Saltar al contenido
davidfdzmorilla .dev

Builder · Operator · Researcher

Construyo productos, opero su infraestructura y rompo WordPress por diversión.

Desarrollador independiente desde Vigo. Plataformas en producción sobre infra propia (VPS, K3s, Docker) y bug bounty hunting bajo el handle NyxSec.

Ver proyectos Contacto
Advisories publicados
6
Años operando infra propia
5+
01 · Sobre mí

Tres facetas, una sola pila.

Construyo productos para clientes y para mí mismo —desde plataformas WordPress optimizadas hasta servicios FastAPI para gestionar festivales electrónicos. Ese es el primer escalón.

Sobre cada producto vive una infraestructura que también opero yo: VPS y servidores cloud (Hetzner, AWS), contenedores Docker orquestados con K3s o Compose, Traefik delante, observabilidad con Grafana, Prometheus y ELK, despliegues por GitLab CI/CD. Ese es el segundo escalón.

Y de tanto operar WordPress, terminé buscando vulnerabilidades por mi cuenta. Bajo el handle NyxSec publico advisories en Wordfence: 6 CVEs asignados hasta la fecha en plugins como Elementor, WPForms o Masteriyo LMS, con bases instaladas de cientos de miles a millones. Ese es el tercer escalón.

No son tres trabajos paralelos: es la misma pila vista desde tres alturas. Operar enseña a programar mejor, programar enseña a romper, romper enseña a operar.

02 · Selected work

Proyectos seleccionados.

Casos curados, no listas exhaustivas. Cada uno representa una de las facetas de la pila.

01
security ai-agents

NyxSec — Operación de bug bounty con un agente autónomo

Plataforma de hunting de vulnerabilidades en plugins de WordPress con un agente AI ejecutándose 24/7 en VPS dedicado, comunicación por Telegram y un protocolo propio de validación E2E. Cinco CVEs asignados en plugins con bases instaladas de cientos de miles a millones de sitios.

Rol
Investigador principal · Diseño del agente
Periodo
2026 — actualidad
Stack
PythonClaude APIMCP serversDockerHetzner VPSTelegram Bot APISemgrep
Repositorio
02
product wpo devops

formate.es — Plataforma de cursos online y reviews

Plataforma WordPress propia de cursos online y opiniones, con WPO agresivo: tiempo de carga reducido de 8,2 s a 1,76 s y peso de página de 3,09 MB a 1,55 MB. Stack autohospedado sobre infraestructura propia con observabilidad completa.

Rol
Desarrollador y mantenedor
Periodo
2024 — actualidad
Stack
WordPressPHPDockerTraefikWP Super Cachefail2banElasticsearchGrafana
03
product devops

gofestivals — Plataforma de festivales de música electrónica

Dos dominios bajo la misma identidad de marca (.es para España, .eu internacional) dedicados al ecosistema de festivales de música electrónica. Incluye radio.gofestivals, una capa de radio curada con metadata ICY en tiempo real, ya en producción.

Rol
Owner · Full-stack · Product
Periodo
2024 — actualidad
Stack
Next.jsFastAPIPostgreSQLPostGISRedisDocker
Ver en vivo
04
ai-agents devops

Ecosistema multi-agente — Nyx, OpenClaw y otros

Conjunto de agentes AI especializados —seguridad, desarrollo web, automatización doméstica— corriendo en infraestructura propia, comunicados por MCP y notificaciones por Telegram. Experimental por diseño, productivo por método.

Rol
Diseño y operación
Periodo
2025 — actualidad
Stack
PythonClaude APIMCPDockerFastAPIOllamaHome AssistantRaspberry Pi 5
05
ai-agents product

tech-blog — Plataforma autónoma de medios con 9 agentes IA

Plataforma autónoma que descubre noticias, detecta tendencias, escribe artículos optimizados para SEO y los publica sin intervención humana. Nueve agentes especializados se comunican por event bus, con un Chief Editor como gatekeeper de calidad y telemetría de coste LLM por pipeline.

Rol
Diseño y desarrollo · Owner
Periodo
2025 — actualidad
Stack
PythonFastAPIPostgreSQLRedisQdrantNext.jsOpenAIAnthropicDocker
Repositorio Ver en vivo
06
ai-agents product

kaleido — Plataforma conversacional unificada multi-canal

Plataforma conversacional unificada multi-canal (WhatsApp Cloud API, Twilio, web chat) con IA multi-proveedor (Claude + GPT) y handoff humano automático. Construida con Clean Architecture, 80% de cobertura de tests y dashboard Next.js para gestión en tiempo real.

