Inicio Rapido
aGo Harden agrega 11 medidas de fortalecimiento de seguridad a tu sitio WordPress. Cada medida es un toggle — sin configuraciones complejas, sin reglas de firewall que escribir. Activa lo que necesites, revisa tu puntaje de seguridad, y listo.
Instalacion
- Sube
ago-harden.zip desde Plugins → Add New → Upload Plugin - Activa el plugin
- Ve a aGo Herramientas → Harden
- Activa los modulos de seguridad que quieras
- Haz clic en Save Changes
Tip: Comienza activando todos los modulos excepto "Custom Login URL" (que requiere elegir un slug). Luego configura una URL de login personalizada para maximizar tu puntaje.
Modulos de Seguridad
Cada modulo aborda un vector de ataque o fuga de informacion especifica. La columna de Nivel de Riesgo indica cuan critica es la vulnerabilidad si se deja sin proteccion.
| Modulo | Que Hace | Riesgo | Pts |
|---|
| Custom Login URL | Cambia las URLs por defecto /wp-login.php y /wp-admin a un slug personalizado (ej: /mi-acceso-secreto). Los bots que escanean wp-login.php reciben un 404. | Alto | 15 |
| Limitar Intentos de Login | Bloquea una direccion IP despues de intentos fallidos de login repetidos. Previene ataques de adivinanza de contraseñas por fuerza bruta. | Alto | 15 |
| Cabeceras de Seguridad | Agrega cabeceras HTTP de seguridad: X-Content-Type-Options, X-Frame-Options, X-XSS-Protection, Referrer-Policy, y Permissions-Policy. | Alto | 15 |
| Desactivar Editor de Archivos | Desactiva el editor de codigo de Temas y Plugins integrado en wp-admin (DISALLOW_FILE_EDIT). Si un atacante obtiene acceso de admin, no podra inyectar codigo a traves del editor. | Medio | 10 |
| Desactivar XML-RPC | Desactiva completamente el endpoint xmlrpc.php, previniendo ataques de fuerza bruta y amplificacion DDoS basados en XML-RPC. | Medio | 10 |
| Bloquear PHP en Uploads | Escribe una regla .htaccess en wp-content/uploads/ que bloquea la ejecucion de archivos PHP. Evita que scripts maliciosos subidos se ejecuten. | Medio | 10 |
| Ocultar Version WP | Elimina el numero de version de WordPress del tag <meta generator>, feeds RSS y query strings de scripts/estilos. | Bajo | 5 |
| Bloquear Enumeracion de Autores | Bloquea escaneos de URL ?author=N que revelan nombres de usuario de WordPress. Los atacantes los usan para encontrar usuarios validos para ataques de fuerza bruta. | Bajo | 5 |
| Desactivar Listado de Directorios | Escribe una regla .htaccess con Options -Indexes para prevenir la navegacion del contenido de directorios cuando no existe archivo index. | Bajo | 5 |
| Forzar Cierre de Sesion | Cierra la sesion de todos los usuarios automaticamente despues de un numero configurable de horas. Establece en 0 para desactivar. Limita la ventana de una sesion secuestrada. | Bajo | 5 |
| Ocultar Errores de Login | Reemplaza mensajes de error especificos de login ("usuario invalido" o "contraseña incorrecta") con un mensaje generico. Evita que atacantes confirmen usuarios validos. | Bajo | 5 |
Importante: Los modulos "Bloquear PHP en Uploads" y "Desactivar Listado de Directorios" escriben reglas .htaccess. Se eliminan automaticamente cuando el plugin se desactiva. Estos modulos solo funcionan en servidores Apache/LiteSpeed — Nginx requiere configuracion manual.
Puntaje de Seguridad
El puntaje de seguridad es un medidor de 0-100 que se muestra en la parte superior de la pagina de ajustes de Harden. Proporciona un indicador visual rapido de tu cobertura de seguridad.
Como Funciona
Cada modulo tiene un valor en puntos basado en su nivel de riesgo. Activa un modulo para ganar sus puntos. El total esta limitado a 100.
| Rango de Puntaje | Etiqueta | Color |
|---|
| 90 – 100 | Excelente | Verde |
| 70 – 89 | Bueno | Azul |
| 40 – 69 | Regular | Amarillo |
| 0 – 39 | Debil | Rojo |
Desglose de Puntos
- Modulos de riesgo alto (15 pts c/u): Custom Login URL, Limitar Intentos de Login, Cabeceras de Seguridad
- Modulos de riesgo medio (10 pts c/u): Desactivar Editor de Archivos, Desactivar XML-RPC, Bloquear PHP en Uploads
- Modulos de riesgo bajo (5 pts c/u): Ocultar Version WP, Bloquear Enum. Autores, Listado Directorios, Forzar Logout, Ocultar Errores Login
Nota: Un puntaje de 100 significa que todos los modulos estan activados. No significa que tu sitio este completamente seguro — otros factores como contraseñas fuertes, software actualizado y seguridad del hosting son igualmente importantes.
Ajustes Recomendados
Para la mayoria de sitios WordPress, recomendamos activar los 11 modulos. Aqui hay una guia de prioridad si quieres activarlos incrementalmente:
Activar Primero (Critico)
Custom Login URL + Limitar Intentos de Login + Cabeceras de Seguridad — Estos tres modulos protegen contra los ataques mas comunes de WordPress: escaneos automatizados de bots en wp-login.php, ataques de fuerza bruta de contraseñas, y XSS/clickjacking por cabeceras faltantes. Juntos contribuyen 45 puntos.
Activar Segundo (Importante)
Desactivar Editor de Archivos + Desactivar XML-RPC + Bloquear PHP en Uploads — Estos cierran vectores de ataque secundarios: el editor de codigo (usado despues de comprometer admin), XML-RPC (fuerza bruta legada), y ejecucion de PHP en uploads (subidas maliciosas). Juntos suman 30 puntos.
Activar Tercero (Recomendado)
Todos los modulos restantes — Ocultar Version WP, Bloquear Enumeracion de Autores, Desactivar Listado de Directorios, Forzar Cierre de Sesion, y Ocultar Errores de Login. Son protecciones contra fugas de informacion y gestion de sesiones. Agregan los ultimos 25 puntos para un puntaje perfecto.
Custom Login URL — Elegir un Slug
Elige algo unico pero memorable. Evita alternativas comunes como /login, /admin, o /wp-admin. Buenos ejemplos:
/panel-acceso/equipo-login/mi-oficina
Importante: Despues de configurar una URL de login personalizada, guarda la nueva direccion en tus favoritos. El /wp-login.php y /wp-admin por defecto (para usuarios no logueados) devolveran una pagina 404.
