Reglas de Firewall de CloudFlare

En esta publicación encontrarás todo lo que necesitas saber para crear reglas de Firewall en CloudFlare.

Las Reglas de Firewall o Cortafuegos de CloudFlare permiten brindar seguridad a tu sitios a nivel de red de contenido global, es decir los ataques que sean neutralizados por CloudFlare no impactaran tus servidores.

Yo tengo una gran confianza en las reglas en estas reglas de Firewall por lo que no uso ningun plugin de seguridad en ninguna de mis aplicaciones.

Las Reglas de FireWall de CloudFlare

La reglas de Firewall de CloudFlare las vas a encontrar debajo de la pestaña que dice Firewall.

Este es un pequeño resumen de las funcionalidades que encontrarás en cada pestaña

  • En el submenú encontrarás el Overview que usualmente tiene un resumen de los bloqueos hechos por las reglas del Firewall.
  • En la pestaña que dice Managed Rules, esa opción detalla las reglas de Firewall configuradas por CloudFlare para los que usan el plan profesional.
  • En la sección de Firewall Rules encontrarás las reglas de Firewall de CloudFlare. Tienes 5 Reglas gratis que te pueden librar de muchos problemas y te ayudarán a dormir más tranquilo en la noche.
  • En el submenú llamado Tools debes agregar tu dirección IP de tu servidor y la Dirección IP de tu casa o dispositivos para que ninguna solicitud que venga de tus dispositivos o servidor sea bloqueada. Si tu dirección IP del trabajo, casa o la de tu servidor cambia, debes cambiarla en esta sección antes de querer trabajar en tu web

Ahora veamos cómo se crean las reglas de Firewall de CloudFlare

Reglas de CloudFlare: Terminos

Agregar una Regla de Firewall de CloudFlare puede ser confuso al principio pero ya te acostumbras.

Confieso que hay reglas más elaboradas que estas pero hasta el momento no las he encontrado.

Así luce una regla de Firewall sin configurar:

Estos son algunos detalles sobre los términos usados en la creación de reglas de cortafuegos de CloudFlare

  • El nombre de la regla puede tener cualquier nombre que quieras
  • La opción campo (field) te permite escoger lo que se verá afectado por la regla.
  • La sección de Operador (operator) te ayuda de filtrar o ampliar la medida de la regla de seguridad.
  • El valor(value) es lo que la regla tomará en cuenta para realizar el bloqueo
  • Puedes el botón “or” para agregar más bloqueos en la misma regla.
  • La acción puede ser bloquear, dejar pasar, un reto de JavaScript o un desafío captcha

Mira mis reglas para entender un poco más de la configuración del cortafuegos.

Bloquear Archivos PHP

Yo siempre bloqueo a todo usuario que desea ver cualquiera de los archivos PHP ya que ningún visitante debe visitar esas paginas en mi sitio.

Por ejemplo, revisa esta dirección: https://revistawp.com/xmlrpc.php y te vas a encontrar un bloqueo de CloudFlare.

Lo mismo sucede con todos los archivos que tengan esa extensión.

Rule NamePHP Protect
FieldURI Path
Operator Contains
Value.php
ThenBlock

No se si alguna vez has visto los archivos de la instalación de Wordpress, la mayoría son archivos PHP y los visitantes de tu sitio no los necesitan.

Con esto estás protegiendo la gran mayoría de los ataques que un sitio de WordPress puede recibir

Bloquear Bots

Algo que deberías hacer es bloquear Bots, No todos los bots llegan a tu sitio con intención de buscar vulnerabilidades en tu sitio, pero la verdad es que yo no pago hosting para que bots, spiders o crawlers pasen revisando el contenido de mi sitio.

Para bloquear bots, debes de tener a la mano el User Agent o agente de usuario.

Este es un ejemplo de lo que necesitas hacer para bloquear un agente de usuario:

Rule NameBot Protect
FieldUser Agent
Operator Contains
ValueAhrefsBot
ThenBlock

En la misma regla puedes escoger la opción or y añadir todos los bots que quieras usando el ejemplo anterior.

Mira este ejemplo donde una misma regla bloquea a más de un bot, crawler o spider:

Puedes seguir añadiendo bots en la lista. Nunca bloquees los bots que provienen de motores de búsqueda como Bing, Google, Yandex y otros.

Muchos de los bots maliciosos son bloqueados con la primera regla, pero si la logran pasar buscando otros archivos, esta segunda regla puede detenerlos.

Esta regla usualmente requiere mucho trabajo porque hay muchos bots maliciosos rastreando la web.

