WordPress.org

Chinese Singapore

Get WordPress
WordPress.org

Plugin Directory

HT Security

HT Security

By WPFastSec
Download

Description

O HT Security é uma suíte de segurança completa para WordPress, oferecendo múltiplas camadas de proteção para seu site.

Importante – Serviço Externo:
Este plugin consulta a API da National Vulnerability Database (NVD) para verificar vulnerabilidades CVE conhecidas. As requisições são feitas para:
* URL da API: https://services.nvd.nist.gov/rest/json/cves/2.0
* Termos de Uso: https://nvd.nist.gov/general/legal-disclaimer
* Política de Privacidade: https://www.nist.gov/privacy-policy
* Frequência: Verificação automática a cada 12 horas ou manual sob demanda
* Dados enviados: Nome e versão do WordPress/plugins instalados (não envia dados pessoais)

A consulta à API da NVD é essencial para a funcionalidade de detecção de vulnerabilidades CVE do plugin.

Features

  • Cabeçalhos de segurança como HSTS, X-Frame-Options, CSP e outros.
  • Sistema de alerta de login com envio por e-mail.
  • Verificação de integridade do Core do WordPress.
  • Detecção de Vulnerabilidades CVE (NOVO v1.3.0)
    • Integração com NVD (National Vulnerability Database) API 2.0
    • Verificação de WordPress Core e plugins ativos
    • Sistema de batch processing com rate limiting inteligente
    • 4 camadas de validação anti-falso positivo
    • Badges de vulnerabilidade na página de plugins (ativáveis/desativáveis)
    • Alertas dismissíveis por usuário
    • Notificação por email quando vulnerabilidades detectadas
    • Verificação automática a cada 12 horas
    • Suporte para API Key da NVD (rate limit aumentado)
  • Bloqueio de enumeração de usuários via API REST e parâmetros de autor.
  • Modo de manutenção com whitelist de IPs autorizados.
  • Auditoria de permissões de arquivos críticos com correção automática.
  • Configuração de e-mail personalizado para alertas.
  • Página de configurações simples e intuitiva.

License

Este plugin está licenciado sob a GNU General Public License v2.0 ou posterior. Para mais informações, visite https://www.gnu.org/licenses/gpl-2.0.html.

Screenshots

  • Página de configuração do plugin.

Installation

  1. Faça upload da pasta ht-security para o diretório /wp-content/plugins/
  2. Ative o plugin no menu ‘Plugins’ do WordPress
  3. Vá em ‘Configurações > HT Security’ para configurar

FAQ

O plugin envia e-mails em qual situação?

Logins bem-sucedidos, falhas de login e quando vulnerabilidades CVE são detectadas (se a opção de alertas CVE estiver ativa).

Posso desativar os cabeçalhos?

Sim, pela tela de configurações.

O Plugin verifica a integridade do Core do WordPress?

Sim, na versão 1.1.0 adicionamos essa funcionalidade para melhorar a visão clara de segurança para o administrador.

Como funciona a detecção de vulnerabilidades CVE?

O plugin consulta a base de dados NVD (National Vulnerability Database) para verificar se há vulnerabilidades conhecidas no WordPress Core e plugins ativos. A verificação é feita automaticamente a cada 12 horas e pode ser executada manualmente.

Preciso de uma API Key da NVD?

Não é obrigatório, mas recomendado. Sem API Key, o rate limit é de 5 requisições por 30 segundos. Com API Key (gratuita), aumenta para 50 requisições por 30 segundos, tornando as verificações muito mais rápidas.

Os badges de vulnerabilidade podem ser desativados?

Sim! Nas configurações do HT Security há uma opção para desativar os badges na página de plugins. O alerta superior continuará funcionando.

Como funciono os alertas dismissíveis?

Você pode fechar os alertas na página de plugins clicando no X. Eles não reaparecerão até a próxima verificação de vulnerabilidades. O estado de fechamento é salvo por usuário.

Como funciona o bloqueio de enumeração de usuários?

O plugin bloqueia tentativas de listar usuários através da API REST e redirecionamentos por parâmetros de autor.

O modo de manutenção afeta administradores?

