Aztec Logo
Seguridad Completado

WordPress en Kubernetes con Red Privada

wp-admin blindado con logging detallado

Gestión de sitios WordPress en Kubernetes con acceso a wp-admin a través de red privada, logging detallado de cada acción administrativa, auto-escalado, almacenamiento persistente con EFS, y políticas de seguridad estrictas en AWS.

aws, cloudflare
5 semanas
2025
2 ingenieros

El problema

Los paneles de administración de WordPress (wp-admin) eran accesibles desde internet público, expuestos a ataques de fuerza bruta y bots. Sin registro de quién hacía qué cambios, sin capacidad de escalar ante picos, y con almacenamiento efímero que se perdía al reiniciar pods.

La solución

Implementamos acceso exclusivo a wp-admin a través de red privada con Tailscale y múltiples Ingress. Cada acción en el panel se registra en CloudWatch con timestamps, usuario, IP y cambios realizados. Auto-scaling con HPA basado en CPU y requests. Almacenamiento persistente con EFS montado en cada pod. WAF de Cloudflare para protección adicional del tráfico público.

Los resultados

Zero ataques exitosos a wp-admin desde la implementación, trazabilidad completa de cada cambio administrativo, escalado automático que maneja picos de 10x tráfico sin intervención, y datos persistentes garantizados entre reinicios de pods.

Resultados medibles

Ataques a wp-admin

~500/día

0

100% mejora

Trazabilidad de cambios

Ninguna

100%

Capacidad de auto-escala

Manual

10x automático

Pérdida de datos

En cada reinicio

0 — EFS persistente

100% mejora

¿Quieres resultados como estos?

Agendemos una llamada de diagnóstico — 30 min, sin compromiso.

Agendar diagnóstico

Fases del proyecto

Evaluación de seguridad

1 week

Análisis de superficie de ataque, revisión de logs existentes, y definición de modelo de amenazas.

Red privada y VPN

1 week

Configuración de VPC, subnets privadas, Tailscale para acceso a wp-admin, múltiples Ingress, y Network Policies de K8s.

Sistema de logging

1.5 weeks

CloudWatch para centralización de logs, dashboards de monitoreo, y alertas de acciones críticas.

Auto-scaling y EFS

1 week

HPA configurado por sitio, EFS como StorageClass para PersistentVolumes, y pruebas de carga.

WAF y hardening

0.5 weeks

Reglas de Cloudflare WAF, headers de seguridad, y políticas de seguridad de pods.

Stack técnico

Tecnologías

kuberneteswordpressdockernginxtailscalephp

Servicios cloud (AWS, CLOUDFLARE)

EKSEFSCloudWatchVPCALBIAMCloudflare WAFCloudflare DNS

Herramientas

helmterraformtailscalecloudwatch

Detalles de implementación

Modelo de seguridad

El principio fundamental: wp-admin nunca debe ser accesible desde internet público.

Capas de protección

  1. Red privada: wp-admin solo accesible via Tailscale + múltiples Ingress
  2. WAF: Protección del tráfico público (frontend del sitio)
  3. Logging: Cada acción administrativa registrada en CloudWatch con contexto completo
  4. Network Policies: Restricción de comunicación entre pods

Logging detallado

Cada entrada de log incluye:

  • Timestamp preciso
  • Usuario de WordPress
  • IP de origen (dentro de la red privada Tailscale)
  • Acción realizada (crear post, modificar plugin, cambiar configuración)
  • Diff del cambio cuando aplica

Casos relacionados

Migración de WordPress a Kubernetes

De VMs frágiles a contenedores auto-escalables

Tiempo de deploy: 10 min (78%)

¿Tienes un reto técnico similar?

Hablemos de tu infraestructura, arquitectura o pipeline. Sin compromiso.

Agendar diagnóstico técnico