Para proteger WordPress de ataques maliciosos reiterados, una buena estrategia consiste en implementar un blindaje híbrido que combine la infraestructura de red de Cloudflare con reglas de servidor .htaccess.
La clave reside en forzar que todo el tráfico pase exclusivamente por los servidores proxy de Cloudflare (nube naranja), configurando el cifrado en modo SSL Full (Strict) y validando la autenticidad de las peticiones mediante la cabecera HTTP CF-RAY.
Este método elimina un alto porcentaje de ataques de fuerza bruta y DDoS al impedir que los atacantes contacten directamente con la dirección IP real del servidor; no obstante, no es una solución infalible, aunque se emplea como una defensa de alta eficiencia en escenarios donde no se cuenta con herramientas de mitigación de nivel profesional, como los planes de pago de Cloudflare.
Consideraciones clave
- Aislamiento de IP: Ocultar la IP real del servidor para evitar ataques directos.
- Cifrado extremo a extremo: Implementar SSL Full (Strict) para garantizar la integridad de los datos.
- Validación de cabeceras: Utilizar la etiqueta
CF-RAYcomo «pasaporte» de entrada al servidor. - Gestión de DNS limpia: Eliminar registros residuales de CDNs anteriores (como QUIC.cloud).
- Reglas de excepción: Configurar listas blancas para pasarelas de pago (PayPal) y procesos internos (Cron).
La anatomía de un ataque a WordPress
En el panorama actual, los atacantes ya no solo buscan vulnerabilidades en plugins; utilizan redes de bots (botnets) para saturar la CPU del servidor (llegando al 99-100% de uso) mediante peticiones masivas.
Muchos usuarios cometen el error de confiar únicamente en plugins de seguridad internos que, aunque útiles, consumen recursos del propio servidor para defenderse.
La verdadera protección ocurre en el perímetro. Al delegar la seguridad en Cloudflare, el tráfico malicioso se filtra en los nodos de la red global antes de que siquiera toquen tu hosting.
Como afirma Troy Hunt, experto en seguridad y creador de Have I Been Pwned:
«La seguridad efectiva no se trata de construir muros más altos, sino de hacer que el atacante no pueda encontrar la puerta.»
Configuración crítica SSL
El primer paso para un blindaje exitoso es la correcta gestión del tráfico. No basta con estar en Cloudflare; hay que estar correctamente configurado.
1. El modo Full (Strict)
Muchos administradores usan el modo «Flexible», lo cual es un error grave que puede causar bucles de redirección infinita y disparar el consumo de CPU.
El modo Full (Strict) obliga a que exista un certificado válido tanto en Cloudflare como en tu servidor de origen. Esto evita ataques de man-in-the-middle y asegura que el tráfico no sea interceptado.
2. Activación del proxy
Todos los registros A y CNAME deben mostrar la nube naranja. Si un registro está en «gris», la IP de tu servidor queda expuesta y el blindaje que instalaremos a continuación no servirá de nada.
Para entender los fundamentos del cifrado, consulta la documentación oficial de Cloudflare Learning Center.
Filtrado por cabecera CF-RAY
Este es el núcleo de nuestra estrategia. Cloudflare añade una cabecera única a cada petición legítima llamada CF-RAY. Podemos configurar nuestro servidor para que rechace automáticamente cualquier petición que no incluya esta etiqueta.
1. Implementación en el archivo .htaccess
Al insertar el código de blindaje en la parte superior del archivo .htaccess, el servidor realiza una comprobación instantánea. Si un bot intenta atacar tu IP directamente, saltándose a Cloudflare, el servidor le responderá con un error 403 Forbidden sin procesar ni una sola línea de PHP, manteniendo la CPU en niveles mínimos.
Un aspecto vital es la inclusión de la propia IP del servidor en una lista blanca dentro de estas reglas. Esto evita que procesos internos de WordPress se bloqueen a sí mismos al intentar realizar tareas de mantenimiento.
Adaptación para e-commerce
Si tu WordPress opera con WooCommerce o vende servicios, un blindaje demasiado estricto podría romper las notificaciones de pago (IPN). Las pasarelas de pago como PayPal necesitan comunicarse con tu sitio para confirmar que una transacción fue exitosa.
La estrategia profesional incluye una condición de User-Agent. Al añadir una excepción específica para PayPal en el código de blindaje, permitimos que sus servidores entreguen las notificaciones de pago sin comprometer la seguridad general del sitio.
Migración y limpieza de DNS
Un error común es la persistencia de registros de servicios anteriores, como QUIC.cloud. Estos servicios a menudo dejan registros DNS tipo quicns o registros TXT de verificación que pueden crear conflictos de enrutamiento.
Para que Cloudflare tome el control total, es imperativo eliminar cualquier referencia a name servers externos dentro de la zona DNS de Cloudflare.
El archivo de zona debe estar limpio, apuntando únicamente a la IP del servidor de origen y utilizando los registros MX correctos para el correo.
Según Mikko Hyppönen, jefe de investigación de WithSecure:
«Los ataques solo se vuelven más fáciles con el tiempo; tu infraestructura de DNS es el primer y más importante punto de fallo o de victoria.»
Monitoreo y respuesta ante incidentes
Incluso con el mejor blindaje, es necesario saber actuar si la CPU vuelve a subir. El «I’m Under Attack Mode» de Cloudflare es tu mejor aliado. Al activarlo, Cloudflare obliga a cada visitante a resolver un desafío de JavaScript de 5 segundos.
Esto detiene en seco a los scripts automatizados mientras permite que los usuarios reales sigan navegando tras una breve espera.
Preguntas frecuentes (FAQs)
1. ¿Por qué mi CPU sigue al 100% después de poner Cloudflare?
Lo más probable es que los atacantes ya conozcan tu IP real. Cloudflare protege el dominio, pero si el bot ataca directamente a la IP, necesitas el blindaje .htaccess para rechazar esas conexiones directas.
2. ¿El blindaje .htaccess afecta al SEO de Google?
No, siempre y cuando Google pase por Cloudflare. Googlebot es reconocido por Cloudflare y recibirá la etiqueta CF-RAY correctamente, por lo que entrará a tu sitio sin problemas.
3. ¿Qué pasa si mi IP cambia?
Debes actualizarla inmediatamente, tanto en los registros DNS de Cloudflare como en la sección de «Lista Blanca» de tu código .htaccess, para evitar bloqueos internos.
4. ¿Puedo usar este método con otros plugins de seguridad como Wordfence?
Sí, son compatibles. Cloudflare actúa como el firewall de red y Wordfence como el firewall de aplicación interno.
5. ¿Es necesario borrar QUIC.cloud para usar Cloudflare?
Es altamente recomendable para evitar conflictos de caché y errores de SSL complejos de depurar.
Para profundizar en técnicas avanzadas de mitigación, puedes visitar el portal de seguridad de OWASP, la autoridad mundial en seguridad web.