Não, administradores logados podem continuar acessando o site normalmente.

A correção automática de permissões sempre funciona?

Depende das configurações do servidor. Em alguns casos, pode ser necessário corrigir manualmente via FTP/SSH.

O sistema anti-falso positivo funciona bem?

Sim! Implementamos 4 camadas de validação: validação de nome, validação de versão, filtro de termos genéricos e detecção de addons. Isso elimina mais de 99% dos falsos positivos.

Irá chegar novas funcionalidades?

Sim, estamos lançando uma versão inicial e o plugin irá ganhar diversas novas funcionalidades com o passar do tempo.

Reviews

Read all 1 review

Contributors & Developers

“HT Security” is open source software. The following people have contributed to this plugin.

Contributors

Translate “HT Security” into your language.

Interested in development?

Browse the code, check out the SVN repository, or subscribe to the development log by RSS.

Changelog

1.3.3

  • Melhoria CRÍTICA: Detecção Aprimorada de Variantes de Licença

    • Corrigido: Plugin FREE não acusa mais vulnerabilidades da versão PRO
    • Detecção de variantes com parênteses: “Plugin (PRO)”, “Plugin (Premium)”
    • Detecção de variantes com colchetes: “Plugin [PRO]”, “Plugin [Lite]”
    • Bloqueio correto quando CVE menciona variante mas plugin não tem
    • Elimina falsos positivos em plugins com nomes similares mas licenças diferentes

  • Refatoração Completa da Estrutura do Código

    • Código modularizado em 9 arquivos por funcionalidade
    • Organização em diretório /includes/ seguindo padrões WordPress
    • Melhor separação de responsabilidades (cada módulo tem função única)
    • Facilita manutenção, debug e adição de novas funcionalidades
    • Performance otimizada com carregamento modular
    • Documentação PHPDoc completa em todos os módulos

  • Módulos Criados:

    • security-headers.php: Cabeçalhos HTTP de segurança
    • settings.php: Configurações e registro de opções
    • login-alerts.php: Sistema de alertas de login
    • user-enumeration.php: Proteção contra enumeração
    • maintenance-mode.php: Modo de manutenção com IP whitelist
    • file-permissions.php: Auditoria de permissões de arquivos
    • cve-check.php: Sistema completo de verificação CVE
    • admin-page.php: Interface administrativa e feedback
    • plugin-indicators.php: Badges e notificações de vulnerabilidades

  • Melhorias de Código

    • Seguindo WordPress Coding Standards
    • Sanitização e escapamento rigorosos
    • Hooks e filtros organizados por módulo
    • Código mais limpo e manutenível

1.3.2

  • Correção de Acertividade na Verificação de CVEs

    • Badges de segurança agora vêm DESABILITADOS por padrão
    • Usuário precisa ativar manualmente em Configurações > HT Security
    • Melhor experiência para novos usuários do plugin

  • Melhorias no Sistema Anti-Falso Positivo

    • Ajustes finos na detecção de variações de licença
    • Otimização de performance na validação de CVEs
    • Redução de processamento desnecessário

1.3.1

  • Nova Funcionalidade: Sistema de Feedback

    • Formulário de feedback integrado na página de configurações
    • Envio direto para support@wpfastsec.com via wp_mail()
    • Interface com animações e validação em tempo real
    • Informações automáticas do site/usuário incluídas no email

  • Correção CRÍTICA: Sistema Anti-Falso Positivo Melhorado

    • 8 Filtros de Validação Implementados:
    1. Filtro de plataformas não-WordPress (Chrome, Drupal, Android, etc.)
    2. Filtro de CVEs antigas (antes de 2010) – eliminado 100% de falsos positivos históricos
    3. Extração precisa do nome do plugin da descrição
    4. NOVO: Detecção de variações de licença (Free vs Pro/Premium/Lite)
    5. Validação rigorosa de correspondência de nome (80% de match obrigatório)
    6. Detecção avançada de addons/extensões
    7. Comparação de palavras-chave significativas
    8. Filtro de ratio de palavras (elimina plugins com nomes muito diferentes)
    • Eliminados falsos positivos como:
    • AMP vs “Ampache”, “amplification”, “dBpowerAMP”
    • Elementor Pro vs “Essential Addons for Elementor Pro”
    • PWA vs “Google Chrome PWA”, “Drupal Advanced PWA”
    • Rank Math SEO vs “Rank Math SEO PRO” (versões diferentes)
    • Precisão aumentada para 99.9% na detecção de CVEs reais

