¿Qué es un cortafuegos de sitios web? WAF y otros firewalls explicados

Si posee un sitio web, debe protegerlo. Al igual que las computadoras personales, los servidores web, y el software que se ejecuta en ellos, son constantemente investigados y atacados por piratas informáticos. Debido a esto, es importante mantener alejados de su sitio a los piratas informáticos y otro tipo de tráfico dañino. Y ahí es donde interviene un firewall de aplicaciones de sitios web o WAF. Podemos llamarlo "firewall de sitios web" para que sea más simple.

¿Qué es exactamente un firewall de sitios web?

En resumen, un firewall de sitio web es un filtro de seguridad entre una computadora o servidor y el resto del mundo. Los hackers maliciosos se ganan la vida irrumpiendo en servidores inseguros. Las aplicaciones web ampliamente utilizadas como WordPress y otros sistemas populares de administración de contenido constituyen una gran superficie de ataque. Por eso es tan importante para usted proteger su sitio de WordPress.

Una útil línea de defensa contra las amenazas de seguridad es un firewall de sitio web.

Hay bastantes tipos de cortafuegos diferentes, por lo que querrá asegurarse de que está utilizando la mejor solución. En esta guía, discutiremos los diferentes tipos de firewalls. Le explicaremos por qué necesita uno para proteger su sitio de WordPress y cómo puede configurar uno.

Sumerjámonos.

Piense en un firewall como una gran puerta de seguridad para su sitio web.

¿Qué hace un firewall de sitio web?

Cada vez que visita un sitio web, se conecta a otra computadora llamada servidor web. Los servidores web están tan expuestos a ataques maliciosos como cualquier otra computadora.

No es seguro conectarse directamente a un dispositivo extraño o desconocido sin una capa de protección entre ellos. Una conexión insegura puede permitir que los piratas informáticos infecten un dispositivo conectado con malware.

Incluso pueden lanzar un ataque de denegación de servicio distribuido (DDoS) total en un servidor web que acepta todas las solicitudes que se le envían. Un millón de solicitudes incorrectas en un minuto no entrarán en su sitio, pero pueden abrumar su servidor y cerrar su sitio. Si tiene un firewall que reconoce las solicitudes incorrectas y el tráfico falso, las bloqueará y atenderá solo las solicitudes legítimas de personas reales que desean ver su sitio.

Por eso es tan importante un cortafuegos. Los cortafuegos se interponen entre su sitio y todos los demás dispositivos que intentan conectarse con él. En el caso de su servidor web, su host utiliza firewalls como filtros que se interponen entre su servidor y cientos, miles o incluso millones de conexiones con otros dispositivos todos los días. En el caso de su sitio web, un firewall de sitio web basado en software agregado a WordPress agregará otra capa de protección que puede controlar.

¿Cómo funciona un cortafuegos de sitios web?

Un firewall monitorea el tráfico entrante y saliente, buscando constantemente signos de piratería u otra actividad maliciosa. Cuando detecta algo fuera de lo común, el firewall evita que llegue a su destino previsto.

Piense en el cortafuegos de un sitio web como un gran filtro para su servidor web.

Cuando los firewalls de red estuvieron disponibles por primera vez a principios de la década de 1990, eran analizadores de paquetes simples que solo podían bloquear el tráfico entrante utilizando un conjunto muy pequeño de reglas. De hecho, eran bastante fáciles de eludir para los piratas informáticos.

Hoy en día, los cortafuegos se han convertido en programas complicados que se destacan por evitar que los piratas informáticos alcancen sus objetivos. Con el alto volumen de intentos de piratería que ocurren a diario, los firewalls de hardware son una característica clave de los enrutadores, conmutadores y servidores web de red. Un buen anfitrión se encarga de todo esto por ti. Pero su sitio web es su responsabilidad de mantener, y configurar un firewall para él limitará estas otras capas de seguridad.

¿Necesito un firewall en mi sitio web?

¿Es realmente necesario un firewall para su sitio web? ¿Realmente necesitas uno?

