Guía de Sentinel: cómo funciona, paso a paso

¿Qué es Dunes Sentinel?

Es una plataforma de seguridad de grado forense para WordPress: 10 motores de detección, defensa en tiempo real, módulos forenses y de cumplimiento, todo ejecutándose en paralelo. Cero datos salen de tu servidor: toda la detección es on-device.

¿Cómo lo instalo y activo?

Plugins → Añadir nuevo → Subir, elige el ZIP, instala y activa. Aparecerá Dunes Sentinel en el menú lateral. Requiere WordPress 6.0+ y PHP 7.4+ (recomendado 8.1+).

¿Por dónde empiezo?

Al activar, el Asistente te guía en 5 minutos: activar licencia, crear el baseline limpio, lanzar el primer escaneo y encender los módulos de defensa recomendados.

¿Cómo activo mi licencia?

Pestaña Licencia → pega tu clave (la recibes por email al comprar y en tu panel de cliente). Para probar gratis usa las claves de desarrollo: dev-pro, dev-agency, dev-enterprise.

¿Cómo analizo mi web?

Ve a Dunes Sentinel → Escaneo y pulsa Iniciar escaneo. Sentinel recorre tus archivos PHP/JS, la base de datos y la configuración, pasando cada elemento por los 10 motores a la vez. Al terminar verás los hallazgos ordenados por severidad, y puedes seguir el progreso en vivo.

¿Qué revisa exactamente el escaneo?

Cada archivo pasa por: firmas de webshells (Patterns), análisis de tokens (AST), entropía, cambios contra el baseline, huella difusa (Fuzzy Hash), seguimiento de datos del atacante (Taint), reglas YARA-Lite, malware JavaScript (JS-AST), auditoría de calidad/seguridad (SAST) y CVEs de tus plugins y temas (Supply Chain).

¿Puedo programar escaneos automáticos?

Sí. Sentinel programa un escaneo periódico mediante WP-Cron (diario por defecto) y un auto-pentest a las 03:00. Puedes ajustar la frecuencia en los ajustes.

¿El escaneo ralentiza mi web?

No. Corre por lotes en segundo plano con límites de tiempo y memoria; si el hosting corta el proceso, se reanuda donde iba. Los visitantes no lo notan.

¿Qué es un hallazgo y cómo lo leo?

Cada detección es un "hallazgo" con archivo y línea, el motor que lo encontró, la regla, la técnica MITRE ATT&CK, la severidad y un extracto del código. Pincha para ver el detalle completo.

¿Qué significan las severidades?

Crítica: casi con seguridad malicioso o explotable, actúa ya. Alta: muy sospechoso, revísalo pronto. Media: merece una revisión. Baja / Info: aviso menor o de calidad de código.

¿Cómo sé si un virus es malo de verdad?

Abre el hallazgo y usa el IA Threat Analyst: te explica en lenguaje claro qué es, por qué saltó y un plan de limpieza. Señales de verdadero positivo: alta entropía con ofuscación (eval/base64), archivo recién modificado (mira la Timeline), ruta extraña (un .php dentro de uploads), coincidencia de familia por Fuzzy Hash o una técnica MITRE. Si es código legítimo de un plugin conocido, márcalo como falso positivo y no volverá a avisar.

¿Qué hago con un hallazgo?

Tienes tres acciones: confirmar (es real), ignorar (falso positivo) o enviarlo a cuarentena. Cada acción queda registrada en el audit log inmutable.

¿Qué es la cuarentena y qué hago con ella?

Aísla un archivo sospechoso sin borrarlo: Sentinel lo mueve a un almacén cifrado fuera del alcance público (wp-content/uploads/dunes-sentinel-quarantine/) para que no se pueda ejecutar, y tu sitio sigue funcionando. Desde ahí decides: restaurarlo o destruirlo.

¿Restaurar o destruir?

