Security audit.
A structured review of configuration, code, users, hosting, and process, with a prioritised fix list.
Aceptando encargos
Auditoría vs pentest
Structured review.
Una auditoría mide tu sitio contra una checklist de buenas prácticas conocidas. Detecta las cosas que están claramente mal: plugins desactualizados, contraseñas débiles, 2FA ausente, endpoints de debug expuestos, hosting en infraestructura compartida sin el aislamiento adecuado.
It's a great fit for: annual reviews, insurer requirements, due diligence before an acquisition, and "we built this two years ago and never looked back" sites.
Cuándo elegir esto
- Quieres una opinión estructurada sobre la postura de seguridad general de tu sitio.
- Una aseguradora o un cliente pide una revisión anual.
- Heredaste un sitio y necesitas saber en qué estado está antes de tocarlo.
- Estás considerando comprar o vender un sitio WordPress y quieres due diligence.
La checklist
Siete capas, de extremo a extremo.
Malware de WordPress.
Versión, canal de actualización, archivos de core modificados, funcionalidades retiradas, patrones deprecados aún en uso.
Panorama de plugins
Cada plugin instalado revisado por: actualidad de la versión, CVEs conocidas, actividad del mantenedor, cambios de propiedad y si realmente lo necesitas.
Código del tema
Active theme reviewed for unsafe template patterns, inline scripts, third-party dependencies, and any code added "just for now" two years ago.
Usuarios y roles
Cuentas de admin, usuarios dormidos, asignaciones de rol, política de contraseñas, adopción de 2FA, ciclo de vida de sesión y lo que cada rol puede hacer realmente.
Configuración
wp-config, permisos, rotación de secretos, XML-RPC, REST API y reducción de la superficie de login.
Hosting y TLS
Configuración del servidor web, versión de PHP, configuración TLS, cabeceras de seguridad, higiene DNS, gestión de certificados, aislamiento respecto a vecinos en hosting compartido.
Copias de seguridad
Estrategia de backup (y si realmente se restauran), proceso de despliegue, quién tiene acceso a qué, preparación para respuesta a incidentes.
Capa WooCommerce o multisite
Para tiendas o redes: revisión de la superficie de pago, exposición de datos de pedidos, flujo de cuentas de cliente, separación entre admin de red y admin de sitio.
Cómo funciona
Step by step.
- Paso 1
Kickoff
Llamada de media hora. Confirmación de alcance y entrega de accesos.
- Paso 2
Recorrido
Recorrer las siete capas. Los hallazgos se registran sobre la marcha.
- Paso 3
Revisión del borrador
Check-in a mitad del encargo. Sin sorpresas al final.
- Paso 4
Informe y debrief
Informe final escrito y llamada de 30 minutos.
Entregable
The report.
En lenguaje claro, priorizado y estructurado para que tanto un desarrollador como una aseguradora puedan leerlo sin necesitar traductor.
Incluye:
- Resumen ejecutivo (una página, apto para lectores no técnicos)
- Hallazgos por severidad, cada uno con pasos de reproducción y solución recomendada
- Triaje de vulnerabilidades en plugins y temas
- A prioritised "this week / this month / this quarter" action list
- Snapshots de configuración y cambios recomendados
Preguntas frecuentes
Preguntas frecuentes.
¿Arregláis los hallazgos vosotros o nosotros?
La tarifa de auditoría cubre la identificación y el informe. La remediación es un encargo aparte — la podemos hacer nosotros o puedes entregar el informe a tus desarrolladores. La mayoría de clientes hacen una mezcla.
¿Una auditoría detecta todo lo que detectaría un pentest?
No. Una auditoría detecta malas configuraciones y problemas conocidos. Un pentest detecta los bugs que nadie sabía que estaban ahí. Se complementan — la mayoría de clientes hacen primero una auditoría y luego un pentest cuando los hallazgos de la auditoría están cerrados.
¿Con qué frecuencia deberíamos hacer una?
Para un sitio estable: una vez al año. Tras un cambio importante (tema nuevo, cambio grande de plugins, migración, adquisición): justo después. Tras un incidente: como parte de la limpieza, no por separado.
Correo [email protected] or use the contact form.