[elementor-template id="80835"]
Una vez más, volvemos a tratar un tema de
seguridad en este blog, un tema sobre la
seguridad de Wordpress, algo que ya tratamos en el
anterior artículo sobre Mossack Fonseca y que ahora volvemos a explicar desde la parte teórica.
Wordpress es seguro, pero es tan usado y conocido que eso puede ser un problema, y en muchos casos
la seguridad de Wordpress realmente se ve comprometida porque hay mucha gente buscando fallos de seguridad, y donde en otros CMS tardan años en aparecer, en
Wordpress aparecen los fallos semanalmente, aunque también debemos decir, que siempre que aparecen se corrigen rápidamente.
Si, además, unimos a esto, los plugins y los themes, nos encontramos con
la difícil tarea (en algunas ocasiones) de tener todo completamente actualizado y parcheado para que ninguna vulnerabilidad conocida nos afecte.
Para intentar
mejorar la seguridad de una web podemos usar un
WAF, un
WAF es un
Web Application Firewall, comúnmente llamado
firewall de aplicación.
Con un
WAF conseguimos
proteger nuestro sitio web de ejecuciones de código que puedan realizarse desde el exterior a través del protocolo HTTP o HTTPS, para esto se
analizan las URL y los parámetros incluidos en las URL para que ningún visitante pueda desencadenar un problema de seguridad permitiendo la
inyección de código o la
subida de archivos al servidor.
En el caso de
Wordpress, existen
WAF en forma de plugins que ayudan a
bloquear vulnerabilidades conocidas y desconocidas, aunque los
WAF también hacen que algunas funcionalidades de un sitio web no funcionen como deberían si no añadimos exclusiones.
ModSecurity como WAF para Apache
ModSecurity es un
módulo para Apache y Nginx que permite
configurar reglas o patrones que nos permiten implementar un WAF en nuestro servidor web.
Un ejemplo de reglas preconfiguradas que podemos usar para
ModSecurity son las
reglas de COMODO o las
reglas gratuitas de OWASP para ModSecurity.
Si no quieres
implementar ModSecurity en tu servidor o no tienes los suficientes conocimientos para hacerlo,
siempre puedes usar el WAF de un servicio externo como CloudFlare (que puede llegar a funcionar como
ModSecurity).
En
Raiola Networks todos nuestros servidores de
hosting compartido,
hosting reseller,
hosting elastico y
hosting SEO implementan en Apache el
módulo ModSecurity con las
reglas de COMODO y las reglas personalizadas que nos ofrece el
antimalware PyxSoft.
PyxSoft incluye
reglas para ModSecurity específicas para Wordpress, lo que nos permiten ofrecer un poco más de seguridad a nuestros clientes en las plataformas mencionadas anteriormente.
WAF de Wordfence para Wordpress
En este blog ya hemos hablado varias veces de
Wordfence y de todas sus ventajas, de hecho, en varias ocasiones hemos dedicado artículos y videotutoriales a enseñar
cómo utilizar Wordfence para realizar algunas tareas de
desinfección, limpieza y securizacion de un sitio web creado con Wordpress.
Recientemente,
Wordfence Security para Wordpress ha cambiado y ha empezado a incluir un
firewall de aplicación en su instalación predeterminada, un
firewall que aún no esta tan madura como otras alternativas (como
NinjaFirewall por ejemplo), pero que realmente complementan muy bien las funcionalidades que ya tenía
Wordfence Security.
La funcionalidad de
WAF de Wordfence está bastante visible, tan solo tenemos que dirigirnos al submenú de
Wordfence en el
panel de administración de Wordpress para encontrarnos con la opción.
Una vez que estamos dentro de la sección de
Firewall de Wordfence Security podremos ver la pantalla de
configuración del firewall:
El
Firewall de Wordfence Security tiene varios modos de funcionamiento, pero está adaptado a funcionar en diferentes entornos y con diferentes configuraciones.
La funcionalidad de
Firewall tiene tres modos de funcionamiento:
- Enable and Protecting: Con este modo, el firewall de Wordfence analiza todas las peticiones y utiliza la base de datos propia del plugin para detectar y bloquear ataques siguiendo las reglas preconfiguradas por los desarrolladores.
- Learning Mode: El firewall aprende y añade a la lista blanca las peticiones legitimas mientras que bloquea ataques, teóricamente este modo ayuda a prevenir falsos positivos si lo mantenemos activo durante al menos una semana antes de activar el modo “Enable and Protecting”.
- Disable: Como su nombre indica, mantiene el firewall de Wordfence Security totalmente desactivado, como si no tuviera efecto.
En el momento de escribir este artículo, las
reglas de la comunidad de Wordfence utilizadas en el modo
“Enable and Protection” son estas:
Para poner a funcionar el
firewall de Wordfence, debemos seguir un proceso simple, en primer lugar, debemos
activar durante al menos una semana el modo “Learning Mode” para que aprenda cuales son las visitas normales y cuales son ataques, y finalmente pasado ese tiempo podemos activar el modo
“Enable and Protecting”.
Por otro lado,
Wordfence Security Firewall tiene un sistema que permite varios niveles de protección dependiendo de la implementación que podamos hacer en nuestro servidor, como es común en este tipo de aplicaciones
WAF.
Por un lado tenemos el
“Basic Wordpress Protection” y por otro lado tenemos el
“Extended Protection” que permite la protección completa.
NinjaFirewall para Wordpress
Esta es otra solución de
WAF para Wordpress bastante desconocida, pero que ayuda mucho a proteger cualquier sitio web
bloqueando las peticiones malintencionadas.
NinjaFirewall usa más o menos el mismo sistema para proteger que el
firewall de Wordfence Security, pero con otra base de datos de detecciones, que por otro lado lleva mucho más tiempo en el mercado que la solución de
Wordfence y por lo tanto está más madura.
NinjaFirewall, al igual que en el caso de
Wordfence, es un plugin completamente gratuito y puede ser descargado desde el
repositorio de plugins de Wordpress, de hecho, después de instalarlo se añade una nueva pantalla/sección al
back-end de Wordpress:
NinjaFirewall requiere cierta configuración para conseguir hacer algo con él, de hecho, para funcionar necesita
controlar el archivo php.ini y el .htaccess con el fin de conseguir bloquear peticiones sin necesidad de tener un servicio instalado en el sistema.
Al igual que en
Wordfence, debemos especificar una configuración diferente dependiendo del servidor web que utilicemos y de la forma de funcionar que tenga el intérprete PHP:
Si hacemos bien la configuración nos saldrá una pantalla como esta:
Soy consciente de que la
configuración de NinjaFirewall es bastante compleja, de hecho, es la
solución de WAF para Wordpress más configurable y completa que he visto hasta el momento, esto no quiere decir que sea la mejor solución, pero sí que es una solución más acertada para usuarios avanzados que quieran realizar sus propias configuraciones sin tener que usar configuraciones ya hechas como es el caso del
WAF de Sucuri.
NinjaFirewall es incluso más que un
WAF, ya que tiene utilidades para
prevenir cambios en los archivos de Wordpress y en los archivos de los plugins, como buen
firewall también permite
prevenir y mitigar ataques de fuerza bruta contra las distintas partes de
Wordpress e incluso tiene una utilidad que permite
analizar en busca de código malicioso o sospechoso todos los archivos de la instalación.
QueryWall Firewall para Wordpress
Finalmente vamos a hablar de otra
solución de WAF para Wordpress, pero en este caso es una solución en forma de plugin mucho más simple que el
firewall de Wordfence Security o el
firewall de NinjaFirewall.
QueryWall Firewall realmente se llama
QueryWall: Plug´n Play Firewall, pero vamos a llamarle
QueryWall Firewall o
QueryWall para abreviar.
QueryWall Firewall es un
WAF simple, de hecho, a sí mismo se define como
firewall autopilotado, es decir, automáticamente gestionado y que
casi no necesita intervención por parte del administrador del sitio web, pero evidentemente no es una solución tan configurable y flexible como las dos alternativas anteriores.
Lo que ves en la siguiente imagen es TODA la configuración y control que tiene
QueryWall Firewall:
En el listado mostrado se añaden las URL bloqueadas, pero el plugin
no permite controlar de ninguna forma los elementos que aparecen en su base de datos ni configurar una lista blanca para posibles exclusiones.
Paul
29/04/2016 a las 20:13Hol Alvaro, no había visto este artículo publicado donde hablas precisamente de NinjaFirewall, un plugin del que nadie habla pero que es oro puro para bloquear a los que van con malas intenciones. Eso si, su configuración es delicada y no apta para cualquier tipo de usuarios.
El mismo log de actividad de este plugin te ofrece cantidad de información y pone de manifiesto que los chicos malos están ahí todos los dían dandote cariño aunque no los veas, y como te despistes te cuelan un gol. Que te voy a contar a ti.
La versión pro de este plugin te permite el bloqueo por países, herramienta que he probado con éxito en algunos escenarios.
Un saludo.
Responder a Paul
Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *