Reglas de Firewall de CloudFlare

En el pasado he escrito sobre CloudFlare y los muchos beneficios que puedes tener con una cuenta gratuita de CloudFlare.

Yo tengo dos fuertes razones para usar CloudFlare:

  • La primera de ellos es la red de contenido global.
  • Las reglas de seguridad de CloudFlare

Las Reglas de FireWall de CloudFlare

La reglas de Firewall de CloudFlare las vas a encontrar debajo de la pestaña que dice Firewall.

En el submenú encontrarás el Overview que usualmente tiene un resumen de los bloqueos hechos por las reglas del Firewall.

En la pestaña que dice Managed Rules, esa opción detalla las reglas de Firewall configuradas por CloudFlare, no puedes hacer ninguna modificación en el plan gratuito.

En la sección de Firewall Rules encontrarás las reglas de Firewall de CloudFlare.

Tienes 5 Reglas gratis que te pueden librar de muchos problemas y te ayudarán a dormir más tranquilo en la noche.

En el submenú llamado Tools debes agregar tu dirección IP de tu servidor y la Dirección IP de tu casa o dispositivos para que ninguna solicitud de tus dispositivos o servidor sea bloqueados.

Si tu dirección IP del trabajo, casa o la de tu servidor cambia, debes cambiarla en esta sección antes de querer trabajar en tu web

Mis Reglas de CloudFlare

Agregar una Regla de Firewall de CloudFlare puede ser confuso al principio pero ya después te acostumbras.

Confieso que hay reglas más elaboradas que estas pero hasta el momento no las he encontrado.

Así luce una regla de Firewall sin configurar:

Detalles sobre las Reglas

  • El nombre de la regla puede tener cualquier nombre que quieras
  • La opción campo (field) te permite escoger lo que se verá afectado por la regla.
  • La sección de Operador (operator) te ayuda de filtrar o ampliar la medida de la regla de seguridad.
  • El valor es lo que la regla tomará en cuenta para realizar el bloqueo
  • Puedes el botón or para agregar mas bloqueos en la misma regla.
  • La acción puede ser bloquear, dejar pasar y un reto de JavaScript.

Mira mis reglas para entender un poco más de la configuración del cortafuegos.

#1 Bloquear Archivos PHP

Yo siempre bloqueo a todo usuario que desea ver cualquiera de los archivos PHP ya que ningún visitante debe visitar esas paginas en mi sitio.

Por ejemplo revisa esta dirección: https://revistawp.com/xmlrpc.php y te vas a encontrar un bloqueo de CloudFlare.

Lo mismo sucede con todos los archivos que tengan esa extensión.

Rule NamePHP Protect
FieldURI Path
OperatorContains
Value.php
ThenBlock

No se si alguna vez has visto los archivos de la instalación de WordPress, la mayoría son archivos PHP y los visitantes de tu sitio no los necesitan.

#2 Bloquear Bots

Algo que deberías hacer es bloquear Bots, No todos los bots llegan a tu sitio con intención de buscar vulnerabilidades en tu sitio pero la verdad es que yo no pago hosting para que bots, spiders o crawlers esten revisando el contenido de mi sitio.

Para bloquear bots, debes de tener a la mano el User Agent

Rule NameBot Protect
FieldUser Agent
OperatorContains
ValueAhrefsBot
ThenBlock

En la misma regla puedes escoger la opción or y añadir todos los bots que quieras usando el ejemplo anterior.

Mira este ejemplo donde una misma regla bloquea a más de un bot, crawler o spider:

Puedes seguir añadiendo bots en la lista. Nunca bloquees los bots que provienen de motores de búsqueda como Bing, Google, Yandex y otros.

Muchos de los bots maliciosos son bloqueados con la primera regla pero si la logran pasar buscando otros archivo, esta puede detenerlos.

Esta regla usualmente requiere mucho trabajo porque hay muchos bots maliciosos rastreando la web y es algo cansado estar pendiente de ellos por lo que agrega a los más molestos y deja a los demás libres

#3 Bloquear Focos de Problema

Esta regla yo le llamo Just Protect o 404 Protect porque uso un plugin que registra todos los errores 404 del sitio.

Hay errores 404 que no son errores generados por bots y hackers mientras que otros sí y son fáciles de reconocer

Rule NameBot Protect
FieldURI Path
OperatorContains
Value.rar
ThenBlock

En el caso anterior puse que se bloquee el acceso a todo visitante ya sea Bot o Humano que quiera buscar un archivo con la extensión .rar por la sencilla razón que andan buscando un respaldo.

Si obtiene un respaldo de lo que sea de tu sitio estas en serios problemas.

Puedes bloquear en la misma regla usando la opción or otras extensiones o palabras claves.

Estas son algunas otras palabras y extensiones que nadie puede visitar en mi sitio.

.zip.rar.sql
license.txtreadme.html.tgz
humans.txtweb.configtar.gz
quick_installinstallerbackups
stagingadministratorfile-upload

En la mayoría de los casos, no tengo nada que temer porque yo no guardo respaldos en mis sitios pero como les dije yo no pago hosting para que bots anden generando errores 404 en mi sitio.

#4 Bloquear el Tráfico de Ciertos Paises

Si tienes un sitios que va dirigido para una población de hispanohablantes, es extraño recibir tráfico de países como Ucrania, Rusia, China.

Puedes retar con un desafio de Javascript al tráfico de esos países

Rule NameBot Protect
FieldCountry
OperatorEquals
ValueUkraine
ThenJS Challenge

Puedes agregar otros países usando la opción or y puedes actualizar la lista de Países con la regularidad que quieras.

#5 Bloquear un Referente o un Referrer

Esta regla permite bloquear un referrer, estos sitios envían tráfico no deseado a tu web.

Algunas paginas hacen esto con la esperanza de promocionar una web o un servicio.

Rule NameBlock Referrer
FieldReferrer
OperatorContains
Valueautomatedtraffic4free.host
ThenBlock

Video sobre Implementation de Reglas

Si tienes algunas dudas con respecto a la implementación. Esta es la manera como lo hago desde mi cuenta de CloudFlare.

El video explica el proceso, eres libre de crear tus propias reglas y adaptarlas a tus necesidades.

Hay muchas formas de implementar reglas de Firewall de CloudFlare por lo que las indicaciones del video son solo un comienzo.

La reglas de bloquear el acceso a los archivos .php no debe de usarse en sitios de membresia o en sitios de ventas como los que son creados con WooCommerce.

¿Interesado en otros Artículos de Seguridad?

Si estas interesado en aprender más sobre seguridad, asegúrate de leer algunas de estas publicaciones.