O que é um Web Application Firewall (WAF)?

Um Web Application Firewall (WAF) e uma camada de seguranca que inspeciona cada requisicao HTTP e HTTPS recebida por um site e bloqueia trafego malicioso antes que chegue a aplicacao. Diferente de um firewall de rede classico que filtra por IP e porta, um WAF entende o protocolo HTTP e analisa URLs, parametros, corpo da requisicao, cookies, cabecalhos e user agents. Para WordPress bloqueia SQL injection, cross site scripting (XSS), inclusao de arquivo local, tentativas de brute force, spam de comentarios, scanners de vulnerabilidade e padroes de exploits conhecidos em plugins e temas. WAFs seguem as categorias OWASP Top 10 e sao requisito reconhecido do PCI DSS (Requirement 6.4.2 em PCI DSS v4.0, obrigatorio desde marco de 2025) para qualquer site que processa dados de cartao.

Como funciona um Web Application Firewall?

Um WAF inspeciona trafego HTTP contra um conjunto de regras. Cada regra busca um padrao especifico: corpo com UNION SELECT, URL com ../../etc/passwd, formulario de login atingido mais de 5 vezes por minuto pelo mesmo IP. Quando uma regra casa, o WAF pode bloquear com HTTP 403, desafiar com CAPTCHA ou apenas registrar. A maioria combina deteccao por assinatura, por anomalia e modelos de machine learning.

Tipos de WAF

• WAF em nuvem (DNS): Cloudflare, Sucuri, Akamai, AWS WAF com CloudFront, Imperva. Implantacao rapida, traz CDN e DDoS.
• WAF reverse proxy: nginx com ModSecurity ou HAProxy.
• WAF endpoint: plugin como Wordfence, All In One WP Security. Nao detem DDoS.
• WAF de rede (hardware): F5 BIG-IP ASM, FortiWeb, Barracuda.

Quais ameacas o WAF bloqueia?

OWASP Top 10 (versao 2021, atualizacao 2025 em rascunho):

1. A01 Broken Access Control.
2. A02 Cryptographic Failures.
3. A03 Injection.
4. A04 Insecure Design.
5. A05 Security Misconfiguration: bloqueia wp-config.php.bak, .git/config, .env, xmlrpc.php.
6. A06 Vulnerable Components: patches virtuais para Elementor (CVE-2023-48777), WPBakery, RevSlider.
7. A07 Authentication Failures: brute force em /wp-login.php.
8. A08 Integrity Failures.
9. A09 Logging Failures.
10. A10 SSRF.

O que e virtual patching?

Quando uma vulnerabilidade critica e publicada (por exemplo a escalada de privilegios CVE-2024-28000 em LiteSpeed Cache, 5 milhoes de sites afetados em agosto de 2024), o patch oficial demora dias. O WAF aplica um patch virtual em minutos. Wordfence entrega via Threat Intelligence Feed (Premium em tempo real, Free com 30 dias de atraso).

Opcoes populares para WordPress

OWASP Core Rule Set

OWASP CRS e o conjunto open source de regras usado por ModSecurity e cada vez mais por Cloudflare e AWS WAF. Versao estavel CRS 4.0 (janeiro de 2024), niveis de paranoia 1 a 4.

Cloud WAF ou plugin endpoint?

• Cloud: para antes do servidor, essencial contra DDoS.
• Endpoint: ve trafego decifrado e contexto WordPress.
• Boa pratica: combinar os dois.

Como ativar um WAF

1. Cloudflare Free: cadastrar, mudar nameservers, ativar Managed Rules e Bot Fight Mode, SSL Full strict.
2. Sucuri Firewall: apontar A record para o proxy Sucuri.
3. Wordfence: assistente, passar a Enabled apos uma semana.
4. NinjaFirewall: instalar e mover execucao para antes do core.

Limites de um WAF

• Nao e scanner de malware.
• Nao protege contra senhas fracas.
• Regras agressivas geram falsos positivos.
• Confianca no provedor cloud.
• Nao substitui atualizacoes.

WAF e PCI DSS

PCI DSS v4.0 Requirement 6.4.2 (obrigatorio desde 31 de marco de 2025) exige WAF ou revisao manual de codigo para qualquer aplicacao publica que manuseie dados de cartao.

Como o InspectWP ajuda?

O InspectWP analisa cabecalhos de resposta e assinaturas de servidor de cada URL. O relatorio identifica WAFs comuns (Server: cloudflare, X-Sucuri-ID, X-WAF) e marca sites sem WAF.