Descripción
Loginizer es un plugin de WordPress que te ayuda a luchar contra ataques de fuerza bruta bloqueando el acceso de la IP después de alcanzar un máximo de intentos permitidos. Con Loginizer puedes añadir direcciones IP a la lista negra o a la lista blanca de acceso. También puedes usar otras características, como la autenticación de dos factores, reCAPTCHA, el acceso PasswordLess (sin contraseña), etc., para mejorar la seguridad de tu web.
Más de un millón de webs WordPress usan Loginizer activamente.
Puedes encontrar nuestra documentación oficial en https://loginizer.com/docs. También participamos activamente en nuestros foros de soporte de la comunidad en wordpress.org, por si eres usuario de la versión gratuita. Nuestro sistema de vales de soporte Premium se encuentra en https://loginizer.deskuss.com
Características de la versión gratuita:
- Protección contra la fuerza bruta. Las IP que intenten acceder mediante fuerza bruta a tu web se bloquearán por 15 minutos luego de tres intentos fallidos de acceso. Tras varios bloqueos, la IP se bloqueará por 24 horas. Esa es la configuración por defecto y puede cambiarse en la página Loginizer -> Fuerza bruta del panel del administrador de WordPress.
- Registros de intentos de acceso fallidos
- Añadir IP a la lista negra
- Añadir IP a la lista blanca
- Mensajes de error personalizados de acceso fallido
- Comprobación de permisos para archivos y directorios importantes
Obtén soporte y características Pro
Obtén soporte profesional de nuestros expertos y características Pro para llevar la seguridad de tu sitio al siguiente nivel con Loginizer-Security.
Características de la versión Pro:
- Suma de verificación MD5 – Para los archivos del núcleo de WordPress. El administrador también puede marcar e ignorar archivos.
- Acceso PasswordLess – Al momento de acceder, se solicitará bien el nombre de usuario, bien el correo electrónico, y se enviará a la dirección de correo electrónico de la cuenta un enlace temporal para acceder.
- Autenticación de dos factores por correo electrónico – Al acceder, se enviará a la dirección de correo electrónico de la cuenta un código temporal de 6 dígitos para completar el acceso.
- Autenticación de dos factores por aplicación móvil – El usuario puede configurar la cuenta con una aplicación de identificación de doble factor, como Google Authenticator, Authy, etc.
- Acceso por pregunta de seguridad – El usuario puede establecer una pregunta de seguridad con su correspondiente respuesta como una capa adicional de seguridad. Tras acceder, el usuario deberá responder la pregunta para completar el acceso.
- reCAPTCHA – Se puede configurar reCAPTCHA v3/v2 de Google para la pantalla de acceso, la sección de comentarios, el formulario de registro, etc., para impedir ataques automatizados de fuerza bruta. También es compatible con WooCommerce.
- Renombrar la página de acceso – El administrador puede cambiar el nombre de la URL de acceso (slug) por uno distinto de wp-login.php para evitar ataques automatizados de fuerza bruta.
- Renombrar la URL de wp-admin – Se accede al área de administración de WordPress a través de wp-admin. Con Loginizer puedes cambiarla por cualquier otra, por ejemplo, admin-del-sitio
- Renombrar el acceso de manera secreta – Si está establecido, todas las URL de acceso seguirán apuntando a wp-login.php y los usuarios deberán acceder al nuevo slug del acceso escribiéndolo en el buscador.
- Desactivar XML-RPC – Una opción para desactivar XML-RPC en WordPress de manera sencilla. La mayoría de usuarios de WordPress no necesitan de XML-RPC y pueden desactivarlo para impedir ataques automatizados de fuerza bruta.
- Renombrar XML-RPC – El administrador puede cambiar el nombre de XML-RPC por uno distinto de xmlrpc.php para evitar ataques automatizados de fuerza bruta.
- Añadir nombre de usuario automáticamente a la lista negra – Los atacantes suelen usar nombres de usuario comunes como admin, administrator o variaciones de tu dominio o del nombre de tu empresa. Puedes especificar allí esos nombres de usuario para que Loginizer añada automáticamente a la lista negra la(s) dirección(es) IP de los clientes que intenten usarlos.
- Lista negra de dominios para registro – Si quieres prohibir nuevos registros desde un dominio particular, puedes hacerlo con esta utilidad.
- Cambiar el nombre de usuario de administrador – El administrador puede cambiar el nombre de usuario del administrador por otro más difícil de adivinar.
- Añadir automáticamente IP a la lista negra – Si por parte de bots o usuarios malignos se usan ciertos nombres de usuario guardados por el administrador para acceder, las IP se añadirán automáticamente a la lista negra.
- Desactivar los pingbacks – Una forma simple de desactivar los pingbacks.
Las características de Loginizer incluyen:
- Bloquear IP tras alcanzar el máximo de intentos permitidos
- Ampliar el bloqueo tras alcanzar el máximo de bloqueos permitidos
- Aviso por correo electrónico al administrador luego de un máximo de bloqueos
- Añadir una IP o un rango de IP a la lista negra
- Añadir una IP o un rango de IP a la lista blanca
- Registros de comprobación de intentos fallidos
- Crear rangos de IP
- Borrar rangos de IP
- Licencia LGPL versión 2.1
- Seguridad y protección
Capturas
Instalación
Sube el plugin Loginizer a tu blog. Actívalo.
Eso es todo. ¡Así de simple!
Reseñas
Colaboradores y desarrolladores
«Loginizer» es un software de código abierto. Las siguientes personas han colaborado con este plugin.
Colaboradores«Loginizer» ha sido traducido a 6 idiomas locales. Gracias a los traductores por sus contribuciones.
Traduce «Loginizer» a tu idioma.
¿Interesado en el desarrollo?
Revisa el código , echa un vistazo al repositorio SVN o suscríbete al registro de desarrollo por RSS.
Registro de cambios
1.6.7
- [Feature] Added Bulk Export/Import Blacklist and Whitelist IPs via CSV.
- [Improvement] Added option to Blacklist selected IPs from Failed Login Attempts Logs.
- [Improvement] Added external link in Brute Force logs for IP information of the IPs attempting brute force.
- [Improvement] [Pro] Added Loginizer 2FA status column on Users list page to show 2FA preferences selected by users.
- [Improvement] [Pro] Added Show/Hide button for OTP field on 2FA login page.
- [Bug Fix] [Pro] Two Factor Authentication lead to 502 Bad Gateway error on WP Engine instances. This is resolved now.
1.6.6
- [Mejora] En las nuevas instalaciones, la tabla loginizer_logs usará ahora el motor MySQL por defecto del servidor.
- [Mejora] En cuanto a los intentos de acceso bloqueados por Loginizer, algunos otros plugins de registro de actividad todavía informaban sobre aquellos intentos bloqueados como si fuesen intentos de acceso fallidos.
- [Fallo corregido] En los casos raros en los que el nombre de usuario recibido en el intento de acceso fallido estuviera en blanco, Loginizer no podía guardar tales solicitudes en la tabla de los registros de acceso fallido. Esto ya se ha corregido.
1.6.5
- [Fallo corregido] La ventana emergente de acceso no se cerraba después del acceso provisional luego de la expiración de la sesión. Esto ya se ha corregido.
- [Fallo corregido] reCAPTCHA no funcionaba en la página de registro con el plugin BuddyPress. Esto ya se ha corregido.
1.6.4
Esta versión incluye una corrección de seguridad, por lo que recomendamos a todos los usuarios actualizar inmediatamente a la versión 1.6.4 o superior.
-
[Corrección de seguridad] Con la preparación adecuada, un nombre de usuario usado para acceder podía provocar una inyección de SQL. Esto se ha corregido mediante el uso de la función prepare en PHP, que prepara la consulta SQL para una ejecución segura.
-
[Corrección de seguridad] Si la cabecera HTTP de la IP se modificaba para tener un byte nulo, podía conducir al almacenamiento de XSS. Esto se ha corregido mediante el saneamiento apropiado de la cabecera HTTP de la IP antes de su uso.
1.6.3
- [Corrección] Se ha corregido un aviso PHP causado por un cambio lanzado ayer.
1.6.2
- [Característica] Se ha añadido una opción para enviar el correo electrónico de acceso sin contraseña como HTML.
- [Corrección] Cuando reCAPTCHA estaba desactivado para la página de finalizar compra de WooCommerce, Loginizer informaba de un error de captcha si un usuario intentaba registrarse en la página de finalizar compra. Esto ya se ha corregido.
- [Corrección] El correo electrónico enviado al administrador con los intentos de acceso por fuerza bruta contendrá también la URL del sitio.
- [Corrección] Se ha corregido el aviso PHP de la página de autenticación de dos factores.
1.6.1
- [Corrección] El captcha del formulario de registro al usar WooCommerce no se mostraba si estaba desactivado el ajuste de captcha en «Página de finalizar compra de WooCommerce» en Loginizer. Esto ya se ha corregido, y el captcha puede desactivarse mediante el ajuste de captcha «Formulario de registro» en Loginizer.
- [Corrección] Corrección secundaria de marcado previo de casillas de verificación en la interfaz de usuario de la página de autenticación de dos factores.
1.6.0
- [Característica] El administrador puede añadir a la lista blanca una IP o un rango de IP para la autenticación de dos factores.
- [Corrección] Si los plugins o temas incluidos en el paquete de WordPress por defecto no estaban actualizados, tras la suma de verificación se informaba que los archivos de esos plugins y temas no coincidían. Esto ya se ha corregido.
1.5.9
- [Tarea] Ahora los administradores pueden personalizar la plantilla del correo electrónico de autenticación de dos factores mediante OTP por correo electrónico.
- [Tarea] Ahora los administradores pueden personalizar los mensajes de autenticación de dos factores en la pantalla de acceso.
- [Corrección] Se ha cambiado el campo de OTP por aplicación móvil de la página de acceso por uno de contraseña.
1.5.8
- [Tarea] Los permisos sugeridos para el directorio / eran 0755 mientras que los permisos 0750, que son seguros, se mostraban como inseguros. Esto ya se ha corregido.
- [Corrección] Se evita la advertencia de PHP obsoleto en la página de actualización del plugin en servidores que ejecutan PHP 7.3 o superior.
1.5.7
- [Corrección] Se evita el aviso PHP tras el primer intento de acceso fallido desde una IP.
1.5.6
- [Tarea] Ahora los administradores pueden suscribirse a nuestro boletín electrónico, si deciden participar.
1.5.5
- [Fallo corregido] Durante el acceso, «Recuérdame» no funcionaba con las características de autenticación de dos factores. Esto se ha corregido.
- [Tarea] Loginizer ahora es compatible con la traducción mediante WordPress.
- [Tarea] Se ha añadido una opción para personalizar completamente el mensaje de error de bloqueo.
1.5.4
- [Tarea] Se ha añadido una opción para personalizar el mensaje de error de bloqueo.
1.5.3
- [Tarea] Compatible con WordPress 5.5.
- [Fallo corregido] Debido a un conflicto con algunos plugins, la actualización a Loginizer Premium no funcionaba. Esto se ha corregido.
1.5.2
- [Tarea] Algunas cadenas no estaban disponibles en las traducciones. Ahora pueden traducirse.
1.5.1
- [Tarea] Se permite cambiar el nombre de usuario de cualquier cuenta de administrador. Antes solo se admitía si el identificador de usuario era 1.
- [Fallo corregido] Se han corregido algunas líneas que generaban un aviso PHP.
1.5.0
- [Tarea] Ahora los administradores pueden personalizar el mensaje de error «intento(s) restantes».
1.4.9
- [Fallo corregido] Se impiden ataques de fuerza bruta en las páginas de autenticación de dos factores.
