En un contexto cada vez más exigente en materia de ciberseguridad y privacidad web, el desarrollador @aitorroma ha lanzado una herramienta doble pensada para quienes utilizan WordPress con el panel de control HestiaCP: unas plantillas seguras para servidores NGINX + PHP-FPM y un plugin personalizado llamado Stealth Mode WP. Ambas soluciones están diseñadas para ocultar la huella de WordPress y Elementor frente a bots, scrapers y herramientas de fingerprinting como Wappalyzer, BuiltWith o Netcraft.

Protección desde el servidor: plantillas wordpress-secure para HestiaCP

Las plantillas .tpl y .stpl disponibles para su descarga directa mediante curl están pensadas para ser aplicadas desde el panel de dominio de HestiaCP y cumplen funciones esenciales de seguridad:

1. Bloqueo de archivos sensibles: Se impide el acceso a documentos como readme.html, license.txt, wp-config.php, .git o .htaccess, entre otros.
2. Desactivación de PHP en rutas críticas: Se neutraliza la ejecución de código PHP en directorios como wp-content/uploads/ y wp-includes/, zonas comunes de explotación.
3. Filtrado de bots maliciosos: Se restringe el acceso a agentes como Ahrefs, MJ12bot, SemrushBot, sqlmap, curl o Wget, reforzando la resistencia a scrapers.
4. Camuflaje de WordPress: Se bloquean rutas identificables como /xmlrpc.php o /wp-json/, y se modifican recursos JS y CSS para dificultar su detección.
5. Defensa ante ataques comunes: Se filtran patrones relacionados con SQL Injection, inclusión de archivos y XSS.
6. Optimización y privacidad: Los archivos estáticos se sirven con Cache-Control: public y sin cabeceras del tipo Set-Cookie, ocultando la tecnología backend.
7. Compatibilidad total con HestiaCP: Las plantillas se integran directamente en el sistema de plantillas de NGINX de Hestia.

La instalación es simple, con comandos curl para descargar los archivos desde GitHub y permisos ajustados con chmod 644.

Invisible ante los escáneres: Stealth Mode WP

El plugin Stealth Mode WP, también desarrollado por @aitorroma y disponible para descarga desde este enlace, actúa directamente sobre el CMS:

• Elimina cualquier traza de la versión de WordPress y de plugins como Elementor.
• Suprime cabeceras HTTP como X-Powered-By o Server, comunes en servidores mal configurados.
• Bloquea el acceso a endpoints conocidos que podrían revelar información del sitio, como wp-json/, readme.html o license.txt.
• Limpia el HTML y CSS de identificadores que delaten el uso de WordPress, confundiéndolo incluso ante escáneres avanzados.

El proceso de instalación es el habitual para cualquier plugin personalizado: se sube desde la sección «Añadir nuevo» en el escritorio de WordPress y se activa desde el panel.

Hacia una web más privada y robusta

Estas herramientas, de libre uso, nacen con una clara vocación de protección de la privacidad y refuerzo del anonimato digital en un ecosistema web donde la detección automática de tecnologías es habitual. Gracias a estas soluciones, es posible minimizar la superficie de exposición de una instalación WordPress sin renunciar a su flexibilidad y potencia.

Tanto las plantillas como el plugin han sido desarrollados bajo un enfoque práctico y están pensados para ser compatibles con cualquier tema y con el constructor Elementor, una de las piezas más usadas en entornos WordPress modernos.

“Son herramientas que permiten a cualquier administrador web pasar desapercibido ante escáneres automáticos, ocultando tanto la infraestructura como el software que utiliza”, comenta su creador, quien ya ha compartido otras utilidades similares en GitHub y Notion.

Con esta aportación, se refuerza la tendencia hacia una mayor opacidad tecnológica como medida preventiva frente a ataques automatizados, recopilación masiva de datos y escaneo de vulnerabilidades. Una apuesta por el blindaje que prioriza la privacidad desde la configuración inicial del servidor hasta la capa más superficial del sitio web.