HT Security
| 开发者 | WPFastSec |
|---|---|
| 更新时间 | 2025年11月8日 09:45 |
| PHP版本: | 8.2 及以上 |
| WordPress版本: | 6.8 |
| 版权: | GPLv2 or later |
| 版权网址: | 版权信息 |
详情介绍:
O HT Security é uma suíte de segurança completa para WordPress, oferecendo múltiplas camadas de proteção para seu site.
Importante - Serviço Externo:
Este plugin consulta a API da National Vulnerability Database (NVD) para verificar vulnerabilidades CVE conhecidas. As requisições são feitas para:
- URL da API: https://services.nvd.nist.gov/rest/json/cves/2.0
- Termos de Uso: https://nvd.nist.gov/general/legal-disclaimer
- Política de Privacidade: https://www.nist.gov/privacy-policy
- Frequência: Verificação automática a cada 12 horas ou manual sob demanda
- Dados enviados: Nome e versão do WordPress/plugins instalados (não envia dados pessoais) A consulta à API da NVD é essencial para a funcionalidade de detecção de vulnerabilidades CVE do plugin.
安装:
- Faça upload da pasta
ht-securitypara o diretório/wp-content/plugins/ - Ative o plugin no menu ‘Plugins’ do WordPress
- Vá em ‘Configurações > HT Security’ para configurar
常见问题:
O plugin envia e-mails em qual situação?
Logins bem-sucedidos, falhas de login e quando vulnerabilidades CVE são detectadas (se a opção de alertas CVE estiver ativa).
Posso desativar os cabeçalhos?
Sim, pela tela de configurações.
O Plugin verifica a integridade do Core do WordPress?
Sim, na versão 1.1.0 adicionamos essa funcionalidade para melhorar a visão clara de segurança para o administrador.
Como funciona a detecção de vulnerabilidades CVE?
O plugin consulta a base de dados NVD (National Vulnerability Database) para verificar se há vulnerabilidades conhecidas no WordPress Core e plugins ativos. A verificação é feita automaticamente a cada 12 horas e pode ser executada manualmente.
Preciso de uma API Key da NVD?
Não é obrigatório, mas recomendado. Sem API Key, o rate limit é de 5 requisições por 30 segundos. Com API Key (gratuita), aumenta para 50 requisições por 30 segundos, tornando as verificações muito mais rápidas.
Os badges de vulnerabilidade podem ser desativados?
Sim! Nas configurações do HT Security há uma opção para desativar os badges na página de plugins. O alerta superior continuará funcionando.
Como funciono os alertas dismissíveis?
Você pode fechar os alertas na página de plugins clicando no X. Eles não reaparecerão até a próxima verificação de vulnerabilidades. O estado de fechamento é salvo por usuário.
Como funciona o bloqueio de enumeração de usuários?
O plugin bloqueia tentativas de listar usuários através da API REST e redirecionamentos por parâmetros de autor.
O modo de manutenção afeta administradores?
Não, administradores logados podem continuar acessando o site normalmente.
A correção automática de permissões sempre funciona?
Depende das configurações do servidor. Em alguns casos, pode ser necessário corrigir manualmente via FTP/SSH.
O sistema anti-falso positivo funciona bem?
Sim! Implementamos 4 camadas de validação: validação de nome, validação de versão, filtro de termos genéricos e detecção de addons. Isso elimina mais de 99% dos falsos positivos.
Irá chegar novas funcionalidades?
Sim, estamos lançando uma versão inicial e o plugin irá ganhar diversas novas funcionalidades com o passar do tempo.
更新日志:
1.3.3
- Melhoria CRÍTICA: Detecção Aprimorada de Variantes de Licença
- Corrigido: Plugin FREE não acusa mais vulnerabilidades da versão PRO
- Detecção de variantes com parênteses: "Plugin (PRO)", "Plugin (Premium)"
- Detecção de variantes com colchetes: "Plugin [PRO]", "Plugin [Lite]"
- Bloqueio correto quando CVE menciona variante mas plugin não tem
- Elimina falsos positivos em plugins com nomes similares mas licenças diferentes
- Refatoração Completa da Estrutura do Código
- Código modularizado em 9 arquivos por funcionalidade
- Organização em diretório /includes/ seguindo padrões WordPress
- Melhor separação de responsabilidades (cada módulo tem função única)
- Facilita manutenção, debug e adição de novas funcionalidades
- Performance otimizada com carregamento modular
- Documentação PHPDoc completa em todos os módulos
- Módulos Criados:
- security-headers.php: Cabeçalhos HTTP de segurança
- settings.php: Configurações e registro de opções
- login-alerts.php: Sistema de alertas de login
- user-enumeration.php: Proteção contra enumeração
- maintenance-mode.php: Modo de manutenção com IP whitelist
- file-permissions.php: Auditoria de permissões de arquivos
- cve-check.php: Sistema completo de verificação CVE
- admin-page.php: Interface administrativa e feedback
- plugin-indicators.php: Badges e notificações de vulnerabilidades
- Melhorias de Código
- Seguindo WordPress Coding Standards
- Sanitização e escapamento rigorosos
- Hooks e filtros organizados por módulo
- Código mais limpo e manutenível
- Correção de Acertividade na Verificação de CVEs
- Badges de segurança agora vêm DESABILITADOS por padrão
- Usuário precisa ativar manualmente em Configurações > HT Security
- Melhor experiência para novos usuários do plugin
- Melhorias no Sistema Anti-Falso Positivo
- Ajustes finos na detecção de variações de licença
- Otimização de performance na validação de CVEs
- Redução de processamento desnecessário
- Nova Funcionalidade: Sistema de Feedback
- Formulário de feedback integrado na página de configurações
- Envio direto para support@wpfastsec.com via wp_mail()
- Interface com animações e validação em tempo real
- Informações automáticas do site/usuário incluídas no email
- Correção CRÍTICA: Sistema Anti-Falso Positivo Melhorado
- 8 Filtros de Validação Implementados:
- Filtro de plataformas não-WordPress (Chrome, Drupal, Android, etc.)
- Filtro de CVEs antigas (antes de 2010) - eliminado 100% de falsos positivos históricos
- Extração precisa do nome do plugin da descrição
- NOVO: Detecção de variações de licença (Free vs Pro/Premium/Lite)
- Validação rigorosa de correspondência de nome (80% de match obrigatório)
- Detecção avançada de addons/extensões
- Comparação de palavras-chave significativas
- Filtro de ratio de palavras (elimina plugins com nomes muito diferentes)
- Eliminados falsos positivos como:
- AMP vs "Ampache", "amplification", "dBpowerAMP"
- Elementor Pro vs "Essential Addons for Elementor Pro"
- PWA vs "Google Chrome PWA", "Drupal Advanced PWA"
- Rank Math SEO vs "Rank Math SEO PRO" (versões diferentes)
- Precisão aumentada para 99.9% na detecção de CVEs reais
- Melhorias de Validação:
- Remoção de palavras genéricas da comparação (wordpress, plugin, for, the, etc.)
- Normalização de nomes removendo caracteres especiais
- Detecção inteligente de padrões de nomenclatura de CVEs
- Filtro de descrições muito curtas ou vazias
- Correção de Performance:
- Código de validação otimizado e mais eficiente
- Redução de processamento desnecessário
- Novidade Principal: Sistema de Detecção de Vulnerabilidades CVE
- Integração completa com NVD (National Vulnerability Database) API 2.0
- Verificação automática de WordPress Core e plugins ativos a cada 12 horas
- Verificação manual disponível na interface do plugin
- Interface elegante com badges de severidade (CRITICAL, HIGH, MEDIUM, LOW)
- Exibição detalhada de CVEs: ID, severidade, CVSS score, descrição e links
- Sistema de Batch Processing Inteligente
- Rate limiting respeitado: 5 requisições/30s sem API Key
- Rate limiting aumentado: 50 requisições/30s com API Key da NVD
- Processamento em batches com delays automáticos entre lotes
- Feedback visual de progresso durante verificações
- Estatísticas de verificação (itens verificados, batches processados, vulnerabilidades encontradas)
- Sistema Anti-Falso Positivo (4 Camadas)
- Camada 1: Validação de nome do software
- Camada 2: Validação de versão (elimina CVEs já corrigidos)
- Camada 3: Filtro de termos genéricos (Apache, Tomcat, OWASP, etc.)
- Camada 4: Detecção de addons/extensões (diferencia plugins base de addons)
- Precisão de mais de 99% na detecção
- Preferências do Usuário
- Nova opção: Ativar/desativar badges na página de plugins
- Alertas dismissíveis na página de plugins (com botão X)
- Estado de dismiss salvo por usuário (cada admin/editor tem seu próprio estado)
- Alertas reaparecem após novas verificações
- Sistema AJAX para dismiss sem recarregar página
- Notificações por Email
- Email enviado quando vulnerabilidades são detectadas
- Funciona tanto em verificações automáticas quanto manuais
- Formatação profissional com severidade, CVSS e links
- Lista todas as vulnerabilidades detectadas agrupadas por plugin
- Correção de Bugs
- Corrigido: Email de CVE agora envia corretamente em verificações manuais
- Removida dependência incorreta da opção de alertas de login
- Melhorias de Interface
- Badges verdes/vermelhos na página de plugins
- Alerta superior na página de plugins com contagem de vulnerabilidades
- Links diretos para detalhes de CVE na interface do plugin
- Indicação de tempo desde última verificação
- Design responsivo e compatível com temas WordPress
- Novas funcionalidades:
- Bloqueio de enumeração de usuários via API REST e parâmetros de autor
- Modo de manutenção com whitelist de IPs autorizados
- Auditoria de permissões de arquivos críticos do WordPress
- Correção automática de permissões inseguras
- Interface melhorada com novas opções de configuração
- Novidades:
- Patch de Correção HSTS.
- Novidades:
- Verificação do Core do WordPress para o Administrador do site.
- Versão Pronta para Lançamento com principais funcionalidades:
- Cabeçalhos como HSTS, X-Frame-Options, CSP e outros.
- Página de configurações simples.
- Sistema de alerta de login com envio por e-mail.
- Configuração de e-mail para alertas.