Cómo proteger su WordPress Sitio con reglas de firewall de Cloudflare

Escrito por

Si es un webmaster que tiene un blog o un sitio web en WordPress, lo más probable es que la seguridad web sea una de sus principales prioridades. Siempre que su dominio esté habilitado para Cloudflare, puede add WordPress-reglas de cortafuegos específicas de Cloudflare para mejorar la seguridad de su sitio e incluso prevenir ataques mucho antes de que lleguen a su servidor.

Si está utilizando el plan gratuito de Cloudflare, tiene la posibilidad de agregar 5 reglas (el plan profesional le brinda 20). 

Cloudflare hace que sea fácil y rápido crear reglas de firewall, y cada regla ofrece una flexibilidad asombrosa: no solo puede hacer mucho con cada regla, sino que las reglas a menudo se pueden consolidar, liberando espacio para que pueda hacer aún más.

reglas del cortafuegos de cloudflare

En este artículo, analizaré en profundidad algunas de las diferentes reglas de firewall que puede aplicar para complementar y mejorar su WordPress características de seguridad existentes del sitio.

Resumen: Cómo proteger su WordPress sitio web con cortafuegos Cloudflare

  • Firewall de aplicaciones web (WAF) de Cloudflare es una herramienta de software que le permite proteger su WordPress . 
  • Las reglas de firewall de Cloudflare le permiten solicitudes de lista negra o lista blanca de acuerdo con los criterios flexibles que usted establezca. 
  • A crear una protección hermética para su WordPress web oficial, con Cloudflare puede: incluir en la lista blanca su propia dirección IP, proteger su área de administración, bloquear visitantes por región o país, bloquear bots maliciosos y ataques de fuerza bruta, bloquear ataques XML-RPC y evitar comentarios no deseados.

Incluya en la lista blanca su propia dirección IP

Para evitar problemas en el futuro, incluir en la lista blanca la dirección IP de su propio sitio web debe ser la primera tarea en su lista antes habilita cualquier regla de firewall.

Por qué y cómo incluir en la lista blanca su dirección IP en Cloudflare

Esto se debe principalmente a que podría quedarse fuera de su propio sitio web si elige bloquear su WordPress área de administración de otros.

Para incluir en la lista blanca la dirección IP de su sitio web, vaya a la sección Seguridad del panel de control de Cloudflare y seleccione "WAF". Luego haga clic en "Herramientas" e ingrese su dirección IP en el cuadro "Reglas de acceso IP", y elija "lista blanca" en el menú desplegable.

dirección IP propia de la lista blanca de cloudflare

Para encontrar su dirección IP puede hacer un Google busque "cuál es mi IP" y le devolverá su dirección IPv4, y si necesita su IPv6, puede ir a https://www.whatismyip.com/

Recuerda que si su dirección IP cambia, tendrá que volver a ingresar o incluir en la lista blanca su nueva dirección IP para evitar que se le bloquee el acceso a su área de administración.

Además de incluir en la lista blanca la dirección IP exacta de su sitio, también puede optar por incluir en la lista blanca todo su rango de IP.

Si tiene una dirección IP dinámica (es decir, una dirección IP que está configurada para cambiar levemente continuamente), entonces esta es definitivamente la mejor opción para usted, ya que volver a ingresar constantemente y agregar nuevas direcciones IP a la lista blanca sería una gran molestia.

Tú también puedes lista blanca de todo su país. 

Esta es definitivamente la opción menos segura ya que potencialmente deja su área de administración abierta a ataques provenientes de su país.

Sin embargo, si viaja mucho por trabajo y a menudo se encuentra accediendo a su WordPress sitio desde diferentes conexiones Wi-Fi, incluir su país en la lista blanca puede ser la opción más conveniente para usted.

Tenga en cuenta que cualquier dirección IP o país que haya incluido en la lista blanca estará exento de todas las demás reglas de firewall y, por lo tanto, no tiene que preocuparse por establecer excepciones individuales con cada regla.