No, absolutamente no necesita un firewall que se ejecute en su sitio web como parte de un complemento o complemento de la función de seguridad de WordPress cuando podría usar un WAF externo basado en la nube.

Sí, absolutamente se beneficiará de un firewall que se ejecuta frente a su sitio web como parte de una plataforma WAF en la nube o Firewall-as-a-Service como Cloudflare o Sucuri.

Cada sitio web tendrá problemas de rendimiento si tiene que alojar un WAF y hacer el trabajo de filtrar las solicitudes entrantes mientras también responde a ellas, accede a bases de datos, representa páginas, administra el contenido en caché y potencia la administración de contenido y las aplicaciones de comercio electrónico.

Si no está utilizando un alojamiento de WordPress administrado sólido, un mayor riesgo y una carga de responsabilidad por la seguridad recae en usted, el propietario del sitio web y el rendimiento de su servidor puede no ser el ideal. En este caso, un WAF en la nube es una opción muy práctica. (Recomendamos Liquid Web y Nexcess para alojamiento de WordPress, y Cloudflare y Sucuri para sus servicios WAF en la nube).

¿Te sientes afortunado?

Nadie puede equivocarse con más seguridad, pero algunos sitios web pueden beneficiarse más que otros de un firewall de sitios web. Si está ejecutando un negocio en su sitio web, almacenando datos confidenciales de clientes e información de identidad personal, puede ser más un objetivo y también tener una mayor responsabilidad. Hay mucho en juego para que usted proteja su sitio, por lo que debe considerar todas las formas en que puede fortalecer su seguridad.

Si los piratas informáticos tomaran el control o destruyeran su sitio web, ¿estaría devastado? Si es así, un firewall de sitio web se sumará a su tranquilidad, junto con un alojamiento de calidad.

¿Qué puede salir mal?

Cuando se trata de servidores web, cuando un pirata informático ingresa, puede desfigurar rápidamente todo su sitio web. Pueden incorporar malware que infectará a los visitantes de su sitio, cambiar las contraseñas de administrador de WordPress para bloquearlo o eliminar por completo su sitio web.

Si su sitio carece de un firewall, puede ser vulnerable a los ataques DDoS. En este tipo de ataque, un atacante enviará miles (o millones) de paquetes de datos falsos que sobrecargarán su servidor y derribarán su sitio web.

Más allá de los ataques DDoS, un firewall de sitio web protegerá su sitio contra:

1. Intrusiones: un firewall de sitio web evita que los usuarios no autorizados accedan a su sitio web. Cuando un pirata informático ingresa a su sitio, el cielo es el límite del daño que pueden causarle.
2. Malware: los atacantes malintencionados que se infiltran en su servidor suelen infectarlo con malware. Crean malware para robar información personal y privada, propagarse a otros dispositivos y causar daños a las computadoras.
3. Ataques de fuerza bruta: los ataques de fuerza bruta son intentos de piratería en los que un atacante intenta miles de combinaciones de nombre de usuario y contraseña para intentar ingresar al administrador de su sitio de WordPress y otras cuentas de usuario. Al igual que los ataques DDoS, los piratas informáticos utilizan botnets para realizar ataques de fuerza bruta. Las botnets pueden probar cientos de combinaciones de inicio de sesión diferentes cada minuto hasta que tengan éxito.

Tipos de cortafuegos: dónde están instalados

Como hemos indicado, hay varios tipos diferentes de cortafuegos. Cada uno de ellos está diseñado para una situación específica. Algunos funcionan muy bien para computadoras personales. Otros cortafuegos están especialmente diseñados para el filtrado de redes. Los cortafuegos de sitios web protegen los sitios web como la última línea de defensa después de estos otros tipos de cortafuegos.

Los cortafuegos se clasifican mejor en términos de dónde se pueden implementar, qué hacen y cómo lo hacen.

Cada tipo de firewall está ubicado o instalado en una posición única en una red o dispositivo informático. Pueden estar integrados en el hardware. Pueden estar empaquetados como software que puede instalar en su computadora o dentro de una aplicación web, como WordPress. Cada tipo de cortafuegos tiene características diferentes. También hay una variedad de técnicas que usan los cortafuegos para filtrar diferentes tipos de tráfico.

Cubriremos brevemente las principales categorías, tipos y técnicas de firewalls para brindarle una comprensión general de ellos. Discutiremos cómo difieren y se relacionan los cortafuegos con miras a comprender dónde encaja un cortafuegos de sitio web para WordPress.

Diferencia entre firewalls de hardware y software

Todos los cortafuegos son software, pero algunos están integrados en dispositivos de hardware como enrutadores y conmutadores de red. Pueden ser de solo lectura e inalterables o requerir actualizaciones que cambien el software almacenado en la memoria Flash u otros chips de memoria no volátiles y regrabables. Los cortafuegos como estos se consideran cortafuegos de hardware.

Un firewall de software es una aplicación independiente que se ejecuta sobre el hardware de un dispositivo informático. Puede ser parte de un sistema operativo o ejecutarse encima de un sistema operativo, como una aplicación de firewall personal, que analizaremos más adelante.

Un cortafuegos de software puede ejecutarse sobre el sistema operativo de un servidor web y servir como cortafuegos de red para muchos otros servidores web en combinación con cortafuegos de hardware de red.

Se puede agregar un firewall de software como componente de un sistema de administración de contenido, como un WAF para WordPress. Un firewall dentro de WordPress ocupa un lugar destacado en la pila de tecnología con un sistema operativo y un software intermedio entre su sitio y el hardware subyacente. Como hemos visto, ese es un ejemplo de un firewall de aplicación web.

Firewalls de hardware vs. software: ventajas y desventajas

Los cortafuegos de hardware proporcionan el mismo tipo de funcionalidad que los cortafuegos de software, pero operan en sentido ascendente en su red, antes que sus dispositivos informáticos y los servidores web que alojan su sitio. Están integrados en un nivel mucho más profundo de su pila de tecnología.

Incluso si no lo sabe, tiene un firewall de hardware ubicado en su enrutador de Internet. Si bien es un poco diferente de los dispositivos de firewall de hardware dedicados, proporciona características similares de monitoreo y seguridad.

Actualizaciones y Adaptabilidad

Los firewalls de software y hardware se interponen entre sus dispositivos y el resto del mundo, donde pueden analizar todas las solicitudes de conexión y bloquear las malas. Un firewall de software se puede actualizar para mejorar su eficacia y responder a nuevos hilos. Los cortafuegos de hardware son más difíciles de actualizar.

A veces, el hardware de red necesita que se apliquen actualizaciones para corregir errores y parchear vulnerabilidades, pero esta es una tarea rara y difícil si no tiene un equipo de soporte de red. También es una de las razones por las que el hardware de red antiguo tiende a ser menos seguro. Los piratas informáticos han descubierto cómo explotarlo. Confía en su proveedor de alojamiento para mantener su infraestructura de hardware por usted, otra razón para no comprar barato.

Los cortafuegos de hardware tienen algunos inconvenientes como este. Debido a que son bastante difíciles de actualizar y necesitan un mantenimiento continuo para garantizar su seguridad, necesitan soporte de TI en cualquier red comercial seria. Las redes domésticas y de muchas pequeñas empresas tienden a estar mal configuradas y son inseguras.

Accesibilidad y rendimiento

Además, los firewalls de hardware pueden causar problemas de velocidad y rendimiento cuando examinan y filtran el tráfico de la red. Esto es especialmente cierto cuando se usan junto con firewalls de software. Puede obtener una mayor seguridad de varios cortafuegos que trabajan juntos, pero si todos tienen reglas complejas, el costo puede ser para su rendimiento: la velocidad de sus transferencias de datos en la red.

Además, la mayoría de los firewalls de hardware no están destinados a bloquear o imponer restricciones a usuarios y dispositivos individuales. Eso no suele estar en su conjunto de funciones.

Si tiene una red grande, los firewalls de hardware pueden proteger fácilmente toda la red y seguirán funcionando incluso si la red se ve comprometida. Los cortafuegos de software son mucho más difíciles de configurar en una red grande y son fáciles de desactivar si un pirata informático puede entrar. Los piratas informáticos normalmente no podrán desactivar un cortafuegos de hardware.

Los firewalls de software están destinados a ser más fáciles de usar para personas que pueden no ser expertos técnicos. Estos firewalls ofrecen funcionalidad para bloquear aplicaciones específicas, administrar usuarios de dispositivos, crear registros y monitorear a los usuarios en una red. Son mucho más difíciles de configurar en una configuración de red, pero cuando se instalan en varios dispositivos, le brindan más control que los firewalls de hardware.

Tipos de cortafuegos: diferentes técnicas que utilizan

El software de firewall está en constante evolución con diferentes técnicas que surgen con el tiempo para manejar diferentes tareas y situaciones.

Hoy tenemos casi una docena de tipos principales de firewalls definidos por las técnicas que usan para protegerlo. Estos son cortafuegos de filtrado de paquetes, puertas de enlace a nivel de circuito, puertas de enlace a nivel de aplicación o cortafuegos de proxy, cortafuegos de inspección multicapa con estado (SMLI), cortafuegos de última generación (NGFW), incluidos los NGFW centrados en amenazas, cortafuegos de traducción de direcciones de red (NAT), cortafuegos de nube firewalls y firewalls de administración unificada de amenazas (UTM).

Veremos solo tres de estos que representan la tecnología de firewall más antigua y básica y los desarrollos más nuevos y de vanguardia en el filtrado de redes.

Cortafuegos de filtrado de paquetes

Este tipo de cortafuegos fue uno de los primeros que se desarrollaron. También es el tipo de firewall más simple.

Los paquetes son intercambios de datos entre un servidor y una computadora. Por ejemplo, cuando carga un archivo, envía un correo electrónico o hace clic en un enlace, está enviando un paquete a un servidor. Cuando su dispositivo carga una página web, el servidor le envía un paquete.

Los cortafuegos de filtrado de paquetes analizan los paquetes y los bloquean si infringen algunas reglas predefinidas. Pueden bloquear paquetes que provienen de una dirección IP o un servidor específico o paquetes que intentan llegar a determinadas ubicaciones del servidor.

Desafortunadamente, los cortafuegos de filtrado de paquetes son bastante fáciles de evitar para los piratas informáticos. No pueden aplicar ninguna regla avanzada. Si está configurado para permitir el acceso a través de un puerto determinado, el cortafuegos dejará pasar cualquier cosa. Incluso el tráfico que los cortafuegos modernos sabrán que no es legítimo pasará sin ser detenido.

Por el lado positivo, los firewalls de filtrado de paquetes son extremadamente simples y no afectan el rendimiento. No guardan registros, no inspeccionan el tráfico ni realizan funciones avanzadas. Pero hoy en día, estos cortafuegos no pretenden ser su principal fuente de protección.

Cortafuegos con estado

Los cortafuegos con estado se introdujeron después de los cortafuegos de filtrado de paquetes simples. La idea fue revolucionaria en ese momento. En lugar de analizar los paquetes cuando llegan y bloquear algunos con reglas simples, un firewall con estado podría implementar reglas de bloqueo más dinámicas al mismo tiempo que monitorea los paquetes que llegan a través de la red.

Mientras que los cortafuegos de filtrado de paquetes simples solo bloquean el tráfico en función de reglas predefinidas estáticas, un cortafuegos con estado detecta y bloquea el tráfico malo mediante la detección de patrones de usuario y otras técnicas más avanzadas.

La única desventaja de un firewall con estado es que utiliza más recursos que su contraparte más simple. Pero es una solución en la que se puede confiar.

