Cómo mantener su sitio seguro utilizando una pantalla de protección para aplicaciones web (WAF)

Si hay una expresión más extendida que la “seguridad del sitio” en las conversaciones sobre la ejecución de un sitio de WordPress, todavía no la encontramos. Es posible que ya conozca las desventajas de proteger su sitio utilizando complementos de seguridad. Sin embargo, este no es el único paso que puede tomar, especialmente si desea no dejar la piedra arriba cuando se trata de bloquear su sitio. Por ejemplo, un firewall de aplicación web (WAF) es una herramienta vital para garantizar que su sitio Puede hacer frente a usuarios maliciosos y robots. Sin embargo, en muchos sitios, no se implementa de la manera más óptima, o lo que es peor, no se tiene en cuenta. Es lamentable, porque esta valiosa solución de seguridad es sorprendentemente fácil de aprovechar.
En este artículo, discutiremos WAF y las variaciones en las que aparecen. También hablaremos sobre la importancia de usar uno y explicaremos cómo puede implementar tecnología en su sitio web. ¡Saltemos directamente adentro! Como la mayoría de los usuarios de WordPress actualmente proporcionan sitios web, hay muchas formas de asegurar un sitio de WordPress y diferentes usuarios aplican varias estrategias. Sin embargo, el método más popular para admitir un sitio web es, por supuesto, complementos. Los usuarios de WordPress están bien acostumbrados a fortalecer la funcionalidad de los sitios a través de los complementos, después de todo, y la seguridad es un ejemplo perfecto. Esto se debe al hecho de que un solo complemento puede implementar una serie de soluciones, como la prevención de ataques de fuerza en bruto, bloqueo de IP, monitoreo sin función y muchos más.
De hecho, JetPack incluye herramientas de clic único para cada uno de estos remedios y es completamente gratuito: otros complementos, como Wordfency y Ithemes Security, ofrecen un conjunto de herramientas que exceden el conjunto de características ordinarias.Este último trata con algunas tareas de seguridad avanzadas debajo del capó, como restablecer las sales.Por supuesto, ni siquiera necesita un complemento para implementar ciertas técnicas de seguridad.WordPress le brinda fácil acceso a algunas opciones potentes en el cuadro.Por ejemplo, puede cambiar fácilmente las sales a través del archivo wp-config.php, y el archivo .htaccess también se puede usar para agregar redireccionamientos de URL, cambiar la configuración del archivo, ocultar carpetas y archivos y más.

Finalmente, una política de seguridad de contenido (CSP) está técnicamente dentro de la categoría de técnicas de cifrado. Sin embargo, aún no se ha mencionado aquí, porque es una forma centrada en el código de autenticar archivos y scripts para un uso más seguro en su sitio es una herramienta extremadamente potente y flexible, por lo que si no implementa un CSP, vale la pena considerando. La importancia de proteger el servidor de su sitio, notará que hasta ahora hemos hablado sobre complementos, ajustes de archivos y COD personalizado. Como, sin duda, se dará cuenta, todas estas son soluciones de seguridad de seguridad. Esto no es necesariamente un problema y es esencial para el funcionamiento adecuado de su sitio. Sin embargo, si bien su problema final es asegurarse de que los usuarios maliciosos no puedan acceder a su sitio, solo garantizar la seguridad al nivel de la aplicación no resuelve el problema por completo.
Al reservar la “moralidad” de un usuario en particular por un momento, todos los visitantes tendrán un impacto en los recursos del servidor cada vez. De su sitio ocupará el ancho de banda y los recursos (como scripts, hojas de estilo y fuentes), más cuanto más cuanto más Entonces, si elige renunciar al caché para las páginas de back-end. Para los usuarios legítimos, esto no es un problema en sí mismos. A continuación, querrá alentar a tantas de estas personas a conectarse a su sitio. Los problemas ocurren cuando los usuarios maliciosos comienzan a acceder a sus páginas. Un ataque genérico de fuerza bruta o referencia directa (DDoS) puede paralizar un sitio que de otro modo sería estable. Esto se debe al hecho de que hay tantos “usuarios” que acceden a su sitio, que sus recursos están completamente consumidos. Con otras palabras, aunque su sitio puede bloquearse con fuerza, su servidor sigue siendo accesible si no hace algo en esto. respecto. Ya hemos mencionado la solución a este problema, que analizaremos con más cuidado ahora.
Presentación del firewall de aplicaciones web (WAF) Probablemente ya sabrá qué es un firewall en el sentido general. Es esencialmente una barrera entre dos elementos en este caso, entre el mundo “externo” y el servidor de su sitio. En términos muy simples, un firewall de aplicación web (WAF) detiene el mal tráfico, pero permite que pase un buen tráfico. Para hacer una comparación, las WAF son para servidores, ya que los proxies son para clientes. De hecho, un WAF puede considerarse un “viceversa”. Está diseñado para proteger las aplicaciones web desde donde y el nombre y para detener los ataques como las inyecciones de secuencias de comandos de sitios cruzados (XSS) e SQL, aplicando reglas a todas las transferencias HTTP. Board o incluso se pueden incorporar bajo el capó. Independientemente de la forma, esta es la solución real para detener el tráfico nocivo para llegar a su sitio. La diferencia entre las WAFS a nivel del servidor y en el nivel de aplicación no se crean todos los WAF. Hay dos versiones de la tecnología y aquí hay un resumen rápido de cada uno:
Firewall en el nivel de aplicación. Un nivel de aplicación actúa solo en su sitio y tiene un impacto mínimo (si está allí) en su servidor no proporciona ninguna defensa para su servidor.

