Qué es OLOsecurity
OLOsecurity es un plugin de seguridad WordPress todo en uno: firewall, antivirus, gestión de accesos con 2FA, auditoría y limpieza en un único panel, Sentinel, 8 pestañas operativas.
La elección de fondo: procesamiento 100% local. Análisis, firmas y logs se quedan en tu servidor; ningún tráfico se envía a nubes de terceros para ser «analizado». Ningún dataset de terceros va empaquetado en el plugin: los feeds se descargan bajo demanda desde tu sitio. RGPD sencillo.
Código GPL, verificable línea a línea. WP Plugin Check: 0 errores / 0 warnings.
Firewall · mini-WAF
- Reglas por familia OWASP: SQL injection, XSS, path traversal, LFI/RCE, activables por grupos.
- Reputación IP de listas públicas + reglas de bloqueo avanzadas.
- Rate limiting en las peticiones anómalas.
- Geobloqueo IPv4 e IPv6 por país.
- Proxies de confianza: reconocimiento de Cloudflare y redes locales para evaluar correctamente
X-Forwarded-For.
Accessi & 2FA
- Anti fuerza bruta: límite de intentos, bloqueo temporizado, auto-blocklist permanente para IP reincidentes, allowlist/blocklist.
- 2FA TOTP: configuración con QR, códigos de recuperación, respaldo por email, reset admin.
- Contraseñas comprometidas: verificación en HIBP con k-anonymity: la contraseña nunca sale del servidor.
- CAPTCHA y bloqueo de enumeración de usuarios.
- Anti crawlers falsos: verificación FCrDNS: quien se hace pasar por Googlebot queda desenmascarado.
- Hardening opcional: XML-RPC, security headers, ocultación de versión,
DISALLOW_FILE_EDIT, bloqueo de subida PHP, protección .htaccess.
Escáner · tres pasadas
- Integridad / checksums: baseline trust-on-first-use; comparación de core, plugins y temas con wordpress.org; detecta archivos modificados.
- Heurística profunda: recorre los archivos PHP (salta los no ejecutables) con 5 heurísticas fuertes calibradas contra falsos positivos; la doble extensión enmascarada (p. ej.
.jpg.php) se trata como webshell casi segura. - Firmas de malware: pasada por hash MD5/SHA256 sobre el feed de firmas: lookup O(1), coste despreciable.
Rendimiento: ~11.000 archivos PHP en ~2–3 segundos en un sitio típico; en hostings con timeout, modo por bloques con reanudación. Feed CVE para plugins y temas instalados, actualización diaria vía cron, índices con autoload OFF.
Restauración & registro
- Limpieza guiada tras un ataque: reparación del core con un clic desde la versión oficial, reinstalación de plugins/temas desde wordpress.org con copia automática.
- Cuarentena reversible de los archivos sospechosos.
- Regeneración de salts e informe de incidente listo para entregar.
- Registro de auditoría «quién/qué/cuándo» en tabla dedicada, filtrable, exportación CSV, conservación 90 días.
- Monitorización: tráfico en tiempo real, gráfico de eventos, monitor de espacio en disco, digest por email, webhooks.
Ficha técnica
| Tipo | Plugin de seguridad WordPress todo en uno · panel Sentinel, 8 pestañas |
| Requisitos | WordPress 5.9+ (probado hasta WP 7.0) · PHP 7.4+ |
| Procesamiento | 100% local, ningún tráfico hacia nubes de terceros |
| Firewall | Mini-WAF: regole OWASP per famiglia, reputazione IP, rate limiting, geo-blocco IPv4/IPv6 |
| Accesos | Anti fuerza bruta, 2FA TOTP + recuperación, HIBP k-anonymity, CAPTCHA, FCrDNS |
| Scanner | Checksums vs wordpress.org · 5 heurísticas anti-webshell · hash MD5/SHA256 O(1) |
| Rendimiento | ~11.000 archivos PHP en ~2–3 s · modo por bloques con reanudación |
| Feedon-demand · opt-in | maldet/rfxn.com, InterServer (~76.000 firmas) · OpenPhish + URLhaus (~30.000 URL) · api.wordpress.org (checksum, CVE) · cron diario |
| Restauración | Limpieza guiada, cuarentena reversible, regeneración de salts, informe de incidente |
| Registro | Registro de auditoría en tabla dedicada · exportación CSV · 90 días |
| Licencia | GPLv2 or later · WP Plugin Check 0 errores / 0 warnings |