Documentación
El manual técnico. Corto, denso, útil.
Lo que necesitas saber antes y después de instalar el plugin. Si falta algo, escríbenos: lo añadimos.
Instalar el plugin
Tres pasos. Cuatro minutos. Sin compilar nada.
Descarga el plugin desde tu panel
En Panel → Sitios → Añadir sitio introduces la URL de tu WordPress. Te damos un ZIP con el plugin compilado y tu token único ya dentro. Pesa unos 250 KB.
Sube el ZIP a tu WordPress
En wp-admin → Plugins → Añadir nuevo → Subir plugin → eliges el ZIP → activar. Es un plugin estándar. Si tu hosting bloquea la subida directa, usa SFTP a wp-content/plugins/securepress/.
Activa el reporte
El plugin se autoactiva con el token. En Ajustes → Securepress verás un indicador Conectado · primer heartbeat enviado en menos de 60 segundos. No hay nada más que configurar.
El plugin se ejecuta dentro de WordPress y, como cualquier plugin que entra en el ciclo de WP, se distribuye conforme a los términos GPLv2 hacia ti como receptor. El código fuente está disponible bajo solicitud razonada (escríbenos a legal@securepress.es). No publicamos repositorio público.
Token y autenticación
El token es la única credencial que viaja del plugin al backend. Lo controlas tú.
- Formato: 64 caracteres alfanuméricos. Generado con un CSPRNG en el servidor. Único por sitio. Nunca se reutiliza.
- Dónde se guarda en WordPress: en una option encriptada en la tabla
wp_optionscon clavesecurepress_token. No se loguea nunca en archivos de log del plugin. - Cómo se transmite: en el header
Authorization: Bearer <token>sobre HTTPS. El backend solo guarda un hash (no el plain), así que ni nosotros podemos ver tu token. - Cómo rotarlo:
Panel → Sitios → [tu sitio] → Ajustes → Reset token. El plugin lo recoge del próximo heartbeat fallido y se reautentica. Sin downtime perceptible. - Si lo comprometes: reset inmediato. El token comprometido queda en blocklist permanente y nunca se puede reutilizar aunque alguien lo intente.
Permisos que requiere en WordPress
Mínimos. Sólo lo necesario para leer estado y aplicar updates.
| Capacidad | Por qué |
|---|---|
| manage_options | Leer versiones de WP/PHP y opciones del core para reportar estado. |
| update_plugins, update_themes | Aplicar actualizaciones cuando tú lo apruebas desde el panel. |
| install_plugins (opcional) | Solo si activas la instalación remota de plugins desde el panel. Desactivado por defecto. |
| read | Leer la lista de plugins/temas instalados y sus versiones. |
No pedimos: capacidad sobre usuarios, contenido, comentarios, o configuraciones de privacidad. El plugin se instala bajo wp-content/plugins/securepress/ en tu sitio — el código que se ejecuta en tu servidor es siempre el que tú tienes ahí.
API pública
Endpoints que puedes usar para integrar Securepress con tus propias herramientas. Más vendrán pronto.
/api/me·Datos del usuario autenticado y resumen de su plan./api/sites·Lista de tus sitios con su estado actual y métricas resumen./api/sites/{slug}·Detalle de un sitio: heartbeats recientes, vulnerabilidades, backups./api/sites/{slug}/reset·Resetea los comandos colgados de un sitio si algo se atascó./api/sites/{slug}/tools/{tool}·Lanza una de las 16 herramientas externas (pagespeed, headers, etc.). Acepta ?fresh=1 para ignorar caché.Autenticación: token Sanctum personal. Lo generas en Panel → Perfil → Tokens API y lo envías en Authorization: Bearer <token>. Rate limit: 60 req/min por token. Si necesitas más, escríbenos.
Configuración avanzada
Para entornos exigentes o redes corporativas.
Proxy / firewall corporativo
Whitelist el dominio core.securepress.es en outbound HTTPS. El plugin no requiere tráfico entrante: es siempre el plugin quien inicia la conexión.
WP-Cron desactivado
Si tienes DISABLE_WP_CRON, configura un cron del sistema o usa nuestro disparador externo. El panel detecta wp-cron muerto y te avisa.
Multisite
Soportado. Cada subsitio puede tener su propio token o compartirlo. Lo eliges al activar en network.
Staging / preprod
Crea un sitio aparte en el panel marcado como staging. Se silencian las alertas y se omite la facturación de sitios para el plan.
Desinstalar sin dejar rastro
Si te vas, te vas del todo.
- 1.Desactiva y elimina el plugin desde
wp-admin → Plugins. Borra todas las options del plugin dewp_optionsy cualquier tabla custom que creara. - 2.En el panel →
Sitios → [tu sitio] → Ajustes → Eliminar sitio. Esto invalida el token, borra heartbeats y elimina backups asociados. - 3.Si quieres cancelar la cuenta entera →
Perfil → Cancelar cuenta. Se programa borrado en 30 días (por si te arrepientes). Pasado ese plazo, datos técnicos eliminados; facturas mantenidas por obligación legal.
FAQ técnico
Las preguntas que nos hacen una y otra vez.
¿El plugin afecta al rendimiento de mi sitio?
No de forma medible. El heartbeat es una llamada HTTP saliente puntual (1 vez cada 5-60 min según plan) que tarda < 200 ms. No hay hooks en el render de páginas. Lo hemos benchmarcado con wp-bench y la diferencia es indistinguible del ruido.
¿Qué pasa si bloqueo el dominio del collector?
El plugin lo intenta cada 5 min, falla en silencio, y tu panel marca el sitio como 'sin contacto' transcurridos 30 min. Tu sitio sigue funcionando normalmente — el plugin es solo de reporte. Cuando reabras el firewall, recupera estado solo.
¿Es open source el plugin?
No publicamos repositorio público. El plugin se distribuye conforme a GPLv2 hacia ti como receptor (al instalarse en WordPress) — puedes solicitar el código fuente a legal@securepress.es si necesitas auditarlo. La copia que se ejecuta en tu sitio está siempre en wp-content/plugins/securepress/.
¿Funciona con object cache (Redis, Memcached)?
Sí. El plugin no toca el object cache. Si tu cache invalida transients agresivamente, asegúrate de excluir el namespace 'securepress_*' o el plugin tendrá que reautenticar cada vez.
¿Y con WAFs estilo Wordfence o Cloudflare?
Compatible. El plugin solo hace llamadas salientes (outbound). Si tu WAF restringe outbound HTTPS, añade core.securepress.es a la whitelist. Sin tráfico entrante, no hay nada que un WAF entrante pueda bloquear.
¿Cómo verifico que el token es legítimo?
El token siempre se entrega vía el panel autenticado, nunca por email. Si alguien te pasa un token 'de Securepress' por otro canal, no lo uses — escríbenos a seguridad@securepress.es.
¿Qué se cifra exactamente en los backups?
El payload del backup se cifra con AES-256 antes de salir del servidor con una clave derivada de tu cuenta. Solo el panel autenticado puede descifrarlo para descargas. Nosotros, en operaciones rutinarias, no descifremos nunca tu backup.
¿Falta algo aquí?
Si pegas algo y no sabes qué hacer, dilo.
La documentación crece según las preguntas reales. Mándanos la tuya.