El tráfico de bots nunca había estado tan alto. De acuerdo a Distil Networks, en el 2017, los bots malignos suman un 21.8% del tráfico en la red, un aumento del 9.5% sobre el año pasado. No solo eso, pero el 74% del tráfico de bots malignos están hechos de bots moderados o sofisticados, los cuales evaden la detección distribuyendo sus ataques entre múltiples direcciones IP, o simulando comportamiento humano. Esto se convierte en un desafío para las empresas que no saben nada sobre cómo filtrar o bloquear este tipo de tráfico.
El día de hoy queremos presentar esta forma sencilla para combatir contra estos usando la aplicación Web de Sucuri Firewall (WAF). Ya sea que su sitio WordPress esté bajo por un ataque DDoS o sufra de bots excesivos y tráfico de proxy, un WAF puede ayudar a resolver casi instantáneamente este tipo de problemas…
Abajo, entraremos más a profundidad en como establecer el firewall de Sucuri en su sitio de WordPress, junto con las opciones optimas y el plan que deberá elegir para obtener los mejores resultados.
- Sobre Sucuri WAF
- ¿Quién necesita Sucuri?>
- Plan recomendado de Sucuri
- Cómo establecer el Sucuri Firewall
- La configuración optima de Sucuri
Sobre Sucuri WAF
Sucuri es una plataforma para sitios web completa que ayuda a proteger su negocio contra amenazas de seguridad al igual que mitiga ataques ya en proceso. Ellos ofrecen una variedad de diferentes productos y servicios, tal y como el CDN, escaneo de malware, reparaciones después de un hack, monitoreo de DNS, detección de cambio de archivo, protección contra entrada a la fuerza, y mucho más.
El día de hoy, solo nos enfocaremos en un producto, y ese es la aplicación web, el Sucuri Firewall (WAF). El Sucuri Firewall está basado en la nube y está diseñado para detener hacks y ataques a su sitio (esto incluye tráfico negativo). ¿Cómo funciona? Esencialmente usted apunta su DNS a ellos y ellos routearan su tráfico a su host de WordPress. Esta aplicación web de Firewall se mantendría en medio, bloquea tráfico, antes de que llegue a su host.
El equipo de Sucuri constantemente se encuentra investigando nuevas formas de mejorar la detección y mitigación de amenazas en evolución. Incluso, ellos nos permiten agregar sus reglas personalizadas, lo cual hace de su servicio una herramienta muy poderosa.
¿Quién necesita Sucuri?
En realidad, ¿necesitará usted de Sucuri? Depende. Tener una aplicación web que funciona como firewall entre su sitio de WordPress y su proveedor de host, bueno, esto nunca es algo negativo. 😉 De hecho, es muy probable que le ahorre tiempo y problemas a lo largo del camino. Si eres cliente de Kinsta, tu sitio ya está protegido por nuestra integración gratuita de Cloudflare, que no es compatible con Sucuri.
Desafortunadamente, no vemos a clientes utilizando servicios como Sucuri hasta que empiezan a tener problemas. El escenario más común son ataques DDoS y tráfico negativo de bots y servidores proxy. La mayoría del tiempo es simple tráfico en masa que causa problemas de sobrecarga con su proveedor de hosting. Esto puede ser en términos de visitas, ancho de banda, etc. En otras palabras, es un tráfico “negativo” ¡porque esto le hace perder dinero! Si usted se encuentra usando un proveedor de hosting compartido, puede resultar en que su sitio de WordPress sea suspendido.
A continuación tenemos un ejemplo de un sitio que fue atacado de forma repentina por tráfico de IP proxy durante la noche. Podemos usar el MyKinsta Analytics para ver donde empezó exactamente. El sitio paso de 125 visitas en promedio por día a 1,500 visitas por día (y desafortunadamente no fue un tráfico viral temporal). También pasó de usar 25 MB de ancho de banda por día a 25 GB de ancho de banda por día. ¡Oops!
Viendo más a profundidad dentro de este análisis podemos ver que la región principal de las visitas fue la Provincia de Arezzo, con más de 4 millones de peticiones en los últimos 30 días. Este sitio usualmente obtiene el 90% de su tráfico de Estados Unidos, así que podemos observar fácilmente el punto de origen.
La mayoría de los proveedores de hosting, incluyendo Kinsta, bloquean bots malignos comunes, filtran IPs que hacen spam, y cuentan con opciones de seguridad adicionales como lo es la opción de limitar IPs. Sin embargo, esto usualmente no es tan efectivo como lo sería un WAF profesional, tal y como el de Sucuri o Cloudflare, cuyo modelo de negocios es enfocarse en innovar las formas para filtrar tráfico negativo.
Es por eso que no recomendamos usar su WordPress host para hacer hosting a su email. Usar solo las mejores herramientas y servicios en sus respectivos campos e industrias le ayudará a su negocio a tener éxito. Nos enfocamos en lo que hacemos mejor y en proporcionar alojamiento de alto rendimiento y soporte de clase mundial. 👍
Cosas por intentar antes de usar Sucuri
Si usted está teniendo problemas con tráfico negativo en su sitio de WordPress, hay algunas cosas que puede intentar antes de agregar Sucuri.
1. Bloquee direcciones de IP individuales de forma manual
Lo primero que uno debe intentar es bloquear la dirección IP de forma manual. Si usted es un cliente de Kinsta, puede usar el reporte de los Mejores IPs del cliente en MyKinsta Analytics para ver los culpables más notorios.
Unas rápidas búsquedas de estas IPs en Google revelará cuantas de estas son direcciones de IP proxy (donde la Provincia de Arezzo se ubica). Así que lo más seguro es que estos sean bots o spammers.
Puede usar la herramienta IP Deny para bloquear las direcciones de IP. Monitoree sus visitas y ancho de banda después de esto para ver si esto resolvió el problema. En algunos casos puede que solo sean un par de IPs malignos que se encuentren atacando su sitio y una vez bloqueados, estará libre de problemas. Sin Embargo, esto se puede convertir en un proceso sin fin, de tener que bloquear IPs, lo cuál no ayuda a resolver el problema de forma intuitiva y rápida.
Si usted no es un cliente de Kinsta, puede usar muchos de los plugins de seguridad de WordPress, muchos de los cuales ofrecer capacidades para bloquear y limitad IPs.
Pero tenga cuidado con este enfoque. Muchos de los plugins de seguridad causan problemas de desempeño, debido a sus funciones de escaneo siempre activas. Es por eso que Kinsta prohibe algunos (no todos) los plugins de seguridad. Kinsta también utiliza balanceadores de carga con el Google Cloud Platform, lo cual quiere decir, en algunos casos, que las opciones de bloqueo de Ip de algunos plugins de seguridad no funcionarán como deberían.
2. Geo-Bloqueo
Otra recomendación, es bloquear tráfico de una región o país. Kinsta, de hecho, soporta el uso de geo-bloqueo. Simplemente necesita entrar en contacto con nuestro equipo de soporte para hacer esto y enviar los códigos ISO para los países que usted desee bloquear. Vea más detalles sobre bloqueo de tráfico basado en una ubicación.
O puede intentar usar el plugin de seguridad de WordPress como el Bloqueo de Localización IP o WordFence, el cual soporte geo-bloqueo. De nuevo, estos no son soportados y no funcionarán en Kinsta.
Si las soluciones anteriores no funcionaron, le recomendamos implementar un WAF Premium, tal y como el de Sucuri. No hay plugins que tenga que instalar o administrar, y simplemente se mantendrá entre su sitio y el host. Este es el mejor método en términos de desempeño y elimina, casi como magia, ¡todo el tráfico negativo!
El plan recomendado de Sucuri Firewall
Nosotros recomendamos el plan Pro de Sucuri Firewall o incluso uno mayor. ¿Por qué? Porque su plan Pro ($20/mes) incluye soporte para certificados SSL personalizados junto con protección HTTPS DDoS Avanzada en las capas 3, 4 y 7. Si usted tiene curiosidad, Cloudflare solo incluye la protección para la capa 7 en su plan de $200.
Esto ayuda a detectar de forma automática, cambios repentinos en el tráfico y lo protege contra floods de POST y ataques basados en DNS, así que nunca llegarán a su servidor de origen. Al menos que usted sea un experto en seguridad, esto, en algunas ocasiones puede ser difícil de diferenciar, lo que es un pequeño ataque DDoS y una simple sobrecarga de tráfico en su sitio.
Un ataque de flood al HTTP es un tipo de ataque de aplicación en la Capa 7 que utiliza la validación base de petición GET/POST usada para conseguir información, como lo es una extracción de data tipa del URL (imágenes, información, etc.) durante las sesiones de SSL. Un flood de HTTP GET/POST es un ataque volumétrico que no usa paquetes malformados, spoofing o técnicas de reflejo… – Sucuri
El plan PRO también incluye soporte para HTTP/2, que es una opción que usted realmente deberá usar tratándose de desempeño. Aquí le tenemos una lista de todas las opciones adicionales, que están incluidas en todos los planes:
- Sistema de detección de una intrusión
- Sistema de prevención de intrusión
- Registros de auditoría/seguridad administrados
- Protección contra Flood de HTTP
- Protección contra entradas forzosas
- Parcheo y protección virtual
- Prevención contra inyección de código, SQL y XSS (más lecturas: Inyección SQL)
- 2FA con tan solo dar un clic, captcha y protección de contraseñas en cualquier página
- soporte externo CDN
- Balance de Carga
Sí ofrecen una prueba gratuita de 30 días.
Cómo establecer el Sucuri Firewall
Hoy le guiaremos para que pueda establecer su Sucuri Firewall en su sitio de WordPress usando el plan Pro que le recomendamos. Realmente es muy sencillo y solo toma unos minutos.
Paso 1
Primero, inscríbase al plan Pro de Sucuri si no lo hizo ya.
Paso 2
Una vez adentro del dashboard de Sucuri, haga clic en el botón de “Proteger mi sito ahora”
Paso 3
Ingrese el nombre de su dominio y configure las siguientes opciones (dejamos las tres sin habilitar):
- Bajo un ataque DDoS: Activar esto automáticamente habilitará alguna de las opciones más agresivas de Sucuri. Podrá querer habilitar esto si realmente cree que está pasando por un ataque. Estas opciones pueden ser cambiadas en otro momento si es necesario.
- Directorios en la Lista Blanca: Active esto si usted quiere restringir el acceso a directorios de admin a solo direcciones IP en la lista blanca. (por ejemplo. /wp-login o /admin). Nota: en sitios de eCommerce, es probable que usted prefiera dejar este deshabilitado. Recuerde que los clientes utilizan estas áreas también.
Sucuri DNS: Sucuri le brinda la opción de usar su infraestructura DNS. Esto les permite hacer routing geográfico para un desempeño global optimizado, fail-over y alta disponibilidad. Sin embargo, el día de hoy deshabilitaremos esta opción, ya que continuaremos usando nuestro propio proveedor externo de DNS. Por ejemplo, si usted está utilizando Kinsta DNS y quiere continuar administrando sus registros de DNS en Kinsta, deshabilite esta opción.
Paso 4
Importante: si utiliza el plan Pro o superior de Sucuri, pueden suministrar e instalar un GoDaddy SSL en el firewall antes de que realice el cambio de DNS. El certificado de GoDaddy se renovará automáticamente y se incluye en el costo mensual. Por lo tanto, al pasar al plan Pro, debe tener una transición sin problemas y no incurrir en ningún tiempo de inactividad.
Simplemente abra un ticket con su equipo y solicite que primero instalen el certificado de GoDaddy. A continuación, puede actualizar su DNS.
Alternativamente, la otra opción es que proporcionen certificados gratuitos de Let’s Encrypt. Sin embargo, estos solo se pueden emitir después de que apunte su dominio a ellos. Si decide utilizar su opción gratuita de Let’s Encrypt, le recomendamos que apunte su sitio durante las horas cuando haya menor actividad en su sitio.
Use Certificados Let’s Encrypt con Kinsta
Kinsta también proporciona certificados gratuitos de Let’s Encrypt. Para usarlo, primero debe comunicarse con su soporte para que habilite la configuración para «reenviar la validación de certificados». Esto permite que el aprovisionamiento de HTTPS se complete con éxito. A continuación, puede instalar el certificado SSL gratuito desde MyKinsta.
Paso 5
Ahora es tiempo de apuntar su dominio. Vaya hacia abajo en el dashboard general de la página donde ellos proveen la información del DNS: Necesitará actualizar el A record para su dominio para apuntarlo al Firewall de Sucuri. Esto, típicamente se hace en el registro de su dominio o proveedor de DNS.
Nota: Sucuri deberá recoger su dirección IP actual de forma automática. Así que una vez haya apuntado su dominio a Sucuri, ellos automáticamente, routarean el tráfico de vuelta a su host de WordPress.
Si está usando el DNS de Kinsta, esto se puede hacer desde el dashboard de MyKinsta. De clic en su dominio y actualice el nombre del A record con la dirección IP provista por Sucuri.
Los cambios del DNS pueden tomar hasta 48 horas en propagarse, pero típicamente solo toma un par de horas o menos. Puede chequear si su DNS ya se ha propagado con whatsmydns.net. También puede dar clic en el icono de “refrescar” en el dashboard de Sucuri para confirmar que su dominio está siendo apuntado hacia ellos.
Se pondrá verde una vez haya detectado que todo está routeado de forma correcta.
Paso 6
Si tiene un firewall en su host de WordPress, se recomienda que ponga en su lista blanca las direcciones IP de Sucuri. Ya que todas las conexiones a su servidor de hosting estarán pasando a través de su firewall, al poner en su lista blanca sus direcciones IP, prevendrá que estas sean bloqueadas por errores. Nota: los IPs que se mostrarán a continuación son ejemplos, por favor revise el dashboard de su cuenta para ver los IPs correctos de Sucuri.
192.88.134.0/23 185.93.228.0/22 2a02:fe80::/29 66.248.200.0/22
Clientes de Kinsta
Si usted es cliente de Kinsta, deberá ponerse en contacto con nuestro equipo de soporte y solicitarnos que agreguemos las reglas adecuadas de Sucuri WAF en su sitio. Los IP de Sucuri ya están en la lista blanca de nuestro entorno, pero hemos trabajado estrechamente con su equipo y tenemos reglas adicionales de Nginx que deben agregarse para garantizar que su experiencia con Kinsta + Sucuri funcione sin problemas.
Las opciones optimas de Sucuri
Normalmente no recomendamos usar el plugin de Sucuri para WordPress, ya que simplemente crea una carga, gestión y problemas de desempeño adicionales. Deje que el Firewall de Sucuri se mantenga entre su sitio de WordPress y su host, haga lo que es mejor a nivel servidor.
continuación, son algunas recomendaciones sobre las mejores opciones que usted debería aplicar en su dashboard de Sucuri.
Opciones avanzadas de seguridad
Bajo la pestaña de “Seguridad” le recomendamos habilitar las siguientes opciones.
- XMLRPC, Comentarios y rastreos bloqueados: si su sitio no permite comentarios, o utiliza un sistema de comentarios externos (como Disqus), puede bloquear cualquier intento de comentario, ya que posiblemente sea spam. Si usted se encuentra utilizando los comentarios nativos de WordPress, no habilite esto.
- Bloquee proxies anónimos y los tres países principales donde se originan los ataques: Al habilitar esta opción prevendrá que cualquier persona de China, Rusia o Turquía interactúe con su sitio. Podrán ver su contenido, pero no podrán crear una cuenta, publicar comentarios o intentar iniciar sesión (básicamente los deja en modo de lectura=. Las mismas restricciones son aplicadas a usuarios con servicios de proxies anónimos para esconder sus direcciones de IP.
- Filtro agresivo contra bots: Esta opción permite bloquear usuarios agentes invalidos que no cumplan con los navegadores reales, como usuarios agentes vacios, usuarios agentes que empiezan con PHP o usuarios agentes impropios de navegadores comunes.
- Detección avanzada de evasión: Esta opción habilitará la detección avanzada de firmas de Sucuri. Recomendamos mantenerla activada, pero si su sitio soporta URLs en caracteres que no son ASCII (como el japonés, hindi, ruso, etc.), es posible que tenga que deshabilitar esto.
La opción de “Permitir protección de emergencia contra DDoS” funciona muy bien, si siente que su sitio se encuentra bajo ataque. La protección contra flood HTTP, prevenir el acceso a su sitio a cualquiera que use el navegador sin JavaScript habilitado (a excepción de motores de búsqueda mayores). Sin embargo, desde nuestra experiencia, esto también genera peticiones de HTTP adicionales en la carga inicial de DOC. Así que es recomendable desactivar esta opción después de que las cosas se normalicen.
También puede activar encabezados de seguridad adicional en su sitio, tal y como HSTS.
Cache
Bajo “Desempeño -> Nivel de Cache” puede configurar como quiere que Sucuri maneje la cache. Lo más seguro es que su sitio de WordPress ya esté configurado de la forma correcta para cachear. Así que, le recomendamos seleccionar “Cache del sitio”. Esto permitirá el uso de la cache original del servidor en lugar de usar el de Sucuri. Si usted es cliente de Kinsta, esto quiere decir que su sitio continuara usando el cache de página completa (full page cache) y no interferirá con cualquier de las reglas personalizadas que hayamos establecido.
Usted definitivamente puede probar la opción de cache recomendada por Sucuri, y es posible que vea un mejor desempeño, por más pequeño que sea. Pero si le advertimos que podría ser riesgo, si es que usted tiene activo un sitio altamente dinámico como WooCommerce o EDD. En Kinsta tenemos reglas adicionales para no cachear a ciertas cosas, tal y como lo son las páginas de carritos de comprar, páginas de checkout, y lo más importante, los cookies. Sucuri en realidad recomienda que utilice los encabezados de su propio sitio cuando se trata de un sitio de eCommerce.
CDN
Sucuri permite que usted puede utilizar sus CDN propios (como KeyCDN, MaxCDN) o el CDN que ellos ofrecen. El CDN de Sucuri contiene un HTTP/2 Anycast network veloz, con 6 SuperPop en Estados Unidos, Europa y Asia y 3 CDN POPs en Australia, Brasil y Filipinas. Esto lo hacen sin cargo extra al momento de usar su firewall.
Puedes usar el CDN de Kinsta con Sucuri pero su CDN es rápido y fiable y normalmente recomendamos usar uno u otro. Si deseas utilizar la CDN de Kinsta, deberás seleccionar «Otros» en la pestaña de soporte de la CDN.
Si desea configurar su sitio con un CDN de terceros, también puede hacerlo. Puede chequear su Base de Conocimiento para ver guías sobre integraciones de CDN externos:
Compresión
Bajo “Desempeño->Compresión” recomendamos activar compresión. Esto reducirá el número de bytes enviados por la red y mejorará el desempeño del sitio.
¡Y eso es todo! Deje que Sucuri haga su magia en los siguientes días, y probablemente quedará sorprendido con los resultados. En el sitio en el que lo utilizamos, el ancho de banda se redujo instantáneamente y las visitas regresaron a su promedio normal por día.
Opciones y reportes útiles adicionales
Ahora que usted ha configurado Sucuri, hay otras opciones y reportes útiles de las cuales podría tomar ventaja para seguir mejorando la calidad del tráfico que llega a su sitio.
Control de Acceso
La pestaña de “Control de Acceso” le da la habilidad de poner el listas blancas o negras los IPs y las vías, bloquear usuarios agentes, bloquear cookies, bloquear referentes HTTP, y también proteger cierta página con un Captcha, doble factor, o con una simple contraseña. También puede bloquear de forma sencilla un país con su opción de geo-bloqueo.
Vista en Tiempo Real
¡La vista en tiempo real es fantástica! Podría ver de forma instantánea el registro de las peticiones actuales, mandar a la lista negra o blanca cualquier actividad sospecha, con un clic e incluso le dará á razón por la cual fue originalmente bloqueado.
Ataques Bloqueados
La gráfica de ataques bloqueados le permitirá ver de forma rápida el porcentaje de que tipos de ataques han sido bloqueados, incluyendo ataques DDoS. Algunas otras gráficas en esta ventana incluyen tráfico por tipo de navegador, dispositivos, y códigos de respuesta HTTP.
Tráfico Promedio por Hora
La gráfica del tráfico promedio por hora es una forma bastante útil de ver cuando suceden los picos de tráfico y una proporción de peticiones bloqueadas.
Tráfico por País
La tabla de tráfico por país puede ayudarle a determinar si algo viene de un lugar en especifico usando geolocalización. Bajo sus controles de acceso, podrá bloquear fácilmente un país entero de forma temporal con tan solo dar un clic.
Viendo un IP Real
Por su lado, puede parecer que todos los usuarios están usando la misma dirección IP. Esto simplemente es por el WAF. Si su aplicación o host necesita el IP real del usuario, revise la documentación de Sucuri.
Resumen
El firewall de Sucuri es fácil de establecer, lo cual lo hace una decisión sencilla tratándose de lidiar con problemas de tráfico de baja calidad, ataques DDoS, o bots. Para muchos sitios, el pago de $20/mes se pagará por si mismo, ya que le asegurará filtrar todo el tráfico negativo y que solo los clientes que paguen de verdad sean permitidos. Sin mencionar que probablemente verá una mejora en el desempeño de su sitio, en la parte front-end y en el back-end de su dashboard de WordPress.
¿Qué piensa de Sucuri? ¿Ya lo ha probado en su sitio de WordPress? Háganos saber con sus comentarios en la parte de abajo.
Deja una respuesta