GRATIS · GPL security vs Wordfence / Solid Security

aGo Harden

11 módulos de seguridad con score visual 0-100

Hardening WordPress con score gauge en tiempo real: URL login custom, limit login attempts, security headers, deshabilitar XML-RPC.

↳ próximamente en wordpress.org El código fuente y los .zip de instalación viven en GitHub mientras la submission a wordpress.org está en revisión.
§ funcionalidades

Lo que hace.

  1. № 01

    URL de login personalizada

  2. № 02

    Limitar intentos de acceso

  3. № 03

    Headers de seguridad HTTP

  4. № 04

    Score visual 0-100

  5. № 05

    Bloquear PHP en uploads

aGo Harden

Hardening WordPress con score gauge en tiempo real: URL login custom, limit login attempts, security headers, deshabilitar XML-RPC.

§ documentación oficial

Manual completo.

aGo Harden, documentación

Versión del plugin: 1.0.0 · Documentación actualizada: 2026-06-28

aGo Harden es un panel de endurecimiento de seguridad para WordPress. Reúne en una sola pantalla un conjunto de interruptores reversibles que reducen la superficie de ataque del sitio: ocultan información, frenan los intentos de adivinar contraseñas, agregan cabeceras de seguridad y cierran rutas que los bots suelen sondear. Cada medida muestra un puntaje y, al activarla, el panel actualiza en tiempo real una calificación de seguridad de 0 a 100.

Aviso importante. aGo Harden es preventivo: endurece la configuración y dificulta los sondeos automáticos. No es un antivirus ni un escáner de malware, y ninguna configuración hace que un sitio sea invulnerable. Para detección activa de código malicioso usa una herramienta dedicada (por ejemplo Wordfence o Sucuri SiteCheck). El plugin no se conecta a ningún servicio externo: todo corre en tu propio servidor.


1. Instalación y activación

  1. Sube la carpeta ago-harden a /wp-content/plugins/, o instálala desde Plugins → Añadir nuevo plugin → Subir plugin.
  2. Activa el plugin.
  3. Ve a aGo Tools → Harden. Todos los interruptores empiezan apagados; los activas según los necesites.

Cada cambio se guarda al pulsar Guardar ajustes. Las medidas son reversibles: al apagar un interruptor, el plugin revierte el cambio (incluidas las reglas que escribe en .htaccess). Al desinstalar el plugin se borra su opción de ajustes y se eliminan sus bloques de reglas de .htaccess.

2. Cómo leer el panel y el puntaje de seguridad

En la parte superior del panel hay un medidor circular con un puntaje de 0 a 100 y una etiqueta de color. Cada medida que actives suma puntos; el puntaje sube en vivo a medida que enciendes interruptores.

RangoEtiquetaColor
90 a 100ExcelenteVerde
70 a 89BuenoAzul
40 a 69RegularAmarillo
0 a 39DébilRojo

El puntaje es una guía interna para ver cuánto has endurecido el sitio, no una medición de riesgo real ni una garantía. Las medidas se agrupan en cuatro categorías: Acceso y autenticación, Exposición de información, HTTP y transporte, y Sistema de archivos.

3. Medidas de seguridad disponibles

A continuación, cada interruptor con qué hace y sus advertencias.

Acceso y autenticación

URL de acceso personalizada (15 pts). Cambia la dirección del formulario de inicio de sesión por una ruta que tú eliges, en lugar de la conocida wp-login.php. Reduce el tráfico de bots que atacan la página de acceso por defecto. Si dejas el campo vacío, la medida queda desactivada.

Advertencia. Es el único interruptor que puede dejarte fuera del panel si olvidas la ruta que definiste. Anótala antes de guardar. El acceso directo a wp-login.php queda bloqueado para quien no use la ruta nueva.

Limitar intentos de acceso (15 pts). Tras 3 intentos fallidos de inicio de sesión en un lapso de 15 minutos, bloquea ese origen durante 1 hora. El conteo se hace por dirección IP, que se guarda solo como un hash con sal (no se almacena la IP en claro) y de forma temporal.

Advertencia. Si compartes una IP de salida con muchas personas (por ejemplo, una red corporativa), varios intentos fallidos desde esa red pueden activar el bloqueo para todos durante una hora.

Ocultar errores de acceso (5 pts). Reemplaza los mensajes detallados de error de inicio de sesión por uno genérico, para no revelar si el usuario existe o si solo falló la contraseña.

Forzar cierre de sesión tras N horas (5 pts). Limita la duración de la cookie de sesión a la cantidad de horas que indiques (0 desactiva la medida). Acota la ventana de una sesión robada o de un equipo que quedó abierto.

Advertencia. Un valor bajo obliga a los usuarios a volver a iniciar sesión con más frecuencia.

Exposición de información

Ocultar la versión de WordPress (5 pts). Quita la etiqueta meta de versión, la limpia de los feeds RSS y elimina el parámetro ?ver= de scripts y hojas de estilo. Dificulta que un atacante sepa qué versión corres para buscar vulnerabilidades conocidas.

Advertencia. Quitar ?ver= de los recursos cambia su URL; tras activarla conviene vaciar las cachés (de WordPress, del CDN y del navegador) para evitar que se sirvan versiones antiguas de CSS o JS.

Bloquear enumeración de autores (5 pts). Bloquea las consultas tipo ?author=N (que sirven para listar nombres de usuario) redirigiendo a la portada, y restringe el endpoint de usuarios de la REST API (/wp-json/wp/v2/users) para peticiones no autenticadas.

HTTP y transporte

Cabeceras de seguridad (15 pts). Agrega cabeceras HTTP que endurecen el comportamiento del navegador: X-Frame-Options (evita que tu sitio se incruste en iframes ajenos), X-Content-Type-Options, Referrer-Policy, X-XSS-Protection y Permissions-Policy (restringe geolocalización, micrófono y cámara).

Desactivar XML-RPC (10 pts). Desactiva el endpoint XML-RPC, vía habitual de ataques de fuerza bruta y amplificación de pingbacks. También quita el enlace RSD de descubrimiento y la cabecera X-Pingback.

Nota. Si tienes activo el plugin aGo Cleanup y este ya maneja XML-RPC, aGo Harden detecta la situación y no duplica la medida. Desactiva XML-RPC solo si no dependes de aplicaciones que lo usen (algunos clientes de publicación móviles o de escritorio antiguos lo requieren).

Sistema de archivos

Desactivar el editor de archivos (10 pts). Apaga el editor de temas y plugins integrado en el escritorio de WordPress. Impide que, si alguien obtiene acceso de administrador, pueda editar código del sitio desde el navegador. Lo logra definiendo DISALLOW_FILE_EDIT y retirando las capacidades correspondientes.

Bloquear PHP en uploads (10 pts). Escribe un pequeño bloque de reglas en el .htaccess de wp-content/uploads/ para impedir la ejecución de archivos PHP subidos a esa carpeta, un vector común cuando se logra subir un archivo malicioso.

Advertencia. Funciona en servidores Apache (que usan .htaccess). En Nginx u otros servidores que no leen .htaccess, el bloqueo debe configurarse a nivel del servidor. El bloque de reglas se retira al apagar el interruptor o al desinstalar el plugin.

Desactivar el listado de directorios (5 pts). Agrega Options -Indexes al .htaccess de la raíz del sitio para que el servidor no muestre el contenido de las carpetas que no tienen un archivo índice.

Advertencia. Requiere un .htaccess en la raíz (servidores Apache). Si el sitio corre en Nginx, no existe ese archivo y la medida no tiene efecto; el listado de directorios se controla en la configuración del servidor.

4. Herramientas externas de verificación

El panel incluye enlaces a sitios de terceros que te ayudan a comprobar el estado de tu seguridad desde fuera (base de datos de vulnerabilidades de WPScan, análisis de cabeceras en securityheaders.com y auditoría con Mozilla Observatory). Estos enlaces solo se abren cuando los pulsas; el plugin no envía datos a ningún sitio de forma automática.

5. Soporte

aGo Harden es un plugin gratuito de código abierto bajo licencia GPL-2.0+.

Cuando publiquemos este plugin en WordPress.org, las dudas y reportes de bugs se atenderán en su foro oficial (https://wordpress.org/support/plugin/ago-harden/). El plugin es de código abierto bajo licencia GPL-2.0+ y se atiende según disponibilidad.

No damos soporte por correo electrónico para la versión gratuita. Para uso comercial con soporte directo y SLA, próximamente lanzaremos planes de suscripción anual y lifetime.

aGo Harden reduce la superficie de ataque y endurece la configuración de WordPress. No es un antivirus ni reemplaza un escáner de malware, y ninguna configuración garantiza que un sitio sea invulnerable. Mantén WordPress, los temas y los plugins actualizados, y usa contraseñas fuertes.

↳ misma fuente en ago.cl