Restaurar devuelve el archivo a su ubicación original — úsalo solo si confirmas que era legítimo. Destruir lo borra de forma permanente y segura. Ante la duda, déjalo en cuarentena: el sitio ya está a salvo porque el archivo no se ejecuta.

¿Pierdo algo al poner un archivo en cuarentena?

No. El archivo se conserva intacto pero deja de ejecutarse, así que siempre puedes restaurarlo si era un falso positivo. Es la opción segura por defecto.

¿Qué es el Playbook IR y para qué sirve?

Es un motor de reglas tipo "si pasa X, haz Y" que automatiza la respuesta a incidentes. Cuando ocurre un evento (logins fallidos en bucle, un bloqueo de DB Shield, alguien toca el admin señuelo…), Sentinel evalúa todos los playbooks activos y ejecuta sus acciones: banear la IP, cerrar sesiones, subir el nivel de defensa, avisarte por webhook, etc. Vienen varios listos (p. ej. "Lockout brute force") y puedes crear los tuyos.

¿Qué hago si me han hackeado?

Sigue el plan de respuesta:

1. Aísla: pon en cuarentena los archivos afectados y sube la defensa (WAF/RASP).
2. Investiga: usa la Timeline (qué cambió y cuándo) y el Threat Hunting para medir el alcance.
3. Entiende: el IA Analyst te explica cada amenaza y el plan.
4. Limpia: cuarentena o destruye lo malicioso y usa Auto-Clean para restaurar el núcleo de WordPress.
5. Recupera: si hace falta, Time Travel para volver a un snapshot limpio.
6. Endurece: cambia contraseñas, rota secretos (Vault) y revisa los usuarios administradores.

¿Qué es el IA Threat Analyst?

Un analista de amenazas con IA: explica el hallazgo en castellano sencillo y propone un plan de limpieza paso a paso. Si tienes Dunes AI activo usa su LLM; si no, cae a un análisis local por plantillas. Privacidad: solo envía metadatos (familia, regla, MITRE, ruta relativa), nunca el contenido del archivo ni datos de tu sitio.

¿Qué es el Threat Hunting (DQL)?

Una consola de búsqueda tipo Splunk con lenguaje propio (DQL) sobre todos los eventos del plugin: hallazgos, auditoría, bloqueos y playbooks, desde una sola caja. Ejemplos: severity:high AND engine:ast, ip:192.168.* OR country:CN, rule_id:CVE-* AND ts:>24h.

Patterns — firmas de webshells

Más de 80 firmas regex de webshells y backdoors, cada una mapeada a una técnica MITRE ATT&CK. Es la primera línea: reconoce al instante el malware conocido.

AST — análisis de tokens

Tokeniza el PHP y analiza su estructura para cazar sinks indirectos, variables-variables, backticks y combinaciones típicas de RATs que una simple regex no ve.

Entropy — código ofuscado

Mide la entropía de Shannon y Chi² en ventanas deslizantes de 1KB. El código cifrado, comprimido o empaquetado tiene una aleatoriedad anómala que lo delata.

Baseline — detección de cambios

Guarda una instantánea SHA-256 de tu sitio limpio y compara cada archivo contra ella. Cualquier modificación, por mínima que sea, salta.

Genome — el "ADN" del archivo

Combina entropía, hashes y similitud difusa para calcular el "ADN" de cada archivo y reconocer familias de malware que las firmas tradicionales no ven.

Fuzzy Hash — variantes mutadas

Una huella difusa tipo TLSH de 32 bytes que reconoce el mismo malware aunque le hayan cambiado líneas para esquivar las firmas exactas.

Taint — flujo de datos peligroso

Rastrea el recorrido de los datos del atacante ($_GET/$_POST) hasta los puntos peligrosos (RCE, SQLi, LFI, XSS), teniendo en cuenta los sanitizers por el camino.

JS AST — malware en JavaScript

Analiza el JavaScript en busca de skimmers Magecart, mineros (Coinhive), iframes ocultos y patrones atob+eval típicos del fraude en el navegador.

