🛡️ Tutorial Avanzado: Configura tu Firewall (WAF) en Cloudflare como un Experto
Proteger tu sitio web no es opcional. En este tutorial, configuraremos 4 reglas de firewall estratégicas en Cloudflare. Estas reglas están diseñadas para permitir el tráfico legítimo de tu país y servicios esenciales, mientras aplican defensas férreas contra ataques masivos y tráfico no deseado.
⚡ Paso 0: Obtén la IP de tu Hosting (¡Muy Importante!)
Antes de crear las reglas, necesitamos saber exactamente cuál es la dirección IP de tu servidor para ponerla en la «Lista Blanca». Si no haces esto correctamente, podrías bloquearte a ti mismo o a las conexiones del servidor.
- Si usas cPanel: Ingresa a tu cPanel y mira en la columna derecha, sección «General Information» (Información General). Busca el dato «Shared IP Address» (Dirección IP Compartida).
- Si usas DirectAdmin: Ingresa a tu panel y ver a Administracion DNS para ver la IP de tu servicio.
Copia ese número (ejemplo: 38.92.48.170), ya que lo usaremos en las reglas a continuación.
1️⃣ Regla 1: Lista Blanca (Tu País y Tu Servidor)
Objetivo: Esta es la regla maestra. Le dice a Cloudflare que si la visita viene de Chile (o tu país objetivo) o de la IP misma del servidor, NO debe ser filtrada por ninguna regla posterior. Esto garantiza velocidad máxima para tus clientes locales.
Configuración:
- Ve a Security > WAF > Custom Rules y crea una regla llamada
01 - Whitelist Chile y Server. - Haz clic en «Edit expression» y pega esto (Reemplaza la IP por la que obtuviste en el Paso 0):
(ip.src.country eq "CL") or (ip.src eq 38.92.48.170)Acción: Selecciona Skip (Omitir).
IMPORTANTE: En las opciones que aparecen, marca «All remaining custom rules» (Todas las reglas restantes) y «All managed rules» (o selecciona todos los componentes WAF disponibles). Esto es vital para que las reglas 3 y 4 no afecten a tu público local.
2️⃣ Regla 2: Lista Blanca de Servicios y Pasarelas
Objetivo: Permitir que Google, Facebook, y las pasarelas de pago (MercadoPago, Flow, etc.) se comuniquen con tu sitio sin ser bloqueados. Si omites esta regla, tus ventas podrían fallar al momento de confirmar el pago.
Nota Aclaratoria: Esta lista incluye las pasarelas más comunes. Si utilizas un medio de pago no listado aquí o un plugin de envíos específico que requiera notificaciones (callbacks) al servidor, deberás agregar sus IPs o User Agents a esta lista manualmente.
- Nombre:
02 - Whitelist Bots y Pasarelas - Pega el siguiente código en el editor de expresión:
(cf.client.bot) or (http.user_agent contains "Googlebot") or (http.user_agent contains "facebookexternalhit") or (http.referer contains "facebook.com") or (http.referer contains "instagram.com") or (http.request.uri.query contains "fbclid") or (http.request.uri.query contains "gclid") or (ip.src.asnum eq 15169) or (ip.src.asnum eq 32934) or (ip.src.asnum eq 51468 and http.user_agent contains "WP-Rocket/SaaS") or (ip.src.asnum eq 14618 and http.user_agent contains "Klaviyo") or (ip.src.asnum eq 31034 and http.user_agent contains "Doofinder") or (http.request.uri.path contains "/wp-json/wp-statistics/") or (http.request.uri.path contains "/wc-api/WC_WooMercadoPago_Basic_Gateway") or (http.request.uri.query contains "wc-api=WC_WooMercadoPago_Basic_Gateway") or (http.request.uri.path contains "/wc-api/ventipay") or (http.request.uri.query contains "wc-api=ventipay") or (http.request.uri.path contains "WC_Gateway_Transbank") or (http.request.uri.query contains "wc-api=WC_Gateway_Transbank") or (http.request.uri.path contains "WC_Gateway_Flow") or (http.request.uri.query contains "wc-api=WC_Gateway_Flow") or (ip.src in {209.222.98.241 85.237.203.20 46.30.211.100 54.171.4.216 52.2.218.41 18.143.220.25 3.227.182.193 54.161.96.109 54.88.218.97 18.215.140.160 18.213.114.129 18.206.34.84 35.236.253.169 35.245.91.34 35.245.20.104 35.186.182.146 54.72.117.210 52.49.134.242 34.255.219.88 162.249.168.66 54.77.30.38})Acción: Selecciona Skip (Omitir) y marca todas las reglas restantes y componentes WAF.
3️⃣ Regla 3: Desafío Interactivo por Continentes
Objetivo: Filtrar el tráfico de continentes que usualmente generan ataques (África, Asia, Europa, Oceanía). En lugar de bloquearlos tajantemente, usaremos un «Desafío Interactivo».
¿Por qué Desafío Interactivo? En ataques masivos de botnets, el «Managed Challenge» a veces deja pasar peticiones. El «Interactive Challenge» obliga al visitante a hacer clic en una casilla o realizar una acción, frenando en seco a los bots automatizados sin bloquear a un humano real que esté viajando.
- Nombre:
03 - Desafio Continentes - Pega el código (Excluye USA, que se filtrará en la regla 4):
(ip.src.continent eq "AF") or (ip.src.continent eq "AS") or (ip.src.continent eq "EU") or (ip.src.continent eq "OC") or (ip.src.continent eq "NA" and ip.src.country ne "US")Acción: Selecciona Interactive Challenge (Desafío Interactivo).
4️⃣ Regla 4: Captcha para el «Resto del Mundo»
Objetivo: Esta es la red de seguridad final. Aplica para cualquier visita que NO sea de Chile (porque ya pasó la regla 1) y NO sea de los continentes filtrados en la regla 3. Básicamente, esto protege contra el tráfico de USA y el resto de Sudamérica que no son tu público objetivo principal.
- Nombre:
04 - Desafio Resto del Mundo - Pega el código (Nuevamente, reemplaza la IP por la de tu hosting):
(ip.src.country ne "CL") or (ip.src ne 38.92.48.170)Acción: Selecciona Managed Challenge (Desafío Gestionado) o Interactive Challenge si prefieres máxima seguridad.
💡 Consejo Final: «Modo Pánico»
Si después de aplicar estas reglas notas que algún servicio deja de funcionar o clientes legítimos tienen problemas para entrar:
- No borres las reglas.
- Ve a la lista de reglas en Cloudflare y usa el interruptor (botón verde) para desactivar las reglas una por una (empezando por la Regla 3 y 4).
- Esto te permitirá identificar cuál está causando el conflicto sin perder toda tu configuración.