Hasta
-70%
en el 1er año
Días
Horas
Actas
Segundos
Icono de interruptor graduado multicolor.
es_ES ES
es_ES ES en_US EN fr_FR FR
15 días de prueba

Bloquear el escaneo de archivos PHP 404: bloquea el escaneo de archivos PHP inexistentes para reforzar la seguridad de WordPress.

Por qué es útil este módulo

Los bots maliciosos suelen probar URL de archivos PHP conocidos o supuestamente vulnerables, por ejemplo scripts en plugins/temas.
Cuando estas URLs no existen, WordPress puede responder con un 404. El problema: esto confirma que se está sondeando un recurso e introduce ruido en los registros.

El módulo Block 404 PHP File Scanning añade una defensa simple y eficaz:

  1. detectar una petición frontal a una ruta terminada en .php
  2. compruebe que WordPress lo ha resuelto a 404
  3. confirmar que el archivo en cuestión no existe físicamente
  4. devolver una respuesta 403 Prohibido
  5. registrar el evento con la etiqueta PHP404

Resultado: reducirá la superficie de reconocimiento automatizado y mejorará la legibilidad de sus registros.

Descubra el módulo :
Gratis
Buscar Reemplazar en la base de datos

Funcionamiento técnico

El módulo ejecuta su lógica durante template_redirect con una prioridad alta, para actuar en el momento adecuado en el ciclo de petición.

Qué está bloqueado

  • Peticiones frontend a una ruta .php
  • Solicitudes ya resueltas como 404 por WordPress
  • No hay ningún archivo de destino en la raíz de WordPress

Lo que se ignora deliberadamente

  • Administración de WordPress
  • API REST
  • AJAX
  • CRON
  • WP-CLI
  • XML-RPC
  • Solicitudes que no tienen como destino .php
  • Peticiones a un archivo .php realmente presente

Bypass personalizado mediante filtro

Si tienes un caso de negocio específico, puedes eludir la protección utilizando el filtro wpmastertoolkit/block_404_on_php/bypass.

Por ejemplo:

add_filter('wpmastertoolkit/block_404_on_php/bypass', function($bypass, $current_url) {
    if (strpos($current_url, '/mon-endpoint-technique.php') !== false) {
        return true;
    }
    return $bypass;
}, 10, 2);
Lea también :
Actualización de seguridad (CVE-2025-14166): WPMasterToolKit 2.13.1 →

Registros y observabilidad

Cada bloque se registra con el código PHP404.
Mensaje de ejemplo: Bloqueada petición PHP inexistente: URL solicitada.

Es práctico para:

  1. medir el volumen de exploración
  2. identificar patrones de ataque
  3. dar prioridad a las normas WAF/CDN complementarias

Buenas prácticas de SEO + seguridad

Aunque este módulo se centra en la seguridad, tiene un impacto positivo indirecto en el SEO:

  1. menos ruido en el servidor y mayor estabilidad en páginas rastreables reales
  2. análisis de mejor calidad de los registros técnicos
  3. reducir el riesgo de explotación automatizada de los endpoints históricos

Consejos de aplicación:

  1. activar el módulo en producción y preproducción
  2. controlar los registros durante la primera semana
  3. añadir un bypass sólo si se confirma un caso legítimo
  4. combinado con el endurecimiento del acceso sensible y la limitación de los intentos
Lea también :
Lea lo que Enzo de EasyWordPress tiene que decir acerca de WPMasterToolKit →
Consulte nuestras tarifas
Pro
1 sitio
3.50$
/mes
14
Días
Garantía de devolución del dinero
¡sin riesgo a 100 %!
Ver detalles

Preguntas más frecuentes

¿El módulo bloquea las páginas normales de WordPress?

No. Sólo se dirige a URLs .php inexistentes que ya han sido marcadas como 404.

¿Por qué devolver 403 en lugar de 404?

403 deniega explícitamente el acceso y suele ser más disuasorio para los escáneres automatizados.

¿Sustituye este módulo a un WAF

No. Complementa su estrategia de seguridad de aplicaciones en el lado de WordPress.