YARA-Lite — reglas personalizables

Un motor de reglas estilo YARA en formato JSON ligero, con soporte de envoltura base64, para que puedas añadir tus propias detecciones.

Code Quality (SAST) — auditoría profunda

Análisis estático profundo que va más allá del malware: encuentra vulnerabilidades, problemas de calidad, de rendimiento y de compatibilidad en tu código.

AI Anomaly — comportamiento anómalo

Aplica un Z-score robusto (MAD) sobre métricas operativas del sitio para detectar lo que se sale de lo normal. Todo on-device, sin enviar datos fuera.

Shield (WAF) — cortafuegos de aplicación

Filtra y bloquea intentos de inyección en comentarios, REST, login y peticiones POST antes de que toquen tu código.

DB Shield — firewall de base de datos

Inspecciona las consultas SQL y bloquea UNION, tautologías, time-based, stacked y out-of-band antes de que lleguen a la base de datos.

Upload Fortress — blindaje de subidas

Comprueba los magic bytes reales, sanea SVG, detecta polyglots y nombres de archivo con unicode engañoso para que nadie cuele un .php disfrazado.

RASP — autoprotección en ejecución

Seis guardarraíles que vigilan en tiempo de ejecución: bloquea PHP ejecutándose desde uploads, manipulación de active_plugins, escaladas de capabilities y más.

Zero-Trust — sesiones de confianza cero

Ata cada sesión a una huella de dispositivo y vigila la geo-velocidad (saltos imposibles entre países). Si algo no cuadra, corta el acceso.

Bot Defense — defensa anti-bots

Un árbol de decisión más verificación por DNS inverso distingue el Googlebot real de los bots que se hacen pasar por él.

2FA — doble factor

Segundo factor TOTP (RFC 6238) implementado en PHP puro, con códigos de respaldo. Compatible con Google Authenticator, Authy, etc.

Decoy Admin — login señuelo

Convierte /wp-admin/ en una trampa (honeypot) y mueve el panel real a una URL secreta. Quien ataque la puerta de siempre cae en el señuelo.

Vault — bóveda de secretos

Cifra tus secretos (claves de API, tokens) con AES-256-GCM y una master key derivada con HKDF-SHA256.

AntiSpam — spam sin CAPTCHA

Combina honeypot, token HMAC, estilometría por coseno y límite de frecuencia para frenar el spam sin molestar a tus usuarios con CAPTCHAs.

CSP — Content Security Policy

Aplica cabeceras de Content Security Policy para reducir el riesgo de XSS y de scripts de terceros no autorizados.

Gateway — puerta de enlace de peticiones

La capa de entrada que coordina los bloqueos: aplica baneos de IP, límites y las decisiones de los playbooks IR a cada petición.

Timeline — línea temporal de cambios

Registra el mtime de tus archivos PHP/JS y alerta de mutaciones recientes. Es lo primero que miras en un incidente: qué cambió y cuándo.

Time Travel — máquina del tiempo

Hace snapshots de archivos y base de datos cada 4 horas y permite volver atrás (rollback) hasta 30 días. Tu botón de "deshacer" ante un desastre.

Auto-Clean — limpieza automática

Descarga una copia limpia de WordPress desde WordPress.org y reemplaza los archivos del núcleo que han sido modificados, dejándolos como de fábrica.

Backup — copias de seguridad

Copias de seguridad de tus archivos y base de datos que se guardan en el servidor, listas para restaurar si algo sale mal.

SBOM — inventario de software

Genera el Software Bill of Materials (lista de todos tus componentes y versiones) en formato estándar CycloneDX 1.5, exigido en muchas auditorías.

Supply Chain — CVEs de tus plugins

Cruza tus plugins y temas contra las bases de vulnerabilidades NVD y Patchstack para avisarte de CVEs conocidos antes de que los exploten.

Threat Intel — inteligencia de amenazas

Un feed federado de indicadores de compromiso (hashes, dominios, urls maliciosas) que se descarga para cruzarlo con tu sitio. Nunca se envían datos tuyos sin permiso.

GeoIP — geolocalización

Resuelve el país de cada IP para los bloqueos, la geo-velocidad de Zero-Trust y las reglas de los playbooks (p. ej. avisar si entra un admin desde otro país).

Security Score — nota de 0 a 100

Una puntuación que resume tu postura de seguridad a partir de los datos que ya tiene Sentinel: hallazgos abiertos, bloqueos de las últimas 24 h, ejecuciones de playbooks, tiempo desde el último escaneo y cumplimiento. Guarda un historial diario de 90 días.

SIEM — exporta tus eventos

Envía los eventos de seguridad a tu SIEM en su formato nativo, sin librerías externas: Splunk HEC, Datadog, Elastic (ECS), Microsoft Sentinel, Sumo Logic o JSON/NDJSON genérico.

Compliance — informes de cumplimiento

Genera informes con la evidencia autocompletada para GDPR, PCI-DSS, ISO 27001:2022 y NIS2. Útiles para auditorías y para vender confianza a tus clientes.

Webhooks — alertas donde trabajas

Te avisa en Slack, Discord, Teams o Telegram cuando ocurre algo, con filtros por severidad para no recibir ruido.

¿Qué incluye cada nivel?

Free: motores base (Patterns, AST, Entropy, Baseline), AntiSpam, 2FA y Timeline. Pro: añade Fuzzy Hash, Taint, JS-AST, YARA-Lite, SAST, Supply Chain, WAF, Upload Fortress, Decoy Admin, Vault, SBOM y webhooks. Agency: suma AI Anomaly, Zero-Trust, Bot Defense, Self-Pentest, Threat Intel y Auto-Clean. Enterprise: todo, con DB Shield, RASP, Time Travel, Auto-Clean y los informes de cumplimiento.

¿La licencia es por sitio?

Sí, cada licencia está pensada para un sitio. Si gestionas varios, la clave de tipo Agency permite cubrir varias instalaciones; o compra licencias adicionales desde tu panel.

¿Necesito conexión para validar la licencia?

No. La validación es offline (HMAC): la clave lleva la firma embebida, así que Sentinel no necesita "llamar a casa" para funcionar.

¿Tiene API REST?

Sí, bajo /wp-json/dunes-sentinel/v1/ (requiere manage_options + nonce). Endpoints para escaneos, hallazgos, cuarentena, auditoría, SBOM, timeline, supply-chain, threat-intel y licencia. También exporta SARIF 2.1 para integrarlo en tu CI.

¿Puedo integrarlo con mi propio código?

Sí. Expone filtros y acciones: dunes_sentinel/scan_files, dunes_sentinel/finding_created, dunes_sentinel/scan_completed, dunes_sentinel/critical_event, además de constantes en wp-config como DUNES_SENTINEL_ENABLED.

El sitio peta tras activar, ¿qué hago?

Por FTP renombra la carpeta wp-content/plugins/dunes-sentinel/ a dunes-sentinel.disabled/: WordPress arrancará sin el plugin. Luego reinstala una versión más reciente o revisa el log.

¿Dónde están los logs?

El log de depuración de WP en wp-content/debug.log (si tienes WP_DEBUG_LOG), y el audit log inmutable de Sentinel en la pestaña Auditoría, con cadena verificable.

¿Dónde se guardan los backups y snapshots?

Los snapshots de Time Travel en wp-content/uploads/dunes-sentinel-snapshots/ y la cuarentena en wp-content/uploads/dunes-sentinel-quarantine/.

¿Cómo lo desinstalo del todo?

Plugins → Desactivar → Eliminar. El uninstall.php borra tablas, opciones, eventos de cron y directorios. Una limpieza completa, sin rastros.