La seguridad de un sitio WordPress es una prioridad, especialmente cuando se enfrenta a ataques DDoS o intentos de acceso no autorizados a wp-admin y wp-login.php. Cloudflare ofrece una solución efectiva con su modo «I’m Under Attack», que filtra el tráfico sospechoso con desafíos de verificación antes de permitir el acceso.
Además, es posible reforzar la seguridad bloqueando o restringiendo el acceso desde países con alta actividad maliciosa, como China, Rusia, Irán y Corea del Norte. A continuación, se detallan los pasos para aplicar estas configuraciones.
1. Activar «I’m Under Attack» para todo el sitio
Si detectas un ataque masivo, puedes habilitar esta opción en todo tu dominio:
- Accede a tu cuenta de Cloudflare en el panel de control.
- Selecciona el dominio afectado.
- Dirígete a Seguridad > Configuración.
- En Nivel de Seguridad, elige I’m Under Attack!.
Con esta configuración, todos los visitantes deberán pasar un control de seguridad antes de acceder al sitio, filtrando tráfico sospechoso de bots y ataques DDoS.
2. Aplicar «I’m Under Attack» solo en wp-admin y wp-login.php
Para proteger únicamente el área de administración de WordPress sin afectar la experiencia de los visitantes, sigue estos pasos:
- En el panel de Cloudflare, accede a Seguridad > Configuración.
- Busca la opción Reglas de Configuración y haz clic en Crear regla.
- Configura la condición:
- Campo: URI Path
- Operador: Comienza con
- Valor:
/wp-admin
- Para incluir la página de inicio de sesión, usa la expresión avanzada
(starts_with(http.request.uri.path, "/wp-admin")) or (starts_with(http.request.uri.path, "/wp-login")) - En Acción, selecciona Añadir I’m Under Attack y activa la opción.
Esta configuración asegurará que solo los visitantes legítimos puedan acceder al área de administración.
3. Bloquear accesos desde países con actividad maliciosa
Para prevenir accesos desde regiones con un alto índice de ataques (como China, Rusia, Irán o Corea del Norte), puedes bloquear el tráfico proveniente de estos países:
- Accede al panel de Cloudflare y ve a Seguridad > Configuración.
- Dirígete a la sección Reglas de acceso IP.
- Crea una nueva regla con estos parámetros:
- Campo: País
- Operador: Es igual a
- Valores: China, Rusia, Irán, Corea del Norte (o cualquier país sospechoso).
- En Acción, selecciona Bloquear.
Esto impedirá cualquier conexión desde los países seleccionados, reduciendo el riesgo de ataques automatizados.
4. Restringir acceso solo a direcciones IP de confianza
Si administras tu sitio desde una ubicación fija, puedes permitir el acceso solo a direcciones IP específicas:
- Ve a Cloudflare > Reglas de acceso IP.
- Agrega una nueva regla:
- Campo: Dirección IP
- Operador: No es igual a
- Valor: (tu dirección IP o rango de IPs permitidas).
- Acción: Bloquear.
Con esto, solo las IPs autorizadas podrán acceder a wp-admin, bloqueando a cualquier otro visitante.
5. Previsualizar el modo «I’m Under Attack»
Para ver cómo se comportará el sitio con esta configuración:
- Accede al panel de Cloudflare.
- Ve a Administrar Cuenta > Configuraciones.
- En Páginas Personalizadas, selecciona Managed Challenge / I’m Under Attack Mode™ y haz clic en Ver predeterminado.
Los usuarios verán un mensaje de «Verificando su navegador…» durante unos segundos antes de acceder al sitio.
Conclusión
Aplicando estas configuraciones en Cloudflare, se mejora significativamente la seguridad de WordPress, reduciendo el riesgo de ataques DDoS y accesos malintencionados. Para mayor protección, también es recomendable:
✅ Autenticación en dos pasos en WordPress.
✅ Cambio de la URL de acceso con plugins como WPS Hide Login.
✅ Plugins de seguridad como Wordfence o iThemes Security.
✅ Deshabilitar XML-RPC si no se usa, ya que es un punto común de ataques.
Con estos ajustes, se refuerza la seguridad del sitio, evitando accesos no deseados y asegurando una experiencia estable para los usuarios legítimos. 🚀
