2 formas de aplastar raspadores y piratas informáticos con Wordfence


Wordfence es un popular complemento de seguridad de WordPress. Entre las características se encuentran el escáner que monitorea los archivos pirateados y un firewall con reglas actualizadas regularmente que bloquea proactivamente los bots maliciosos.

También hay una característica útil escondida en la herramienta que pone a disposición reglas de firewall configurables por el usuario que pueden potenciar su capacidad para bloquear piratas informáticos, raspadores y spammers.

Por alguna razón, esta herramienta no está visible de inmediato y debe hacer clic en varios menús para encontrarla.

Pero una vez que lo encuentre, descubrirá una manera fácil y efectiva de bloquear a los raspadores, piratas informáticos y spammers para que no ataquen su sitio.

Los scrapers son especialmente problemáticos porque plagian su contenido y lo publican en otros lugares.

Ahora, con la herramienta provista por Wordfence puedes hacer algo con esos raspadores.

El uso de una herramienta como Wordfence puede ayudar a reducir la cantidad de contenido que los scrapers pueden plagiar.

Hay muchos complementos de seguridad de WordPress y soluciones SaaS para elegir que son muy recomendables, incluidos Sucuri Security y Cloudflare. Wordfence es una de las muchas soluciones de seguridad disponibles y depende de usted encontrar cuál se siente más cómodo dentro de su flujo de trabajo.

Wordfence y otras soluciones funcionan bien como una solución de configuración y olvido.

Sin embargo, en mi experiencia, descubrí que el firewall configurable por el usuario en Wordfence le brinda a uno la oportunidad de marcar el poder de ataque del bot y realmente pegarlo a los piratas informáticos y raspadores.

Pero antes de marcar el cortafuegos, es importante saber hasta dónde se pueden llevar estas reglas de cortafuegos y también lo veremos.

Wordfence WordPress Seguridad

Más de 4 millones de usuarios confían en Wordfence para proteger sus sitios de WordPress.

El comportamiento predeterminado del Firewall es bloquear bots que toman demasiadas páginas demasiado rápido o bots y humanos que muestran actividades que indican un intento de piratear el sitio.

El cortafuegos bloqueará la dirección IP del bot no autorizado durante un período de tiempo determinado, luego de lo cual Wordfence eliminará el bloqueo.

La configuración predeterminada en el firewall funciona muy bien.

Pero a veces, los bots aún logran pasar y pueden raspar un sitio o investigarlo en busca de vulnerabilidades raspando el sitio lentamente.

Un enfoque común de los piratas informáticos es configurar un bot para que ingrese al sitio rápidamente y, cuando se bloquee, rotará a otras direcciones IP y agentes de usuario, lo que hace que un firewall comience el proceso de detección nuevamente.

Pero estos bots no siempre están muy bien programados, lo que facilita bloquearlos de manera más eficiente que con la configuración predeterminada de Wordfence.

Información básica sobre las reglas del cortafuegos de Wordfence

Es posible lograr un bloqueo eficiente de bots con herramientas de nivel de servidor, múltiples complementos e incluso mediante el uso de un archivo .htaccess.

Pero editar un archivo .htaccess puede ser complicado porque hay reglas estrictas a seguir y un error en el archivo .htaccess puede hacer que todo el sitio falle.

El uso de reglas de firewall es simplemente una forma más fácil de bloquear bots.

¿Qué puedes bloquear con Wordfence?

Wordfence te permite crear reglas para bloquear de acuerdo a cada una de las siguientes razones:

  • Rango de direcciones IP
  • nombre de host
  • Agente de usuario del navegador
  • referente

Rango de direcciones IP

Dirección IP significa la dirección IP del servidor o ISP del que proviene el bot o el ser humano.

nombre de host

Hostname significa el nombre del host. El host no siempre se declara, a veces el bot/visitante humano muestra solo una dirección IP.

Agente de usuario del navegador

Cada visitante del sitio generalmente le dice al servidor qué navegador está usando. Agente de usuario del navegador significa el navegador que el visitante dice que está usando. Un bot puede decir que es prácticamente cualquier navegador, lo que a veces hacen para evadir la detección.

referente

Esta es una página desde la que un bot o un humano supuestamente hizo clic en un enlace.

Bloqueo de patrones personalizados de Wordfence

La forma de bloquear bots malos utilizando cualquiera de las cuatro variables anteriores es agregando una regla personalizada en la herramienta de bloqueo de patrón personalizado.

Aquí se explica cómo alcanzarlo.