Protección WordPress Panel de control (el área de administración de WP)

Ahora que ha incluido en la lista blanca su dirección IP y/o país, es el momento para bloquear su panel de administración de wp-admin firmemente para que solo usted pueda acceder a él.

Por qué y cómo proteger la WordPress Tablero en Cloudflare

No hace falta decir que no desea que personas ajenas desconocidas puedan acceder a su área de administración y realizar cambios sin su conocimiento o permiso.

Como tal, deberá crear una regla de firewall que impida el acceso externo a su tablero.

Sin embargo, antes bloqueas tu WordPress tablero, tendrás que hacer dos excepciones importantes.

  1. /wp-admin/admin-ajax.php. Este comando permite que su sitio web muestre contenido dinámico y, por lo tanto, ciertos complementos deben acceder desde el exterior para poder funcionar. Como tal, a pesar de que está almacenado en la carpeta /wp-admin/, debe ser accesible desde el exterior si no desea que su sitio web muestre mensajes de error a los visitantes.
  2. /wp-admin/theme-editor.php. Este comando habilita WordPress para ejecutar una comprobación de errores cada vez que cambie o edite el tema de su sitio. Si olvida agregar esto como una excepción, sus cambios no se guardarán y recibirá un mensaje de error que dice: "No se pudo comunicar con el sitio para verificar errores fatales".

Para crear una regla de firewall, primero vaya a Seguridad > WAF en su panel de control de Cloudflare, luego haga clic en el botón "Crear regla de firewall".

Cloudflare protege el panel de control de wp-admin

Para agregar estas excepciones al proteger el área del panel de control de wp-admin, deberá crear esta regla:

  • Campo: Ruta URI
  • Operador: contiene
  • Valor: /wp-admin/

[Y]

  • Campo: Ruta URI
  • Operador: no contiene
  • Valor: /wp-admin/admin-ajax.php

[Y]

  • Campo: Ruta URI
  • Operador: no contiene
  • Valor: /wp-admin/theme-editor.php

[Acción: Bloquear]

Cuando hayas terminado, haz clic "Desplegar" para establecer su regla de firewall.

Alternativamente, puede hacer clic en "Editar expresión" y pegar lo siguiente en:

(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")

Bloquear países/continentes

Al igual que puede incluir un país en la lista blanca para acceder a su panel de administración.

Tú también puedes establezca una regla de firewall para que los países de la lista negra e incluso continentes enteros no puedan ver o acceder a su sitio.

Por qué y cómo bloquear países/continentes en Cloudflare

¿Por qué querrías bloquear el acceso de todo un país o continente a tu sitio?

Bueno, si su sitio web está sirviendo a un país o región geográfica en particular y no es relevante a nivel mundial, entonces bloquear el acceso desde países y/o continentes irrelevantes es una manera fácil de limitar el riesgo de ataques de malware y tráfico malicioso procedente del extranjero, sin bloquear nunca el acceso al público objetivo legítimo de su sitio web.

Para crear esta regla, deberá volver a abrir su panel de control de Cloudflare e ir a Seguridad > WAF > Crear regla de firewall.

Para cambiar la configuración para permitir solo países específicos, ingrese lo siguiente:

  • Campo: País o Continente
  • Operador: “Está en”
  • Valor: Elija los países o continentes que desea lista blanca

(Nota: si desea permitir el tráfico solo desde un país, puede ingresar "igual" como operador).

Si elige bloquear países o continentes específicos, ingrese lo siguiente:

  • Campo: País o Continente
  • Operador: “No está en”
  • Valor: Elija los países o continentes que desea bloquear

Nota: esta regla puede ser contraproducente si necesita soporte técnico y el equipo de soporte de su servidor web se encuentra en un país o continente que ha bloqueado.

Es probable que esto no sea un problema para la mayoría de las personas, pero es algo que debe tener en cuenta.

Aquí hay un ejemplo de cómo denegar el acceso a su sitio desde un país determinado, donde a los usuarios de este país se les muestra un Desafío JavaScript antes de intentar acceder a su sitio.

país de la lista negra de cloudflare

Bloquear bots maliciosos

Según su agente de usuario, Cloudflare le permite bloquear el acceso a bots maliciosos que intentan penetrar en su sitio.

Si ya está utilizando 7G, entonces no tiene que preocuparse por establecer esta regla: el 7G WAF bloquea las amenazas a nivel de servidor consultando una lista completa de bots maliciosos.

Sin embargo, si no estás usando 7G, querrá configurar una regla de firewall que identifique y bloquee los bots malos antes de que puedan causar algún daño.

Por qué y cómo bloquear bots malos en Cloudflare

Como de costumbre, primero vaya a su panel de control de Cloudflare y vaya a Seguridad > WAF > Crear regla de firewall.

Cloudflare bloquea los bots malos

Luego, configure la expresión de su regla de firewall como tal:

  • Campo: Agente de usuario
  • Operador: “Equals” o “Contains”
  • Valor: el nombre del bot malo o agente malicioso que desea bloquear

Al igual que con el bloqueo de países, los bots se pueden bloquear individualmente por nombre. Para bloquear más de un bot al mismo tiempo, use la opción "O" a la derecha para agregar bots adicionales a la lista.

Luego haz clic en "Desplegar" botón cuando haya terminado.

Sin embargo, el bloqueo manual de bots malos se ha vuelto redundante porque Cloudflare ha lanzado “Modo de lucha contra bots” para todos los usuarios gratuitos.

modo de lucha contra bots

y “Modo Super Bot Fight” para usuarios del plan Pro o Business.

modo de lucha superbot

Lo que significa que los bots malos ahora se bloquean automáticamente para todos los tipos de usuarios de Cloudflare.

Bloquear ataques de fuerza bruta (wp-login.php)

Los ataques de fuerza bruta, también conocidos como ataques wp-login, son los ataques más comunes dirigidos a WordPress sitios. 

De hecho, si observa los registros de su servidor, es probable que encuentre evidencia de tales ataques en forma de direcciones IP de diferentes lugares del mundo que intentan acceder a su archivo wp-login.php.

Afortunadamente, Cloudflare le permite establecer una regla de firewall para bloquear con éxito los ataques de fuerza bruta.

Por qué y cómo proteger wp-login.php en Cloudflare

Aunque la mayoría de los ataques de fuerza bruta son escaneos automáticos que no son lo suficientemente poderosos para pasar WordPressde defensas, sigue siendo una buena idea establecer una regla para bloquearlas y tranquilizarte.

Sin embargo, esta regla solo funciona si usted es el único administrador/usuario en su sitio. Si hay más de un administrador, o si su sitio usa un complemento de membresía, debe omitir esta regla.

bloquear wp-login.php

Para crear esta regla, vuelva a  Seguridad > WAF > Crear regla de firewall.

Después de elegir un nombre para esta regla, ingrese lo siguiente:

  • Campo: Ruta URI
  • Operador: contiene
  • Valor: /wp-login.php

[Acción: Bloquear]

Alternativamente, puede hacer clic en "Editar expresión" y pegar lo siguiente en:

(http.request.uri.path contains "/wp-login.php")

Una vez implementada la regla, Cloudflare comenzará a bloquear todos los intentos de acceder a wp-login que provengan de cualquier fuente que no sea su IP incluida en la lista blanca.

Como un beneficio adicional, puede verificar que esta protección esté en funcionamiento consultando la sección Eventos de firewall de Cloudflare, donde debería poder ver un registro de cualquier intento de ataques de fuerza bruta.

Bloquear ataques XML-RPC (xmlrpc.php)

Otro tipo de ataque un poco menos común (pero igualmente peligroso) es un Ataque XML-RPC.

XML-RPC es un procedimiento remoto que llama a WordPress, a los que los atacantes pueden apuntar potencialmente en un ataque de fuerza bruta para obtener credenciales de autenticación.

Por qué y cómo bloquear XML-RPC en Cloudflare

Aunque existen usos legítimos para XML-RPC, como publicar contenido en múltiples WordPress blogs simultáneamente o accediendo a su WordPress sitio desde un teléfono inteligente, generalmente puede implementar esta regla sin preocuparse por las consecuencias no deseadas.

bloque XML-RPC

Para bloquear ataques de fuerza bruta dirigidos a procedimientos XML-RPC, primero vaya a Seguridad > WAF > Crear regla de firewall.

Luego crea la siguiente regla:

  • Campo: Ruta URI
  • Operador: contiene
  • Valor: /xmlrpc.php

[Acción: Bloquear]

Alternativamente, puede hacer clic en "Editar expresión" y pegar lo siguiente en:

(http.request.uri.path contains "/xmlrpc.php")

Y así, con unos simples pasos, ha protegido su WordPress sitio de dos de los tipos más comunes de ataques de fuerza bruta.

Evitar comentarios no deseados (wp-comments-post.php)

Si usted es un webmaster, el spam en su sitio es solo uno de los hechos molestos de la vida.

Afortunadamente, Cloudflare Firewall ofrece varias reglas que puede implementar para bloquear muchos tipos comunes de spam, incluido el spam de comentarios.

Por qué y cómo bloquear wp-comments-post.php en Cloudflare

Si el spam de comentarios se ha convertido en un problema en su sitio (o, mejor aún, si desea evitar que se convierta en un problema de manera proactiva), puede restringir wp-comments-post.php para restringir el tráfico de bots.

Esto se hace a nivel de DNS con un Cloudflare Desafío JS, y la forma en que funciona es relativamente simple: los comentarios de spam están automatizados y las fuentes automatizadas no pueden procesar JS.

Luego fallan en el desafío JS, y listo: el correo no deseado se bloquea a nivel de DNS y la solicitud ni siquiera llega a su servidor.

bloque cloudflare wp-comentarios.php

Entonces, ¿cómo se crea esta regla?

Como siempre, vaya a la página Seguridad > WAF y seleccione "Crear regla de firewall".

Asegúrese de dar a esta regla un nombre reconocible, como "Comentario Spam".

Luego, configura lo siguiente:

  • Campo: URL
  • Operador: Igual
  • Valor: wp-comentarios-post.php

[Y]

  • Campo: Método de solicitud
  • Operador: Igual
  • Valor: POST

[Y]

  • Campo: Referidor
  • Operador: no contiene
  • Valor: [tudominio.com]

[Acción: Desafío JS]

Tenga cuidado de establecer la acción en Desafío JS, ya que esto asegurará que el comentario se bloquee sin interferir con las acciones generales del usuario en el sitio.

Una vez que haya ingresado estos valores, haga clic en "Implementar" para crear su regla.

Resumen: Asegurar su WordPress Sitio con reglas de firewall de Cloudflare

En la carrera armamentista de seguridad web, las reglas de firewall de Cloudflare son una de las armas más efectivas que tiene en su arsenal. 

Incluso con una cuenta gratuita de Cloudflare, puede implementar muchas reglas diferentes para proteger su WordPress sitio contra algunas de las amenazas más comunes de spam y malware.

Con solo unas pocas (en su mayoría) simples pulsaciones de teclas, puede aumentar la seguridad de su sitio y mantenerlo funcionando sin problemas para los visitantes.

Para obtener más información sobre cómo mejorar su WordPress seguridad del sitio, echa un vistazo a mi guía para convertir WordPress sitios a HTML estático.

Referencias

https://developers.cloudflare.com/firewall/

https://developers.cloudflare.com/fundamentals/get-started/concepts/cloudflare-challenges/

https://www.websiterating.com/web-hosting/glossary/what-is-cloudflare/

Inicio » Seguridad en línea » Cómo proteger su WordPress Sitio con reglas de firewall de Cloudflare

Únete a nuestra lista de correo

Suscríbase a nuestro boletín informativo semanal y obtenga las últimas noticias y tendencias de la industria

Al hacer clic en 'suscribirse', aceptas nuestros Términos de uso y política de privacidad.