Qué es un WAF y cómo protege tu web o WordPress

También hemos mencionado varios plugins de seguridad que te permiten proteger tu sitio web mediante diferentes configuraciones y análisis (WP Cerber, Wordfence, etc.), no obstante, no llegamos a especificar demasiado sobre una de las funcionalidades que te permite habilitar alguno de estos plugins, que sería la de utilizarlos como firewall de aplicación (WAF) para tener una capa extra de seguridad.
Por ello, en este post explicaremos qué es un WAF exactamente, qué beneficios tiene implementarlo en WordPress (o en el propio servidor), y mencionaremos algunos plugins con los que podemos configurarlo.
- Qué es un WAF y por qué es tan importante en WordPress
- ModSecurity como WAF para Apache
- WAF de Wordfence para WordPress
- NinjaFirewall para WordPress
- Cloudflare como WAF

Qué es un WAF y por qué es tan importante en WordPress
Un WAF o Firewall de Aplicaciones es una herramienta o software de seguridad que ayuda a proteger tu sitio web filtrando y monitorizando el tráfico http entre la propia aplicación e internet.
A grandes rasgos, podemos decir que un WAF funciona como una barrera entre los visitantes y tu sitio web, filtrando y bloqueando posibles amenazas basándose en un conjunto de reglas o directivas que se le configuren, las cuales permiten proteger la aplicación contra inyecciones de código, ataques DDoS y otras vulnerabilidades.

En el caso de WordPress, existen bastantes plugins que nos permiten implementar un WAF para bloquear vulnerabilidades, aunque es recomendable tener en cuenta que algunas de las configuraciones y reglas que apliquemos, pueden provocar que ciertas funcionalidades del sitio web no funcionen como deberían, por lo que en el caso de que nos suceda esto, habría que configurar exclusiones a las reglas, algo que no suele ser sencillo.
ModSecurity como WAF para Apache
Antes de ponernos con los plugins de WordPress, vemos necesario hablarte un poco de ModSecurity, que es justamente un módulo para Apache y Nginx que nos permite configurar un WAF en el servidor web.

En Raiola Networks, todos nuestros servidores de hosting compartido, hosting elástico, hosting SEO y hosting Reseller tienen habilitado el módulo Mod_Security. De esta forma, podemos ofrecer una capa de seguridad extra a los clientes que utilicen este tipo de servicios.
Las directivas que utilizamos de este tipo de servidores están basadas en las reglas de COMODO, las de Inmunify y ciertas reglas personalizadas creadas desde nuestro lado, lo que permite proteger los sitios web de ciertos ataques, por ejemplo, al administrador de WordPress (mediante la protección por fuerza bruta) o a los formularios.

Cuando contratas un nuevo plan de hosting con nosotros, todas estas reglas vienen habilitadas por defecto, aunque en caso de que alguna de ellas provoque algún problema o se produzca algún bloqueo ilegítimo, hemos creado un configurador que te permite desactivar alguna de ellas.
Si te interesa conocer más al respecto de ModSecurity, tenemos un post en el que hablamos sobre el mismo al que te recomendamos echarle un vistazo: https://raiolanetworks.com/blog/modsecurity-cpanel/
WAF de Wordfence para WordPress
Ya hemos hablado en numerosas ocasiones de Wordfence, ya que es uno de los plugins más completos y eficaces a nivel seguridad, y como no podría ser de otro modo, una de las funcionalidades que te permite este plugin es activar su propio firewall para intentar proteger tu sitio web contra determinados ataques.
Una vez configurada la licencia (actualmente necesaria también para la versión gratuita), el WAF ya quedaría habilitado con una configuración por defecto, no obstante, si queremos modificar ciertas opciones y personalizarlas a nuestro gusto, tendremos que acceder al apartado "Wordfence >> Cortafuegos >> Gestionar WAF".

Cuando accedemos a esta sección, la primera opción que podremos ver será la de "Estado del cortafuegos de la aplicación web", en la que tendremos que escoger entre 3 alternativas:
- Activo y protegiendo: el WAF está activo y bloquea las solicitudes que coincidan con los patrones que hayamos configurado.
- Modo de aprendizaje: Se puede habilitar para que WAF analice tu sitio web durante un tiempo determinado, de forma que pueda entender cómo protegerlo basándose en las solicitudes que se vayan realizando el sitio (si acabamos de instalar el plugin, es recomendable mantener esta opción durante un tiempo).
- Desactivado: el WAF no ejecuta ninguna de sus reglas.

Si quisiéramos activar/desactivar alguna regla específica o configurar algún tipo de exclusión en las mismas, podemos hacerlo desde las "Opciones avanzadas del cortafuegos":

Además, también podremos modificar la configuración de la protección por ataques de fuerza bruta (por defecto es muy permisiva), y activar otro tipo de opciones como el forzado de contraseñas seguras, desactivar las contraseñas de aplicación de WordPress o impedir que se registre el nombre usuario "admin" (en caso de que no exista).

En resumen, si queremos utilizar el WAF de Wordfence, nuestra recomendación es que habilites el "Modo de aprendizaje" durante un par de semanas (lo idóneo es que, durante dichas semanas, utilices todas las herramientas y plugins que suelas usar normalmente), de esta forma, Wordfence aprende cuáles son las peticiones legítimas y cuáles no lo son, y en base a eso, habilitar finalmente la opción de "Activo y protegiendo" para poner en funcionamiento el WAF.
NinjaFirewall para WordPress
Uno de los plugins más completos que podemos encontrar a nivel WAF en WordPress sería NinjaFirewall, el cual podemos obtener también de forma gratuita desde el propio repositorio de WordPress: https://es.WordPress.org/plugins/ninjafirewall/
La configuración de este plugin es bastante más compleja que la del resto de plugins del estilo, ya que dispone de multitud de opciones y apartados, aunque es sin duda una de las mejores alternativas si queremos bloquear ataques y peticiones malintencionadas o queremos realizar reglas personalizadas y no preestablecidas.
Además de esto, Ninja Firewall tiene también opciones que te van a permitir implementar configuraciones para prevenir la subida de archivos a WordPress y a sus plugins (o impedir su modificación), prevenir los ataques por fuerza bruta o incluso analizar el sitio web en busca de código malicioso, por lo que es un plugin realmente completo.
Cuando lo instalemos y lo habilitemos, nos aparecerá una nueva sección en el administrador de WordPress, desde la que podremos ver lo siguiente:

Ninja Firewall dispone de 2 modos de protección, el Wordpress WAF mode (que es el que viene por defecto) y el Full WAF mode, que es el que te recomendamos y el que ofrece más nivel de protección (también puede provocar más falsos positivos y determinados problemas dependiendo del hosting en el que alojes la web).
Siempre que sea posible, lo idóneo es que configures el Full WAF mode, algo que se realiza fácilmente clicando en "Activate Full WAF mode”, dónde tendremos que escoger el servidor web que utiliza nuestro hosting, y en dónde también podremos excluir ciertos directorios de nuestra web que no queramos que pasen por el WAF del plugin (lo idóneo es dejarlo tal y como está por defecto).

Una vez hecho esto, ya habría que meterse de lleno en la configuración avanzada de las reglas que queremos que se apliquen, algo que no explicaremos en este post, ya que como te indicamos anteriormente, se trata de un plugin muy complejo y la configuración puede variar dependiendo de lo que necesitemos y del servidor en dónde alojemos la web.
Si quieres conocer más sobre este plugin, te recomendamos ver este vídeo en el que nuestro compañero y CEO Álvaro Fontela habla del plugin y todas sus opciones:

Cloudflare como WAF
Actualmente, existen multitud de plugins que puedes utilizar como WAF: https://es.WordPress.org/plugins/search/WAF/, no obstante, es posible que no te interese instalar otro plugin adicional de WordPress para ello, hay que tener en cuenta que este tipo de plugins son pesados y suelen consumir bastantes recursos, por lo que únicamente solemos recomendarlos en webs específicas, y además, no siempre son realmente necesarios, ya que puede ser suficiente un WAF a nivel servidor y un correcto mantenimiento y securización básica de nuestro sitio web.
Ya hemos hablado en numerosas ocasiones de Cloudflare y de las ventajas que suele ofrecer su configuración en cualquier aplicación, y como bien sabrás, dependiendo de la configuración que apliquemos en dicha plataforma, podemos hacer que funcione también como WAF.
Por defecto, Cloudflare ya nos proporciona protección WAF básica, por ejemplo, contra ataques DDoS, no obstante, las configuraciones que puedes aplicar en dicha plataforma son muy numerosas. Para activar/desactivar el WAF en Cloudflare nos tendremos que dirigir al apartado "Seguridad >> Configuración" (hay que realizar previamente la configuración del dominio).

Aquí podremos escoger entre varios niveles de seguridad (actualmente solo podemos desactivar el WAF completamente con un plan de pago), y dependiendo del que escojamos, la configuración será más o menos permisiva.
Una de las cosas más interesantes que podemos realizar con Cloudflare, sería la creación de reglas personalizadas, que nos permitirían, por ejemplo, bloquear ciertos países, IPS, continentes enteros, bloquear por agente de usuario o incluso por versión HTTP o por el método de solicitud.

En el ejemplo de la captura, el WAF de Cloudflare bloquearía todas las peticiones que se realicen desde África, desde Afganistán o que se realicen mediante la versión HTTP/1.0 de HTTP.
Además de todo esto, Cloudflare nos permite realizar multitud de configuraciones adicionales a nivel WAF. Si quieres conocer más al respecto, te recomendamos ver este otro vídeo de Álvaro en el que habla de todas las opciones que incluye la versión gratuita de Cloudflare.

Deja una respuesta
Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *