Dentro del cortafuegos de aplicaciones web ReportedIP
ReportedIP ofrece un cortafuegos de aplicaciones web que analiza cada solicitud antes de que WordPress la procese. Compara la URL, la cadena de consulta, el cuerpo de la solicitud y el agente de usuario con un conjunto de reglas firmadas, bloqueando inyecciones SQL, XSS, recorrido de rutas, inyección de comandos y una docena de tipos de ataques más; además, las reglas se actualizan automáticamente sin necesidad de lanzar una nueva versión del complemento.
El motor y su conjunto de reglas predeterminadas son gratuitos en todos los planes. En esta guía se explica cómo el cortafuegos inspecciona el tráfico, de dónde proceden las reglas y cómo se evita que una expresión regular errónea provoque la caída del sitio web.
Qué comprueba el cortafuegos de WordPress en cada solicitud
El WAF se ejecuta en el init Se ejecuta con prioridad 1, inmediatamente después de la comprobación de bloques de IP de Hive. Una solicitud procedente de una IP ya bloqueada nunca llega al cortafuegos, por lo que no se desperdicia esfuerzo. Todo lo demás se inspecciona: la URI de la solicitud, la cadena de consulta, el cuerpo de la solicitud y el agente de usuario se simplifican y se comparan con el conjunto de reglas activo.
El coste es de unos 4 microsegundos de CPU por solicitud, sin consultas adicionales a la base de datos cuando existe una caché de objetos persistente. Las clases de ataque detectadas incluyen inyección SQL, cross-site scripting, recorrido de rutas, inyección de comandos y envoltorios LFI, además de SSRF, Log4Shell/JNDI, inyección de objetos PHP, inyección NoSQL, XXE, carga de shells web, CRLF e inyección de plantillas, cada una con su propio código de motivo de bloqueo.
La inspección es de solo lectura y tiene en cuenta los falsos positivos. Los administradores que hayan iniciado sesión están exentos (los administradores pegan legítimamente código SQL y otro tipo de código en los editores), /wp-admin nunca se revisa, y las direcciones IP incluidas en la lista blanca se omiten. Las entradas válidas se bloquean siguiendo la misma ruta 403, segura para la caché y codificada por referencia, que utilizan los demás sensores, o simplemente se registran cuando el modo de solo informe está activado.
¿Por qué las reglas del cortafuegos se encuentran en el servidor y no en el complemento?
La mayoría de los cortafuegos de WordPress tienen las firmas codificadas de forma fija, por lo que cada actualización de las reglas requiere el lanzamiento de un nuevo plugin. Hive lo hace al revés: las firmas proceden de la API de reglas reportedip.de en forma de conjuntos de reglas versionados, firmados con Ed25519 y escalonados por niveles, que se sincronizan cada seis horas. Las nuevas firmas de ataque llegan a todas las instalaciones en cuestión de horas.
Hay cuatro conjuntos de reglas — waf, bot_signatures, disposable_domains y scan_paths. Cada uno de ellos está firmado con una firma Ed25519 independiente, y el complemento la verifica comparándola con un conjunto de claves públicas incluido (la actual y la siguiente, para la rotación). antes al aplicarla. Si la verificación falla, el feed es demasiado grande o no se puede acceder al servidor, Hive recurre a un conjunto de reglas básicas integrado. Un feed manipulado o secuestrado no puede corromper las reglas, ni siquiera si se filtra una clave API o se rompe el TLS.
La versión básica se incluye en el complemento, por lo que el cortafuegos funciona totalmente sin conexión en el modo «Local Shield», sin necesidad de una cuenta ni de realizar llamadas salientes. La sincronización de reglas es opcional: solo se ejecuta en el modo «Community» si se ha configurado una clave API.
Versión básica gratuita, funciones avanzadas en la versión Professional
La configuración de escalonamiento se basa en el modelo de niveles de paranoia del Conjunto de Reglas Básicas de OWASP, el estándar de facto para WAF utilizado por ModSecurity y Cloudflare.
| Nivel de paranoia | Personaje | Plan de la colmena |
|---|---|---|
| PL1 | La configuración básica, optimizada para minimizar los falsos positivos, cubre el Top 10 de OWASP | Gratis (paquete básico) |
| PL2 | Más vigilancia, algunos falsos positivos más | Colaborador (semanal) / Profesional |
| PL3 | Ataques poco frecuentes, técnicas de ofuscación y cobertura de elusión de WAF, falsos positivos ocasionales | Profesional (Sincronización prioritaria) |
La versión gratuita ofrece un cortafuegos eficaz con un bajo índice de falsos positivos: esa es la promesa de protección. La versión Professional incorpora los conjuntos de reglas PL2/PL3, más exhaustivos y actualizados con frecuencia, a través de Priority Sync, junto con las listas actualizadas en tiempo real de rangos de IP de bots y dominios desechables.
