WAF para Wordpress (Web Application Firewall)
- ModSecurity como WAF para Apache
- WAF de Wordfence para Wordpress
- NinjaFirewall para Wordpress
- QueryWall Firewall para Wordpress
Wordpress es seguro, pero es tan usado y conocido que eso puede ser un problema, y en muchos casos la seguridad de Wordpress realmente se ve comprometida porque hay mucha gente buscando fallos de seguridad, y donde en otros CMS tardan años en aparecer, en Wordpress aparecen los fallos semanalmente, aunque también debemos decir, que siempre que aparecen se corrigen rápidamente.
Si, además, unimos a esto, los plugins y los themes, nos encontramos con la difícil tarea (en algunas ocasiones) de tener todo completamente actualizado y parcheado para que ninguna vulnerabilidad conocida nos afecte.
Para intentar mejorar la seguridad de una web podemos usar un WAF, un WAF es un Web Application Firewall, comúnmente llamado firewall de aplicación.
Con un WAF conseguimos proteger nuestro sitio web de ejecuciones de código que puedan realizarse desde el exterior a través del protocolo HTTP o HTTPS, para esto se analizan las URL y los parámetros incluidos en las URL para que ningún visitante pueda desencadenar un problema de seguridad permitiendo la inyección de código o la subida de archivos al servidor.
En el caso de Wordpress, existen WAF en forma de plugins que ayudan a bloquear vulnerabilidades conocidas y desconocidas, aunque los WAF también hacen que algunas funcionalidades de un sitio web no funcionen como deberían si no añadimos exclusiones.
ModSecurity como WAF para Apache
ModSecurity es un módulo para Apache y Nginx que permite configurar reglas o patrones que nos permiten implementar un WAF en nuestro servidor web.
Un ejemplo de reglas preconfiguradas que podemos usar para ModSecurity son las reglas de COMODO o las reglas gratuitas de OWASP para ModSecurity.
Si no quieres implementar ModSecurity en tu servidor o no tienes los suficientes conocimientos para hacerlo, siempre puedes usar el WAF de un servicio externo como CloudFlare (que puede llegar a funcionar como ModSecurity).
En Raiola Networks todos nuestros servidores de hosting compartido, hosting reseller, hosting elastico y hosting SEO implementan en Apache el módulo ModSecurity con las reglas de COMODO y las reglas personalizadas que nos ofrece el antimalware PyxSoft.
PyxSoft incluye reglas para ModSecurity específicas para Wordpress, lo que nos permiten ofrecer un poco más de seguridad a nuestros clientes en las plataformas mencionadas anteriormente.
WAF de Wordfence para Wordpress
En este blog ya hemos hablado varias veces de Wordfence y de todas sus ventajas, de hecho, en varias ocasiones hemos dedicado artículos y videotutoriales a enseñar cómo utilizar Wordfence para realizar algunas tareas de desinfección, limpieza y securizacion de un sitio web creado con Wordpress.
- Como limpiar malware con Wordfence Security en Wordpress: https://raiolanetworks.com/blog/como-limpiar-malware-en-wordpress-con-wordfence/
- Como configurar Wordfence Security en Wordpress: https://raiolanetworks.com/blog/guia-de-seguridad-para-wordpress/
Recientemente, Wordfence Security para Wordpress ha cambiado y ha empezado a incluir un firewall de aplicación en su instalación predeterminada, un firewall que aún no esta tan madura como otras alternativas (como NinjaFirewall por ejemplo), pero que realmente complementan muy bien las funcionalidades que ya tenía Wordfence Security.
La funcionalidad de WAF de Wordfence está bastante visible, tan solo tenemos que dirigirnos al submenú de Wordfence en el panel de administración de Wordpress para encontrarnos con la opción.
Una vez que estamos dentro de la sección de Firewall de Wordfence Security podremos ver la pantalla de configuración del firewall:
El Firewall de Wordfence Security tiene varios modos de funcionamiento, pero está adaptado a funcionar en diferentes entornos y con diferentes configuraciones.
La funcionalidad de Firewall tiene tres modos de funcionamiento:
- Enable and Protecting: Con este modo, el firewall de Wordfence analiza todas las peticiones y utiliza la base de datos propia del plugin para detectar y bloquear ataques siguiendo las reglas preconfiguradas por los desarrolladores.
- Learning Mode: El firewall aprende y añade a la lista blanca las peticiones legitimas mientras que bloquea ataques, teóricamente este modo ayuda a prevenir falsos positivos si lo mantenemos activo durante al menos una semana antes de activar el modo “Enable and Protecting”.
- Disable: Como su nombre indica, mantiene el firewall de Wordfence Security totalmente desactivado, como si no tuviera efecto.
En el momento de escribir este artículo, las reglas de la comunidad de Wordfence utilizadas en el modo “Enable and Protection” son estas:
Para poner a funcionar el firewall de Wordfence, debemos seguir un proceso simple, en primer lugar, debemos activar durante al menos una semana el modo “Learning Mode” para que aprenda cuales son las visitas normales y cuales son ataques, y finalmente pasado ese tiempo podemos activar el modo “Enable and Protecting”.
Por otro lado, Wordfence Security Firewall tiene un sistema que permite varios niveles de protección dependiendo de la implementación que podamos hacer en nuestro servidor, como es común en este tipo de aplicaciones WAF.
Por un lado tenemos el “Basic Wordpress Protection” y por otro lado tenemos el “Extended Protection” que permite la protección completa.
NinjaFirewall para Wordpress
Esta es otra solución de WAF para Wordpress bastante desconocida, pero que ayuda mucho a proteger cualquier sitio web bloqueando las peticiones malintencionadas.
NinjaFirewall usa más o menos el mismo sistema para proteger que el firewall de Wordfence Security, pero con otra base de datos de detecciones, que por otro lado lleva mucho más tiempo en el mercado que la solución de Wordfence y por lo tanto está más madura.
NinjaFirewall, al igual que en el caso de Wordfence, es un plugin completamente gratuito y puede ser descargado desde el repositorio de plugins de Wordpress, de hecho, después de instalarlo se añade una nueva pantalla/sección al back-end de Wordpress:
NinjaFirewall requiere cierta configuración para conseguir hacer algo con él, de hecho, para funcionar necesita controlar el archivo php.ini y el .htaccess con el fin de conseguir bloquear peticiones sin necesidad de tener un servicio instalado en el sistema.
Al igual que en Wordfence, debemos especificar una configuración diferente dependiendo del servidor web que utilicemos y de la forma de funcionar que tenga el intérprete PHP:
Si hacemos bien la configuración nos saldrá una pantalla como esta:
Soy consciente de que la configuración de NinjaFirewall es bastante compleja, de hecho, es la solución de WAF para Wordpress más configurable y completa que he visto hasta el momento, esto no quiere decir que sea la mejor solución, pero sí que es una solución más acertada para usuarios avanzados que quieran realizar sus propias configuraciones sin tener que usar configuraciones ya hechas como es el caso del WAF de Sucuri.
NinjaFirewall es incluso más que un WAF, ya que tiene utilidades para prevenir cambios en los archivos de Wordpress y en los archivos de los plugins, como buen firewall también permite prevenir y mitigar ataques de fuerza bruta contra las distintas partes de Wordpress e incluso tiene una utilidad que permite analizar en busca de código malicioso o sospechoso todos los archivos de la instalación.
QueryWall Firewall para Wordpress
Finalmente vamos a hablar de otra solución de WAF para Wordpress, pero en este caso es una solución en forma de plugin mucho más simple que el firewall de Wordfence Security o el firewall de NinjaFirewall.
QueryWall Firewall realmente se llama QueryWall: Plug´n Play Firewall, pero vamos a llamarle QueryWall Firewall o QueryWall para abreviar.
QueryWall Firewall es un WAF simple, de hecho, a sí mismo se define como firewall autopilotado, es decir, automáticamente gestionado y que casi no necesita intervención por parte del administrador del sitio web, pero evidentemente no es una solución tan configurable y flexible como las dos alternativas anteriores.
Lo que ves en la siguiente imagen es TODA la configuración y control que tiene QueryWall Firewall:
En el listado mostrado se añaden las URL bloqueadas, pero el plugin no permite controlar de ninguna forma los elementos que aparecen en su base de datos ni configurar una lista blanca para posibles exclusiones.
Deja una respuesta
Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *