Reglas de Mitigación
¿Para qué sirve?
Sección titulada «¿Para qué sirve?»El apartado de Mitigación → Reglas permite configurar el sistema de bloqueo automático de direcciones IP basado en el comportamiento detectado por las alertas de seguridad. Su objetivo es proteger proactivamente tus sitios WordPress contra amenazas, bloqueando automáticamente IPs maliciosas antes de que puedan causar daño.
Reglas disponibles
Sección titulada «Reglas disponibles»El sistema incluye 8 tipos de reglas de mitigación basadas en diferentes tipos de amenazas. Cada regla puede configurarse individualmente:
1. Ataques de Fuerza Bruta (brute_force)
Sección titulada «1. Ataques de Fuerza Bruta (brute_force)»- Descripción: Múltiples intentos de inicio de sesión fallidos desde la misma IP.
- Configuración por defecto:
- Umbral: 5 intentos
- Duración del bloqueo: 1 hora
- Severidad mínima: Media
- Uso recomendado: Activar para proteger contra intentos de adivinar contraseñas.
2. Inicio Exitoso tras Fuerza Bruta (brute_force_breach)
Sección titulada «2. Inicio Exitoso tras Fuerza Bruta (brute_force_breach)»- Descripción: Inicio de sesión exitoso después de múltiples intentos fallidos.
- Configuración por defecto:
- Umbral: 1 intento
- Duración del bloqueo: 24 horas
- Severidad mínima: Crítica
- Uso recomendado: Activar para detectar credenciales comprometidas.
3. Subida de Archivos PHP (php_file_uploaded)
Sección titulada «3. Subida de Archivos PHP (php_file_uploaded)»- Descripción: Intento de subir archivos PHP potencialmente maliciosos.
- Configuración por defecto:
- Umbral: 1 intento
- Duración del bloqueo: 7 días
- Severidad mínima: Crítica
- Uso recomendado: Alta prioridad; indica intento de inyectar backdoors.
4. Consultas SQL Sospechosas (suspicious_query)
Sección titulada «4. Consultas SQL Sospechosas (suspicious_query)»- Descripción: Consultas de base de datos con patrones de inyección SQL.
- Configuración por defecto:
- Umbral: 3 intentos
- Duración del bloqueo: 6 horas
- Severidad mínima: Alta
- Uso recomendado: Activar para prevenir ataques SQLi.
5. Scanner de Vulnerabilidades (scanner_detected)
Sección titulada «5. Scanner de Vulnerabilidades (scanner_detected)»- Descripción: Herramientas automáticas escaneando vulnerabilidades.
- Configuración por defecto:
- Umbral: 1 intento
- Duración del bloqueo: 24 horas
- Severidad mínima: Media
- Uso recomendado: Bloquea bots que buscan vulnerabilidades.
6. Ataques XML-RPC (xmlrpc_attack)
Sección titulada «6. Ataques XML-RPC (xmlrpc_attack)»- Descripción: Abuso del protocolo XML-RPC de WordPress.
- Configuración por defecto:
- Umbral: 3 intentos
- Duración del bloqueo: 24 horas
- Severidad mínima: Alta
- Uso recomendado: Activar si XML-RPC no se usa legítimamente.
7. Manipulación de Usuarios (manage-user)
Sección titulada «7. Manipulación de Usuarios (manage-user)»- Descripción: Creación o modificación de cuentas de usuario.
- Configuración por defecto:
- Umbral: 1 intento
- Duración del bloqueo: 1 hora
- Severidad mínima: Media
!!! warning “Advertencia” Esta alerta puede ser generada por administradores legítimos. Se recomienda NO activar el bloqueo automático o agregar las IPs de todos los administradores a la whitelist.
8. Uso del Editor de Archivos (file_editor_used)
Sección titulada «8. Uso del Editor de Archivos (file_editor_used)»- Descripción: Uso del editor de archivos/temas de WordPress.
- Configuración por defecto:
- Umbral: 2 intentos
- Duración del bloqueo: 1 hora
- Severidad mínima: Media
!!! warning “Advertencia” Esta alerta puede ser generada por administradores legítimos. Se recomienda NO activar el bloqueo automático o agregar las IPs de todos los administradores a la whitelist.
Opciones de Configuración por Regla
Sección titulada «Opciones de Configuración por Regla»Cada regla permite ajustar 4 parámetros:
1. Estado (Activado/Desactivado)
Sección titulada «1. Estado (Activado/Desactivado)»- Switch para habilitar o deshabilitar la regla.
- Por defecto, todas las reglas vienen desactivadas.
2. Umbral (Threshold)
Sección titulada «2. Umbral (Threshold)»- Número de eventos necesarios antes de bloquear la IP.
- Rango: 1-50 intentos.
- Ejemplo: Si umbral = 5, se bloquea después del 5º intento.
3. Duración del Bloqueo
Sección titulada «3. Duración del Bloqueo»| Duración |
|---|
| 15 minutos |
| 30 minutos |
| 1 hora |
| 6 horas |
| 24 horas |
| 7 días |
| 30 días |
| Permanente (hasta desbloqueo manual) |
4. Severidad Mínima
Sección titulada «4. Severidad Mínima»| Nivel | Color |
|---|---|
| Baja (Low) | 🟢 |
| Media (Medium) | 🟡 |
| Alta (High) | 🟠 |
| Crítica (Critical) | 🔴 |
Solo se bloquean eventos con severidad igual o superior a la configurada.
Sincronización con el Plugin
Sección titulada «Sincronización con el Plugin»- Las reglas se sincronizan automáticamente con el plugin de WordPress cada 24 horas.
- Para aplicar cambios inmediatamente:
- Accede al plugin de WordPress.
- Ve a la sección de Mitigation.
- Haz clic en “Sync Configuration Now”.
Flujo de Funcionamiento
Sección titulada «Flujo de Funcionamiento»Alerta detectada → ¿Regla activada?├─ No → Solo se registra└─ Sí → ¿Severidad suficiente? ├─ No → Solo se registra └─ Sí → ¿Umbral alcanzado? ├─ No → Incrementar contador └─ Sí → Bloquear IP automáticamente → Aplicar duración configurada → Registrar en logs de mitigaciónRecomendaciones de Uso
Sección titulada «Recomendaciones de Uso»Reglas seguras para activar:
- Ataques de Fuerza Bruta
- Inicio Exitoso tras Fuerza Bruta
- Subida de Archivos PHP
- Consultas SQL Sospechosas
- Scanner de Vulnerabilidades
- Ataques XML-RPC
Reglas que requieren precaución:
- Manipulación de Usuarios: Agregar IPs de administradores a la whitelist antes de activar.
- Uso del Editor de Archivos: Agregar IPs de desarrolladores a la whitelist antes de activar.
Estrategia recomendada:
- Activar primero las reglas de amenazas externas (brute force, SQL injection, scanners).
- Configurar una whitelist con IPs de confianza (oficina, VPN, etc.).
- Activar gradualmente las reglas de actividad administrativa.
- Monitorear el dashboard de mitigación regularmente.