Seguridad del sitio web y copias de seguridad Ayuda

Hicimos lo mejor que pudimos para traducir esta página para ti. La página en inglés también está disponible.

Evitar la omisión del Firewall de aplicaciones web (WAF)

Si alguien conoce tu IP de hosting oculta , puede pasar por alto tu Firewall de aplicaciones web (WAF) e intentar acceder a tu sitio web directamente. No es común ni fácil de hacer, pero para seguridad adicional, recomendamos permitir solo el acceso HTTP a través de tu WAF. Puedes limitar el acceso a tu sitio web agregando una restricción a tu archivo .htaccess.

Advertencia: Espera hasta que tus cambios de DNS se hayan propagado por completo antes de seguir las instrucciones a continuación. Esto puede tardar hasta 24 horas después de que hayas configurado tu WAF .
  1. Ve a tu GoDaddy página del producto.
  2. Para Seguridad del sitio web y Respaldos , selecciona Administrar todo .
  3. Para el sitio que quieres configurar, selecciona Detalles en Firewall .
  4. Selecciona Configuración.
  5. Selecciona Seguridad y desplázate hacia abajo hasta Prevenir la omisión del firewall .
    Prevenir el bypass del firewall
  6. Selecciona tu tipo de servidor. Para los servidores Apache, agrega el código a tu archivo .htaccess. Para NGINX, deberás agregar el código a tu archivo de configuración NGINX.

Reglas comunes basadas en direcciones IP

La mejor manera de evitar que los hackers eludan el firewall es limitando su acceso a tu servidor web. A continuación puede encontrar las reglas basadas en direcciones IP de uso común para ayudar a restringir el acceso a su servidor web.

Apache 2.4

# BEGIN Prevención de omisión del firewall del sitio web < FilesMatch ".* " > Requiere ip 208.109.0.0/22 Requiere ip 192.88.134.0/23 Requiere ip 185.93.228.0/22 Requiere ip 66.248.200.0/22 Requiere ip 2a02: fe80 ::/29 Requiere ip 173.245.48.0/20 Requiere ip 103.21.244.0/ 22 Requiere ip 103.22.200.0/22 Requiere ip 103.31.4.0/22 Requiere ip 141.101.64.0/18 Requiere ip 108.162.192.0/18 Requiere ip 190.93.240.0/20 Requiere ip 188.114.96.0/20 Requiere ip 197.234.240.0/22 Requiere ip 198.41.128.0/17 Requiere ip 162.158.0.0/15 Requiere ip 104.16.0.0/13 Requiere ip 104.24.0.0/14 Requiere ip 172.64.0.0/13 Requiere ip 131.0.72.0/22 Requiere ip 2400: cb00 ::/ 32 Requiere ip 2606: 4700 ::/32 Requiere ip 2803: f800 ::/32 Requiere ip 2405: b500 ::/32 Requiere ip 2405: 8100 ::/32 Requiere ip 2a06: 98c0 ::/29 Requiere ip 2c0f: f248 ::/32 </FilesMatch & gt; # END Prevención de omisión del firewall del sitio web

Si el sitio web que deseas proteger contiene dominios adicionales o subdominios dentro de la raíz del documento, y el sitio usa Apache 2.4, usa el siguiente código en lugar de la prevención de omisión basada en encabezados.

# BEGIN Prevención de omisión del firewall del sitio web < Si "& percnt; { HTTP_HOST } == & apos; coolexample.com & apos; || & percnt; { HTTP_HOST } & es igual a; & es igual a; & apos; www.coolexample.com & apos; " > Requiere ip 208.109.0.0/22 Requiere ip 192.88.134.0/23 Requiere ip 185.93.228.0/22 Requiere ip 2a02: fe80 ::/29 Requiere ip 66.248.200.0/22 Requiere ip 173.245.48.0/20 Requiere ip 103.21.244.0/ 22 Requiere ip 103.22.200.0/22 Requiere ip 103.31.4.0/22 Requiere ip 141.101.64.0/18 Requiere ip 108.162.192.0/18 Requiere ip 190.93.240.0/20 Requiere ip 188.114.96.0/20 Requiere ip 197.234.240.0/22 Requiere ip 198.41.128.0/17 Requiere ip 162.158.0.0/15 Requiere ip 104.16.0.0/13 Requiere ip 104.24.0.0/14 Requiere ip 172.64.0.0/13 Requiere ip 131.0.72.0/22 Requiere ip 2400: cb00 ::/ 32 Requiere ip 2606: 4700 ::/32 Requiere ip 2803: f800 ::/32 Requiere ip 2405: b500 ::/32 Requiere ip 2405: 8100 ::/32 Requiere ip 2a06: 98c0 ::/29 Requiere ip 2c0f: f248 ::/32 </Si & gt; # END Prevención de omisión del firewall del sitio web

Apache 2.2

# BEGIN Prevención de omisión del firewall del sitio web < FilesMatch ".* " > Orden denegar, permitir Denegar desde todos Permitir desde 208.109.0.0/22 Permitir desde 192.88.134.0/23 Permitir desde 185.93.228.0/22 Permitir desde 2a02: fe80 ::/29 Permitir desde 66.248.200.0/22 Permitir desde 173.245.48.0/ 20 Permitir desde 103.21.244.0/22 Permitir desde 103.22.200.0/22 Permitir desde 103.31.4.0/22 Permitir desde 141.101.64.0/18 Permitir desde 108.162.192.0/18 Permitir desde 190.93.240.0/20 Permitir desde 188.114.96.0/20 Permitir desde 197.234.240.0/22 Permitir desde 198.41.128.0/17 Permitir desde 162.158.0.0/15 Permitir desde 104.16.0.0/13 Permitir desde 104.24.0.0/14 Permitir desde 172.64.0.0/13 Permitir desde 131.0.72.0/22 from 2400: cb00 ::/32 Permitir desde 2606: 4700 ::/32 Permitir desde 2803: f800 ::/32 Permitir desde 2405: b500 ::/32 Permitir desde 2405: 8100 ::/32 Permitir desde 2a06: 98c0: :/29 Permitir desde 2c0f: f248 ::/32 </FilesMatch & gt; # END Prevención de omisión del firewall del sitio web

Si el código de prevención de bypass estándar no funciona, puedes intentar con el siguiente código, que requiere el encabezado WAF de Sucuri.

#BEGIN Prevención de omisión del firewall del sitio web RewriteEngine On RewriteCond & percnt; { HTTP: X-SUCURI-CLIENTIP } ^ $ RewriteCond & percnt; { HTTP: X-SUCURI-PAIS } ^ $ RewriteRule ^ (.*) $ - & lsqb; F, L & rsqb; ErrorDocument 403 Forbidden # END Prevención de omisión del firewall del sitio web

El código alternativo verificará si los encabezados X-SUCURI-CLIENTIP y X-SUCURI-COUNTRY están presentes y, si no lo están, devolverá el código de estado de respuesta 403 Forbidden.

WordPress administrado

Si tu cuenta aparece como hosting WPaaS, es posible que el servidor HAproxy o openresty no esté pasando las direcciones IP correctas en la solicitud. Usa el siguiente código para solucionar el problema.

# BEGIN Prevención de omisión del firewall del sitio web RewriteEngine On RewriteCond%{HTTP_HOST} ^(www.)? coolexample.com $ RewriteCond %{HTTP:X-SUCURI-CLIENTIP} ^$ RewriteCond %{HTTP:X-SUCURI-COUNTRY} ^$ RewriteRule ^(.*) $-[F, L] ErrorDocument 403 Forbidden # END Prevención de bypass del firewall del sitio web

Asegúrate de reemplazar coolexample.com con el nombre de dominio real. Asegúrate de borrar también el caché de barniz de WordPress administrado antes de probar la prevención de omisión del firewall, ya que aún puedes obtener una respuesta en caché de 200 OK . Esto se puede hacer en el Panel de administración de WordPress o accediendo a SSH (Secure Shell) a través de WP-CLI, la herramienta de línea de comandos para administrar sitios de WordPress.

Más información

  • Si está utilizando IIS, las instrucciones varían entre las versiones: IIS 7 , IIS 8 e IIS 9/10 . También puedes intentar usar el archivo web.config para evitar la omisión.
  • ¿Estás recibiendo un código de error 500 después de agregar las reglas de prevención de omisión? Elimina la línea que hace referencia a IPv6 del código de prevención de bypass y comprueba si el error ha desaparecido. El error 500 puede tardar algunos minutos en desaparecer después de eliminar esa línea.