Paso 1

Haga clic en el enlace al Firewall desde el menú de administración del lado izquierdo en WordPress

Wordfence Paso 1

Paso 2

Elija la pestaña etiquetada Bloqueo

Wordfence paso 2

Paso 3

Elija la pestaña «Patrón personalizado» y cree una regla de firewall en el campo apropiado. Uno de los campos está etiquetado como «Motivo del bloqueo». Use ese campo para agregar una frase descriptiva como nombre de host, agente de usuario o lo que sea. Le ayudará a revisar todas las reglas que cree al poder ordenar por qué tipo de bloque es.

(*2*)

Paso 4

Wordfence paso 4

Paso 5

Haga su regla haciendo clic en el botón «Bloquear visitantes que coincidan con este patrón» y listo.

Wordfence paso 5

Las reglas de Wordfence pueden usar el asterisco

como comodín.

¿Debería bloquear las direcciones IP con Wordfence?

Wordfence facilita que un editor configure reglas de firewall que bloqueen de manera eficiente los bots.

Eso es una bendición, pero también puede ser una maldición. Por ejemplo, el bloqueo permanente de miles de direcciones IP mediante el cortafuegos de Wordfence no es eficaz y probablemente no sea un uso adecuado de Wordfence.

Está bien bloquear temporalmente las direcciones IP. El bloqueo permanente de las direcciones IP probablemente no esté bien porque, según tengo entendido, según la memoria, esto puede hinchar o ralentizar la instalación de WordPress.

En general, el bloqueo permanente de miles o incluso millones de direcciones IP se logra mejor con un archivo .htaccess.

Bloqueo de nombres de host con Wordfence

Bloquear un nombre de host con Wordfence puede ser una forma de bloquear piratas informáticos, spammers y raspadores. Al hacer clic en Wordfence > Herramientas, puede ver el registro de tráfico de Wordfence Live.

Eso le muestra a los visitantes bot y humanos, incluidos los bots que Wordfence bloqueó automáticamente.

No todos los visitantes del sitio muestran su nombre de host. Sin embargo, en algunos casos, muestran su nombre de host y eso facilita el bloqueo de un host web completo.

Por ejemplo, un sitio, por el motivo que sea, atrae niveles DDOS de tráfico de bots desde un solo host. Ninguno de mis otros sitios atrae tanta atención de este anfitrión, solo este sitio.

Entre marzo de 2020 y diciembre de 2021, ese sitio recibió más de 250 000 ataques y Wordfence bloqueó todos y cada uno de ellos.

Claramente, el bloqueo de bots por nombre de host puede ser útil si desea bloquear un host en la nube que solo envía piratas informáticos y raspadores.

Sin embargo, algunos hosts, como Amazon Web Services (AWS), envían tanto bots malos como buenos. El bloqueo de los servidores de AWS también puede bloquear inadvertidamente buenos bots.

Por lo tanto, es importante monitorear su tráfico y estar absolutamente seguro de que el bloqueo de un nombre de host no será contraproducente.

Por otro lado, si no tiene uso para el tráfico de Rusia o China, entonces es fácil bloquear a los piratas informáticos, raspadores y spammers de esos dos países creando una regla de firewall usando el campo de nombre de host.

Todo lo que tiene que hacer es crear una regla que bloquee todos los nombres de host que terminen en .ru y .cn. Eso bloqueará todos los nombres de host rusos y chinos que terminen en .ru y .cn.

Esto es lo que ingresa en el campo Nombre de host:
*.ru

*.cn

Esto no pretende alentar a nadie a usar Wordfence para bloquear los bots rusos y chinos a través del nombre de host. Es solo un ejemplo para mostrar cómo se hace.

Bloquear piratas informáticos y raspadores por agente de usuario

Muchos bots no autorizados utilizan agentes de usuario de navegador antiguos y desactualizados.

Después de que Rusia invadiera Ucrania, noté un aumento en los bots de piratería que usaban el agente de usuario (UA) de Chrome 90 del mismo grupo de servidores web. Normalmente, el tráfico de bots es diferente en los diferentes sitios web. Así que esto se destacó cuando todos tenían el mismo aspecto en todos mis sitios.

Cada vez que Wordfence bloqueaba automáticamente estos bots por aceptar a mi sitio demasiado rápido, los bots cambiaban la dirección IP y comenzaban a aceptar a los sitios una y otra vez.

Así que decidí bloquear estos bots mediante su agente de usuario de navegador (a menudo denominado simplemente UA). Primero revisé el Sitio web de StatCounter

para determinar cuántos usuarios de todo el mundo utilizan Chrome 90. Según las estadísticas de StatCounter, la cuota de mercado de Chrome 90 en enero de 2022 era del 0,09 % en EE. UU.

En el momento de escribir este artículo, el navegador Chrome se encuentra en la versión 100. Teniendo en cuenta que Chrome actualiza automáticamente las versiones del navegador para la gran mayoría de los usuarios, no sorprende que el uso de Chrome 90 sea prácticamente nulo, por lo que es muy poco probable que bloquee a todos los visitantes que utilizan un El agente de usuario del navegador Chrome 90 no bloqueará a una persona real y legítima que visite su sitio.

