¿Se Puede Burlar el Cortafuegos de CloudFlare?

El día de ayer estaba revisando la cuenta de Adsense de uno de mis sitios y note que habían 66 clicks de Vietnam en un periodo relativamente corto por lo que decidí crear un regla de CloudFlare para desafiar con un JavaScript a los visitantes de ese y otros países que hacen actividades maliciosas en Internet.

Un desafio de JavaScript (JS Challenge) consiste en un análisis de 5 segundos para determinar si el visitante es un humano o un bot.

Así luce el desafio de JavaScript para los visitantes del sitio.

En ocasiones CloudFlare desconfía del trafico y decidí mostrar un captcha challenge donde el visitante deberá resolver el desafio.

El Captcha challenge me parece que puede desalentar a los visitantes reales a visitar el sitio.

Así luce el captcha challenge mostrado por CloudFlare

Lo otro que puede ser realizado es un bloqueo, lo cual haría que el hacker o scraper tenga que buscar la IP del origen para atacar o robar contenido del sitio automáticamente.

¿Puede ser el Challenge de CloudFlare Burlado?

Todo esto me dio algo de curiosidad y me puse a investigar un poco sobre si estos desafíos pueden ser burlados fácilmente por scrapers y hackers.

Lo primero que encontré y que me llamo la atención es que CloudFlare no esta sentado con los brazos cruzados esperando a que sus reglas de cortafuegos sean burladas por cualquier persona.

Un contribuyente de GitHub dijo lo siguiente sobre lo siguiente sobre su código para burlar los challenges de CloudFlare:

Desafortunadamente, estos nuevos cambios que está implementando Cloudflare no serán factibles de implementar ni mantener en PHP. Por eso me entristece decir que este proyecto se va a archivar. Cloudflare bien jugado.

CloudFlare ByPass

La segunda cosa interesante que logré encontrar es que hay scripts en GitHub para resolver todo tipo de desafíos pero estos trabajan con un servicio donde los captchas son resueltos por humanos.

Este el script de GitHub que trabaja con Anti Captcha

Lo ultimo que encontré que encontré es que hay scripts disponibles en repositorios en la web que permiten vencer Captcha.

Hay una herramienta CloudScraper, es un modulo de Python que permite burlar las reglas antibots de CloudFlare.

Es una herramienta que es actualizada constantemente, algo que nos ayuda entender que los hackers y los scrapers no se dan por vencidos fácilmente.

¿Qué Hacer?

Bloquear a los hackers es una tarea más sencilla porque puedes identificar lo que posiblemente andan buscando y bloquear esas solicitudes sin afectar a los visitantes que por genuino interés llegan a tu sitio.

Los Scrapers son un verdadero problema por que estas tratando de robar el contenido de tu sitio de forma automatizada por lo que mi única recomendación es bloquear por completo el trafico de ciertos países que no deberían visitar tu sitio o hacer las cosas más difíciles o ligeramente más difíciles usando los desafíos de CloudFlare.

Lo otro que puedes considerar es usar una herramienta de Rate Limiting que permite bloquear bots que estan haciendo demasiadas solicitudes en periodos relativamente cortos.

El Rate Limiting esta disponible en CloudFlare pero es una función gratuita que se encuentra en WordFence.

Información Relacionada

Estas son algunas publicaciones relacionadas con el tema de la seguridad de WordPress

  1. Vulnerabilidad del Día Cero en WordPress
  2. Seguridad de WordPress sin Plugins: 8 Pasos
  3. Sitios Hackeados con Alfa Shell
  4. Contraseñas Seguras en WordPress
  5. ¿Qué es un Gestor de Contraseñas?
  6. Bloquear un Proveedor de Hosting por ASN
  7. Reseña sobre WordFence: Gratis y Premium
  8. Reseña Honesta de SecuPress: ¿Es el Mejor?
  9. Mi CortaFuegos Personalizado para WordPress
  10. Reseña Sobre el Plugin BBQ Pro

Sobre Jose manuel

Soy José Manuel, empecé un blog en el 2011 como un pasatiempo y para hacerlo en mis clases y poco a poco, me enamoré de WordPress. Espero que algo de todo lo que he escrito te sirva de ayuda.

RevistaWP

RevistaWP es un sitio donde registro mis pensamientos y descubrimientos sobre todo lo que sucede dentro del mundo WordPress

Contacto

Puedes contactarme por medio de los siguientes canales