Los sitios web están expuestos a muchas amenazas. Hay inyección de malware, vulnerabilidades de complementos, denegación de dispositivos distribuidos (DDoS) y ataques de fuerza bruta, y muchas otras posibilidades aterradoras. Sin un firewall de aplicaciones web (WAF) u otras medidas de seguridad, está exponiendo su sitio de WordPress a la posibilidad de pérdida de datos y otras consecuencias graves.
Cuando se trata de proteger su sitio web, WAF es uno de los mejores tipos de protección que puede implementar. En este artículo, describiremos qué es esta herramienta, cómo funciona y qué tipos hay disponibles. A continuación, cubriremos varias formas de configurar WordPress.
¡Vamos a trabajar!
Suscríbete a nuestro canal de YouTube
¿Qué es WAF (y cómo funciona)?
WAF utiliza «reglas» para proteger su sitio web de ciertos tipos de amenazas. Estos posibles ataques incluyen inyección SQL, Cross Site Scripting (XSS), manipulación de sesiones, ataques DDoS y más. Dicho esto, un firewall es solo una parte de una estrategia de seguridad completa.
Los diferentes tipos de archivos WAF usan procedimientos ligeramente diferentes para detener el tráfico malicioso. Sin embargo, para reducirlo a los conceptos más simples posibles, funciona así:
- Un usuario intenta acceder a su sitio web haciendo clic en un enlace o ingresando una URL en un navegador. Esto enviará una solicitud HTTP a su servidor.
- Su WAF intercepta esta solicitud y la analiza para determinar si el usuario infringe alguna de las reglas predefinidas.
- Si no se viola ninguna regla, la solicitud del usuario se reenviará a su servidor, que devolverá el contenido solicitado. En caso de que su dirección IP esté en la lista negra o su actividad sea sospechosa por otros motivos, WAF los bloqueará.
La principal ventaja de WAF es la capacidad de implementar rápidamente nuevas reglas. En la mayoría de los casos, los cortafuegos modernos utilizan una combinación de lista blanca y lista negra, conocida como modelo híbrido. Sin embargo, hay quienes se basan únicamente en uno u otro método.
Gracias al enfoque de la lista blanca, el cortafuegos rechazará todas las solicitudes excepto las de direcciones IP preaprobadas. De manera predeterminada, la lista negra permite que la mayoría de los usuarios pasen, excepto aquellos que elija bloquear. Esto se puede usar para revertir el tráfico que muestra un comportamiento consistente con la inyección de SQL, XSS y otros ataques.
Explicación de los 3 tipos diferentes de archivos WAF
Además de los tipos de reglas que utilizan, los WAF también operan en tres niveles diferentes:
- Nivel de red. Los archivos WAF de red funcionan localmente y suelen incluir soluciones de hardware personalizadas, por lo que suelen ser muy caros. Sin embargo, causan menos retrasos para los usuarios.
- Nivel de anfitrión. Este tipo de WAF generalmente se entrega como un módulo o complemento instalado en su servidor. Este es un enfoque mucho más económico que las soluciones a nivel de red, pero consume algunos recursos del servidor.
- Nivel de nubes. Cloud WAF generalmente opera en el modelo de software como servicio (SaaS). Por lo general, paga una suscripción y obtiene acceso a una solución que puede implementar rápidamente a través del Sistema de nombres de dominio (DNS). Con este enfoque, el rendimiento de su servidor no debería verse afectado y, por lo general, su proveedor de servicios actualiza las reglas por usted.
Los tres tipos de archivos WAF están disponibles para los usuarios de WordPress de diferentes maneras, que veremos a continuación.
Cómo implementar WAF en su sitio de WordPress (3 enfoques posibles)
Hay muchas formas de implementar WAF en su sitio web sin tener que configurar una solución de hardware. Aquí hay tres métodos que puede considerar.
1. Instala y activa el complemento de seguridad de WordPress
Los complementos de seguridad de WordPress que ofrecen la funcionalidad WAF se incluyen en la categoría de solución a nivel de host. En otras palabras, es un software que configura en su servidor para capturar y filtrar el tráfico del sitio web.
La desventaja de este enfoque es que requiere el uso de recursos del servidor. Hemos estudiado el impacto en el rendimiento de los complementos en el pasado, por lo que podemos decir con confianza que este enfoque ralentizará su sitio.
Dicho esto, este método suele ser relativamente económico y muy fácil de configurar si no tiene experiencia técnica. Ambas cosas Seguridad de Wordfence y Seguridad integral y firewall WP incluir soluciones WAF para principiantes.
Por ejemplo, Wordfence hace posible lista negra de llamadas utilizando un conjunto de reglas altamente personalizable:
Por otro lado, All-In-One WP Security incluye ambos: funcionalidad de lista blanca y negra para que se pueda utilizar un enfoque híbrido. Para obtener la máxima eficacia, querrá investigar un poco sobre los tipos de conexiones que deben permitirse o bloquearse.
2. Regístrese para una solución WAF de terceros
Los servicios WAF de terceros a menudo se integran con su sitio web a través de la configuración de DNS, lo que significa que generalmente se incluyen en la categoría de solución a nivel de nube. Llamarada de la nube es un ejemplo perfecto de esto.
Si está utilizando Cloudflare plan premiumobtiene acceso no solo a la red de entrega de contenido (CDN), sino también al WAF integrado:
Si usa WAF, que se ejecuta en un modelo SaaS, probablemente tenga acceso a una solución llave en mano. Esto significa que se encarga de configurar reglas personalizadas y mantiene su propia base de datos de amenazas para asegurarse de que cubra tantos tipos de ataques como sea posible. En general, Cloudflare también ofrece reglas específicas de WordPress, lo que la convierte en la mejor opción.
La desventaja de este enfoque es, por supuesto, el precio. Los archivos WAF a nivel de la nube son un gasto continuo. Para algunos, esto significa que, por lo general, solo valen para sitios que generan ingresos recurrentes.
3. Elija un proveedor de alojamiento que ofrezca WAF
Algunos proveedores de alojamiento van un paso más allá y ofrecen archivos WAF de nivel web o soluciones de terceros integradas en sus planes como complementos. Básicamente tú estarán pagar una prima por este tipo de servicio, de una forma u otra.
Tomar página, por ejemplo. Es una de las mejores opciones de alojamiento de WordPress administrado y brinda a los usuarios protección WAF. Sus planes, sin embargo, no son económicos:
Otros anfitriones como red fluida, ofrezca integrar archivos WAF de terceros en su plan de alojamiento como una bonificación mensual. Si está buscando una empresa que le permita configurar manualmente WAF sin costo alguno, los servidores privados virtuales (VPS) o los proveedores de alojamiento en la nube son su mejor opción.
Servicios en línea de Amazon (AWS), por ejemplo, le permite: implementar WAF. Sin embargo, la tarifa depende de la cantidad de reglas implementadas y la cantidad de solicitudes recibidas.
Solicitud
En la práctica, WAF actúa como una barrera entre su sitio web y varios tipos de ataques. Puede incluir el tráfico en la lista negra o en la lista blanca según el modelo que desee utilizar. Sin embargo, el resultado final es el mismo: tiene un sitio más seguro.
Como usuario de WordPress, existen tres formas principales de proteger su sitio web con WAF:
- Instale el complemento de seguridad de WordPress: El enfoque más económico, pero por lo general requiere que tú mismo establezcas las reglas.
- Regístrese para obtener una solución WAF de terceros: Debe pagar una tarifa mensual, pero el servicio generalmente hace todo el trabajo por usted.
- Elija un proveedor de alojamiento que ofrezca WAF: Los proveedores de alojamiento que ofrecen archivos WAF suelen ser bastante caros, pero algunas opciones te permiten configurar el tuyo propio.
¿Tiene preguntas sobre la implementación de WAF en WordPress? ¡Hablemos de ellos en la sección de comentarios a continuación!
Imágenes en miniatura de artículos de Ico Maker / shutterstock.com
