Qué es un WAF y cómo protege tu web o WordPress

Fecha: 24/01/2025
Ya hemos hablado recientemente de varias cuestiones a nivel seguridad en WordPress, desde cómo realizar una desinfección en un sitio web hackeado, hasta varios plugins y configuraciones que se podrían implementar en una instalación para intentar securizarla lo máximo posible, ya que consideramos que tener tu sitio web protegido ante situaciones de malware o ataques malintencionados es uno de los puntos imprescindibles si quieres llevar un mantenimiento óptimo de una instalación, sobre todo teniendo en cuenta que WordPress es sin duda el CMS más atacado actualmente del mercado.

waf web application firewall

También hemos mencionado varios plugins de seguridad que te permiten proteger tu sitio web mediante diferentes configuraciones y análisis (WP Cerber, Wordfence, etc.), no obstante, no llegamos a especificar demasiado sobre una de las funcionalidades que te permite habilitar alguno de estos plugins, que sería la de utilizarlos como firewall de aplicación (WAF) para tener una capa extra de seguridad.

Por ello, en este post explicaremos qué es un WAF exactamente, qué beneficios tiene implementarlo en WordPress (o en el propio servidor), y mencionaremos algunos plugins con los que podemos configurarlo.

Índice del artículo
  • Qué es un WAF y por qué es tan importante en WordPress
  • ModSecurity como WAF para Apache
  • WAF de Wordfence para WordPress
  • NinjaFirewall para WordPress
  • Cloudflare como WAF

Qué es un WAF y por qué es tan importante en WordPress


Un WAF o Firewall de Aplicaciones es una herramienta o software de seguridad que ayuda a proteger tu sitio web filtrando y monitorizando el tráfico http entre la propia aplicación e internet.

A grandes rasgos, podemos decir que un WAF funciona como una barrera entre los visitantes y tu sitio web, filtrando y bloqueando posibles amenazas basándose en un conjunto de reglas o directivas que se le configuren, las cuales permiten proteger la aplicación contra inyecciones de código, ataques DDoS y otras vulnerabilidades.

Qué es un WAF y por qué es tan importante en WordPress

En el caso de WordPress, existen bastantes plugins que nos permiten implementar un WAF para bloquear vulnerabilidades, aunque es recomendable tener en cuenta que algunas de las configuraciones y reglas que apliquemos, pueden provocar que ciertas funcionalidades del sitio web no funcionen como deberían, por lo que en el caso de que nos suceda esto, habría que configurar exclusiones a las reglas, algo que no suele ser sencillo.

ModSecurity como WAF para Apache


Antes de ponernos con los plugins de WordPress, vemos necesario hablarte un poco de ModSecurity, que es justamente un módulo para Apache y Nginx que nos permite configurar un WAF en el servidor web.

ModSecurity como WAF para Apache

En Raiola Networks, todos nuestros servidores de hosting compartido, hosting elástico, hosting SEO y hosting Reseller tienen habilitado el módulo Mod_Security. De esta forma, podemos ofrecer una capa de seguridad extra a los clientes que utilicen este tipo de servicios.

Las directivas que utilizamos de este tipo de servidores están basadas en las reglas de COMODO, las de Inmunify y ciertas reglas personalizadas creadas desde nuestro lado, lo que permite proteger los sitios web de ciertos ataques, por ejemplo, al administrador de WordPress (mediante la protección por fuerza bruta) o a los formularios.

protección por fuerza bruta WAF

Cuando contratas un nuevo plan de hosting con nosotros, todas estas reglas vienen habilitadas por defecto, aunque en caso de que alguna de ellas provoque algún problema o se produzca algún bloqueo ilegítimo, hemos creado un configurador que te permite desactivar alguna de ellas.

Si te interesa conocer más al respecto de ModSecurity, tenemos un post en el que hablamos sobre el mismo al que te recomendamos echarle un vistazo: https://raiolanetworks.com/blog/modsecurity-cpanel/

WAF de Wordfence para WordPress


Ya hemos hablado en numerosas ocasiones de Wordfence, ya que es uno de los plugins más completos y eficaces a nivel seguridad, y como no podría ser de otro modo, una de las funcionalidades que te permite este plugin es activar su propio firewall para intentar proteger tu sitio web contra determinados ataques.

Una vez configurada la licencia (actualmente necesaria también para la versión gratuita), el WAF ya quedaría habilitado con una configuración por defecto, no obstante, si queremos modificar ciertas opciones y personalizarlas a nuestro gusto, tendremos que acceder al apartado "Wordfence >> Cortafuegos >> Gestionar WAF".

WAF de Wordfence para WordPress

Cuando accedemos a esta sección, la primera opción que podremos ver será la de "Estado del cortafuegos de la aplicación web", en la que tendremos que escoger entre 3 alternativas:

  • Activo y protegiendo: el WAF está activo y bloquea las solicitudes que coincidan con los patrones que hayamos configurado.

  • Modo de aprendizaje: Se puede habilitar para que WAF analice tu sitio web durante un tiempo determinado, de forma que pueda entender cómo protegerlo basándose en las solicitudes que se vayan realizando el sitio (si acabamos de instalar el plugin, es recomendable mantener esta opción durante un tiempo).

  • Desactivado: el WAF no ejecuta ninguna de sus reglas.


Estado del cortafuegos de la aplicación web de Wordfence

Si quisiéramos activar/desactivar alguna regla específica o configurar algún tipo de exclusión en las mismas, podemos hacerlo desde las "Opciones avanzadas del cortafuegos":

Opciones avanzadas del cortafuegos de Wordfence

Además, también podremos modificar la configuración de la protección por ataques de fuerza bruta (por defecto es muy permisiva), y activar otro tipo de opciones como el forzado de contraseñas seguras, desactivar las contraseñas de aplicación de WordPress o impedir que se registre el nombre usuario "admin" (en caso de que no exista).

modificar la configuración de la protección por ataques de fuerza bruta de Wordfence

En resumen, si queremos utilizar el WAF de Wordfence, nuestra recomendación es que habilites el "Modo de aprendizaje" durante un par de semanas (lo idóneo es que, durante dichas semanas, utilices todas las herramientas y plugins que suelas usar normalmente), de esta forma, Wordfence aprende cuáles son las peticiones legítimas y cuáles no lo son, y en base a eso, habilitar finalmente la opción de "Activo y protegiendo" para poner en funcionamiento el WAF.

NinjaFirewall para WordPress


Uno de los plugins más completos que podemos encontrar a nivel WAF en WordPress sería NinjaFirewall, el cual podemos obtener también de forma gratuita desde el propio repositorio de WordPress: https://es.WordPress.org/plugins/ninjafirewall/

La configuración de este plugin es bastante más compleja que la del resto de plugins del estilo, ya que dispone de multitud de opciones y apartados, aunque es sin duda una de las mejores alternativas si queremos bloquear ataques y peticiones malintencionadas o queremos realizar reglas personalizadas y no preestablecidas.

Además de esto, Ninja Firewall tiene también opciones que te van a permitir implementar configuraciones para prevenir la subida de archivos a WordPress y a sus plugins (o impedir su modificación), prevenir los ataques por fuerza bruta o incluso analizar el sitio web en busca de código malicioso, por lo que es un plugin realmente completo.

Cuando lo instalemos y lo habilitemos, nos aparecerá una nueva sección en el administrador de WordPress, desde la que podremos ver lo siguiente:

NinjaFirewall para WordPress

Ninja Firewall dispone de 2 modos de protección, el Wordpress WAF mode (que es el que viene por defecto) y el Full WAF mode, que es el que te recomendamos y el que ofrece más nivel de protección (también puede provocar más falsos positivos y determinados problemas dependiendo del hosting en el que alojes la web).

Siempre que sea posible, lo idóneo es que configures el Full WAF mode, algo que se realiza fácilmente clicando en "Activate Full WAF mode”, dónde tendremos que escoger el servidor web que utiliza nuestro hosting, y en dónde también podremos excluir ciertos directorios de nuestra web que no queramos que pasen por el WAF del plugin (lo idóneo es dejarlo tal y como está por defecto).

Full WAF mode en NinjaFirewall

Una vez hecho esto, ya habría que meterse de lleno en la configuración avanzada de las reglas que queremos que se apliquen, algo que no explicaremos en este post, ya que como te indicamos anteriormente, se trata de un plugin muy complejo y la configuración puede variar dependiendo de lo que necesitemos y del servidor en dónde alojemos la web.

