valmex

Seguridad — operadoravalmex.mx

Este documento describe el andamiaje de seguridad del sitio de Operadora de Fondos. Se organiza en tres capas (core de WordPress, hosting SiteGround y controles administrativos) e incluye la configuración vigente de Solid Security Pro y WP Activity Log.

1. Paquete WordPress (core + ecosistema)

• Gobierno del código: el ciclo de vida del core incorpora peer review permanente y releases vigiladas por el WordPress Security Team, con más de 50 especialistas. El equipo atiende disclosures responsables, prepara pruebas automatizadas y distribuye fixes coordinados con hosts y proveedores de WAF.
• Parcheo y backports: las versiones de mantenimiento entregan parches firmados. Aunque solo la rama estable recibe soporte oficial, los parches críticos se backportean a ramas antiguas y se empujan mediante auto‑updates. Esta estrategia reduce la ventana de exposición cuando aparecen CVEs del OWASP Top 10 (XSS, SSRF, XXE, etc.).
• Respuesta coordinada: al detectar vulnerabilidades, el equipo publica reglas para WAF y colabora con proveedores de hosting para sincronizar despliegues. Nuestro scanner (Solid Security) detecta actualmente CVEs resueltas en WordPress 6.9.4; mantener el core actualizado es el primer control preventivo.

2. Plataforma SiteGround Cloud

2.1 ¿Quién es SiteGround?

• Hosting fundado en 2004, partner recomendado por WordPress.org y empresas como WPBeginner, que destaca a SiteGround como “uno de los proveedores más populares y mejor calificados” por su foco en velocidad y seguridad gestionada WPBeginner, 2026-01-02.
• Gestiona infraestructura sobre Google Cloud con certificaciones internacionales y soporte 24/7 especializado en WordPress, lo que lo posiciona como referente para proyectos financieros que requieren uptime garantizado.

2.2 Controles nativos del plan Cloud

• Infraestructura dedicada: CPUs y RAM reservadas, CDN global y SLA de 99.99 % (ver SiteGround Cloud Hosting).
• Seguridad administrada: aislamiento por cuenta, firewall de aplicaciones propio, reglas personalizadas que se actualizan varias veces al día y un sistema anti‑bot basado en IA que bloquea millones de intentos de fuerza bruta incluso en entornos cloud.
• Continuidad operativa: backups diarios geodistribuidos (7 retenciones), snapshots bajo demanda y escalado automático para absorber picos y ataques volumétricos sin degradar el servicio.

2.3 Security Optimizer (antes SG Security)

Según SiteGround, 2025-09-18:

• Hardening inmediato: oculta la versión de WordPress, elimina readme.txt, endurece carpetas del sistema y añade reglas anti‑XSS/inyectores.
• Seguridad de login: incluye 2FA para wp-admin, cambio de URL de acceso, limitación de intentos y whitelisting de IPs.
• Activity Log y respuesta post‑incident: registra 16 días de eventos (usuarios, bots, logins) y ofrece acciones post-hack (forzar cierre de sesiones, reinicio masivo de contraseñas, reinstalación de plugins limpios).
• Reputación: el plugin está disponible en WordPress.org y es “confiado por más de 900 000 administradores”, lo que respalda su madurez.

3. Controles administrativos del sitio

3.1 Solid Security Pro

• Proveedor: SolidWP (antes iThemes) es uno de los vendors históricos de seguridad WordPress. Reseñas independientes señalan que “solo unos cuantos plugins pueden considerarse de confianza, y Solid Security es uno de ellos” (Solid Security Review 2025, sayansamanta.com).
• Posición en la industria: +1M instalaciones de la versión gratuita (Better WP Security) y presencia desde 2014. Integra el feed de Patchstack para detectar vulnerabilidades en plugins/temas y ofrece soporte profesional.
• Por qué lo usamos: combina hardening, detección y respuesta (EDR light) en un solo stack, permite delegar políticas por rol y automatiza la telemetría que necesitamos para auditorías financieras.

3.2 Configuración vigente (export itsec-export-documentacion.json, 2026-03-13)

• Módulos activos: ban de IPs, firewall, file change detection, brute force (local + Network Brute Force), malware scan, backups (cada 30 días, 12 retenciones), 2FA, magic links, registro de usuarios, reCAPTCHA v3 comentarios y logging.
• Políticas de bloqueo: 5 intentos fallidos por IP (lockout 15 min), 10 por usuario, blacklist automático tras 3 lockouts/7 días. Lista blanca exclusiva para 201.137.106.90.
• Identidad y autenticación: 2FA obligatorio para administradores (TOTP, email, códigos). Magic links habilitados para grupos operativos; se excluye al grupo de servicio 2083c0df… para integraciones.
• Alertas y monitoreo: digest diario, alertas de cambios de archivo/malware, correos por login no reconocido, recordatorios de 2FA e informes de usuarios inactivos. El escáner reporta pendientes en WP 6.9.1–6.9.3 → planificar upgrade inmediato a 6.9.4.
• Logs: almacenamiento en base de datos (rotación 360 días) + dashboards compartidos con cuentas de Valmex y Eón, incluyendo tarjetas de brute force, usuarios baneados y backups.

3.3 WP Activity Log

• Proveedor: Melapress. El plugin es promocionado como “el registro de actividad más detallado del mercado” y “una solución integral usada por cientos de miles de administradores y profesionales de seguridad” (melapress.com y WordPress.org).
• Posición en la industria: destacado en el marketplace de WordPress.com y recomendado por WP Engine como “el plugin de log más completo”.
• Valor para Valmex:
  • Registro en tiempo real de acciones (posts, usuarios, plugins, WooCommerce, etc.) con metadatos (fecha, IP, rol, severidad).
  • Gestión de sesiones (terminar accesos remotos, evitar sesiones paralelas, expirar sesiones ociosas).
  • Reportes programados para cumplimiento (GDPR, PCI, SOX) y soporte para mirroring hacia sistemas SIEM.
  • Integración natural con Solid Security: los eventos capturados se correlacionan con bloqueos/brute force para facilitar la cadena de custodia.

3.4 Checklist y próximos pasos

1. Actualizar WordPress a 6.9.4 y re‑ejecutar el escáner hasta lograr 0 vulnerabilidades.
2. Revisar require_ssl dentro del módulo SSL de Solid Security para forzar HTTPS también a nivel aplicación.
3. Programar exportes mensuales de la configuración de Solid Security y almacenarlos en el repositorio interno.
4. Activar reportes periódicos en WP Activity Log para Contraloría (usuarios) y Riesgos (cambios críticos).

---

Última revisión: 13/03/2026. Responsable: Eón.