Under Attack

Under Attack es el modo captcha de CoreWAF. Cuando se activa, los visitantes ven una casilla que tienen que marcar para entrar — los bots automáticos no la pasan. Una vez verificado, el visitante deja de ver el captcha durante el tiempo que tú configures.

Cada vez que cambias el modo, añades un patrón o tocas la configuración, ve a Estado y pulsa Verificar para que el agente reciba la última versión.

Estado

Aquí eliges cuándo se muestra el captcha. Tres modos:

  • Desactivado — no salta el captcha nunca.
  • Por patrones — salta solo cuando el visitante coincide con alguno de los patrones de la pestaña Patrones. Útil para proteger una ruta concreta (/wp-login.php, por ejemplo) o un tipo de visitante (un User-Agent sospechoso).
  • Bajo ataque — salta para todos los visitantes sin cookie verificada. Pensado solo para usar durante un ataque activo: desactívalo cuando pase.

Patrones

Listas de "cuándo enseñar el captcha" cuando el modo está en Por patrones. La estructura es la misma que en Reglas, con seis apartados: IP, Rango, Marca, Catálogo, User Agent y URL. La diferencia es que aquí no hay blacklist ni whitelist — cada coincidencia simplemente activa el captcha para esa request.

Configuración

Tres bloques.

Comportamiento del challenge

  • Tiempo mínimo necesario antes de validar — milisegundos que el visitante tiene que esperar antes de poder marcar la casilla. Los bots automáticos disparan en menos de 100 ms.
  • Requerir movimiento previo — exige que el visitante haya movido el ratón o tocado la pantalla al menos una vez antes de marcar.
  • Validar event.isTrusted — rechaza los clicks generados por script (los navegadores reales marcan los eventos como confiables).
  • No pedir challenge en AJAX — por defecto activado: no se sirve captcha en peticiones AJAX/fetch (sin recargar página). Desactívalo si un ataque coincide con peticiones AJAX y quieres que también pasen el captcha.

Reincidencia → blacklist

  • Fails para banear — entre 3 y 100. Si una IP falla el captcha tantas veces seguidas dentro de 24 horas, se bloquea permanentemente. La ventana es siempre 24 horas y el ban es permanente.
  • Días que dura la cookie — cuánto tiempo el visitante deja de ver el captcha tras pasarlo. La cookie está atada a la IP del visitante: si cambia de IP, vuelve a ver el captcha.
  • Excluir whitelist — las IPs y User-Agents que estén en tu whitelist nunca ven el captcha.
  • Modo prueba — solo loguea (status would_challenge), no sirve el captcha. Útil para ajustar los patrones sin afectar a visitantes reales.