Así que determiné que es seguro bloquear todo lo que aparece en mi sitio con el agente de usuario de Chrome 90.

Sin embargo, existen herramientas en línea, como GTMetrix y un verificador de encabezado del servidor de seguridad, que usan el agente de usuario de Chrome 90.

Entonces, si bloqueara todas las versiones de Chrome 90 (usando esta regla: *Chrome/90.*), también bloquearía esas dos herramientas en línea.

Otra forma de hacerlo es mirar las variantes específicas de Chrome 90 utilizadas por los piratas informáticos y las herramientas en línea.

Chrome/90.0.4430.212

GTMetrix y la otra herramienta usan este Chrome UA:

Chrome/90.0.4400.8
Chrome/90.0.4427.0
Chrome/90.0.4430.72
Chrome/90.0.4430.85
Chrome/90.0.4430.86
Chrome/90.0.4430.93

Los piratas informáticos y los raspadores utilizan estos Chrome UA: Entonces, si desea permitir que las herramientas en línea sigan escaneando su sitio pero también bloqueen los bots malos, esta es una ejemplo

*Chrome/90.0.4400.8*
*Chrome/90.0.4427.0*
*Chrome/90.0.4430.72*
*Chrome/90.0.4430.85*
*Chrome/90.0.4430.86*
*Chrome/90.0.4430.93*

de como hacerlo:

Así es como bloquear Chrome/90.0.4430.93:

Cómo bloquear Chrome 90 con Wordfence

Advertencia sobre el bloqueo de agentes de usuario

Antes de bloquear Chrome 90, seguí revisando el registro de tráfico de Wordfence (accesible en Wordfence > Herramientas) para asegurarme de que ningún bot legítimo, como GTMetrix, esté usando Chrome 90 usando ese agente de usuario.

Por ejemplo, es posible que no desee bloquear Chrome 96 porque algunas de las herramientas de Google usan Chrome 96 como agente de usuario.

Siempre investigue si los bots legítimos están usando un agente de usuario o nombre de host en particular.

Y una manera fácil de investigar eso es usando el registro de tráfico de Wordfence.

Registro de tráfico de Wordfence

El registro de tráfico de Wordfence le muestra de un vistazo todos los agentes de usuario que acceden a su sitio casi en tiempo real. El registro de tráfico muestra información como agente de usuario, indica si el visitante es un bot o un ser humano, proporciona la dirección IP, el nombre de host, la página a la que se accede y otra información que ayuda a determinar si un visitante es legítimo o no.

La forma de aceptar al registro de tráfico es haciendo clic en Wordfence > Herramientas.

El bloqueo de versiones antiguas del navegador es una forma sencilla de bloquear muchos bots maliciosos. Las versiones de Chrome de las series 80, 70, 60, 50, 30 y 40 son particularmente numerosas en algunos sitios. Aquí hay un ejemplo

*Chrome/8*.*
*Chrome/7*.*
*Chrome/6*.*
*Chrome/5.0*
*Chrome/95.*
*Chrome/5*.*
*Chrome/3*.*
*Chrome/4*.*

de cómo bloquear los antiguos UA de Chrome que utilizan los bots maliciosos:

Nuevamente, lo anterior no es un aliciente para bloquear los bots anteriores.

La razón por la que usaría *Chrome/6*.* es porque con una sola regla puedo bloquear toda la serie Chrome 60 de agentes de usuario, Chrome 60, 61, 63, etc., sin tener que escribir los diez agentes de usuario.

Puedo bloquear toda la serie 60 con una sola regla. No bloquees las series de diez y más como esta. *Cromo/1*.*

porque eso también bloqueará la versión más actual de Chrome, Chrome 100. Lo anterior es un ejemplo

de cómo bloquear bots malos utilizando los agentes de usuario de Chrome descritos. Los bots malos también usan herramientas antiguas y retiradas Firefox agentes de usuario del navegador y algunos incluso muestran Python-solicitudes/

como agente de usuario.

Tenga cuidado al crear reglas de firewall

Siempre investigue primero para determinar qué bots malos están usando en sus propios sitios y asegúrese de que ningún bot legítimo o visitante del sitio esté usando esos agentes de usuario de navegador antiguos y retirados.

La forma de hacer su investigación es inspeccionar sus archivos de registro de tráfico o los registros de tráfico de Wordfence para determinar qué agentes de usuario (o nombres de host) son de tráfico malicioso que no desea.



Consultar el artículo en la publicación original

2 formas de aplastar raspadores y piratas informáticos con Wordfence
A %d blogueros les gusta esto: