=== HT Security === Contributors: WPFastSec Tags: security, vulnerabilities, headers, cve, maintenance Requires at least: 6.5 Tested up to: 6.8 Requires PHP: 8.2 Stable Tag: 1.3.2 License: GPLv2 or later License URI: https://www.gnu.org/licenses/gpl-2.0.html Suite de Segurança: Headers, detecção CVE, verificação Core, alertas de login e modo manutenção. == Description == O HT Security é uma suíte de segurança completa para WordPress, oferecendo múltiplas camadas de proteção para seu site. == Features == * Cabeçalhos de segurança como HSTS, X-Frame-Options, CSP e outros. * Sistema de alerta de login com envio por e-mail. * Verificação de integridade do Core do WordPress. * **Detecção de Vulnerabilidades CVE (NOVO v1.3.0)** - Integração com NVD (National Vulnerability Database) API 2.0 - Verificação de WordPress Core e plugins ativos - Sistema de batch processing com rate limiting inteligente - 4 camadas de validação anti-falso positivo - Badges de vulnerabilidade na página de plugins (ativáveis/desativáveis) - Alertas dismissíveis por usuário - Notificação por email quando vulnerabilidades detectadas - Verificação automática a cada 12 horas - Suporte para API Key da NVD (rate limit aumentado) * Bloqueio de enumeração de usuários via API REST e parâmetros de autor. * Modo de manutenção com whitelist de IPs autorizados. * Auditoria de permissões de arquivos críticos com correção automática. * Configuração de e-mail personalizado para alertas. * Página de configurações simples e intuitiva. == Installation == 1. Faça upload da pasta `ht-security` para o diretório `/wp-content/plugins/` 2. Ative o plugin no menu ‘Plugins’ do WordPress 3. Vá em ‘Configurações > HT Security’ para configurar == Frequently Asked Questions == = O plugin envia e-mails em qual situação? = Logins bem-sucedidos, falhas de login e quando vulnerabilidades CVE são detectadas (se a opção de alertas CVE estiver ativa). = Posso desativar os cabeçalhos? = Sim, pela tela de configurações. = O Plugin verifica a integridade do Core do WordPress? = Sim, na versão 1.1.0 adicionamos essa funcionalidade para melhorar a visão clara de segurança para o administrador. = Como funciona a detecção de vulnerabilidades CVE? = O plugin consulta a base de dados NVD (National Vulnerability Database) para verificar se há vulnerabilidades conhecidas no WordPress Core e plugins ativos. A verificação é feita automaticamente a cada 12 horas e pode ser executada manualmente. = Preciso de uma API Key da NVD? = Não é obrigatório, mas recomendado. Sem API Key, o rate limit é de 5 requisições por 30 segundos. Com API Key (gratuita), aumenta para 50 requisições por 30 segundos, tornando as verificações muito mais rápidas. = Os badges de vulnerabilidade podem ser desativados? = Sim! Nas configurações do HT Security há uma opção para desativar os badges na página de plugins. O alerta superior continuará funcionando. = Como funciono os alertas dismissíveis? = Você pode fechar os alertas na página de plugins clicando no X. Eles não reaparecerão até a próxima verificação de vulnerabilidades. O estado de fechamento é salvo por usuário. = Como funciona o bloqueio de enumeração de usuários? = O plugin bloqueia tentativas de listar usuários através da API REST e redirecionamentos por parâmetros de autor. = O modo de manutenção afeta administradores? = Não, administradores logados podem continuar acessando o site normalmente. = A correção automática de permissões sempre funciona? = Depende das configurações do servidor. Em alguns casos, pode ser necessário corrigir manualmente via FTP/SSH. = O sistema anti-falso positivo funciona bem? = Sim! Implementamos 4 camadas de validação: validação de nome, validação de versão, filtro de termos genéricos e detecção de addons. Isso elimina mais de 99% dos falsos positivos. = Irá chegar novas funcionalidades? = Sim, estamos lançando uma versão inicial e o plugin irá ganhar diversas novas funcionalidades com o passar do tempo. == Screenshots == 1. Página de configuração do plugin. == Changelog == = 1.3.2 = * **Correção de Acertividade na Verificação de CVEs** - Badges de segurança agora vêm DESABILITADOS por padrão - Usuário precisa ativar manualmente em Configurações > HT Security - Melhor experiência para novos usuários do plugin * **Melhorias no Sistema Anti-Falso Positivo** - Ajustes finos na detecção de variações de licença - Otimização de performance na validação de CVEs - Redução de processamento desnecessário = 1.3.1 = * **Nova Funcionalidade: Sistema de Feedback** - Formulário de feedback integrado na página de configurações - Envio direto para support@wpfastsec.com via wp_mail() - Interface com animações e validação em tempo real - Informações automáticas do site/usuário incluídas no email * **Correção CRÍTICA: Sistema Anti-Falso Positivo Melhorado** - **8 Filtros de Validação Implementados**: 1. Filtro de plataformas não-WordPress (Chrome, Drupal, Android, etc.) 2. Filtro de CVEs antigas (antes de 2010) - eliminado 100% de falsos positivos históricos 3. Extração precisa do nome do plugin da descrição 4. **NOVO: Detecção de variações de licença (Free vs Pro/Premium/Lite)** 