Para quién es
Cualquier WordPress / WooCommerce que quiera una base segura desde el día 1.
Problema que resuelve
- WordPress por defecto expone /wp-json/wp/v2/users con todos los usuarios.
- XML-RPC sigue activo y se usa como vector de fuerza bruta amplificada.
- Sin límite de intentos de login, cualquier botnet puede martillar /wp-login.
Qué hace
Inyecta security headers en cada respuesta, bloquea author enumeration, limita logins fallidos, deshabilita XML-RPC y file editing, y deja un marcador en .htaccess para auditoría.
Cómo funciona
- Hooks WordPress: send_headers, wp_login_failed, authenticate, redirect_canonical, rest_endpoints, xmlrpc_enabled, wp_headers.
- Tabla {prefix}drokio_login_attempts para el conteo por IP.
- Cron diario drokio_cleanup_login_attempts que purga registros > 24h.
Qué protege
La superficie pública de WordPress: cabeceras HTTP, /wp-login, /wp-json, /wp/v2/users, /xmlrpc.php, wp-admin file editor.
Evidencia de funcionamiento
- [hooks] 7 hooks WordPress registrados (4 actions + 3 filters).
- [cron] drokio_cleanup_login_attempts daily.
- [audit_table] {prefix}drokio_login_attempts con un row por intento fallido.
Lo que NO promete este módulo
- No se promete ausencia total de compromiso. Drako reduce superficie y acelera detección/respuesta, no garantiza inviolabilidad.
- No se afirma cumplimiento de SOC2 / ISO27001 / PCI sin auditoría formal — Drako aporta evidencia, el cumplimiento es una decisión de tu legal.
- Los precios sugeridos son orientativos; el checkout self-service no está activo aún.
Preguntas frecuentes
¿Cómo se activa este módulo dentro de mi WordPress?
El plugin Drako se instala como cualquier plugin (zip o repositorio interno). Cada módulo se activa desde wp-admin → Drokio → Módulos, según el bundle de tu licencia.
¿Esto rompe mi tema / plugins?
No. Las 6 protecciones se pueden activar/desactivar individualmente. .htaccess se escribe sólo si tu host es Apache/LiteSpeed; Nginx recibe un aviso y no se toca.
¿Puedo comprar este módulo con tarjeta hoy mismo?
El checkout self-service está en activación controlada. Hoy se vende por contacto directo. Una vez activado el checkout (gate operador), aparecerá un botón “Activar” en esta misma página sin cambiar la URL.
¿Cómo se compra hoy?
Checkout self-service en activación controlada. Hoy vendemos por contacto directo. No procesamos pagos en esta página.
Sin Stripe live, sin price IDs reales, sin proveedores AI activados. Toda la venta pasa por contacto directo hasta la activación controlada del checkout.