Security Pilot — Endurecimiento de Seguridad de WordPress

por | Feb 27, 2026 | Plugin Documentation

Plugin de WordPress

Endurecimiento integral de la seguridad, gestión de cabeceras HTTP, protección de inicio de sesión, cortafuegos de solicitudes, protección de REST API y auditoría de seguridad — todo desde un único plugin ligero.

¿Qué es Security Pilot?

Security Pilot es un plugin de seguridad integral para WordPress que fortalece tu sitio contra ataques y vulnerabilidades comunes. Implementa cabeceras de seguridad HTTP de estándares de la industria, protege tu página de inicio de sesión contra ataques de fuerza bruta, bloquea solicitudes maliciosas con un firewall integrado y restringe los endpoints sensibles de la REST API.

A diferencia de los suites de seguridad hinchados, Security Pilot es ligero y modular — activa solo las protecciones que necesitas. Cada módulo de seguridad se puede activar o desactivar individualmente, y todas las configuraciones se gestionan desde una única página de administración limpia.

Beneficios clave:

  • Encabezados de seguridad HTTP (HSTS, CSP, X-Frame-Options, y más)
  • Protección de inicio de sesión con limitación de tasa, bloqueos y baneos permanentes
  • Escaneo de firewall de solicitudes para SQLi, XSS, path traversal y command injection
  • Protección de endpoints de REST API (users, WooCommerce, Jetpack, Divi, Elementor)
  • Endurecimiento de WordPress (desactivar editor de archivos, XML-RPC, exposición de versión)
  • Auditoría de seguridad para plugins y temas desactualizados/inactivos
  • Registro de ataques y bloqueo/lista blanca de IP

Características clave

Encabezados de Seguridad HTTP

Configura automáticamente X-Frame-Options, X-Content-Type-Options, X-XSS-Protection, HSTS, Referrer-Policy, Permissions-Policy y Content-Security-Policy. Elimina el encabezado X-Powered-By que revela la tecnología de tu servidor.

Protección de Inicio de Sesión

Bloquea ataques de fuerza bruta con limitación de velocidad configurable. Establece el máximo de intentos fallidos, duración del bloqueo y umbrales de baneo permanente. Recibe alertas por email sobre ataques y bloqueos de IP. Oculta mensajes de error detallados.

Solicitar Firewall

Analiza las solicitudes entrantes en busca de inyección SQL, guionado entre sitios (XSS), recorrido de rutas, inclusión de archivos remotos (RFI) y patrones de inyección de comandos. Las solicitudes maliciosas reciben una respuesta 403 Prohibido.

Protección de la API REST

Bloquea el acceso no autorizado a endpoints sensibles: /wp/v2/users (enumeración de usuarios), WooCommerce, Jetpack, wp-site-health, Divi Builder y endpoints de Elementor.

Refuerzo de WordPress

Desactiva el editor de archivos del tema/plugin, XML-RPC, pingbacks y trackbacks. Oculta la versión de WordPress del código fuente HTML. Elimina el enlace RSD y el manifiesto WLW.

Auditoría de Seguridad

Ejecuta verificaciones de seguridad para identificar plugins obsoletos, temas obsoletos y plugins inactivos que puedan representar riesgos de seguridad. Obtén recomendaciones accionables.

Interfaz de Administración

Guía de Configuración

Encabezados de Seguridad HTTP

Navega a Configuración → Security Pilot.

Activa/desactiva cabeceras individuales. Cada cabecera protege contra vectores de ataque específicos:

  • X-Frame-Options: SAMEORIGIN — previene el clickjacking
  • X-Content-Type-Options: nosniff — previene el sniffing de tipos MIME
  • Strict-Transport-Security (HSTS) — fuerza conexiones HTTPS
  • Content-Security-Policy — controla los orígenes de carga de recursos

Protección de Inicio de Sesión

  • Intentos fallidos máx.: Número de fallos antes del bloqueo (1–20, predeterminado: 5)
  • Ventana de intentos: Ventana de tiempo para contar fallos (1–120 minutos)
  • Duración del bloqueo: Tiempo que una IP bloqueada permanece vetada (1–1440 minutos)
  • Baneo permanente: Bloqueos antes del baneo permanente (1–20)

Alertas por email para ataques y bloqueos de IP (configurable).

Solicitar Firewall

Activa el módulo de firewall — escanea automáticamente todas las solicitudes entrantes.

No se necesita configuración — los patrones de detección están integrados y cubren SQLi, XSS, path traversal, RFI y command injection.

Protección de la API REST

Activa la protección para cada grupo de endpoints de forma independiente.

Grupos protegidos: /wp/v2/users, WooCommerce, Jetpack, wp-site-health, Divi Builder, Elementor.

Refuerzo de WordPress

Cada opción de endurecimiento puede habilitarse de forma independiente.

Recomendado: Deshabilitar el editor de archivos, XML-RPC y la exposición de versiones en todos los sitios de producción.

Primeros pasos

  1. Instala y activa Security Pilot.
  2. Navega a Settings → Security Pilot.
  3. Habilita HTTP Security Headers — comienza con los valores predeterminados recomendados.
  4. Habilita Login Protection y configura el máximo de intentos fallidos (5 es un buen valor predeterminado).
  5. Habilita el Request Firewall para el bloqueo automático de solicitudes maliciosas.
  6. Activa REST API Protection para los endpoints que no necesitas expuestos.
  7. Habilita las opciones de WordPress Hardening (especialmente desactiva el editor de archivos en producción).
  8. Ejecuta una Security Audit para identificar plugins o temas desactualizados.

Requisitos

  • WordPress 5.8+, PHP 7.4+
  • No se requieren servicios externos ni claves API

Protege tu sitio de WordPress

Seguridad de grado empresarial sin la complejidad.

Explorar todos los plugins
    • Asistente AI