Rol
Diseño y desarrollo
Periodo
2024 — 2025
Stack
Node.jsTypeScriptExpressPrismaPostgreSQLRedisNext.jsAnthropicOpenAITwilioDocker
Ver en vivo
07
product devops

wedding-page — SaaS multi-tenant de páginas de boda

SaaS multi-tenant para crear páginas web de boda. Tres planes de suscripción con límites por plan, Stripe para pagos recurrentes y regalos, templates personalizables y funcionalidades IA para generación de textos y paletas automáticas. Deploy con Traefik y wildcard DNS.

Rol
Owner · Full-stack
Periodo
2024 — 2025
Stack
Next.jsNode.jsExpressPostgreSQLPrismaStripeOpenAIDockerTraefik
Ver en vivo
03 · Security research

Advisories publicados.

Bug bounty hunting en plugins de WordPress. Submissions a Wordfence y Patchstack siguiendo un protocolo propio: full E2E verification, framework defense check, no carrion (parches descubiertos por terceros).

Handle: NyxSec
6.5
Media

Visualizer: Tables and Charts Manager <= 3.11.14 — Missing Authorization

CVE-2026-24573

Falta de comprobación de autorización en las funciones renderChartPages y uploadData accesibles para usuarios autenticados con privilegios de suscriptor. Permite crear y modificar gráficos arbitrarios sin las capabilities requeridas.

plugin: Visualizer: Tables and Charts Manager for WordPress cwe: CWE-862 date: 27 may 2026
Ver advisory
5.3
Media

Five Star Restaurant Reservations <= 2.7.16 — Unauthenticated Payment Bypass via PHP Type Juggling

CVE-2026-6498

Bypass de pago no autenticado mediante PHP type juggling en el parámetro 'payment_id'. La comparación laxa (==) permite a un atacante saltarse la verificación de pago enviando valores que coercionan al tipo esperado pero no coinciden con el valor real.

plugin: Five Star Restaurant Reservations cwe: CWE-697 date: 29 abr 2026
Ver advisory
5.3
Media

Bookit — Booking & Appointment Calendar <= 2.5.1 — Missing Authorization

CVE-2026-40780

Falta de comprobación de autorización en endpoints accesibles sin autenticación, permitiendo a usuarios no autorizados modificar datos del plugin sin verificar permisos ni capabilities.

plugin: Bookit — Booking & Appointment Calendar cwe: CWE-862 date: 22 abr 2026
Ver advisory
5.3
Media

Masteriyo LMS <= 2.1.5 — Missing Authorization

CVE-2026-39524

Falta de comprobación de autorización en una funcionalidad del plugin LMS, permitiendo a usuarios no autenticados acceder o modificar recursos sin las capabilities requeridas.

plugin: Masteriyo LMS — Online Course Builder cwe: CWE-862 date: 8 abr 2026
Ver advisory
4.3
Media

Elementor Website Builder <= 3.35.5 — Missing Authorization

CVE-2026-32445

Falta de comprobación de autorización accesible para usuarios autenticados con privilegios bajos. Permite modificar recursos del plugin sin las capabilities adecuadas.

plugin: Elementor Website Builder cwe: CWE-862 date: 7 mar 2026
Ver advisory
4.3
Media

Contact Form by WPForms <= 1.9.9.3 — Missing Authorization

CVE-2026-32446

Falta de comprobación de autorización accesible para usuarios autenticados con privilegios bajos. Permite modificar recursos del plugin sin las capabilities adecuadas.

plugin: Contact Form by WPForms cwe: CWE-862 date: 7 mar 2026
Ver advisory
04 · Capacidades

Lo que toco a diario.

Sin barras con porcentajes inventados. Solo lo que uso de verdad en producción.

Infraestructura

  • Docker
  • Kubernetes (K3s)
  • Traefik
  • Nginx
  • GitLab CI/CD
  • AWS
  • Hetzner
  • Linux servers

Observabilidad

  • Grafana
  • Prometheus
  • Elasticsearch
  • Kibana
  • Logstash
  • fail2ban

Backend

  • Python
  • FastAPI
  • PHP
  • Symfony
  • Laravel
  • Node.js
  • WordPress
  • PostgreSQL
  • MySQL
  • Redis
  • MongoDB

Frontend

  • TypeScript
  • React
  • Next.js
  • Astro
  • Vue
  • Nuxt
  • Tailwind CSS

AI & Agentes

  • Claude API
  • MCP servers
  • LLM agents
  • Multi-agent orchestration
  • Ollama

Security

  • WordPress vuln research
  • Semgrep custom rules
  • CVE/CVSS scoring
  • Wordfence/Patchstack
  • OWASP Top 10
05 · Contacto

Trabajemos juntos.

Para proyectos, colaboraciones o simple curiosidad. Respondo en horario CET.