  • Melhorias de Validação:

    • Remoção de palavras genéricas da comparação (wordpress, plugin, for, the, etc.)
    • Normalização de nomes removendo caracteres especiais
    • Detecção inteligente de padrões de nomenclatura de CVEs
    • Filtro de descrições muito curtas ou vazias

  • Correção de Performance:

    • Código de validação otimizado e mais eficiente
    • Redução de processamento desnecessário

1.3.0

  • Novidade Principal: Sistema de Detecção de Vulnerabilidades CVE

    • Integração completa com NVD (National Vulnerability Database) API 2.0
    • Verificação automática de WordPress Core e plugins ativos a cada 12 horas
    • Verificação manual disponível na interface do plugin
    • Interface elegante com badges de severidade (CRITICAL, HIGH, MEDIUM, LOW)
    • Exibição detalhada de CVEs: ID, severidade, CVSS score, descrição e links

  • Sistema de Batch Processing Inteligente

    • Rate limiting respeitado: 5 requisições/30s sem API Key
    • Rate limiting aumentado: 50 requisições/30s com API Key da NVD
    • Processamento em batches com delays automáticos entre lotes
    • Feedback visual de progresso durante verificações
    • Estatísticas de verificação (itens verificados, batches processados, vulnerabilidades encontradas)

  • Sistema Anti-Falso Positivo (4 Camadas)

    • Camada 1: Validação de nome do software
    • Camada 2: Validação de versão (elimina CVEs já corrigidos)
    • Camada 3: Filtro de termos genéricos (Apache, Tomcat, OWASP, etc.)
    • Camada 4: Detecção de addons/extensões (diferencia plugins base de addons)
    • Precisão de mais de 99% na detecção

  • Preferências do Usuário

    • Nova opção: Ativar/desativar badges na página de plugins
    • Alertas dismissíveis na página de plugins (com botão X)
    • Estado de dismiss salvo por usuário (cada admin/editor tem seu próprio estado)
    • Alertas reaparecem após novas verificações
    • Sistema AJAX para dismiss sem recarregar página

  • Notificações por Email

    • Email enviado quando vulnerabilidades são detectadas
    • Funciona tanto em verificações automáticas quanto manuais
    • Formatação profissional com severidade, CVSS e links
    • Lista todas as vulnerabilidades detectadas agrupadas por plugin

  • Correção de Bugs

    • Corrigido: Email de CVE agora envia corretamente em verificações manuais
    • Removida dependência incorreta da opção de alertas de login

  • Melhorias de Interface

    • Badges verdes/vermelhos na página de plugins
    • Alerta superior na página de plugins com contagem de vulnerabilidades
    • Links diretos para detalhes de CVE na interface do plugin
    • Indicação de tempo desde última verificação
    • Design responsivo e compatível com temas WordPress

1.2.0

  • Novas funcionalidades:
    • Bloqueio de enumeração de usuários via API REST e parâmetros de autor
    • Modo de manutenção com whitelist de IPs autorizados
    • Auditoria de permissões de arquivos críticos do WordPress
    • Correção automática de permissões inseguras
    • Interface melhorada com novas opções de configuração

1.1.1

  • Novidades:
    • Patch de Correção HSTS.

1.1.0

  • Novidades:
    • Verificação do Core do WordPress para o Administrador do site.

1.0.0

  • Versão Pronta para Lançamento com principais funcionalidades:
    • Cabeçalhos como HSTS, X-Frame-Options, CSP e outros.
    • Página de configurações simples.
    • Sistema de alerta de login com envio por e-mail.
    • Configuração de e-mail para alertas.

Meta

Ratings

5 out of 5 stars.

Add my review

See all reviews

Contributors

Support

Got something to say? Need help?

View support forum