WAF para Wordpress (Web Application Firewall)

Fecha: 20/04/2016
Una vez más, volvemos a tratar un tema de seguridad en este blog, un tema sobre la seguridad de Wordpress, algo que ya tratamos en el anterior artículo sobre Mossack Fonseca y que ahora volvemos a explicar desde la parte teórica.

Índice del artículo
  • ModSecurity como WAF para Apache
  • WAF de Wordfence para Wordpress
  • NinjaFirewall para Wordpress
  • QueryWall Firewall para Wordpress


Wordpress es seguro, pero es tan usado y conocido que eso puede ser un problema, y en muchos casos la seguridad de Wordpress realmente se ve comprometida porque hay mucha gente buscando fallos de seguridad, y donde en otros CMS tardan años en aparecer, en Wordpress aparecen los fallos semanalmente, aunque también debemos decir, que siempre que aparecen se corrigen rápidamente.

Si, además, unimos a esto, los plugins y los themes, nos encontramos con la difícil tarea (en algunas ocasiones) de tener todo completamente actualizado y parcheado para que ninguna vulnerabilidad conocida nos afecte.

waf wordpress

Para intentar mejorar la seguridad de una web podemos usar un WAF, un WAF es un Web Application Firewall, comúnmente llamado firewall de aplicación.

Con un WAF conseguimos proteger nuestro sitio web de ejecuciones de código que puedan realizarse desde el exterior a través del protocolo HTTP o HTTPS, para esto se analizan las URL y los parámetros incluidos en las URL para que ningún visitante pueda desencadenar un problema de seguridad permitiendo la inyección de código o la subida de archivos al servidor.

En el caso de Wordpress, existen WAF en forma de plugins que ayudan a bloquear vulnerabilidades conocidas y desconocidas, aunque los WAF también hacen que algunas funcionalidades de un sitio web no funcionen como deberían si no añadimos exclusiones.

ModSecurity como WAF para Apache


ModSecurity es un módulo para Apache y Nginx que permite configurar reglas o patrones que nos permiten implementar un WAF en nuestro servidor web.
Un ejemplo de reglas preconfiguradas que podemos usar para ModSecurity son las reglas de COMODO o las reglas gratuitas de OWASP para ModSecurity.

waf wordpress

Si no quieres implementar ModSecurity en tu servidor o no tienes los suficientes conocimientos para hacerlo, siempre puedes usar el WAF de un servicio externo como CloudFlare (que puede llegar a funcionar como ModSecurity).

En Raiola Networks todos nuestros servidores de hosting compartido, hosting reseller, hosting elastico y hosting SEO implementan en Apache el módulo ModSecurity con las reglas de COMODO y las reglas personalizadas que nos ofrece el antimalware PyxSoft.
PyxSoft incluye reglas para ModSecurity específicas para Wordpress, lo que nos permiten ofrecer un poco más de seguridad a nuestros clientes en las plataformas mencionadas anteriormente.

WAF de Wordfence para Wordpress


En este blog ya hemos hablado varias veces de Wordfence y de todas sus ventajas, de hecho, en varias ocasiones hemos dedicado artículos y videotutoriales a enseñar cómo utilizar Wordfence para realizar algunas tareas de desinfección, limpieza y securizacion de un sitio web creado con Wordpress.


Recientemente, Wordfence Security para Wordpress ha cambiado y ha empezado a incluir un firewall de aplicación en su instalación predeterminada, un firewall que aún no esta tan madura como otras alternativas (como NinjaFirewall por ejemplo), pero que realmente complementan muy bien las funcionalidades que ya tenía Wordfence Security.

waf wordpress

La funcionalidad de WAF de Wordfence está bastante visible, tan solo tenemos que dirigirnos al submenú de Wordfence en el panel de administración de Wordpress para encontrarnos con la opción.

wordfence wordpress

Una vez que estamos dentro de la sección de Firewall de Wordfence Security podremos ver la pantalla de configuración del firewall:

firewall wordpress

El Firewall de Wordfence Security tiene varios modos de funcionamiento, pero está adaptado a funcionar en diferentes entornos y con diferentes configuraciones.

La funcionalidad de Firewall tiene tres modos de funcionamiento:

  • Enable and Protecting: Con este modo, el firewall de Wordfence analiza todas las peticiones y utiliza la base de datos propia del plugin para detectar y bloquear ataques siguiendo las reglas preconfiguradas por los desarrolladores.



  • Learning Mode: El firewall aprende y añade a la lista blanca las peticiones legitimas mientras que bloquea ataques, teóricamente este modo ayuda a prevenir falsos positivos si lo mantenemos activo durante al menos una semana antes de activar el modo “Enable and Protecting”.



  • Disable: Como su nombre indica, mantiene el firewall de Wordfence Security totalmente desactivado, como si no tuviera efecto.


En el momento de escribir este artículo, las reglas de la comunidad de Wordfence utilizadas en el modo “Enable and Protection” son estas:

waf wordpress

Para poner a funcionar el firewall de Wordfence, debemos seguir un proceso simple, en primer lugar, debemos activar durante al menos una semana el modo “Learning Mode” para que aprenda cuales son las visitas normales y cuales son ataques, y finalmente pasado ese tiempo podemos activar el modo “Enable and Protecting”.

