En más de un post, consejo, o webinar me has escuchado hablar de Cloudflare. Pero nunca te he explicado como uso CloudFlare para WordPress, y mejorar la seguridad y rapidez de mi blog.
El motivo para usarlo es sencillo. Con el aumento la seguridad de mi blog, poniendo un foso entre los atacantes y mi sitio web, y de paso aumento la velocidad de mi web.
¿Con estas propiedades, aún no lo usas?
Exactamente que es CloudFlare
Muchos lo definen como un CDN (Conten Delivery Network, o red de distribución de contenidos), pero no es solo eso.
CloudFlare es realmente un CloudProxy, que se pone entre tu web, y los usuarios, robots, o atacantes que te visitan.
Pero además esta nube de CloudFlare está distribuida por todo el mundo, así que en verdad si es un CDN, o funciona como tal.
Y de paso, cuando tus contenidos pasan por su nube, son optimizados, comprimiendo CSS, JavaScripts, y similares, para que se sirvan más rápidos.
Y además aplican medidas de seguridad, bloqueando SPAM, robots maliciosos documentados, etc… y los que no bloquean ellos, lo puedes hacer tu manualmente o usando plugins de WordPress.
En definitiva, para mí una elección más que acertada.
Dispones de una versión gratuita, que es más que suficiente para la mayoría de los casos (es la que yo uso). Y si quieres más, tienes distintos planes de precios para elegir.
Qué hace exactamente por ti CloudFlare para WordPress
Te cuento un poco más en detalle que es lo que hace y no, para que lo tengas más claro aún.
#1. Usando CloudFlare para WordPress ya no necesitas un CDN tradicional.
No es cierto.
La realidad es que no te es tan necesario, pero CloudFlare como te he dicho no es un CDN al uso, y no sustituye a servicios como MaxCDN o Amazon CloudFront.
Yo por ejemplo lo uso junto a Amazon CloudFront sin problemas, y trabajando juntos perfectamente.
Pero es verdad que con CloudFlare, reducirás la velocidad de carga de tu web de un 30% a un 50%.
#2. No te protege de ataques de fuerza bruta.
Es cierto, no sirve para tener una protección eficaz contra ataques de fuerza bruta en WordPress, pero al tener un filtrado de IPs, si te puede servir de manera manual.
Te lo explico con un ejemplo de como yo lo hago:
- Uso la protección contra ataques de fuerza bruta normal.
- Cuando Wordfence me avisa de varios ataques seguidos, apunto la IP, y la bloqueo en CloudFlare.
- Atacante bloqueado para siempre.
#3. ¿Y si bloqueas un país entero?
Por lo que sea resulta que crees difícil de te compre alguien de Kazajistán, y estas viendo en los logs de tu programa de seguridad, que recibes muchos ataques de IPs de allí. Pues bloquéalo directamente usando CloudFlare.
Esta opción es un poco peligrosa, porque puedes bloquear algún servicio que use tu web desde un país que bloquees, o por ejemplo, no te interesa bloquear países que potencialmente tengan muchos hablantes del idioma de tu blog.
#4. Analíticas web incluidas.
Visualiza cuantas páginas han sido visualizadas, cuantas visitas han sido de humanos, y cuantas de robots o crawlers. Asimismo te dice cuántos ataques o intentos de Spam has recibido (Threads).
Desde luego no son tan interesantes y completas como las de Google Analytics, pero complementan la información.
#5. Ahorra ancho de banda.
Al usar cache y servir peticiones simplificadas, estas ahorrando ancho de banda del que te provee tu hosting web.
¿Cuánto ahorras exactamente? Pues mira las analíticas de antes. Verás el ancho de banda ahorrado y las peticiones de menos que has tenido que realizar (uno de los motivos por lo que tu web carga más rápido).
#6. Tu web siempre online.
Si en algún momento tu alojamiento web sufre una caída, CloudFlare servirá una versión cacheada de tu web, mostrando un aviso, hasta que vuelva a estar disponible.
Tu web siempre online, 100% de disponibilidad.
Opciones de seguridad de CloudFlare para WordPress
Te he enseñado algunas de las cosas que hacen que usando CloudFlare en WordPress aumente tu seguridad, pero vamos a ser más específicos.
Lo primero que puedes elegir es el nivel de seguridad.
Por defecto es Medium, más que “apañao”. Pero si crees que estas sufriendo un ataque, o hay avisos de ataques masivos, puedes subir el nivel de seguridad. Bajarlo nunca lo recomiendo.
Aparte puedes configurar algunas opciones más, peor algunas de ellas solo disponibles para planes de pago.
Como por ejemplo la protección de ataques de denegación de servicio (DDoS). Ya sabes, esos ataques que hacen que de tantas peticiones, acaben tirando tu web abajo, o consumiendo todos tus recursos.
Una de las cosas que ayudan a nuestras visitas, es que si tenemos un Captcha o similar, podemos decidir el tiempo que es válido. Por ejemplo si ponemos una hora, y vuelve a rellenar un formulario, no se lo volverá a pedir.
Me encanta el tema de la ofuscación del email. A veces necesito escribir mi dirección de email en algún comentario, o lo hace una visita, o tú mismo me lo has dejado alguna vez. Pues no te preocupes que ningún robot lo pillara, ya que esta ofuscado. Eso quiere decir que un humano lo lee normal, pero para las maquinas es ilegible.
De la misma forma oculta contenido a los visitantes maliciosos que ya han sido identificados por CloudFlare. ¡Una visita molesta menos!
Además te activa la protección de hotlink para las imágenes. Esto es que cuando te “roban” un artículo, y se publica un copia y pega en otro blog, las imágenes no se verán. En el caso de que sea un artículo autorizado, puedes poner las imágenes en un directorio que se llame hotlink-ok, y entonces si se servirán. ¿Mola, ¿qué no?!
Y por último, una de las razones que harían que me pasara a la opción de pago, si no fuera porque uso un alojamiento web seguro, y ya lo tengo, es el cortafuego. Protección máxima, y mejor fuera que dentro de tu propio WordPress. Yo por suerte lo tengo ya con Webempresa.
Dale velocidad a tu sitio web
Como decía, CloudFlare no es solo un CDN, pero lo puedes usar como tal. Y además activar optimizaciones en ficheros y gestión de las peticiones para acelerar aún más tu blog.
Así que en Perfomance Profile, ponlo en CDN + Full Optimizations.
Por lo demás puedes ajustar el nivel de cache (yo lo pongo en agresivo). El tiempo para que expire dicha cache. Si tienes muchos visitantes frecuentes, es bueno un tiempo alto, reduce en mucho la velocidad de carga, pero a la vez si haces cambios pueden tardar en verlos (no aplica a si publicas nuevos post, es más bien cambios estéticos, un cambio de una imagen, etc…). En caso de duda un valor de 4 horas es un acierto seguro (yo tengo puesto 8 horas).
Además siempre puedes purgar la cache cuando quieras.
Una opción más es el Auto Minify (estos anglo parlantes hacen que no sepa como se dice en inglés. ¿Tú lo sabes?). Lo que hace es eliminar datos no validos del CSS, JS y HTML para reducir y optimizar la carga de estos ficheros. Además une algunos, por lo que reduce el número de peticiones que se hacen. Al final… ¡más velocidad!
Y la función estrella es el Rocket Loader. Funciona cargando de manera asíncrona los javascripts, así no se satura la web.
Te parece que no acelera lo suficiente. Mira los resultados sacados con Pingdom Website Speed Test en mi web:
Trucos que te pueden servir si usas CloudFlare
De mi experiencia con CloudFlare ya he ido sacando varias conclusiones, fallos, etc… y te puedo contar algunos trucos que ayudan bastante.
Problemas con el admin de WordPress usando CloudFlare
Cuando un hosting no está preparado para usar CloudFlare (eso quiere decir que no tiene instalado el modulo Mod_CloudFlare), y usa alguna regla para proteger el admin de WordPress, puede darse el caso de bloquearlo.
Para ello, desde la administración de tu sitio en CloudFlare, puedes agregar una Page Rule o regla de página, y evitar que ciertas páginas pasen por CloudFlare.
En este caso, tienes que agregar esto:
- Pattern: Es la ruta, pon *tudominio.com/wp-admin/*
- Rule: Son las reglas que aplica. Tienes que poner:
- Custom Caching: Bypass cache
- Performance: Off
- Lo demás da igual como este.
En otros blogs leeras que tienes que agregar una regla para wp-login.php. Esto no es correcto, ya que los ficheros php no son cacheados directamente por CloudFlare, pero si detectaras problemas, puedes agregar la misma regla, pero para el pattern *tudominio.com/wp-login.php*
Este truco también te viene bien hacerlo de todos modos, porque a veces el rocket loader puede hacer que no funcione bien un editor o similar.
En caso de fallos en WordPress con CloudFlare, lo primero la Pausa
Efectivamente, si ves que tu sitio web hace cosas raras, o algo no carga bien, lo primero es poner en pausa CloudFlare, y ver si el fallo es por eso. Si detectas que el fallo esta en CloudFlare, entonces tendrás que ir probando con distintas reglas y configuraciones.
¡Ah!, cada vez que actives y desactives la pausa, espera mínimo 15 minutos para que haga efecto.
Problemas de CloudFlare en Webempresa
Como sabéis Webempresa es un servicio de alojamiento con unas normas de seguridad muy estrictas, y no tienen instalado del módulo de CloudFlare. Pero eso no quiere decir que no lo podáis usar (yo lo hago).
Pero además tienen el “problema” que no dejan acceder a los admin de WordPress, desde países de habla no hispana, y CloudFlare es… pues de habla inglesa. Así que lo bloquea al momento.
La solución es pedirles a los chicos de Webempresa que creen una regla de seguridad que permita el acceso a las IPs de CloudFlare, que también son chicos listos, y las publican en su web. Si tienes algún problema con esto, coméntamelo, porque a mí me lo hicieron, y con mi tique pueden ver que se hizo y hacer lo mismo por ti.
Recuerda que los cambios estéticos, ¡están cacheados!
¡Alto policía!
Lo siento, nunca cuento chistes malos, pero al escribir están cacheados me lo he imaginado, no lo he podido evitar. Bueno, al lio.
El caso es que cuando te vayas a poner a hacer cambios en tu web, para ver los cambios, tienes varias opciones:
- Modo Bruto On: Purgar la cache en cada cambio.
- Modo menos burro: Pausar CloudFlare, y activarlo cuando hayas acabado.
- Modo Pro: Pues como los buenos, activas el modo Developer, te curras los cambios, y los vas viendo en tiempo real, y eso sin que tus visitantes pierdan las ventajas de que uses CloudFlare.
El modo developer lo activas en Settings.
Usando CloudFlare para WordPress. ¿Qué necesitas?
Voy a explicarte paso a paso la receta para que puedas usar CloudFlare para WordPress, y aplicarlo en tu sitio web.
Paso #1. Sacar una cuenta de CloudFlare.
Sé que es elemental querido Watson (y dale con chistes malos), pero es lo primero.
Para ello ve hasta cloudflare.com, y hacemos clic en Sign Up Now!, y rellenamos con nuestros datos
Una vez tengas tu cuenta, tendrás que agregar tu primer sitio Web. Introduce tu dominio (sin www, y no valen subdominios), y haz clic en + Add Website
Lo primero que hará será escanear nuestros registros DNS y agregarlos. Cuando finalice hay que revisarlo, y si no están todos, los que faltan los debes agregar tu a mano. Tambien decide que pasa por CloudFlare y que no. Lo normal es que pase tu dominio y el www.
Cuando le indiques que ya están todos, deberás continuar, y entonces te preguntara que plan eliges.
Empieza por el básico gratuito. En Perfomance elige CDN + Full… y Security Medium. Y a continuar. Normalmente estas son las opciones por defecto.
Al acabar te dirá que cambies los DNS de tu dominio, por unos de CloudFlare. Tienes que irte a tu proveedor de nombres de dominio (NameCheap, Godaddy, …), y cambiarlos allí. Como eso depende de cada proveedor, y tienen guías de ayuda, no lo incluyo aquí.
Cuando hayas hecho ese cambio, puedes hacer clic en Continuar, y a esperar que se propaguen los DNS. Ya tienes CloudFlare funcionando en tu dominio.
Paso #2. Instalar un plugin para CloudFlare en WordPress.
Como has visto antes, una vez se propaguen los DNS ya está CloudFlare funcionando. Esto además es un cambio totalmente transparente.
Pero ahí un problema. Ahora todos tus logs reflejarán las IPS de tus visitantes como si fueran de CloudFlare, y no sus IPs reales. Y eso no mola.
Así que tienes dos opciones:
- Si usas W3 Total Cache, activa la extensión de CloudFlare, y rellena los datos de Email y API. Esto, además de darte ya las IPs reales, te permite manejar aspectos como activar el modo Developer desde el plugin.
- Si usas otro plugin de cache, puedes instalar el plugin CloudFlare desde el repositorio oficial.
- Usar un alojamiento parnet de Cloudflare. Si tienen instalado mod_cloudflare, ya no hay problema.
El uso de estos plugins, además hace que cada vez que marques un comentario como Spam, CloudFlare vaya aprendiendo, y evite futuros Spam.
Paso #3. Para quien use WordFence.
Si usas Wordfence Security como yo para la defensa de tu blog, hay un par de apuntes, que son útiles y chulos.
Lo primero es que Worfence en algunos ataques, pillara la Ip mal. Pero de nuevo nos topamos con chicos listos, y Wordfence tiene una opción para pillar la Ip correcta si estas usando CloudFlare, asi que vete a Options de wordfence, y en el campo How does Wordfence get IPs:, elige I’m using Cloudflare so use the “CF-Connecting-IP” HTTP ….
Listo, ya tienes las IPs correctas. ¿Y para que te sirven estas IPs? Pues si recuerdas después del rato que llevas leyendo, puedes bloquearlas permanentemente, asi que vete a CloudFlare, y…
¡Espera!, ¡que hay una forma más sencilla!
Instalate el plugin CloudFlare Threat Management, y de vez en cuando, puedes ir a Ajustes/ CloudFlare Threat Management, y allí hay una opción para los que usan Wordfence. Marca las dos casillas.
Ahora cuando hagas clic en Run Cloudflare Threat Management Now , después de haber guardado los cambios, el plugin repasara los blogs y bloqueara por ti todas las IPs que te hayan atacado y estén en los registros de Wordfence.
Recuerda que antes de esto, nuevamente tienes que indicarle al plugin la API y el email de tu cuenta de Cloudflare.
Conclusiones Finales
CloudFlare es un servicio súper-completo, teniendo en cuenta que lo puedes usar gratis, y que solo te da ventajas.
Aumentas de un solo tiro la velocidad y seguridad de tu web ¡dos pájaros!.
Cierto es, que los pasos a dar son bastantes complejos algunos, pero puedes ir poco a poco.
Pero si realmente te interesa aumentar la seguridad y tiempo de carga de tu blog, tienes que saber que instalar y configurar CloudFlare es una de la medidas que se aplican en mi servicio Refuerza tu Blog.
Por lo que si quieres, por menos de lo que te cuesta un seguro de hogar, o las ventas que puedes perder con un solo día de fallo de tu web, puedes contratarme y ¡que la defensa de tu blog sea leyenda!, y de paso aumentar la velocidad. No lo pienses y refuerza ya tu blog.