Bloquear Focos de Problema

Esta regla yo le llamo 404 Protect porque uso un plugin que registra todos los errores 404 del sitio.

Hay errores 404 que no son errores generados por bots y hackers, mientras que otros sí y son fáciles de reconocer

Rule NameBot Protect
FieldURI Path
Operator Contains
Value.rar
ThenBlock

En el caso anterior indique que se bloquee el acceso a todo visitante ya sea Bot o humano que quiera buscar un archivo con la extensión .rar por la sencilla razón que andan buscando un respaldo.

Si obtiene un respaldo de tu sitio, estás en serios problemas ya que estos tendrán acceso a la contraseña de tu base de datos.

Puedes bloquear más extensiones en la misma regla usando la opción or.

Estas son algunas otras palabras y extensiones que nadie puede visitar en mi sitio.

.zip.rar.sql
license.txtreadme.html.tgz
humans.txtweb.configtar.gz
quick_installinstallerbackups
stagingadministratorfile-upload

En la mayoría de los casos, no tengo nada que temer porque yo no guardo respaldos en mis sitios, pero como les dije yo no pago hosting para que bots anden generando errores 404 en mi sitio.

Bloquear el Tráfico de Ciertos Países

Si tienes un sitio que va dirigido para una población de hispanohablantes, es extraño recibir tráfico de países como Ucrania, Rusia, China.

Puedes retar con un desafío de Javascript al tráfico de esos países

Rule NameBot Protect
FieldCountry
Operator Equals
ValueUkraine
ThenJS Challenge

Puedes agregar otros países usando la opción or y puedes actualizar la lista de países con la regularidad que quieras.

Bloquear un Referente o un Referrer

Esta regla permite bloquear un referrer, estos sitios envían tráfico no deseado a tu web.

Algunas paginas hacen esto con la esperanza de promocionar una web o un servicio.

Rule NameBlock Referrer
FieldReferrer
Operator Contains
Valueautomatedtraffic4free.host
ThenBlock

Proteger Carpeta de Plugins #1

También puedes crear reglas que protejan la carpeta de wp-content/plugins/ y con esto evitar los molestos errores 404 cada vez que hackers se dan cuenta que hay una nueva vulnerabilidad en un plugin que podrías o no tener.

La implementación de esta regla requiere que conozcas la ruta de los plugins que tienes instalados para evitar conflictos.

Cómo puedes ver, esta es una regla que tiene que ser 100% personalizada para que CloudFlare detenga a los bots que buscan contenido que no existe en tu sitio.

Proteger Carpeta de Plugins #2

Esta es otra forma de bloquear bots que solicitan archivos que se encuentra en la carpeta wp-content/plugins/

Esta bloquea todos los intentos de revisar la carpeta de los plugins que no sean referidos por el sitio y que no provengan de los bots buenos como Google

Este el código de la expresión:

(http.request.uri.path contains "/wp-content/plugins/" and not http.referer contains "revistawp.com" and not cf.client.bot)

Recuerda cambiar el dominio por tu propio dominio.

Video sobre Implementación de Reglas

Si tienes algunas dudas con respecto a la implementación. Esta es la manera como lo hago desde mi cuenta de CloudFlare.

El video explica el proceso, eres libre de crear tus propias reglas y adaptarlas a tus necesidades.

Hay muchas formas de implementar reglas de Firewall de CloudFlare por lo que las indicaciones del video son solo un comienzo.

¿Otros Artículos de Seguridad de WordPress?

Espero que hayas encontrado todo lo que necesitas para implementar las reglas de Firewall en tu sitio de WordPress

Si estas interesado en aprender más sobre seguridad, asegúrate de leer algunas de estas publicaciones.

  1. Cómo Evitar un Hackeo en WordPress
  2. La Seguridad de tu Base de Datos
  3. Respaldos en WordPress: ¿Estas 100% Seguro?
  4. 7 Plugins de Auditoría para WordPress
  5. 12 Plugins de Seguridad para WordPress
  6. Cómo Cambiar el Login de WordPress
  7. Ataques de Fuerza Bruta: ¿Qué Hacer?

Si tienes preguntas sobre el contenido en esta publicación y en otras publicaciones del blog, puedes escribirme por medio de mis redes sociales.

Sobre Jose manuel

Soy José Manuel, empecé un blog en el 2011 como un pasatiempo y para usarlo en mis clases y poco a poco, me enamoré de WordPress. Espero que algo de todo lo que he escrito te sirva de ayuda.

RevistaWP

RevistaWP es un sitio donde registro mis pensamientos y descubrimientos sobre todo lo que sucede dentro del mundo WordPress.

Contacto

Puedes contactarme por medio de los siguientes canales