Seguridad en WordPress centrada en el RGPD: privacidad por defecto
La mayoría de los plugins de seguridad lo registran todo y luego se hacen preguntas. Para un plugin de seguridad de WordPress que cumpla con el RGPD, ese no es el enfoque adecuado por defecto. ReportedIP se ha desarrollado en Alemania teniendo la privacidad como principio fundamental: datos mínimos, retención breve, cifrado en reposo y funcionamiento sin conexión si así se desea.
En esta guía se explica qué datos recopila Hive, durante cuánto tiempo los conserva y cuál es la base jurídica del tratamiento.
¿Qué es ReportedIP ?
ReportedIP es un completo plugin de seguridad para WordPress: 12 sensores de ataque, cuatro métodos de autenticación de dos factores (2FA), bloqueo progresivo e inteligencia de amenazas de la comunidad con suscripción voluntaria. La privacidad no es un complemento de pago; en todos los modos se aplican los ajustes predeterminados de uso mínimo de datos. El conjunto completo de funciones ReportedIP se encuentra en la página del producto.
Recopilación mínima de datos de forma predeterminada
En los informes no aparecen nombres de usuario, el contenido de los comentarios ni los user-agents completos; los user-agents se truncan a 50 caracteres, incluso en los registros locales. La tarea de limpieza se ejecuta a diario con un periodo de retención predeterminado de 30 días, y los registros se anonimizan automáticamente al cabo de 7 días. De este modo, los registros siguen siendo útiles para detectar patrones sin que se conviertan en un perfil a largo plazo de tus visitantes.
Desconectado por elección propia, se comparte solo si se da el consentimiento
El modo «Local Shield» funciona 100 % sin conexión: nada sale de tu sitio web. El uso compartido en la red comunitaria es estrictamente opcional y, aun así, solo se envían la dirección IP y la categoría del ataque. No se ejecuta ninguna telemetría en segundo plano que no hayas activado tú mismo. La opción «Eliminar al desinstalar» borra todos los datos del complemento cuando ya no lo necesites.
Cifrado en reposo para cada dato confidencial
Todos los datos confidenciales —códigos de inicio de sesión de un solo uso (TOTP), credenciales de los proveedores de SMS y números de teléfono— se cifran con libsodium (utilizando OpenSSL como alternativa). Nunca se utiliza el almacenamiento de metadatos de usuario sin cifrar para las credenciales, por lo que una filtración de la base de datos no revelaría los factores de autenticación de dos factores válidos.
Fundamento jurídico documentado
El tratamiento se basa en el artículo 6, apartado 1, letra f) del RGPD —el interés legítimo en impedir el acceso no autorizado— y dicha base está documentada en el asistente de configuración y en la interfaz de usuario de administración, sin quedar oculta en una política que nadie lee. En el Business , una herramienta de exportación de datos conforme al RGPD te ayuda a responder a las solicitudes de acceso previstas en el artículo 15. La conservación, la anonimización y el nivel de detalle son totalmente configurables, con un ajuste preestablecido de «Mínimo RGPD» disponible con un solo clic.
Guías relacionadas
- El asistente de configuración y sus ajustes predeterminados que dan prioridad a la privacidad
- Qué se envía realmente al compartir contenido en una comunidad con suscripción voluntaria
- Cómo se gestionan los números de teléfono en el relé
La documentación del plugin de WordPress incluye información sobre los ajustes de retención y anonimización. Consulta las guías completas del pluginReportedIP o lee el texto sobre la base jurídica en EUR-Lex (RGPD).