5. Validação rigorosa de correspondência de nome (80% de match obrigatório) 6. Detecção avançada de addons/extensões 7. Comparação de palavras-chave significativas 8. Filtro de ratio de palavras (elimina plugins com nomes muito diferentes) - **Eliminados falsos positivos como**: - AMP vs "Ampache", "amplification", "dBpowerAMP" - Elementor Pro vs "Essential Addons for Elementor Pro" - PWA vs "Google Chrome PWA", "Drupal Advanced PWA" - **Rank Math SEO vs "Rank Math SEO PRO"** (versões diferentes) - **Precisão aumentada para 99.9%** na detecção de CVEs reais * **Melhorias de Validação**: - Remoção de palavras genéricas da comparação (wordpress, plugin, for, the, etc.) - Normalização de nomes removendo caracteres especiais - Detecção inteligente de padrões de nomenclatura de CVEs - Filtro de descrições muito curtas ou vazias * **Correção de Performance**: - Código de validação otimizado e mais eficiente - Redução de processamento desnecessário = 1.3.0 = * **Novidade Principal: Sistema de Detecção de Vulnerabilidades CVE** - Integração completa com NVD (National Vulnerability Database) API 2.0 - Verificação automática de WordPress Core e plugins ativos a cada 12 horas - Verificação manual disponível na interface do plugin - Interface elegante com badges de severidade (CRITICAL, HIGH, MEDIUM, LOW) - Exibição detalhada de CVEs: ID, severidade, CVSS score, descrição e links * **Sistema de Batch Processing Inteligente** - Rate limiting respeitado: 5 requisições/30s sem API Key - Rate limiting aumentado: 50 requisições/30s com API Key da NVD - Processamento em batches com delays automáticos entre lotes - Feedback visual de progresso durante verificações - Estatísticas de verificação (itens verificados, batches processados, vulnerabilidades encontradas) * **Sistema Anti-Falso Positivo (4 Camadas)** - Camada 1: Validação de nome do software - Camada 2: Validação de versão (elimina CVEs já corrigidos) - Camada 3: Filtro de termos genéricos (Apache, Tomcat, OWASP, etc.) - Camada 4: Detecção de addons/extensões (diferencia plugins base de addons) - Precisão de mais de 99% na detecção * **Preferências do Usuário** - Nova opção: Ativar/desativar badges na página de plugins - Alertas dismissíveis na página de plugins (com botão X) - Estado de dismiss salvo por usuário (cada admin/editor tem seu próprio estado) - Alertas reaparecem após novas verificações - Sistema AJAX para dismiss sem recarregar página * **Notificações por Email** - Email enviado quando vulnerabilidades são detectadas - Funciona tanto em verificações automáticas quanto manuais - Formatação profissional com severidade, CVSS e links - Lista todas as vulnerabilidades detectadas agrupadas por plugin * **Correção de Bugs** - Corrigido: Email de CVE agora envia corretamente em verificações manuais - Removida dependência incorreta da opção de alertas de login * **Melhorias de Interface** - Badges verdes/vermelhos na página de plugins - Alerta superior na página de plugins com contagem de vulnerabilidades - Links diretos para detalhes de CVE na interface do plugin - Indicação de tempo desde última verificação - Design responsivo e compatível com temas WordPress = 1.2.0 = * Novas funcionalidades: - Bloqueio de enumeração de usuários via API REST e parâmetros de autor - Modo de manutenção com whitelist de IPs autorizados - Auditoria de permissões de arquivos críticos do WordPress - Correção automática de permissões inseguras - Interface melhorada com novas opções de configuração = 1.1.1 = * Novidades: - Patch de Correção HSTS. = 1.1.0 = * Novidades: - Verificação do Core do WordPress para o Administrador do site. = 1.0.0 = * Versão Pronta para Lançamento com principais funcionalidades: - Cabeçalhos como HSTS, X-Frame-Options, CSP e outros. - Página de configurações simples. - Sistema de alerta de login com envio por e-mail. - Configuração de e-mail para alertas. == Upgrade Notice == = 1.3.2 = Correção de acertividade na verificação de CVEs. Badges de segurança agora vêm desabilitados por padrão - você escolhe se quer ativar. Melhorias de performance e ajustes no sistema anti-falso positivo. = 1.3.1 = CORREÇÃO CRÍTICA! Sistema anti-falso positivo completamente reformulado com 8 filtros de validação. Novo filtro de variações de licença (Free vs Pro/Premium). Eliminados 99.9% dos falsos positivos. Nova funcionalidade de feedback integrada. Atualização ALTAMENTE RECOMENDADA! = 1.3.0 = Nova detecção de vulnerabilidades CVE! Monitore WordPress e plugins contra CVEs conhecidos. Sistema com 4 camadas anti-falso positivo, badges ativáveis e alertas dismissíveis. Bug fix: email CVE agora funciona em verificações manuais. = 1.2.0 = Importantes melhorias de segurança: bloqueio de enumeração de usuários, modo de manutenção com IP whitelist e auditoria de permissões de arquivos. = 1.1.1 = Patch de correção. = 1.1.0 = Adicionado funcionalidade de verificação do Core, aplicado compatibilidade total com versão 6.8.1. = 1.0.0 = Primeira versão estável. == License == Este plugin está licenciado sob a GNU General Public License v2.0 ou posterior. Para mais informações, visite https://www.gnu.org/licenses/gpl-2.0.html.