App de Ciberseguridad Web para TSEO PRO. Permite iniciar sesión mediante código QR, supervisar intentos de acceso, bloquear IPs, detectar cambios en archivos y gestionar la seguridad del sitio directamente desde el móvil, sin depender de servicios externos y reduciendo el riesgo de que Google Search Console muestre avisos de sitio hackeado o contenido malicioso en tu web.
Ciberseguridad Web avanzada
TSEO Security es la aplicación oficial de seguridad para administradores que utilizan la plantilla TSEO PRO en WordPress. Su objetivo es convertir el acceso a tu panel en un proceso mucho más seguro y controlado, alejando ataques automatizados, intrusiones silenciosas y accesos no autorizados.
Códigos QR y doble autenticación (2FA)
El corazón de la app es el inicio de sesión mediante códigos QR y doble autenticación (2FA). En lugar de depender únicamente de usuario y contraseña en wp-login.php, el administrador escanea un código QR con TSEO Security para completar el acceso. Esto dificulta enormemente los ataques por fuerza bruta o el uso de credenciales filtradas, ya que el atacante necesitaría también acceso físico al móvil.
La aplicación se conecta con tu instalación de TSEO PRO tras verificar el dominio y usar una contraseña de aplicación específica.
Una vez vinculada, permite monitorizar en tiempo real los intentos de acceso: logins correctos, intentos fallidos, patrones sospechosos y actividad que pueda indicar un ataque en curso.
Desde ahí puedes tomar decisiones rápidas: bloquear IPs, reforzar reglas del firewall o revisar qué usuario está siendo objetivo de intentos de acceso.
Así evitas que alguien entre al panel, cambie contenido o cree URLs basura que luego aparecen como problemas de seguridad en Google Search Console.
Múltiples capas de Seguridad
TSEO Security añade una capa extra de protección con funciones avanzadas: firewall de IPs integrado con tu sitio, auditoría técnica, detección de cambios e intrusiones en archivos y un enfoque claro en el rendimiento para no ralentizar tu trabajo diario. Todo el almacenamiento se realiza de forma local y cifrada, sin depender de servidores externos, lo que reduce la superficie de exposición y mejora la privacidad del administrador.
La app está pensada para quienes gestionan proyectos WordPress sensibles (tiendas, webs corporativas, intranets, sitios con datos críticos) y quieren ir más allá de un simple usuario/contraseña. Combinando TSEO PRO en el servidor y TSEO Security en el móvil, conviertes el acceso al panel de administración en un flujo mucho más seguro, trazable y fácil de supervisar.
Puntos fuertes de TSEO Security
TSEO Security es el sistema avanzado de seguridad para WordPress integrado dentro de TSEO PRO y su app móvil. Juntos convierten el acceso a tu administración en un proceso controlado, cifrado y monitorizado en tiempo real, mucho más allá del típico usuario y contraseña de wp-login.php. El sistema se basa en dos capas de protección principales:
Candado extra con “Security Word”
Antes incluso de llegar al formulario de login, TSEO PRO permite activar una palabra o frase de seguridad que debe añadirse a la URL para acceder a wp-login.php o wp-admin.
Por ejemplo: dominio.com/wp-admin/?key=yoursecurityword.
Cuando la clave es correcta, se genera una cookie segura con un hash cifrado y un tiempo de validez configurable (por defecto 10 minutos). Sin esa cookie, cualquier intento de entrar al login o al panel es redirigido y bloqueado. Esto filtra directamente robots, escáneres automáticos y ataques masivos que ni siquiera deberían ver tu formulario de acceso.
Al filtrar estos accesos antes del login, reduces el riesgo de intrusión y de que el sitio acabe sirviendo spam o páginas hackeadas que dañen tu SEO.
Doble factor con QR y app móvil
La segunda capa es la validación por QR integrada con la app TSEO Security. Una vez el administrador introduce su usuario y contraseña en el login, el sistema genera un token temporal de solo 30 segundos, lo cifra con una clave AES de 256 bits compartida entre la web y la app, y lo muestra en un código QR en pantalla.
La app TSEO Security, previamente emparejada escaneando la “Secure Key” (la clave AES mostrada en el panel de Seguridad de TSEO PRO), escanea ese QR, descifra el token y llama a un endpoint seguro en tu web para validar el segundo factor. Solo cuando el QR queda validado, WordPress crea la sesión de administrador y permite el acceso.
Si el QR expira, el token se destruye. Si se valida correctamente, las credenciales temporales se usan una única vez y se eliminan de la base de datos. De esta forma, incluso con usuario y contraseña correctos, sin el móvil autorizado no hay acceso posible al panel de administración.
