¿Qué es un firewall de aplicaciones web y cómo protege su sitio de WordPress?

Publicado: 2020-02-17

Los sitios web están expuestos a muchas amenazas. Existen inyecciones de malware, vulnerabilidades de complementos, ataques distribuidos de denegación de dervicio (DDoS) y ataques de fuerza bruta, y muchas otras posibilidades aterradoras. Sin un firewall de aplicaciones web (WAF) u otras medidas de seguridad, deja su sitio de WordPress abierto a la posibilidad de pérdida de datos y otras repercusiones graves.

Cuando se trata de proteger su sitio web, un WAF es uno de los mejores tipos de protección que puede implementar. En este artículo, desglosaremos qué es esta herramienta, cómo funciona y los diferentes tipos disponibles. Luego, repasaremos algunas formas en que puede configurar uno para WordPress.

¡Pongámonos a trabajar!

Suscríbete a nuestro canal de Youtube

¿Qué es un WAF (y cómo funciona)?

Un WAF utiliza "reglas" para ayudar a proteger su sitio web contra tipos específicos de amenazas. Estos posibles ataques incluyen inyecciones de SQL, secuencias de comandos entre sitios (XSS), manipulación de sesiones, ataques DDoS y más. Dicho esto, un firewall es solo una parte de una estrategia de seguridad completa.

Los distintos tipos de WAF utilizan procedimientos ligeramente diferentes para disuadir el tráfico malicioso. Sin embargo, para resumirlo en los términos más simples posibles, funciona así:

  1. Un usuario intenta acceder a su sitio haciendo clic en un enlace o escribiendo una URL en su navegador. Esto envía una solicitud HTTP a su servidor.
  2. Su WAF intercepta esta solicitud y la analiza para determinar si el usuario infringe alguna de sus reglas predeterminadas.
  3. Si no se infringe ninguna regla, la solicitud del usuario se transmite a su servidor, que devuelve el contenido solicitado. En el caso de que su dirección IP esté en la lista negra o su actividad sea sospechosa, su WAF los bloqueará.

La principal ventaja de un WAF es la capacidad de implementar nuevas reglas rápidamente. En la mayoría de los casos, los firewalls modernos utilizan una combinación de listas blancas y negras, lo que se conoce como modelo híbrido. Sin embargo, hay algunos que se basan exclusivamente en uno u otro método.

Con un enfoque de lista blanca, su firewall rechazará todas las solicitudes, excepto aquellas que provengan de direcciones IP aprobadas previamente. La lista negra permitirá que la mayoría de los usuarios pasen por defecto, excepto aquellos que elija bloquear. Esto se puede utilizar para desviar el tráfico que muestra un comportamiento coherente con la inyección de SQL, XSS y otros ataques.

3 tipos diferentes de WAF explicados

Más allá de los tipos de reglas que utilizan, los WAF también funcionan en tres niveles diferentes:

  • Nivel de red. Los WAF de red funcionan a nivel local y generalmente involucran soluciones de hardware personalizadas, por lo que tienden a ser muy costosos. Sin embargo, causan menos retraso para los usuarios.
  • Nivel de anfitrión. Este tipo de WAF generalmente viene como un módulo o complemento instalado en su servidor. Es un enfoque mucho más económico que las soluciones a nivel de red, pero consume algunos de los recursos de su servidor.
  • Nivel de nube. Los WAF en la nube tienden a funcionar con un modelo de software como servicio (SaaS). Por lo general, paga una suscripción y, a su vez, obtiene acceso a una solución que puede implementar rápidamente a través de su Sistema de nombres de dominio (DNS). Con este enfoque, el rendimiento de su servidor no debería verse afectado, y el proveedor de servicios generalmente se encarga de actualizar las reglas por usted.

Los tres tipos de WAF están disponibles para los usuarios de WordPress a través de diferentes medios, como exploraremos a continuación.

Cómo implementar un WAF para su sitio de WordPress (3 enfoques posibles)

Hay muchas formas de implementar un WAF para su sitio web sin tener que configurar una solución de hardware. Aquí hay tres métodos que quizás desee considerar.

1. Instale y active un complemento de seguridad de WordPress

Los complementos de seguridad de WordPress que ofrecen la funcionalidad WAF se incluyen en la categoría de soluciones a nivel de host. En otras palabras, son software que configura en su servidor para interceptar y filtrar el tráfico de su sitio.

La desventaja de este enfoque es que requiere el uso de los recursos de su servidor. Hemos explorado el impacto en el rendimiento de los complementos en el pasado, por lo que podemos decir con certeza que este enfoque ralentizará su sitio web.

Dicho esto, este método también suele ser relativamente asequible y muy fácil de configurar si no tienes experiencia técnica. Tanto Wordfence Security como All-In-One WP Security & Firewall incluyen soluciones WAF para principiantes.

Wordfence, por ejemplo, le permite incluir conexiones en la lista negra mediante un conjunto de reglas altamente personalizables:

Configuración de Wordfence para bloquear conexiones.

All-In-One WP Security, por otro lado, incluye funciones de listas blancas y negras para que pueda emplear un enfoque híbrido. Para una máxima eficacia, querrá investigar un poco sobre qué tipos de conexiones debe permitir o bloquear.

2. Regístrese para una solución WAF de terceros

Los servicios WAF de terceros a menudo se integran con su sitio web a través de su configuración de DNS, lo que significa que tienden a caer en la categoría de una solución a nivel de nube. Cloudflare es un excelente ejemplo de esto.

Si usa un plan premium de Cloudflare, no solo obtiene acceso a una Red de entrega de contenido (CDN), sino también a un WAF integrado:

Tabla de precios de Cloudflare.

Si está utilizando un WAF que opera bajo un modelo SaaS, es probable que tenga acceso a una solución llave en mano. Eso significa que se encarga de configurar reglas personalizadas y mantiene su propia base de datos de amenazas para asegurarse de que cubre tantos tipos de ataques como sea posible. Cloudflare, en general, también ofrece reglas específicas de WordPress, lo que lo convierte en una opción principal.

La desventaja de este enfoque es el precio, por supuesto. Los WAF a nivel de nube son un gasto continuo. Para algunos, esto significa que generalmente solo valen la pena para los sitios web que generan ingresos recurrentes.

3. Elija un proveedor de alojamiento que ofrezca un WAF

Algunos servidores web hacen un esfuerzo adicional y ofrecen WAF a nivel de red integrados en sus planes o soluciones de terceros como extras. Como regla general, tendrá que pagar una prima por este tipo de servicio, forma en que uno u otro.

Tomemos a Pagely, por ejemplo. Es una de las mejores opciones para el alojamiento administrado de WordPress y ofrece protección WAF para sus usuarios. Sin embargo, sus planes no son lo que llamarías económicos:

Algunos ejemplos de planes de Pagely.

Otros hosts, como Liquid Web, ofrecen integrar WAF de terceros en su plan de hospedaje como un extra mensual. Si está buscando una empresa que le permita configurar un WAF manualmente sin que le cueste un brazo y una pierna, sus mejores opciones son el servidor privado virtual (VPS) o los proveedores de alojamiento en la nube.

Amazon Web Services (AWS), por ejemplo, le permite implementar un WAF. Sin embargo, le cobra según la cantidad de reglas que implemente y la cantidad de solicitudes que reciba.

Conclusión

En la práctica, un WAF actúa como una barrera entre su sitio web y diferentes tipos de ataques. Puede incluir el tráfico en una lista negra o en una lista blanca, según el modelo que desee utilizar. Sin embargo, el resultado final es prácticamente el mismo: tiene un sitio más seguro.

Como usuario de WordPress, hay tres formas principales de proteger su sitio web mediante un WAF:

  1. Instale un complemento de seguridad de WordPress: el enfoque más económico, pero generalmente requiere que configure las reglas por su cuenta.
  2. Regístrese para una solución WAF de terceros: debe pagar una tarifa mensual, pero el servicio generalmente se encarga de todo el trabajo por usted.
  3. Elija un proveedor de alojamiento que ofrezca un WAF: los proveedores de alojamiento que ofrecen WAF tienden a ser bastante caros, pero algunas opciones le permiten configurar el suyo propio.

¿Tiene alguna pregunta sobre cómo implementar un WAF en WordPress? ¡Hablemos de ellos en la sección de comentarios a continuación!

Imágenes en miniatura del artículo de Ico Maker / shutterstock.com