Firewall en el lado del servidor. Este estilo WAF actúa como una barrera de primera línea entre el tráfico y el servidor. Como tal, es más costoso de implementar, pero ofrece una mayor seguridad.
En términos simples, un WAF en el servidor evita que el tráfico llegue a los archivos de su sitio, por ejemplo, su página de autenticación, en función de las reglas que ha establecido. Esto mantiene sus recursos libres de valores analíticos “limpios” y usuarios bien protegidos. En cambio, un WAF en el nivel de aplicación puede continuar beneficiándose de su sitio, pero no proteja su servidor. Simplemente dicho, esto significa que el tráfico se filtra en un momento posterior, ofreciendo potencial para el acceso a los usuarios maliciosos al servidor en sí. Esto lo hace menos ideal que una solución en el lado del servidor, porque todos esos visitantes (buenos o malos) todavía usan los recursos de su servidor. Los firewalls cortos y basados ​​en el arado, como Wordfency, son WordFence. La aplicación, mientras que las WAFS a nivel del servidor puede ser implementado por empresas como jugos o nubes. Esta es una distinción importante, porque muchos usuarios instalan un complemento WAF y suponen que están completamente protegidos cuando puede no ser el caso.
Cómo instalar un WAF en su sitio web que instale cualquier tipo de WAF suele ser muy simple. En el caso de los firewalls en el nivel de aplicación, generalmente se activan una vez que se activa el complemento en cuestión. En Wordfency, por ejemplo, hay un cambio para esta opción en la configuración de complementos dedicados de WordPress:
En cuanto a los WAFS en el lado del servidor, generalmente tienen configuraciones similares en sus propios paneles de control, aunque no siempre puede ser accesible a través de WordPress. Independientemente de la elección de la solución WAF, debe ser simple de configurar. Una vez que se instale su WAF, su sitio será ajustable y adaptable, si tiene que redirigir el tráfico que restringe. Porque es un componente tan vital para cualquier sitio web. Si ejecuta un tipo de sitio comercial, la seguridad es aún más necesaria. Después de todo, una brecha que involucra los datos del usuario puede llevarlo a agua extremadamente caliente. Durante esta publicación, analizamos una táctica defensiva de primera línea que, desafortunadamente, es una baja prioridad para muchos propietarios de sitios web. Una WAF es una herramienta vital que se puede encontrar en complementos como Wordfency, pero no si desea proteger completamente su sitio. Una solución en el lado del servidor de Juices o CloudFlare es una mejor solución y puede protegerlo en unos minutos, con poca configuración.
¿Tiene alguna pregunta sobre cómo implementar un WAF en WordPress? ¡Comparta sus pensamientos en la sección de comentarios a continuación! Imagen presentada: Pexels.