1.4.8
- [Característica Premium] Se ha añadido Google reCAPTCHA v3 y v2 invisible.
1.4.7
- [Corrección de seguridad] Nuestro equipo realizó de manera interna una auditoría de seguridad y corrigió algunos problemas de seguridad. Recomendamos a todos los usuarios actualizar a la última versión lo más pronto posible.
1.4.6
- [Tarea] Se ha añadido la diferencia horaria a la lista de intentos por fuerza bruta para obtener la hora exacta del intento de acceso fallido.
- [Fallo corregido] Para HTTP_X_FORWARDED_FOR, si el valor tiene varias IP e incluye IP de proxy, la detección de la IP del usuario fallaba. Esto se ha corregido.
- [Fallo corregido] Se usaba una variable indefinida en el título de la página de escritorio. Esto se ha corregido.
1.4.5
- [Anuncio] Loginizer se ha unido con el equipo de Softaculous.
- [Tarea] Se ha añadido el tiempo de validez de la contraseña de un solo uso al correo electrónico enviado para el acceso por OTP.
- [Fallo corregido] En la versión Premium, el captcha matemático solía fallar bajo algunas condiciones. Esto se ha corregido.
1.4.4
- [Tarea] Loginizer se hace compatible con PHP 7.4.
- [Fallo corregido] En algunos temas, el campo de contraseña no estaba oculto para el acceso PasswordLess. Esto se ha corregido.
1.4.3
- [Fallo corregido] Al momento de acceder, si se había activado reCAPTCHA o la autenticación de dos factores por OTP y si marcabas la casilla «Recuérdame», el acceso solía llevar a una redirección URL no válida y no se cargaba nada. Esto ya ha sido corregido.
1.4.2
- [Tarea] Probado hasta: WordPress 5.2.0
- [Fallo corregido] Se ha corregido la ubicación del captcha en WooCommerce para los usuarios finales al momento de finalizar la compra.
- [Fallo corregido] Ahora la suma de verificación deberá pasar por alto los archivos presentes en el paquete de WordPress por defecto y que no existan en la instalación, como los temas o plugins borrados.
- [Fallo corregido] Correcciones gramaticales.
1.4.1
- [Tarea] Probado hasta: WordPress 5.0.2
- [Tarea] La actualización de la licencia provocará un error si la respuesta recibida de nuestro servidor no es válida.
- [Fallo corregido] El campo de entrada de OTP (con respecto a la autenticación de dos factores por SMS) estaba vacío si el usuario se había registrado recientemente y aún no había accedido. Esto se ha corregido.
1.4.0
- [Característica] Lista negra de dominios para registro. Si quieres prohibir nuevos registros desde un dominio particular, puedes hacerlo con esta utilidad.
- [Característica] Seguridad de Loginizer se hace compatible con BuddyPress.
- [Tarea] Se ha añadido un método para restablecer los ajustes de renombrar wp-admin si terminas bloqueado.
- [Fallo corregido] Hay un fallo de XSS introducido en la versión 1.3.8. Esto se ha corregido. Actualiza lo más pronto posible.
- [Fallo corregido] En el asistente de seguridad mediante autenticación de dos factores del usuario, la opción seleccionada por defecto se mostraba incorrectamente cuando el usuario no había establecido ninguna preferencia de autenticación de dos factores. Esto se ha corregido.
1.3.9
- [Característica] Se ha añadido una opción para activar o desactivar las comprobaciones de fuerza bruta.
- [Característica] Se ha añadido la característica de registro de la URL de la página desde donde se está realizando el ataque de fuerza bruta.
- [Fallo corregido] Si se dejaba en blanco el slug de acceso, se mostraba el valor después del envío. Esto se ha corregido.
- [Fallo corregido] Se admiten caracteres HTML en wp_admin_msg para renombrar wp-admin.
1.3.8
- [Característica] Se ha añadido la selección de perfiles para la autenticación de dos factores. Ahora el administrador puede activar la autenticación de dos factores para perfiles específicos.
