🐕Drako
El cachorro guardián
Plugin WordPress que protege en runtime: 4 módulos base (Hardening, Integrity, Alerts, Admin) — login throttle con header X-Drokio-Blocked, monitoreo de integridad SHA-256, alertas reales. 1 sitio, $9/mes.
Precio
$9/mes
Drako es el plugin WordPress que protege un sitio en runtime. Empaca los 4 módulos base del plan free — Hardening, Integrity, Alerts, Admin — en un plugin <50KB con activación por license key. Funciona con WordPress 5.8+ y PHP 7.4+. $9/mes. Sin contratos.
Hardening incluye: 6 capas activables (security headers, .htaccess protection, login limit con throttle, bloqueo de enumeración de usuarios, file-edit disable, XML-RPC disable). El throttle de login bloquea después de 5 intentos fallidos en ventana de 15 minutos por IP. Cuando bloquea, emite header HTTP `X-Drokio-Blocked: login_throttle` para integración WAF/SIEM (Fase H2).
Integrity monitorea SHA-256 de archivos críticos (WordPress core, theme activo, plugin Drako, uploads/*.php) cada 6 horas. Detecta modificaciones, archivos nuevos y eliminaciones. Cuando algo cambia, registra el evento y dispara análisis si el módulo de IA está habilitado por tu plan.
Alerts canaliza eventos vía email + WhatsApp con quiet hours configurables y severidad ajustable. Admin expone dashboard wp-admin con estado de licencia (válida / dummy / no_api_key / expirada / tampered), grid de módulos con badges (incluido / activo / requiere upgrade), y contador de eventos recientes.
Lo que diferencia a Drako del resto: cuando la license no es válida, el plugin NO finge protección. El admin UI lo muestra claramente. Los módulos premium quedan en estado `requiere upgrade` con razón visible. La protección base sigue funcionando porque Hardening y Integrity son módulos base — siempre se instancian, aun sin licencia.
Instalás el plugin en 2 minutos, pegás tu license key, y Drako empieza a trabajar. Si querés ver el plugin en operación end-to-end, el Attack Lab del repo (`attack-lab/`) trae el escenario de brute force con verificación reproducible — el smoke #2 de mayo 2026 cierra con 102 attempts bloqueados via header.
4 pasos. Sin fricción.
paso 01
Instalás Drako
Subís el .zip a tu WordPress como cualquier plugin. Un clic para activar. Pegás tu license key.
paso 02
Drako escanea tu sitio
Aplica 6 reglas de hardening, calcula hashes SHA-256 de archivos críticos, establece tu línea base de "normal".
paso 03
Monitoreo 24/7
Cada 6 horas verifica integridad. Cada login fallido se registra. Cada archivo modificado dispara análisis con IA.
paso 04
Actúa automáticamente
Malware confirmado → cuarentena inmediata. Sospechoso → alerta con análisis. Legítimo → aprobado silencio.
Funcionalidades del plan Drako
6 capas de hardening
Security headers, .htaccess protection, login limit (5 intentos / 15 min), bloqueo de enumeración de usuarios, file-edit disable, XML-RPC disable. Configurable pero funciona por default.
Login throttle con header HTTP
Cuando engaged, emite `X-Drokio-Blocked: login_throttle` + `X-Drokio-Module: hardening.login_limit` + `Retry-After`. Detectable por WAF/SIEM/Cloudflare worker. Verificable en el Attack Lab del repo.
Monitoreo de integridad SHA-256
Vigila core de WordPress, theme activo, plugin Drako y uploads/*.php cada 6 horas. Detecta modificaciones, archivos nuevos y eliminaciones.
Estado de licencia visible en admin
Banner explícito: válida / trial / expirada / sin api_key / tampered. Módulos premium quedan en página `module-locked` con razón concreta — no fingen estar activos.
Alertas WhatsApp + email
Notificaciones inmediatas con lenguaje claro. Quiet hours configurables. Severidad mínima ajustable.
Dashboard visual en wp-admin
Estado general, últimas alertas, archivos monitoreados, módulos con badges (incluido/activo/requiere upgrade). Sin tecnicismos innecesarios.
Drako en el campo de batalla
Webshell disfrazado de imagen
Una tienda de ropa subió sin querer un archivo comprometido a uploads. Drako lo detectó en el scan de las 3am. El Brain analizó el código: eval() + base64_decode() + system(). Veredicto: malicioso, 94% confianza. Cuarentena automática. La dueña se despertó, leyó el WhatsApp, y siguió vendiendo.
6h
Detección en
Automática
Acción
0
Ventas perdidas
Ataque de fuerza bruta persistente
Un consultor con blog en WordPress recibía 200+ intentos de login fallidos diarios. Drako activó la protección de login automáticamente: 5 intentos = 15 minutos de bloqueo. A las 24h, el atacante se rindió. Logs completos en el dashboard.
847
Intentos bloqueados
24h
Tiempo hasta rendición
0
Falsos positivos
Plugin vulnerable en actualización
Un plugin muy usado tenía vulnerabilidad zero-day reciente. El theme del sitio se actualizó automáticamente y reemplazó functions.php. Drako detectó el cambio de hash. IA analizó: código legítimo de theme actualizado. Aprobación silenciosa. Usuario ni se enteró — exactamente como debe ser.
1
Falso positivo evitado
Ninguna
Acción requerida
0s
Downtime
Preguntas sobre Drako
¿Drako funciona con WooCommerce?
Sí. Drako está optimizado para WooCommerce. Protege especialmente la carpeta wp-content/uploads (vector de ataque clásico donde se suben webshells), tu wp-config.php (credenciales) y los archivos de tu theme activo.
¿Cómo verifico que el throttle de login está engaged?
Hacés N+1 requests POST a wp-login.php con credenciales inválidas (default N=5 en ventana de 15 min). A partir del 6to request, la respuesta incluye los headers `X-Drokio-Blocked: login_throttle`, `X-Drokio-Module: hardening.login_limit` y `Retry-After: 900`. Esto está reproducible en `attack-lab/attackers/01-brute-force-login/` del repo.
¿Qué pasa si la license es dummy o no_api_key?
Los 4 módulos base (Hardening, Integrity, Alerts, Admin) SIEMPRE se instancian — el plugin se asegura de no dejar el sitio sin protección básica aun con licencia inválida. Los módulos premium quedan en página `module-locked` con razón visible (no fingen estar activos). El banner de estado en wp-admin lo muestra claramente.
¿Necesito saber de seguridad?
No. Instalás, activás, pegás tu license key, configurás tu email. Listo. Drako trae los defaults correctos. El dashboard está en español plano, sin códigos técnicos.
¿Ralentiza mi sitio?
No. El plugin pesa menos de 50KB y los scans corren en segundo plano vía WP-Cron cada 6 horas. No toca el front público. Tus clientes no notan diferencia.
¿Cuántos sitios cubre una licencia?
Un sitio por licencia. Si necesitás proteger varios, pasá al tier Cairo ($59/mes, 5-25 sitios con consola centralizada) o comprá múltiples licencias de Drako.
¿Qué pasa si cancelo?
Mantenés acceso hasta fin del período pagado. Después la licencia degrada a `expired` con grace period de 72h, luego pasa a modo free: los módulos base siguen activos. Tus datos locales (hashes, eventos) se mantienen en tu base de datos — son tuyos.
Tu sitio merece un guardián que nunca duerme.
Mientras leés esto, hay bots escaneando sitios WordPress buscando vulnerabilidades. Drako está listo para defender el tuyo.
7 días de garantía · Cancelá cuando quieras · Soporte WhatsApp