14 ene., 2026

WAF

Escrito por Equipo Clouds

Guía Completa: WAF (Web Application Firewall) en aaPanel

El WAF de aaPanel es un firewall de aplicaciones web que protege tus sitios contra ataques comunes como DDoS, inyección SQL, XSS, subida de troyanos, escaneo de directorios, fuerza bruta y más. Permite crear reglas personalizadas y reduce significativamente el riesgo de ataques maliciosos y fugas de datos.

Visión General del WAF

Estadísticas principales

  • Solicitudes hoy → Total de peticiones recibidas.
  • Solicitudes maliciosas → Número de peticiones interceptadas.
  • Gráfico de tráfico filtrado → Muestra todas las peticiones vs. las filtradas.
  • QPS en tiempo real → Peticiones por segundo.
  • Tipos de bloqueos hoy → Categorías de ataques interceptados.
  • Mapa de ataques → Muestra IPs bloqueadas, número de ataques y ubicación geográfica.
  • Troyanos aislados → Número de archivos maliciosos detectados y aislados.
  • Sitios sin protección → Lista de sitios que aún no tienen WAF activado.
  • Reglas CC posiblemente incorrectas → Reglas de CC que pueden estar generando falsos positivos.
  • Informe de bloqueos de hoy → Detalle completo de las interceptaciones del día.

Sitios Web (WebSite)

Aquí configuras la protección individual para cada sitio.

Opciones por sitio

Opción Descripción
Bloquear IPs maliciosas conocidas de aaPanel Activa/desactiva bloqueo automático de IPs maliciosas compartidas por la comunidad.
Sitio / Modificar Haz clic para gestionar la protección de un sitio específico.
Total de intercepciones Número total de peticiones maliciosas bloqueadas por ese sitio (haz clic para ver detalles).
Arañas falsas Bloquea solicitudes que se hacen pasar por motores de búsqueda.
Usar CDN Activa si el sitio está detrás de Cloudflare, CDN o proxy inverso (evita falsos positivos).
Defensa CC inteligente Ajusta automáticamente las reglas CC según la carga del sitio y el historial de acceso.
Defensa CC Activa/desactiva la protección contra ataques CC (no se recomienda desactivarla).
Estado Activa o desactiva la protección WAF para ese sitio.
Log Ver registros de intercepciones y añadir URLs bloqueadas por error a la lista blanca.

Bloqueo (Blockade)

  • Registro de intercepciones → Lista completa de peticiones bloqueadas. Puedes añadir a lista negra o blanca.
  • Registro de bloqueo de IP → IPs bloqueadas por WAF. Puedes desbloquear o añadir a lista negra permanente.
  • Registro de reglas activadas → Muestra qué regla específica bloqueó cada petición.

Listas Negra/Blanca (Black/White list)

Lista Descripción
IP whitelist IPs que nunca serán bloqueadas (máxima prioridad).
IP blacklist IPs bloqueadas permanentemente (todos los puertos).
UA whitelist User-Agent que nunca serán bloqueados.
UA blacklist User-Agent bloqueados completamente.
URL whitelist URLs que nunca serán bloqueadas.
URL blacklist URLs bloqueadas completamente.

Reglas por Región (Region)

Bloquea o permite acceso según el país o región de la IP (útil para restringir países específicos).

Reglas Personalizadas (Custom rules)

Crea reglas propias para interceptar o permitir peticiones basadas en:

  • Dirección IP del cliente
  • País
  • Rango de IP
  • Método (GET, POST, etc.)
  • URL (sin parámetros)
  • URL (con parámetros)
  • Nombre de parámetro
  • Valor de parámetro
  • Cabecera HTTP
  • User-Agent
  • Referer
  • Nombre de cabecera

Mapa de Ataques (Attack Map)

Mapa geográfico con las IPs que han intentado ataques, número de ataques y ubicación.

Informes (Report)

  • Informe por IP → Detalle de bloqueos por IP (puedes bloquear o liberar permanentemente).
  • Informe por URI → Detalle de bloqueos por URI (puedes bloquear o liberar).
  • Búsqueda → Busca por IP, URI, URL o fecha.

Configuración Global (Global)

Configuraciones que afectan a todos los sitios (se heredan por defecto).
Prioridad de reglas:
IP whitelist > IP blacklist > UA whitelist > UA blacklist > URL keyword > URL CC defense > URL whitelist > URL blacklist > Non-browser > User-Agent > CC defense > Cookie > URI filter > URL parameter > POST > Custom defense

Principales opciones globales

  • Simular ataque → Prueba si el WAF funciona correctamente.
  • Exportar / Importar configuración → Copia de seguridad de todas las reglas.
  • Restaurar configuración predeterminada → Vuelve a los valores por defecto.
  • Defensa CC → Parámetros específicos de CC (ajustar por sitio).
  • Protección de archivos estáticos → No aplica CC a JS, CSS, imágenes, etc.
  • Programa de IPs maliciosas compartidas → Únete para obtener la base de datos de IPs maliciosas de la comunidad.
  • Defensa CC por URL → Reglas CC específicas por URL.
  • Modo de mejora URL → Validación adicional de URLs.
  • Lista blanca de verificación humana → Páginas que no requieren verificación humana.
  • Intercepción de no-navegadores → Bloquea crawlers y accesos no-browser (cuidado con CDN).
  • Filtrado de peticiones HTTP → Filtra tipos de petición, cabeceras y análisis semántico.
  • Intercepción por tipo de petición → Bloquea métodos específicos en URLs concretas.
  • Defensa de API → Protección específica para interfaces API.
  • Estanque de arañas → Permite arañas de motores de búsqueda principales.
  • Defensa contra inyección SQL → Bloquea sentencias SQL maliciosas.
  • Defensa contra XSS → Bloquea código JavaScript malicioso.
  • Intercepción de ejecución de comandos → Bloquea comandos peligrosos.
  • Defensa contra contraseñas débiles → Bloquea intentos de login con contraseñas débiles.
  • Detección de información sensible → Bloquea mensajes de error con datos sensibles.
  • Defensa contra subida de archivos maliciosos → Evita troyanos en subidas.
  • Defensa contra descarga maliciosa → Evita descarga de backups o código fuente.
  • Reglas personalizadas → Detección de PHP, directorios, SSRF, etc.
  • Defensa contra crawlers maliciosos → Bloquea crawlers no deseados.
  • Defensa contra Cookie malicioso → Detecta código malicioso en cookies.
  • Defensa contra escáneres maliciosos → Bloquea herramientas de escaneo y troyanos.
  • Defensa contra escaneo de directorios → Bloquea intentos de escaneo 404.
  • Detección de troyanos → Inspección en tiempo real de archivos (resultados en caja de aislamiento).
  • Registro de paquetes grandes → Registra paquetes HTTP > 1 MB.
  • Reemplazo de texto sensible → Sustituye palabras sensibles.
  • Intercepción por palabra clave en URL → Bloquea URLs con palabras prohibidas.
  • Palabras prohibidas → Lista de palabras o frases bloqueadas en el contenido.

Recomendaciones

  • Activa siempre la defensa CC y las protecciones principales.
  • Si usas CDN (Cloudflare, etc.), marca "Usar CDN" en cada sitio.
  • Revisa regularmente los informes y añade falsos positivos a listas blancas.
  • Únete al programa de IPs maliciosas compartidas para mayor protección.
  • Usa reglas personalizadas para proteger áreas sensibles (login, panel admin, etc.).
¿Fue útil esta guía?
Hub