Cómo evita Hive que una regla errónea provoque la caída de tu sitio web
Dado que los patrones proceden de un feed, una expresión regular mal formada supone un riesgo de primer orden: un retroceso catastrófico (ReDoS) llegó a dejar Stack Overflow fuera de servicio durante 34 minutos. Hive se protege contra ello mediante varias capas:
- Reducir el límite de retroceso. Antes del ciclo de inspección, Hive establece
pcre.backtrack_limita 100 000 (frente al valor predeterminado de 1 millón) y lo restablece después, limitando así el tiempo de ejecución máximo por patrón. - Actuar de forma predeterminada en caso de error de expresión regular. Cuando un patrón alcanza el límite,
preg_match()devolucionesfalse, no0o1— un bypass silencioso si no se marca. Hive tratafalseen modo «fail-open» y con registrowaf_pattern_errorevento. Una regla incumplida nunca bloquea el tráfico legítimo ni impide el acceso al sitio: la disponibilidad prima sobre el rigor. - Tamaño máximo del cuerpo: 8 KB. Las solicitudes de cuerpos que superen los 8 KB omiten los grupos de cuerpos, por lo que la base de retroceso queda limitada.
- Linter del lado del servidor. En reportedip.de, cada patrón se comprueba para detectar posibles retrocesos catastróficos antes de ser firmado; los patrones peligrosos nunca se publican.
Los patrones personalizados también dan prioridad a los grupos atómicos y a los cuantificadores posesivos, que no requieren retroceso, y el JIT de PCRE (activado por defecto en WordPress) agiliza la búsqueda de coincidencias.
Protección ampliada: bloqueo antes de que se cargue WordPress
El init- El cortafuegos «-hook» se ejecuta una vez que WordPress se ha iniciado. Para garantizar la protección antes de que se ejecute el código de cualquier plugin, Hive ofrece un complemento opcional que ejecuta el WAF a través de PHP. auto_prepend_file directiva, el mismo enfoque que Wordfence denomina «Protección ampliada». Está desactivada de forma predeterminada y se suma al motor interno de WordPress.
- Apache obtiene un
php_value auto_prepend_filelínea escrita en un espacio marcado.htaccessbloque. - PHP-FPM obtiene un
auto_prepend_fileentrada en.user.ini, o una línea del archivo php.ini o del panel de control del alojamiento. - nginx no se puede configurar automáticamente (su configuración se encuentra fuera del directorio raíz de la web y requiere una recarga), por lo que Hive genera un fragmento de código para copiar y pegar con la ruta absoluta actual ya introducida.
El drop-in se abre en caso de error, y al eliminarlo siempre se elimina primero la directiva antes de borrar el archivo de protección; por lo tanto, una entrada obsoleta que apunte a un archivo que ya no existe nunca provocará un error fatal en el sitio. Desde la versión 2.1.4, la configuración es verificable: el estado indica si el archivo de protección se ha ejecutado realmente para la solicitud actual, en lugar de dar una estimación.
Los códigos de referencia convierten un bloque erróneo en una consulta de una sola línea
Cada bloque lleva un código de referencia identificable, como por ejemplo WAF_SQLI-3F9A2B71, que se muestra en la página del bloque y se envía como el X-RIP-Ref encabezado. Un visitante bloqueado por error introduce una cadena corta, y un administrador la identifica en los registros. El token es un hash unidireccional de la IP, el motivo y la hora, por lo que no revela ningún dato personal.
Preguntas frecuentes
¿El cortafuegos de aplicaciones web es gratuito?
Sí. El motor WAF y la configuración básica «OWASP Top 10 - Nivel de paranoia 1» están disponibles en todos los planes, incluidos el nivel gratuito y el modo «Local Shield», que funciona totalmente sin conexión. El plan Professional incluye conjuntos de reglas más avanzados de los niveles 2 y 3, así como actualizaciones en tiempo real a través de Priority Sync.
¿El cortafuegos bloqueará mis propias tareas de administración?
No. Los administradores que hayan iniciado sesión están exentos, y /wp-admin nunca se revisa. Si un formulario del front-end activa una regla, cambia el WAF al modo de solo informes, busca el código de motivo en los registros y realiza los ajustes necesarios a partir de ahí.
¿Qué ocurre si no se puede acceder al servidor de reglas?
No se produce ningún fallo. El complemento sigue utilizando el último conjunto de reglas verificado, o la configuración de referencia incluida, y vuelve a intentar la sincronización más tarde. El cortafuegos nunca depende de una conexión activa para funcionar.