafuegos completa—, pero varias versiones de la serie 2.0.2x reforzaron primero la detección y corrigieron errores que provocaban bloqueos reales.
| Versión | Cambio en el titular |
|---|---|
| 2.0.23 | El asistente de configuración ahora guarda cada paso en el servidor; los falsos positivos de 404 y REST ya no bloquean automáticamente a los visitantes reales; un administrador que haya iniciado sesión ya no puede quedar bloqueado por un bloqueo automático. |
| 2.0.25 | La autenticación de dos factores por SMS pasa a funcionar únicamente a través del relé gestionado; se incorporan la herramienta de exportación/eliminación de datos conforme al RGPD y un generador de texto de privacidad; esquema v8. |
| 2.0.27 | Compatibilidad con la red multisitio de WordPress y el panel de administración; ocultación de los errores de inicio de sesión basada en códigos de error, de modo que los motivos de la autenticación de dos factores y el restablecimiento de contraseña se muestran en todos los idiomas. |
| 2.0.28 | Menos falsos positivos (lista de bots permitidos más amplia, se ignoran los errores 404 de los recursos estáticos); documentación sincera sobre las versiones gratuita y de pago. |
| 2.0.29 | El modo de refuerzo ahora detecta las redes de bots distribuidas que rotan las direcciones IP en una ventana móvil, y no solo las ráfagas que se producen en el mismo minuto. |
| 2.1.0 | Integración de MainWP y códigos de referencia de bloques y páginas (el X-RIP-Ref (encabezado). |
| 2.1.2 | Novedades del cortafuegos: WAF, detección de bots verificados, bloqueo de correos electrónicos desechables, trampa para comentarios, encabezados de seguridad, puntuación de refuerzo de seguridad y el registro Business ; esquema v9. |
| 2.1.3 | Se ha corregido la detección de bots verificados para los rastreadores que se conectan a través de IPv6. |
| 2.1.4 | Revisión completa de la administración del cortafuegos, una única pestaña de configuración del servidor y códigos de motivo específicos del WAF para SSRF, Log4Shell, XXE y otros. |
El cortafuegos de aplicaciones web es el tema principal de la versión 2.1.2
En Hive 2.1.2 se ha añadido un WAF de inspección de solicitudes que se ejecuta en init y compara el URI, la cadena de consulta, el cuerpo de la solicitud y el agente de usuario con un conjunto de reglas de firma: inyección SQL, XSS, recorrido de rutas, inyección de comandos, envoltorios LFI y herramientas de escaneo, a lo que se suman, a partir de la versión 2.1.4, SSRF, Log4Shell/JNDI, inyección de objetos PHP, NoSQL, XXE, subidas de webshells, CRLF e inyección de plantillas.
El motor y la configuración básica «OWASP Top 10 - Nivel de paranoia 1» son gratuitos en todos los planes. El plan Professional permite acceder a los conjuntos de reglas más avanzados de los niveles 2 y 3, que se actualizan con frecuencia, a través de Priority Sync. El WAF está protegido contra ataques ReDoS y funciona en modo «fail-open», por lo que una regla mal configurada nunca provocará la caída del sitio web.
Las reglas se envían desde un feed firmado y entregado por el servidor
Las firmas no están integradas de forma fija en el complemento. Proceden de la API de reglas reportedip.de: están versionadas, firmadas con Ed25519 y distribuidas por niveles en cuatro conjuntos de reglas (waf, bot_signatures, disposable_domains, scan_paths), sincronizadas cada seis horas. Hive verifica cada conjunto de reglas con una clave pública integrada antes de aplicarlo y siempre recurre a una configuración de referencia integrada, por lo que una fuente manipulada o inaccesible no puede corromper tus reglas. Las nuevas firmas de ataque llegan a todas las instalaciones en cuestión de horas, sin necesidad de publicar ningún complemento.
Un complemento opcional que se instala antes de WordPress puede ejecutar el WAF incluso antes de que se cargue WordPress, con la configuración automática de Apache y PHP-FPM y un fragmento de código de nginx. Está desactivado por defecto, y al desinstalarlo siempre se elimina la directiva antes de borrar el filtro, por lo que un prepend obsoleto nunca puede provocar un error fatal en el sitio.
Tres sensores más gratuitos: bot verificado, correo electrónico desechable, trampa para comentarios
En esa misma actualización se añadieron tres sensores de detección, incluidos de forma gratuita en todos los planes, lo que hizo que el número pasara de 12 a 16:
- La detección verificada de bots confirma que una solicitud que afirma ser de Googlebot, Bingbot u otro rastreador procede realmente de ellos: primero se realiza una comprobación sin DNS con los rangos de IP oficiales del rastreador y, a continuación, se recurre a una consulta de DNS inversa con confirmación directa. Los suplantadores se marcan o se bloquean; los rastreadores auténticos nunca se bloquean. La versión 2.1.3 corrigió la ruta IPv6, por lo que los rastreadores reales que utilizan IPv6 ya no se confunden con falsos.
- El bloqueo de direcciones de correo electrónico desechables comprueba la dirección en el momento del registro en WordPress y WooCommerce, con modos de desactivación, supervisión y bloqueo. Los servicios de reenvío de privacidad, como «Ocultar mi correo electrónico» de Apple y Firefox Relay, constituyen una categoría aparte y se permiten de forma predeterminada.
- «Comment Honeypot» añade un campo señuelo invisible, que los lectores de pantalla no detectan, al formulario de comentarios; los bots de spam que rellenan todos los campos son rechazados sin que los visitantes reales tengan que pasar por el CAPTCHA.
Para consultar la lista completa y los umbrales predeterminados, consulta la guía sobre los 16 sensores de ataque que detectan intrusiones en WordPress.
Encabezados de seguridad, una puntuación de refuerzo de la seguridad y un registro Business
La versión 2.1.2 también incluía tres elementos que pasaban desapercibidos. Hive ahora envía encabezados de respuesta de refuerzo en cada solicitud del front-end: el trío básico (X-Content-Type-Options, X-Frame-Options, Referrer-Policy) de forma gratuita, y HSTS, Permissions-Policy, una Content-Security-Policy de solo informe y el trío de aislamiento de origen cruzado en la versión Professional. Los encabezados que ya envía tu servidor u otro complemento se detectan y no se modifican.
El panel de control ha incorporado dos indicadores (0-100 y una calificación de A+ a F, al estilo del Mozilla Observatory) que evalúan la cobertura de detección y el nivel de seguridad, con enlaces directos a cada elemento. Business incluyen un archivo de solo añadir registro de eventos de auditoría — inicios de sesión, intentos fallidos de inicio de sesión, restablecimientos de contraseña, actualizaciones de perfil, cambios de rol (incluido el usuario interino) y detección de nuevas direcciones IP — con filtros, exportación a CSV/JSON e integración con el RGPD en WordPress. Se aloja en un servidor dedicado audit_log Tabla añadida por el esquema v9.
2.1.0 y 2.1.4: experiencia de usuario para la gestión y la administración
La versión 2.1.0 permitió gestionar Hive de forma remota desde el panel de control de MainWP sin necesidad de un plugin secundario adicional, y asignó a cada respuesta bloqueada un código de referencia identificable, como por ejemplo WAF_SQLI-3F9A2B71, que se muestra en la página y se emite como el X-RIP-Ref encabezado. El token es un hash unidireccional de la dirección IP, el motivo y la hora, por lo que un visitante bloqueado por error puede facilitar una breve cadena que el administrador podrá cotejar en los registros sin revelar ningún dato personal.
En la versión 2.1.4 se ha rediseñado el área de administración del cortafuegos: la pestaña «Resumen» es ahora un minipanel de control que muestra el estado de cada módulo y un flujo de eventos recientes del cortafuegos; la pestaña «Configuración del servidor» reúne todos los ajustes del servidor web en un solo lugar; y la configuración de la «Protección ampliada» ahora se puede verificar: el estado indica si el filtro se ha ejecutado realmente para la solicitud actual.
Cómo actualizar
El verificador de actualizaciones integrado consulta GitHub cada 12 horas; las nuevas versiones aparecen en la pantalla «Plugins» como cualquier otra actualización. Para descargar la versión 2.1.4 de inmediato, abre «Plugins» → «Buscar actualizaciones». El paso del cortafuegos en el asistente de configuración guía a las nuevas instalaciones a través del WAF, la acción «verified-bot», el modo de correo electrónico desechable y el honeypot de comentarios con valores predeterminados seguros.