Monitorización, registros y limitación de intentos
Paralelamente, TSEO Security registra cada intento de acceso en tablas específicas de la base de datos: usuario, IP, agente de usuario, método, estado (success, failed, pending, attack), motivo del fallo (usuario no existe, contraseña incorrecta, QR pendiente, ataque XML-RPC, etc.), número de intentos acumulados y nivel de riesgo (normal, suspicious, attack). Sobre estos datos aplica un sistema de rate limiting inteligente por IP y por usuario:
- A partir de varios intentos fallidos desde la misma IP, se marca como comportamiento sospechoso.
- Si se supera un umbral de intentos, la IP entra en bloqueo temporal (minutos u horas).
- Si el patrón es muy agresivo, se registra como ataque y la IP se bloquea de forma persistente durante varios días.
Todos estos bloqueos se almacenan en una tabla de firewall propia y se sincronizan con un sistema de “transients” personalizado, con limpieza automática mediante cron para eliminar los registros caducados.
Firewall gestionable desde el móvil
La app TSEO Security no solo sirve para escanear el QR. Desde tu móvil puedes consultar los intentos de acceso registrados, ver estadísticas agregadas por días, métodos y niveles de ataque, y gestionar el firewall: listar IPs bloqueadas, añadir nuevas manualmente, ampliar la duración de un bloqueo o eliminarlo si se trata de un falso positivo. Todo esto se realiza mediante endpoints REST específicos, protegidos por permisos de administrador de WordPress.
Gestión de usuarios y detección de cuentas sospechosas
Otra función clave es la auditoría de usuarios. El sistema recopila todos los usuarios con roles críticos (administradores, editores, autores, colaboradores y, si existe WooCommerce, gestores de tienda) y los muestra como “usuarios sensibles”.
Además, analiza todo el listado de usuarios para detectar patrones sospechosos: cuentas sin email válido, sin roles asignados, con nombres de usuario generados de forma masiva o poco clara, etc. Esas cuentas se marcan como “sospechosas”, lo que permite localizarlas rápido y actuar desde la app: ver detalles, desactivar la cuenta (sin borrarla), cerrar todas sus sesiones activas o eliminarla del sitio o de la red en instalaciones Multisite.
Protección adicional frente a XML-RPC y enumeración de usuarios
TSEO Security también controla puntos de entrada comunes en ataques a WordPress:
- XML-RPC: el sistema detecta métodos típicos de fuerza bruta (
wp.getUsersBlogs,system.multicall) y los registra directamente como ataques. Además, expone un endpoint para activar o desactivar por completo XML-RPC desde la app, sin necesidad de tocar código ni archivos. - REST API: se eliminan los endpoints públicos de usuarios (
/wp/v2/users) para visitantes no autenticados, reduciendo la exposición de nombres de usuario a bots que intentan recolectarlos para lanzar ataques posteriores.
Limpiezas automáticas y compatibilidad con Multisite
Para evitar que las tablas de seguridad crezcan indefinidamente, TSEO PRO programa tareas automáticas que limpian transients caducados y mantienen la base de datos de seguridad bajo control.
En entornos Multisite, el sistema está preparado para mostrar por separado la información de cada sitio (usuarios con permisos, sospechosos, suscriptores y clientes), con soporte para super admins y conmutación temporal entre blogs a la hora de gestionar usuarios o revisar datos.
En conjunto, TSEO Security convierte TSEO PRO en algo más que un simple tema: lo transforma en una capa de seguridad avanzada para WordPress, con doble factor de autenticación real basado en QR y móvil, firewall de IPs integrado, registro detallado de intentos, protección frente a ataques XML-RPC y herramientas de auditoría de usuarios, todo gestionable desde el panel de administración y desde la app oficial en tu teléfono.
Instala TSEO Security desde Google Play
Faq – TSEO Security
¿Qué es TSEO Security dentro de TSEO PRO?
TSEO Security es el módulo de seguridad avanzada integrado en el tema TSEO PRO que controla el acceso al panel de administración de WordPress y registra todo lo que ocurre alrededor del login.
Se encarga de añadir una capa extra con palabra de seguridad en la URL, un sistema de doble factor basado en QR y app móvil, y un registro detallado de intentos, IPs y motivos de fallo.
No pretende sustituir a un firewall del servidor, sino cubrir la parte crítica: quién entra al backoffice, desde dónde y con qué patrón. Así se reduce el riesgo de que alguien tome el control del sitio y lo convierta en una fuente de spam, malware o contenido hackeado.
¿Qué papel juega la app TSEO Security del móvil en todo esto?
La app TSEO Security funciona como la llave maestra para los administradores. Se empareja con la web mediante una clave segura que se muestra en el panel de TSEO PRO y se escanea una sola vez.
A partir de ese momento, cada vez que el administrador inicia sesión en WordPress con usuario y contraseña, la aplicación valida el código QR de segundo factor y confirma al servidor que el intento es legítimo.
Además, permite consultar los registros de acceso, revisar qué está ocurriendo con los intentos de login y gestionar el firewall y algunos ajustes sin necesidad de entrar al escritorio de WordPress. De este modo, se evita que un atacante con la contraseña pueda acceder si no dispone también del dispositivo móvil.
¿Cómo ayuda TSEO Security a evitar problemas de webs hackeadas en Google Search Console?
El problema no empieza en Search Console, sino cuando alguien consigue acceso al panel y se dedica a crear URLs basura, inyectar enlaces o modificar contenido que ya estaba posicionado. Eso es lo que después Google detecta y refleja como contenido hackeado o problemas de seguridad.
TSEO Security actúa en el origen endureciendo el acceso y registrando todos los intentos anómalos, de forma que sea mucho más difícil llegar a modificar el contenido desde dentro. Al reducir la probabilidad de intrusión y bloquear patrones de ataque antes de que tengan éxito, se limita la posibilidad de que aparezcan páginas extrañas en el índice de Google.
En la práctica, se minimiza la aparición de avisos de sitio hackeado o contenido sospechoso en Search Console, porque el problema se frena antes de que alguien pueda alterar el contenido de la web.
¿Qué necesito para tener el sistema de seguridad completo funcionando?
Para usar la parte básica basta con tener TSEO PRO activo y configurar la palabra de seguridad en la sección de Seguridad del tema.
Si quieres aprovechar el doble factor con QR, necesitas además generar la Secure Key desde el panel y escanearla con la app TSEO Security instalada en tu móvil.
A partir de ese momento, cada inicio de sesión de administrador pasará por el móvil sin que tengas que cambiar nada en la forma de trabajar del día a día. Todo se controla desde las opciones del tema, sin necesidad de instalar plugins adicionales ni tocar código.
¿Qué ocurre si pierdo el móvil o no puedo usar la app temporalmente?
Si pierdes el móvil o necesitas desactivar el doble factor durante un tiempo por cualquier motivo, el sistema tiene previsto un mecanismo de emergencia. Un administrador con acceso al panel puede desactivar temporalmente la validación por QR desde las opciones de seguridad o utilizando el endpoint correspondiente, de forma que el login vuelva a funcionar solo con usuario y contraseña mientras se resuelve el problema. Cuando tengas un nuevo dispositivo o restablezcas la app, puedes volver a activar el QR y, si lo consideras necesario, regenerar la clave segura para invalidar el emparejamiento anterior. La idea es que el 2FA proteja, pero que no te deje tirado en una situación límite.
¿Puedo usar solo la parte de palabra de seguridad sin activar el QR 2FA?
Sí, las dos capas son independientes. La palabra de seguridad en la URL funciona como un filtro previo que bloquea a muchos bots y escáneres automáticos, incluso aunque no uses el QR.
Si prefieres no trabajar con la app o tienes proyectos donde el acceso por móvil no encaja, puedes usar únicamente esa capa y aprovechar el sistema de registros y de limitación de intentos. Para proyectos más sensibles, la combinación de palabra de seguridad y QR 2FA convierte el panel en algo mucho más difícil de vulnerar.
¿Cómo gestiona TSEO Security los intentos sospechosos, IPs bloqueadas y usuarios raros?
Cada intento de acceso queda guardado con todos los datos relevantes, y el sistema calcula si el comportamiento es normal, sospechoso o directamente un ataque. Cuando detecta demasiados fallos desde la misma IP o patrones agresivos, aumenta el nivel de respuesta: primero añade esperas, luego bloqueos temporales y, si es necesario, bloqueos persistentes que se guardan en el firewall.
Además, analiza los usuarios del sitio para detectar cuentas incoherentes o potencialmente peligrosas, como perfiles sin email válido, sin roles definidos o con nombres generados en masa. Desde el panel o desde la app puedes revisar esa información y tomar decisiones, como desactivar usuarios, expulsar sesiones activas o limpiar IPs que no deberían volver a entrar.
¿Es compatible con instalaciones Multisite y con sitios que usan WooCommerce?
Sí, el sistema está preparado para trabajar tanto en sitios individuales como en redes Multisite. En redes puede identificar qué usuarios tienen permisos elevados en cada sitio, cuántos suscriptores y clientes hay, y qué cuentas resultan sospechosas dentro de cada blog.
También respeta el concepto de super admin cuando se trata de borrar usuarios a nivel de red o de un solo sitio. Si usas WooCommerce, se añaden roles adicionales como gestor de tienda a la lista de perfiles que conviene vigilar de cerca.
El objetivo es que la seguridad se adapte a la estructura real del proyecto, no al revés.
Languages