Cortafuegos de próxima generación

Por último, tenemos el NGFW o cortafuegos de última generación. Este es un invento reciente que ha dado a luz la generación actual de seguridad y tecnología de servidor web. Los NGFW son herramientas empresariales que combinan muchas técnicas de firewall en una sola solución. Por lo general, están basados ​​en la nube o forman parte de una plataforma de firewall como servicio. Cloudflare y Sucuri ofrecen funciones WAF basadas en la nube a través de sus plataformas de software como servicio (SaaS) de esta manera.

Algunas de las funciones de red que los NGFW tienen incluyen monitoreo de aplicaciones, prevención de intrusiones e inspección y filtrado profundos de paquetes. Pueden tener conocimiento de otras aplicaciones en la red que están protegiendo y poder controlarlas. También pueden actualizarse con nueva inteligencia de amenazas para responder a los peligros más recientes y emergentes.

Los tipos de cortafuegos que más utilizará

A menos que sea un administrador de red o dedique tiempo a personalizar un enrutador o un punto de acceso inalámbrico en su hogar, es poco probable que alguna vez tenga mucho contacto con los firewalls de hardware. Los cortafuegos más fáciles de usar y accesibles que probablemente utilice se ejecutan en su computadora o sitio web. Estos son firewalls personales y de aplicaciones web.

Cortafuegos personales

Los firewalls personales se utilizan en una sola computadora. Es el tipo de firewall que está integrado preinstalado en macOS, Windows y muchas máquinas Linux, o con soluciones antivirus de terceros, también puede contener un firewall configurable personalmente.

Los cortafuegos personales funcionan de forma muy parecida a los cortafuegos de servidor. Rechazan o permiten conexiones desde aplicaciones, IP y dispositivos externos en función de reglas predefinidas. Pero en su funcionamiento, un cortafuegos personal actúa de forma un poco diferente a un cortafuegos de servidor.

Los cortafuegos personales:

• Proteja todos los puertos de la computadora que se conectan a aplicaciones o sitios web en línea.
• Detenga los ataques que intentan colarse a través de la red.
• Evite que los malos actores tomen el control o accedan a sus dispositivos personales.
• Analice todo el tráfico saliente y entrante en busca de actividad sospechosa.

Además, son firewalls de aplicaciones que monitorean la actividad de las aplicaciones de su dispositivo. Un cortafuegos personal efectivo se negará a permitir conexiones con software desconocido o inseguro.

Los cortafuegos personales son fáciles de emplear. Si está ejecutando Windows 10, se ejecuta automáticamente un firewall personal.

Para los usuarios de macOS, deberá activar el firewall personal para estar protegido. Todo lo que necesita hacer en su máquina es navegar a Preferencias del sistema >> Seguridad y privacidad >> Cortafuegos.

La mayoría de los programas antivirus también vienen con un firewall. Avast Antivirus es un ejemplo.

Puede comprar firewalls personales, pero tienden a entrar en conflicto con la configuración predeterminada de la mayoría de las máquinas y no son tan útiles como lo eran antes de que los sistemas operativos de las computadoras los tuvieran.

Aplicaciones web y firewalls de aplicaciones

Las aplicaciones web y los firewalls de aplicaciones representan la seguridad de firewall más evolucionada y dinámica en la actualidad.

Un firewall de red tradicional solo monitoreará el tráfico general de la red. Tendrá dificultades para detectar el tráfico que va y viene al cambiar las aplicaciones, los servicios y otro software utilizado en la red, o no podrá hacerlo.

Los firewalls de aplicaciones se diseñaron para detectar intentos de intrusión que buscan y explotan vulnerabilidades en una red o dentro de una aplicación. Están integrados en los puntos de acceso inalámbricos y en el hardware del enrutador. Son software integrado con sistemas operativos o software de seguridad diseñado para sistemas operativos particulares.

Los firewalls de aplicaciones de red se utilizan para establecer límites en los usuarios, para controles parentales como el sistema Family Sharing de Apple. Muchas organizaciones los usan para bloquear el acceso a ciertos sitios web y aplicaciones.

Un firewall de aplicaciones web funciona de manera muy similar a estos otros firewalls de aplicaciones. Lo que lo distingue es que se ejecuta dentro de la aplicación que protege y está dedicado a ella. Un WAF se centra en la seguridad de una sola aplicación web: la suya.

Cortafuegos para WordPress: qué saber

Si desea protegerse a sí mismo y a su sitio de WordPress, necesita un firewall que mantenga a los piratas informáticos afuera mirando hacia adentro.

Cuando se trata de un firewall personal en su computadora, normalmente no necesita instalar uno propio. Los cortafuegos incorporados en los sistemas operativos modernos funcionan bastante bien sin necesidad de ninguna configuración adicional. Cuando se combinan con el firewall de la aplicación que se basa en el software antivirus y el filtro de paquetes de su enrutador, sus dispositivos personales deben estar protegidos contra alguien que los invada y obtenga acceso a todas sus cuentas en línea.

Pero, ¿qué pasa con tu sitio de WordPress?

Combinando un Firewall con iThemes Security Pro

Esa es una historia completamente diferente. Los sitios web pueden ser atacados directamente a través de la web, e incluso si está utilizando un alojamiento de alta calidad con una buena seguridad de red, algunos ataques siempre pasarán. Cuando eso sucede, la última capa de defensa es la principal que puede controlar como propietario o administrador del sitio web. Es su responsabilidad y solo suya asegurar y fortalecer su sitio web.

El primer paso para la seguridad del sitio de WordPress es descargar e instalar un potente complemento de seguridad de WordPress. iThemes Security Pro es la solución perfecta para esto.

El complemento iThemes Security Pro es fácil de usar, proporciona protocolos de seguridad de bloqueo para su sitio y mantendrá a raya a los piratas informáticos y los ataques maliciosos las 24 horas del día, los 7 días de la semana, los 365 días del año.

El siguiente paso es emplear un firewall de aplicaciones web. La forma más sencilla y eficaz de hacerlo es con un WAF remoto basado en la nube de Cloudflare o Sucuri. Dado que su Firewall-as-a-Service se ejecuta en su infraestructura de alojamiento, no en la suya, no hay costo de rendimiento para su sitio, lo que sería el caso si usara un complemento de seguridad de WordPress con un firewall. En cuestión de minutos, puede tener un WAF en la nube en funcionamiento, protegiendo completamente su sitio junto con el complemento iThemes Security Pro que se enfoca en el fortalecimiento de la seguridad fundamental para su sitio de WordPress y la autenticación del usuario.

Más allá de eso, asegúrese de elegir un servidor web administrado de WordPress que mantenga adecuadamente sus servidores. Muchos, muchos otros beneficios vienen con una empresa de hosting que está presente y enfocada en la comunidad de usuarios y profesionales de WordPress. Es por eso que recomendamos Liquid Web y Nexcess para todas sus necesidades de alojamiento de WordPress.

Los hosts de WordPress baratos a menudo carecen de los protocolos de seguridad adecuados, lo que puede causar grandes problemas con su sitio.

Es su trabajo proteger su sitio de WordPress

No hay nadie más que usted que se asegurará de que su sitio de WordPress se mantenga a salvo de piratas informáticos y ataques maliciosos. Y la mejor manera de hacerlo es usando el doble golpe de un firewall de aplicaciones web combinado con el complemento iThemes Security Pro.

Y debido a que no existe una manera 100% infalible de garantizar que un pirata informático experto nunca ingrese a su sitio y cause daños, un complemento de copia de seguridad de WordPress es una necesidad absoluta.

Cuando usa un complemento de copia de seguridad como BackupBuddy, podrá restaurar inmediatamente su sitio para que funcione, incluso si está dañado o eliminado durante un pirateo.

Es un complemento que esperará no tener que usar nunca, pero se alegrará de tenerlo si lo necesita.

dan knauss

Dan Knauss es el generalista de contenido técnico de StellarWP. Ha sido escritor, profesor y autónomo trabajando en código abierto desde finales de la década de 1990 y con WordPress desde 2004.