Qué es un WAF y cómo protege tu WordPress

por | Nov 3, 2020 | Seguridad WordPress

Qué es un WAF y cómo protege tu WordPress

Qué es un WAF

(Web Application Firewall), es un software que se puede ejecutar dentro del sevidor web, o antes de que el tráfico HTTP llegue al servidor web, y que analiza todo el tráfico HTTP y bloquea algunas peticiones (o respuestas del servidor) si las considera maliciosas.

La función de un WAF es proteger a los visitantes de la web, para que no ejecuten código malicioso, y al administrador de la web para que no puedan explotar fácilmente las vulnerabilidades de su web.

WordPress es un sistema muy potente, y muy conocido y extendido. Precisamente por ser tan popular y extendido, puede ser blanco de atacantes maliciosos, que lo ven como una oportunidad para llevar a cabo sus acciones delictivas sobre un gran número de páginas web.

Imagina que hay 1 millón de webs usando el plugin Yoast SEO, si un buen día se encuentra una vulnerabilidad en ese plugín que permite el control total de la web a través de peticiones creadas de forma maliciosa, ese millón de webs, pasarán a ser un blanco para los atacantes el mismo día en que esa vulnerabilidad sea descubierta.

La solución sería actualizar el plugin, ya que normalmente los creadores de los plugins suelen actualizar rápidamente con los problemas corregidos.

Pero todos sabemos que la gente no siempre mantiene todo actualizado, por lo que esto sería un grave problema.

 

Para evitar hackeos de Webs masivos, se usa un WAF, uno de los más populares (el que usamos en Webempresa) es ModSecurity.

Con Modsecurity se puede desarrollar un parche para la vulnerabilidad de “Yoast Seo” y hacer que, aunque no estés actualizado, no puedan hackear tu web, por que el WAF lo parará antes de llegar a tu WordPress.

Modsecurity

Una de las cosas que hace el WAF, es parar determinados User-Agents que producen cargas innecesarias en el servidor. Un User-Agent es el nombre del software que realiza las peticiones hacia la web.

Algunos robots que se pueden descargar de la web, pueden sobrecargar un servidor simplemente realizando miles de consultas sobre esta.

Si el que usa la herramienta no tiene cierta experiencia no cambiará el User-Agent de la herramienta, y el WAF lo bloqueará.

WPDoctor realiza una verificación enviando una petición al servidor con un User-Agent que es habitualmente bloqueado por un WAF y así detecta si tu instalación está usando un WAF o no.

Por último aconsejarte, que no dejes para el último momento la seguridad en tu WordPress. Es mucho mejor prevenir cualquier ataque y que nos cueste un disguto.