D4.FR crea software para proveedores de hosting, agencias web y freelancers · Descubra Orbiter, nuestro producto estrella   Solicitar una demo →
orbiter.systems Solicitar una demo
Orbiter · Shield & Fortress

Tus CMS, blindados
a nivel kernel.
WAF + anti-exfiltración integrados.

Shield monta el código de tus sitios en solo lectura a nivel del kernel Linux. Fortress añade WAF nginx, hardening PHP, escáner de uploads en tiempo real y control de salida de red. Sin chmod cosmético — protección real, aplicada por el kernel.

Solicitar una demo Volver al inicio
Capa 1 — Shield

Protección blindada a nivel del kernel

El docroot se monta en solo lectura a nivel VFS del kernel mediante Docker bind mount :ro. Incluso un root comprometido dentro del contenedor no puede escribir.

Montaje :ro kernel

Bind mount Docker en solo lectura a nivel VFS. Ningún chmod, chattr o exploit PHP lo evita. Protección estructural, no cosmética.

8 perfiles CMS preconfigurados

WordPress, WooCommerce, Joomla, PrestaShop, Magento, Drupal, Laravel y Custom. Cada perfil sabe qué carpetas mantener escribibles (uploads, cache, sesiones).

Carpetas RW quirúrgicas

Solo las carpetas realmente necesarias (wp-content/uploads, cache, logs) permanecen escribibles. Todo lo demás — core, plugins, temas — es inmutable.

Exec-block nginx en RW

Además del montaje del kernel, nginx devuelve 403 para cualquier .php / .phtml / .phar / .pl / .cgi / .sh / .py subido a zonas escribibles. Defensa en profundidad.

Auditoría watchdog 5 min

El cron healthcheck verifica desde dentro del contenedor que el docroot sigue en solo lectura. Detecta instantáneamente cualquier desvío de montaje.

Activación 1 clic, reversible

Botón en la UI o comando CLI shield-enable. Activable desde la creación del contenedor. Desactivable en caliente sin pérdida de datos.

Demostración

Chmod cosmético vs mount kernel

Protección chmod clásica
Nivel de aplicaciónUserspace
Bypass PHPchmod()
Bypass rootTrivial
Drop de un .php maliciosoTiene éxito
Detección por auditoríaNinguna
Shield (Docker :ro)
Nivel de aplicaciónVFS kernel
Bypass PHPImposible
Bypass rootImposible
Drop de un .php maliciosoEROFS
Detección por auditoríaWatchdog 5 min
Capa 2 — Fortress

Anti-exfiltración por capas

WAF nginx generado por regla, hardening PHP, escáner de uploads en tiempo real y control de salida de red. Activable / desactivable capa por capa.

WAF nginx 7 reglas

SQLi, LFI, XSS, RFI, scanners, archivos sensibles, exec PHP en zonas de uploads, xmlrpc, rate-limit. Generado desde el store, inyectado al reconfigure-domain.

Escáner de uploads en tiempo real

Servicio systemd por dominio. Check MIME (libmagic), patrón PHP, ZipSlip, SVG, PDF, entropía Shannon, regeneración Pillow imagen. 7 checks individuales.

Hardening PHP

disable_functions quirúrgico (exec, system, passthru, ...) + open_basedir + extra-disable / extra-allow por dominio. Modo strict opcional para zonas de riesgo.

Egress controlado

3 modos: permissive (por defecto), standard (bloquea bind-shell hacia IPs no whitelisted), strict (DNS interno + IP allowlist estricta). Evita la exfiltración de datos.

Hardening WordPress

Bloquea xmlrpc.php, bloquea REST API si no se usa. Mu-plugin colocado en wp-content/mu-plugins/ para protecciones inline.

Test WAF integrado

El botón "Probar el WAF" lanza un curl real con payload SQLi al dominio y verifica que nginx devuelve 403. Validación continua, no declarativa.

8
Perfiles Shield CMS
7
Reglas WAF Fortress
7
Checks escáner uploads
0
Código cliente modificado
Demo gratuita

Vea Shield + Fortress en acción

Demo live: intentamos un upload PHP malicioso en un WordPress, vemos a Shield + Fortress rechazarlo. Sin compromiso.

Selectionnez une date pour voir les creneaux disponibles
Zona horaria: París (CET/CEST) — De lunes a viernes
Presentación en francés o en inglés
9 + 3 =

  Sin compromiso · Respuesta en 24 h · Soporte D4.FR dedicado