Por otro lado, Wordfence Security Firewall tiene un sistema que permite varios niveles de protección dependiendo de la implementación que podamos hacer en nuestro servidor, como es común en este tipo de aplicaciones WAF.
Por un lado tenemos el “Basic Wordpress Protection” y por otro lado tenemos el “Extended Protection” que permite la protección completa.


NinjaFirewall para Wordpress


Esta es otra solución de WAF para Wordpress bastante desconocida, pero que ayuda mucho a proteger cualquier sitio web bloqueando las peticiones malintencionadas.

NinjaFirewall usa más o menos el mismo sistema para proteger que el firewall de Wordfence Security, pero con otra base de datos de detecciones, que por otro lado lleva mucho más tiempo en el mercado que la solución de Wordfence y por lo tanto está más madura.

NinjaFirewall, al igual que en el caso de Wordfence, es un plugin completamente gratuito y puede ser descargado desde el repositorio de plugins de Wordpress, de hecho, después de instalarlo se añade una nueva pantalla/sección al back-end de Wordpress:

waf wordpress

NinjaFirewall requiere cierta configuración para conseguir hacer algo con él, de hecho, para funcionar necesita controlar el archivo php.ini y el .htaccess con el fin de conseguir bloquear peticiones sin necesidad de tener un servicio instalado en el sistema.

Al igual que en Wordfence, debemos especificar una configuración diferente dependiendo del servidor web que utilicemos y de la forma de funcionar que tenga el intérprete PHP:

firewall wordpress

Si hacemos bien la configuración nos saldrá una pantalla como esta:

firewall wordpress

Soy consciente de que la configuración de NinjaFirewall es bastante compleja, de hecho, es la solución de WAF para Wordpress más configurable y completa que he visto hasta el momento, esto no quiere decir que sea la mejor solución, pero sí que es una solución más acertada para usuarios avanzados que quieran realizar sus propias configuraciones sin tener que usar configuraciones ya hechas como es el caso del WAF de Sucuri.

firewall wordpress

NinjaFirewall es incluso más que un WAF, ya que tiene utilidades para prevenir cambios en los archivos de Wordpress y en los archivos de los plugins, como buen firewall también permite prevenir y mitigar ataques de fuerza bruta contra las distintas partes de Wordpress e incluso tiene una utilidad que permite analizar en busca de código malicioso o sospechoso todos los archivos de la instalación.

QueryWall Firewall para Wordpress


Finalmente vamos a hablar de otra solución de WAF para Wordpress, pero en este caso es una solución en forma de plugin mucho más simple que el firewall de Wordfence Security o el firewall de NinjaFirewall.

QueryWall Firewall realmente se llama QueryWall: Plug´n Play Firewall, pero vamos a llamarle QueryWall Firewall o QueryWall para abreviar.

QueryWall Firewall es un WAF simple, de hecho, a sí mismo se define como firewall autopilotado, es decir, automáticamente gestionado y que casi no necesita intervención por parte del administrador del sitio web, pero evidentemente no es una solución tan configurable y flexible como las dos alternativas anteriores.

Lo que ves en la siguiente imagen es TODA la configuración y control que tiene QueryWall Firewall:

firewall wordpress

En el listado mostrado se añaden las URL bloqueadas, pero el plugin no permite controlar de ninguna forma los elementos que aparecen en su base de datos ni configurar una lista blanca para posibles exclusiones.
Álvaro Fontela
Álvaro Fontela

Alvaro Fontela es consultor WordPress especializado en WPO y rendimiento web, además de co-fundador y CEO de Raiola Networks.

Artículos relacionados

Si te ha gustado este post, aquí tienes otros que pueden ser de tu interés. ¡No dejes de aprender!

Tenemos 4 comentarios en WAF para Wordpress (Web Application Firewall)
Avatar del autor del comentario

Paul

29/04/2016 a las 20:13

Hol Alvaro, no había visto este artículo publicado donde hablas precisamente de NinjaFirewall, un plugin del que nadie habla pero que es oro puro para bloquear a los que van con malas intenciones. Eso si, su configuración es delicada y no apta para cualquier tipo de usuarios.

El mismo log de actividad de este plugin te ofrece cantidad de información y pone de manifiesto que los chicos malos están ahí todos los dían dandote cariño aunque no los veas, y como te despistes te cuelan un gol. Que te voy a contar a ti.

La versión pro de este plugin te permite el bloqueo por países, herramienta que he probado con éxito en algunos escenarios.

Un saludo.

Responder
Avatar del autor del comentario

Daniel

20/05/2020 a las 03:46
Que tal Alvaro, muy interesante articulo. Una pregunta, es recomendable usar un Cloud Firewall como sucuri o cloudflare en conjunto con Wordfense Extended Protection o NinjaFirewall? ¿Se pueden usar ambos?
Responder
Avatar del autor del comentario

Alvaro Fontela

22/05/2020 a las 12:14
Hola Daniel, pueden combinarse perfectamente, aunque yo actualmente te recomendaría mas NinjaFirewall que WordFence.
Responder
Avatar del autor del comentario

Angel

09/03/2022 a las 09:51
Hola Alvaro, viendo tu MasterClass, recomiendas un plugin de seguridad pero no llego a entender cual es.

Me lo podrías indicar?

Gracias.
Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *