Los firewalls de WordPress son firewalls de aplicaciones web (WAFs) diseñados específicamente para proteger sitios de WordPress. Los firewalls de WordPress que utilizamos y avalamos son Sucuri, Malcare y BBQ: Block Bad Queries.

Los WAFs son relativamente nuevos en la industria de la seguridad web. Así que hemos escrito esta guía para explicar qué son los firewalls y cómo han evolucionado hasta convertirse en WAFs. También destaca los diferentes tipos de firewalls para WordPress disponibles en el mercado y cómo funcionan.

El concepto de firewalls

Un firewall es un software o servicio de seguridad que se instala entre dos o más redes para controlar tanto el tráfico entrante como el saliente de cada red. Actúa como una barrera entre una red de confianza y otra que no lo es.

En una configuración típica, un cortafuegos se instala entre una conexión a Internet y una red interna. Se utiliza para proteger la red de los ataques entrantes de Internet. También se utiliza para controlar quién puede acceder a Internet. Si utilizas un router WiFi en tu casa, el router es el cortafuegos de tu casa. Hoy en día, casi todos los routers Wi-Fi domésticos tienen un cortafuegos incorporado.

Evolución hacia los cortafuegos de aplicaciones web

Primera generación de cortafuegos: filtrado de paquetes

Originalmente, los cortafuegos estaban diseñados para controlar y bloquear el tráfico de la red. Sólo hacían filtrado de paquetes y no entendían la carga útil del tráfico. Así que si usted alojaba un sitio web en su red tenía que abrir el puerto 80 a través del cortafuegos para el público.

Una vez que se abre un puerto el cortafuegos permite cualquier tipo de tráfico entrante a través de él, incluyendo el tráfico malicioso.

Cortafuegos de segunda generación – Filtrado con estado

La segunda generación de cortafuegos operaba en la capa 4 del modelo OSI. Esto significa que podían determinar el tipo de conexión que están manejando. Por ejemplo, si un paquete está abriendo una nueva conexión o si ya se ha establecido una conexión, etc.

Aún así, los cortafuegos de segunda generación tenían muchas limitaciones para controlar el tráfico. Aunque al menos los administradores podían crear reglas de cortafuegos basadas en los estados de las conexiones.

Cortafuegos de tercera generación: filtrado de la capa de aplicaciones

Los cortafuegos actuales se introdujeron a mediados de los años noventa. La tecnología de los cortafuegos modernos entiende de aplicaciones y protocolos. Así, los cortafuegos de tercera generación pueden entender si la carga útil de un paquete es para un servidor FTP y cuál es la solicitud, o si es una solicitud de conexión HTTP y cuál es la solicitud.

Esta tecnología condujo al desarrollo de cortafuegos de ámbito único, como los cortafuegos de aplicaciones web.

Firewalls de aplicaciones web / Firewalls de WordPress

Los firewalls de aplicaciones web son firewalls de alcance único. Su función en una red es proteger un sitio web de los ataques maliciosos de los hackers.

Un firewall de WordPress es un firewall de aplicaciones web diseñado específicamente para proteger WordPress. Cuando un firewall de WordPress se instala en su sitio de WordPress, se ejecuta entre su sitio e Internet para analizar todas las solicitudes HTTP entrantes.

Cuando una solicitud HTTP contiene una carga útil maliciosa, el firewall de WordPress interrumpe la conexión.

¿Cómo funcionan los firewalls de WordPress?

La forma en que un firewall de WordPress detecta las solicitudes maliciosas es similar a cómo el software de malware detecta las infecciones de malware. Utilizan una lista de ataques conocidos llamados firmas, y cuando la carga útil de una petición HTTP coincide con una firma significa que la petición es maliciosa.

La mayoría de los cortafuegos de WordPress no permiten modificar las firmas de ataque. Pero los cortafuegos de aplicaciones web no centrados en WordPress son altamente configurables. Puede adaptarlos específicamente a su sitio, ya sea WordPress o una solución personalizada. Puedes crear tu propio conjunto de reglas de seguridad, excepciones, etc. Sin embargo, hay que tener mucho cuidado al configurar un cortafuegos de aplicaciones web para no bloquear el tráfico legítimo.

Algunos cortafuegos de aplicaciones web también tienen tecnología de aprendizaje automático. Esta tecnología heurística analiza el tráfico de su sitio web para aprender qué es tráfico legítimo y qué no lo es.

Diferentes tipos de cortafuegos de WordPress

Cortafuegos de WordPress Plugins

La mayoría de los cortafuegos de WordPress autoalojados son plugins de WordPress. Cuando instalas un plugin firewall, cada petición HTTP enviada a tu sitio web se procesa de la siguiente manera:

• Primero la recibe el servicio del servidor web (Apache o Nginx).
• Entonces se dispara el bootstrap/load de WordPress que inicializa WordPress (wp-config.php, inicializa la conexión a la base de datos, la configuración de WordPress, etc).
• Antes de que la solicitud sea realmente procesada por WordPress, es analizada por el plugin de firewall de WordPress.

Los plugins de firewall de WordPress son ideales para las PYMES porque son muy asequibles y fáciles de usar. Además, la mayoría de ellos llevan incorporados escáneres de malware. Sin embargo, estos cortafuegos se ejecutan en su sitio, y son inicializados por WordPress. Por lo tanto, si hay una vulnerabilidad en su sitio antes de que el firewall se inicialice, es probable que los atacantes puedan obtener acceso completo a su sitio de WordPress.

Firewalls de aplicaciones web de WordPress dedicados en el sitio

Los firewalls de aplicaciones web genéricos también pueden ser utilizados como firewalls de WordPress. Estos pueden ser un dispositivo de hardware dedicado o un software.

Los firewalls de aplicaciones web genéricos se instalan entre su sitio de WordPress y la conexión a Internet. Así que cada petición HTTP enviada a su sitio de WordPress pasa primero a través del WAF. Estos WAFs son sin duda una solución más segura que los plugins de firewall de WordPress. Sin embargo, son caros y se requieren conocimientos técnicos específicos para gestionarlos. Así que no suelen ser utilizados por las pequeñas empresas.

Firewalls de sitios web de WordPress en línea

A diferencia de los plugins de firewall de WordPress autoalojados o el dispositivo, un firewall de WordPress en línea no necesita ser instalado en la misma red de su servidor web. Es un servicio en línea que actúa como un servidor proxy – el tráfico de su sitio web pasa a través de él para el filtrado y luego se reenvía a su sitio web.

Cuando se utiliza un firewall de WordPress en línea se configuran los registros DNS de su dominio para apuntar al WAF en línea. Esto significa que los visitantes de su sitio web realmente se comunican con el firewall de WordPress en línea y no directamente con su sitio de WordPress.

Típicamente un firewall en línea tiene más de un alcance. Aparte de proteger su sitio de WordPress de los ataques de hackers también puede servir como un servidor de caché y CDN. Los firewalls de aplicaciones web en línea también son muy asequibles en comparación con los firewalls de aplicaciones web genéricos autoalojados.

Los firewalls en línea se pueden eludir

Una limitación conocida de los firewalls de WordPress en línea es que su servidor web tiene que ser accesible a través de Internet para que el WAF reenvíe el tráfico a su sitio de WordPress. Esto significa que todo el mundo puede seguir comunicándose directamente con su servidor web si conocen su dirección IP.

Así que en un ataque no dirigido a WordPress, durante el cual los atacantes simplemente escanean redes enteras en busca de sitios vulnerables, su servidor web y su sitio siguen siendo accesibles directamente. Sin embargo, siempre puede configurar el cortafuegos de su servidor para que sólo responda al tráfico procedente del cortafuegos de WordPress en línea para no ser víctima de este tipo de ataques.

Limitaciones genéricas de los cortafuegos de WordPress

Protección limitada contra vulnerabilidades de día cero

Una de las técnicas de protección WAF más comunes es comprobar la carga útil de una petición HTTP con una base de datos de firmas. Así, cuando alguien visita su sitio web, el WAF comprueba la carga útil con una base de datos de ataques web conocidos. Si coincide significa que es malicioso, si no lo deja pasar.

Por lo tanto, en caso de una vulnerabilidad de día cero en WordPress hay posibilidades de que su firewall de WordPress no bloquee el ataque. Por este motivo, la capacidad de respuesta del proveedor es crucial y siempre debe utilizar software de empresas que respondan y sean de confianza. Cuanto antes actualice el proveedor las reglas del cortafuegos, mejor será.

El cortafuegos de aplicaciones web se salta

Los cortafuegos de aplicaciones web son como cualquier otro software. Tienen sus propios problemas y pueden tener vulnerabilidades. De hecho, se puede encontrar un gran número de libros blancos y artículos que hablan de las técnicas utilizadas para eludir la protección de los cortafuegos de aplicaciones web. Pero, de nuevo, mientras el proveedor sea receptivo y remedie estos problemas de manera oportuna, todo es bueno.

¿Deberías usar un firewall para WordPress?

¡Definitivamente! Qué firewall de WordPress debe utilizar? Cada firewall de WordPress tiene sus pros y sus contras, así que elige el que mejor se adapte a tus necesidades. Sin embargo, incluso cuando tengas un firewall de WordPress, no bajes la guardia.

No hay ninguna solución a prueba de balas cuando se trata de la seguridad de WordPress. Así que siempre debe endurecer > Monitorear > Mejorar > Probar. Mantenga un registro de actividad en su sitio de WordPress, implemente una solución de copia de seguridad de WordPress sólida como una roca y utilice un firewall de WordPress. Estos son los que recomendamos y con los que nos gusta trabajar:

• Malcare WordPress firewall and malware scanner plugin
• Sucuri online WordPress firewall and security platform
• BBQ: Block Bad Queries WordPress firewall plugin