Qué es WAF y cómo protege tu hosting

Actualizado el miércoles, 29 junio, 2022

La seguridad se ha convertido en un pilar fundamental para el funcionamiento de cualquier web, por eso es imprescindible que mecanismos de protección como WAF trabajen para ti en un segundo plano. Veamos qué es WAF, cómo funciona y por qué lo necesitas en tu hosting.

¿Qué es WAF?

Un firewall de aplicaciones web o WAF se encarga de filtrar el tráfico HTTP entre una aplicación web e Internet.

Digamos que funciona como un escudo. WAF obliga a que cualquiera que quiera acceder a determinada aplicación web pase antes por un firewall que protege de tráfico malicioso al servidor donde se aloja la aplicación a la que quieres entrar.

Para que lo veas paso a paso, WAF actúa de la siguiente manera:

• Primero, analiza la petición HTTP que recibe el servidor.
• Luego ejecuta la regla de seguridad correspondiente de entre todas las que tiene programadas.
• Por último, si no hay ningún elemento que pueda considerarse malicioso para el servidor, se completa la solicitud y el escudo del que te hablábamos desaparece.
• Si por el contrario WAF detecta algún peligro, finalizará ahí la conexión HTTP y no accederás a la aplicación web.

Un ejemplo de WAF: funcionamiento de mod_security

Un ejemplo de WAF lo tienes en mod_security. mod_security es un módulo de seguridad de Apache que actúa como firewall de aplicaciones web o WAF. Su trabajo es filtrar y bloquear las solicitudes HTTP sospechosas, pudiendo bloquear ataques de fuerza bruta, vulnerabilidades de cross scripting (XSS), ataques por inyección SQL (SQLi), etc.

mod_security está activo en todos nuestros servidores Linux por defecto. Si al efectuar alguna tarea en nuestra web, dinahosting.com, como enviar un formulario o realizar un pago a través de un TPV, te encuentras con un error 406, posiblemente estés ante un bloqueo de mod_security. En el caso de que trate de un falso positivo, no podrás deshabilitar completamente mod_security por razones de seguridad, pero sí que permite añadir excepciones mediante el fichero .htaccess. En este artículo tienes más información sobre qué es mod_security y cómo añadir excepciones.

Recuerda que WAF es solo uno de los protocolos de defensa con los que debe contar la proveedora de hosting que elijas. Fíjate bien en que el servidor en el que vayas a alojar tu hosting cuente no solo WAF, sino también antimalware y firewall de red, que son los tres elementos básicos para crear una buena defensa frente a todo tipo de ataques, como DDoS, spam, phishing, etc.

¿Entonces SSL y WAF no son lo mismo?

SSL (Secure Socket Layer) es un protocolo de seguridad con funciones muy distintas a las de WAF. Su función es cifrar las comunicaciones que se producen dentro de un sitio web para que la información viaje de forma segura y confidencial. Esto evita que un tercero con fines malintencionados pueda interceptar los datos personales y bancarios de los usuarios de una web o de una tienda online en el momento en el que se establece la comunicación entre el cliente y el servidor.

Sin un SSL, los datos enviados entre navegador y servidor se envían en texto plano, sin formato. Si alguien se hace con esos datos, la información no estaría encriptada y cualquiera podría utilizarla sin complicaciones.

Además, ciertos certificados SSL, como los GlobalSign, también sirven para verificar la identidad de un sitio web y acreditar que su propietario es quien dice ser que es, lo que le transmite mucha más confianza a sus clientes.

Por lo tanto, no solo son clave para la imagen de marca del negocio, sino también para su posicionamiento. Google favorece con una mejor posición en los resultados de búsqueda a las webs que usan un certificado de seguridad. De hecho, su algoritmo penaliza a aquellas que no tienen una conexión segura.

¿En qué se diferencia de WAF? Hay que tener claro que el cifrado de un certificado SSL actúa sobre los intercambios de datos que se realizan en tu web, pero no sobre la web en sí misma.

Troyanos, shells, contenidos para phishing… son amenazas que están ahí, y su desarrollo no tiene que ver con si la web está o no protegida vía SSL. Por lo tanto, con tener solo un SSL no es suficiente para que la seguridad de un sitio web esté garantizada.

Lo mejor es una combinación de WAF y SSL

Tanto WAF como SSL juegan su papel, WAF protegiendo el servidor en el que se aloja tu página, y SSL protegiendo la información confidencial que tus visitantes introducen en tu web. Combinar estas y otras herramientas es clave para la seguridad de tu hosting y de tu web.

¡Llámanos o escríbenos si te surge alguna duda! Ya sabes que estamos siempre disponibles a través del teléfono gratuito 900 854 000, del email o del chat. También puedes dejarnos un comentario más abajo, ¡te leemos!