- [Característica] Se ha añadido un evaluador para la característica de cambio de nombre del slug de wp-admin. Ahora puedes probar el nuevo slug antes de guardarlo.
- [Característica] Se ha añadido una opción para personalizar el correo electrónico de PasswordLess que se envía al usuario.
- [Característica] Se ha añadido un mensaje personalizado de restricción de wp-admin si wp-admin está restringido.
- [Característica] Se ha añadido una opción para borrar completamente los rangos de IP en las listas negra o blanca.
- [Característica] Se ha añadido la cabecera de IP personalizada como una opción para detectar la IP así como para los ajustes de proxy de un servidor.
- [Tarea] Se ha añadido una opción para vaciar los ajustes de reCAPTCHA.
- [Tarea] Se ha añadido un depurador al actualizador.
- [Tarea] En el actualizador se mostrará «Instala la clave de licencia para comprobar si hay actualizaciones».
- [Fallo corregido] En WooCommerce, no se mostraba el número de reintentos de conexión. Esto se ha corregido.
1.3.7
- [Fallo corregido] Las listas negra y blanca de IP no se estaban borrando. Esto se ha corregido.
1.3.6
- [Característica] Se ha añadido paginación para las IP en las listas negra y blanca.
- [Fallo corregido] Solía haber un problema de acceso por SSL cuando se había renombrado el área de wp-admin. Esto se ha corregido.
- [Fallo corregido] Corrección de inyección SQL para X-Forwarded-For. Esto se ha corregido. Jonas Lejon de WPScans.com encontró la vulnerabilidad.
- [Fallo corregido] Faltaba una comprobación de referencia en los asistentes para añadir IP a la lista negra y a la lista blanca. Esto se ha corregido.
1.3.5
- [Característica] Se ha añadido un captcha matemático sencillo para mostrar preguntas matemáticas, por si alguien no quiere utilizar el captcha de Google.
- [Característica] Se ha añadido un asistente para administradores para que establezcan sus propias cadenas de idioma para los mensajes de fuerza bruta.
- [Fallo corregido] En WooCommerce, la verificación captcha fallaba en Contraseña perdida, Restablecer contraseña y el formulario de comentarios. Esto se ha corregido.
- [Fallo corregido] El ocultamiento del captcha para los usuarios conectados no funcionaba. Esto se ha corregido.
- [Fallo corregido] La caja de Twitter mostrada en Loginizer no era accesible a través de HTTPS.
1.3.4
- [Fallo corregido] Se ha corregido la clase BigInteger para ser compatible con PHP 7.
1.3.3
- [Característica] Se ha añadido compatibilidad con IPv6.
- [Característica] El último nombre de usuario ingresado se mostrará en los registros de acceso.
- [Fallo corregido] Si se había renombrado la página de acceso y se accedía a wp-login.php por HTTPS, se mostraba la pantalla de acceso en lugar de un 404 no encontrado. Esto ya se ha corregido.
- [Fallo corregido] Si el usuario había usado una «/» al renombrar el slug de acceso, el nuevo slug no podía funcionar sin la «/» en la URL. Esto ya se ha corregido.
- [Fallo corregido] La clave de licencia podía restablecerse en algunas situaciones, lo que también provocaba fallos de actualización del plugin. Esto ya se ha corregido.
- [Fallo corregido] No funcionaban los comodines «*» en la lista negra automática de nombres de usuario. Esto ya se ha corregido.
- [Fallo corregido] La documentación en el plugin dirigía a un enlace roto. Esto se ha corregido.
1.3.2
- [Característica] Ahora es posible renombrar la URL de acceso a wp-admin con Loginizer.
- [Característica] Se ha mejorado la compatibilidad con WooCommerce para reCAPTCHA.
- [Característica] Ahora Loginizer mostrará un aviso al usuario final para que establezca sus ajustes preferidos de autenticación de dos factores.
- [Característica] Se ha añadido una opción para elegir entre REMOTE_ADDR, HTTP_CLIENT_IP y HTTP_X_FORWARDED para las webs detrás de una proxy.
- [Tarea] Ahora se admiten varios reCAPTCHA en una misma página.
- [Tarea] Se ha añadido un enlace a la web de reCAPTCHA de Google para facilitar el acceso desde nuestro asistente de reCAPTCHA.
1.3.1
- [Característica] Ahora los administradores pueden quitar la autenticación de dos factores de un usuario si fuera necesario.
- [Característica] Se ha añadido una opción para cambiar el nombre de usuario del administrador.
- [Característica] Adición automática de IP a la lista negra si, por parte de bots o usuarios malignos, se usan para acceder ciertos nombres de usuario guardados por el administrador.
- [Característica] Los registros de intentos de acceso se mostrarán según la FECHA Y HORA del último intento y en orden descendente.
- [Característica] Se ha añadido una opción para restablecer los intentos de acceso para todas las IP o para algunas determinadas.
1.3.0
- [Característica] Se ha añadido la característica de suma de verificación MD5 de archivo. Si se cambia algún archivo del núcleo, Loginizer registrará las diferencias y avisará al administrador.
- [Característica] Se ha añadido una opción para hacer que el método de autenticación de dos factores por defecto sea la OTP por correo electrónico cuando el usuario no establezca el método de OTP de su preferencia.
- [Característica] Se ha añadido compatibilidad con WooComerce para los formularios de captcha.
- [Característica] Se ha añadido la paginación al asistente de registros de fuerza bruta.
- [Fallo corregido] La desactivación y reactivación de Loginizer causaba un error SQL.
1.2.0
- [Característica] Renombrar el acceso de manera secreta. Si está establecido, todas las URL de acceso seguirán apuntando a wp-login.php y los usuarios deberán acceder al nuevo slug del acceso escribiéndolo en el buscador.
- [Tarea] Los registros de fuerza bruta se ordenarán según la hora de los intentos de acceso fallidos.
- [Fallo corregido] El escritorio mostraba permisos incorrectos si la ruta de wp-content había sido cambiada.
- [Fallo corregido] Se ha añadido la ruta del directorio para incluir archivos que causaban problemas con algunos plugins.
1.1.1
- [Fallo corregido] Se ha añadido ABSPATH en lugar de get_home_path()
1.1.0
- [Característica] Acceso PasswordLess.
- [Característica] Identificación de doble factor por correo electrónico.
- [Característica] Identificación de doble factor por aplicación movil.
- [Característica] Pregunta de seguridad al acceder.
- [Característica] reCAPTCHA.
- [Característica] Renombrar la página de acceso.
- [Característica] Desactivar XML-RPC.
- [Característica] Renombrar XML-RPC.
- [Característica] Desactivar los pingbacks.
- [Característica] Nuevo escritorio
- [Característica] Se ha añadido «Información del sistema» al nuevo escritorio.
- [Característica] Se ha añadido «Permisos de archivos» al nuevo escritorio.
- [Característica] Nueva interfaz de usuario.
- [Fallo corregido] Se ha corregido el fallo al añadir el rango de IP de 0.0.0.1 a 255.255.255.255.
- [Fallo corregido] Se ha quitado la «/e» de preg_replace que causaba advertencias en PHP.
1.0.2
- Se ha corregido el fallo de «Ampliar el bloqueo».
- Se ha corregido el fallo de bloqueo.
- Se gestionan los intentos de acceso mediante XML-RPC.
1.0.1
- Cambios en la estructura de la base de datos para que el plugin funcione más rápido.
- Correcciones menores
1.0
- Bloquear IP tras alcanzar el máximo de intentos permitidos
- Ampliar el bloqueo tras alcanzar el máximo de bloqueos permitidos
- Aviso por correo electrónico al administrador luego de un máximo de bloqueos
- Añadir una IP o un rango de IP a la lista negra
- Añadir una IP o un rango de IP a la lista blanca
- Registros de comprobación de intentos fallidos
- Crear rangos de IP
- Borrar rangos de IP
- Licencia LGPL versión 2.1
- Seguridad y protección