Cómo proteger tu sitio PHP en 5 minutos con Guardian Web

La seguridad web suele percibirse como algo complejo, reservado para expertos. La realidad es que los ataques más comunes — fuerza bruta, escaneos de vulnerabilidades, bots maliciosos — se pueden bloquear con muy poco esfuerzo si tienes las herramientas adecuadas.

En esta guía te mostramos cómo proteger cualquier sitio PHP, incluyendo WordPress, con Guardian Web en menos de 5 minutos.

¿Qué necesitas?

• Una cuenta en Guardian Web (gratuita)
• Acceso FTP o al gestor de archivos de tu hosting
• 5 minutos de tu tiempo

Paso 1 — Crea tu cuenta y añade tu sitio

Regístrate en app.guardianweb.es. Una vez dentro, ve a Mis sitios → Añadir sitio e introduce el dominio que quieres proteger. El sistema te generará una API key única para ese dominio.

Paso 2 — Descarga el escudo

Desde el panel de tu sitio, descarga el archivo gw-shield.php. Es un único fichero PHP que contiene toda la lógica de protección. No tiene dependencias externas ni necesita instalación.

Paso 3 — Sube el archivo a tu servidor

Conecta por FTP (o usa el gestor de archivos de tu hosting) y sube gw-shield.php a la raíz de tu proyecto, junto a tu index.php.

Paso 4 — Añade una línea de código

Abre tu index.php (o wp-config.php si usas WordPress) y añade esta línea al principio del archivo, antes de cualquier otra instrucción:

<?php
// Añade esta línea al inicio de index.php
require_once __DIR__ . '/gw-shield.php';

// El resto de tu código continúa aquí...

Para WordPress, la línea va en wp-config.php:

<?php
// En wp-config.php, como primera línea
require_once ABSPATH . 'gw-shield.php';

// define('DB_NAME', ...

Paso 5 — Verifica que funciona

Vuelve al panel de Guardian Web y accede a la sección Registros de tu sitio. Si el escudo está activo, verás las primeras peticiones apareciendo en tiempo real. El indicador de estado del sitio pasará a color verde.

¿Qué protege el escudo desde el primer momento?

• Lista de bloqueo en caché: el escudo descarga y almacena localmente las IPs baneadas, funcionando de forma autónoma aunque el panel no esté disponible.
• Detección de bots maliciosos: user-agents conocidos de scrapers, herramientas de hacking y bots de spam son bloqueados automáticamente.
• Ataques específicos de WordPress: intentos de acceso a xmlrpc.php, wp-login.php con fuerza bruta, y enumeración de usuarios.
• Registro de actividad: cada visita queda registrada con IP, país, user-agent y resultado (permitido / bloqueado).

Próximos pasos

Con el escudo instalado, puedes explorar las funcionalidades avanzadas del panel:

• Bloqueo GeoIP — restringe el acceso por país con un clic.
• Alertas por Telegram — recibe una notificación instantánea en tu móvil cuando se detecte un ataque.
• Integración AbuseIPDB — contrasta cada IP contra la mayor base de datos pública de IPs maliciosas.
• Modo mantenimiento — activa una página de mantenimiento en tu sitio sin modificar ningún archivo del servidor.

Si tienes alguna duda durante la instalación, abre un ticket desde el panel y te ayudamos.