Si quieres conocer más sobre este plugin, te recomendamos ver este vídeo en el que nuestro compañero y CEO Álvaro Fontela habla del plugin y todas sus opciones:

Video de Youtube sobre: Qué es un WAF y cómo protege tu web o WordPress



Cloudflare como WAF


Actualmente, existen multitud de plugins que puedes utilizar como WAF: https://es.WordPress.org/plugins/search/WAF/, no obstante, es posible que no te interese instalar otro plugin adicional de WordPress para ello, hay que tener en cuenta que este tipo de plugins son pesados y suelen consumir bastantes recursos, por lo que únicamente solemos recomendarlos en webs específicas, y además, no siempre son realmente necesarios, ya que puede ser suficiente un WAF a nivel servidor y un correcto mantenimiento y securización básica de nuestro sitio web.

Ya hemos hablado en numerosas ocasiones de Cloudflare y de las ventajas que suele ofrecer su configuración en cualquier aplicación, y como bien sabrás, dependiendo de la configuración que apliquemos en dicha plataforma, podemos hacer que funcione también como WAF.

Por defecto, Cloudflare ya nos proporciona protección WAF básica, por ejemplo, contra ataques DDoS, no obstante, las configuraciones que puedes aplicar en dicha plataforma son muy numerosas. Para activar/desactivar el WAF en Cloudflare nos tendremos que dirigir al apartado "Seguridad >> Configuración" (hay que realizar previamente la configuración del dominio).

Cloudflare como WAF

Aquí podremos escoger entre varios niveles de seguridad (actualmente solo podemos desactivar el WAF completamente con un plan de pago), y dependiendo del que escojamos, la configuración será más o menos permisiva.

Una de las cosas más interesantes que podemos realizar con Cloudflare, sería la creación de reglas personalizadas, que nos permitirían, por ejemplo, bloquear ciertos países, IPS, continentes enteros, bloquear por agente de usuario o incluso por versión HTTP o por el método de solicitud.

WAF de Cloudflare bloquea todas las peticiones que se realicen

En el ejemplo de la captura, el WAF de Cloudflare bloquearía todas las peticiones que se realicen desde África, desde Afganistán o que se realicen mediante la versión HTTP/1.0 de HTTP.

Además de todo esto, Cloudflare nos permite realizar multitud de configuraciones adicionales a nivel WAF. Si quieres conocer más al respecto, te recomendamos ver este otro vídeo de Álvaro en el que habla de todas las opciones que incluye la versión gratuita de Cloudflare.

Video de Youtube sobre: Qué es un WAF y cómo protege tu web o WordPress

Andrés Gude
Andrés Gude

Andrés Gude forma parte del departamento de aplicaciones de Raiola Networks. Usuario de un ordenador desde la cuna, apasionado de la F1 y del D10S del fútbol, Leo Messi.

Artículos relacionados

Si te ha gustado este post, aquí tienes otros que pueden ser de tu interés. ¡No dejes de aprender!

Tenemos 4 comentarios en Qué es un WAF y cómo protege tu web o WordPress
Avatar del autor del comentario

Paul

29/04/2016 a las 20:13

Hol Alvaro, no había visto este artículo publicado donde hablas precisamente de NinjaFirewall, un plugin del que nadie habla pero que es oro puro para bloquear a los que van con malas intenciones. Eso si, su configuración es delicada y no apta para cualquier tipo de usuarios.

El mismo log de actividad de este plugin te ofrece cantidad de información y pone de manifiesto que los chicos malos están ahí todos los dían dandote cariño aunque no los veas, y como te despistes te cuelan un gol. Que te voy a contar a ti.

La versión pro de este plugin te permite el bloqueo por países, herramienta que he probado con éxito en algunos escenarios.

Un saludo.

Responder
Avatar del autor del comentario

Daniel

20/05/2020 a las 03:46
Que tal Alvaro, muy interesante articulo. Una pregunta, es recomendable usar un Cloud Firewall como sucuri o cloudflare en conjunto con Wordfense Extended Protection o NinjaFirewall? ¿Se pueden usar ambos?
Responder
Avatar del autor del comentario

Alvaro Fontela

22/05/2020 a las 12:14
Hola Daniel, pueden combinarse perfectamente, aunque yo actualmente te recomendaría mas NinjaFirewall que WordFence.
Responder
Avatar del autor del comentario

Angel

09/03/2022 a las 09:51
Hola Alvaro, viendo tu MasterClass, recomiendas un plugin de seguridad pero no llego a entender cual es.

Me lo podrías indicar?

Gracias.
Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *