WAF NATIVO PHP — OWASP TOP 10

ESCUDO

Firewall de aplicación web en PHP puro — bloquea SQLi, XSS, traversal, bots y escaneos automatizados. Un require_once y listo.

Probar demo Documentacion Ver precios
OWASP Top 10 Rate limiting Anti-scanner PHP nativo
El problema

Tu aplicación PHP esta expuesta a internet sin protección?

  • !

    SQL Injection y XSS

    El 94% de las aplicaciones web tienen alguna forma de vulnerabilidad de inyección. Un solo parámetro sin validar abre la puerta a robo de datos, sesiones y control total del servidor.

  • !

    Bots y scanners automatizados

    Herramientas como sqlmap, Nikto y wpscan escanean miles de sitios al dia buscando vulnerabilidades conocidas. Si tu aplicación no filtra, es cuestion de tiempo.

  • !

    WAFs caros o complejos

    Cloudflare Pro cuesta desde 20 euros/mes por dominio. ModSecurity requiere acceso root y configuración de Apache/Nginx. La mayoría de hostings compartidos no permiten ninguna de las dos opciones.

VULNERABLE 
// Así reciben peticiones la mayoría
// de aplicaciones PHP...

$id = $_GET['id'];
$buscar = $_GET['q'];

// Directamente a la consulta SQL
$sql = "SELECT * FROM usuarios
    WHERE id = $id
    AND nombre LIKE '%$buscar%'";

// Si alguien envia id=1 OR 1=1--
// toda tu base de datos queda expuesta.
La solución

6 checks de seguridad antes de que el tráfico toque tu código

Escudo analiza cada petición HTTP en tiempo real y bloquea los vectores de ataque más comunes. Cada capa opera de forma independiente: si una no detecta el ataque, la siguiente lo hará.

1

Detección SQLi

Análisis de parámetros GET, POST y cookies contra patrones de inyección SQL. Union-based, blind, time-based y stacked queries.

2

Detección XSS

Filtrado de scripts, event handlers y payloads de cross-site scripting en todos los inputs de la petición.

3

Path Traversal

Bloqueo de intentos de acceso a archivos del sistema con secuencias ../ y variantes codificadas.

4

Rate Limiting

Límite de peticiones por IP y ventana temporal. Protección contra fuerza bruta, DDoS de capa 7 y abuso de APIs.

5

Anti-scanner

Detección de user-agents y patrones de herramientas automatizadas: sqlmap, Nikto, wpscan, Nessus, Acunetix.

6

Logs y alertas

Registro estructurado en JSON de cada petición bloqueada. IP, timestamp, vector de ataque y payload completo.

59

Tests automatizados OK

0

Dependencias externas

<1ms

Overhead por petición

Arquitectura

Cuatro modos de despliegue para cualquier proyecto PHP

Escudo se adapta a tu stack. Desde un require_once en tu app hasta un proxy inverso para arquitecturas complejas.

MÁS SIMPLE
A

require_once directo

tu-app.php → require_once escudo.php
Una línea de código
Toda la app protegida

Incluye Escudo al inicio de tu aplicación PHP. Una línea de código y toda la app queda protegida contra SQLi, XSS, traversal, bots y escaneos.

Para: Cualquier proyecto PHP, freelance, agencias.

Seguridad: ALTA
WORDPRESS
B

mu-plugin WordPress

wp-content/mu-plugins/escudo.php
Activación automática
Sin panel de admin

Copia escudo.php en wp-content/mu-plugins/. Activación automática sin necesidad de acceder al panel de administración. Protección desde el primer request.

Para: WordPress sites, WooCommerce, multisite.

Seguridad: ALTA
ENTERPRISE
C

Proxy inverso

Tráfico → Escudo (proxy) → Tu app
Analiza todo el tráfico
Antes de tocar tu app

Ejecuta Escudo como proxy inverso standalone. Analiza todo el tráfico HTTP antes de que llegue a tu aplicación. Ideal para arquitecturas con múltiples servicios.

Para: APIs, microservicios, aplicaciones de alto tráfico.

Seguridad: MÁXIMA
API REST
D

API REST v2

Tu app → POST /api/v1/escudo/analizar → JSON

Accede a todas las funcionalidades de Escudo via API REST. Analiza inputs contra SQLi, XSS y path traversal via API. Endpoints JSON con autenticación Bearer token, rate limiting, CORS y documentación OpenAPI.

Para: Desarrolladores, integraciones SaaS, automatizaciones, microservicios

Seguridad: ALTA
Integración

Un require_once y tu aplicación queda protegida

Sin configuración, sin curva de aprendizaje. Un archivo, dos funciones, protección completa contra los vectores de ataque más comunes.

  • Bloqueo automático de SQLi, XSS y traversal
  • Rate limiting por IP configurable
  • Detección de scanners y bots maliciosos
  • Logs en JSON para SIEM o monitorización
  • Funciones de consulta para dashboards
  • Compatible con cualquier hosting PHP
tu-aplicacion.php 
require_once 'core/escudo.php';

// Activar protección completa
pwr_escudo_iniciar();
// Listo. SQLi, XSS, traversal, rate limit
// y anti-scanner activos desde este punto.

// Verificar detecciones individuales
$sqli = pwr_escudo_detectar_sqli($input);
$xss  = pwr_escudo_detectar_xss($input);
$path = pwr_escudo_detectar_traversal($ruta);

// Rate limiting manual
$ok = pwr_escudo_rate_limit($ip, 'login');

// Consultar estado del escudo
$info = pwr_escudo_info();
Características

Protección profesional sin complejidad

Diseñado para desarrolladores PHP que quieren seguridad seria sin depender de infraestructura externa.

Anti-SQLi avanzado

Detecta inyecciones SQL en GET, POST, cookies y headers. Union-based, blind, time-based, stacked queries y variantes con codificación.

Filtrado XSS completo

Bloquea scripts, event handlers, iframes maliciosos y payloads codificados en base64, hex y únicode. Protección en todos los inputs.

Rate limiting inteligente

Límite de peticiones por IP con ventanas temporales configurables. Protección contra fuerza bruta en login, abuso de API y DDoS de capa 7.

Anti-scanner y anti-bot

Detecta y bloquea herramientas automatizadas: sqlmap, Nikto, wpscan, Nessus, Acunetix. Fingerprinting de user-agents y patrones de escaneo.

Path traversal bloqueado

Impide acceso a archivos del sistema mediante secuencias ../ y variantes codificadas (URL encoding, doble codificación, null bytes).

Logs JSON estructurados

Cada petición bloqueada genera un log en JSON con IP, timestamp, tipo de ataque, payload y ruta. Listo para SIEM, Elasticsearch o alertas.

WAF SQLi XSS Rate limiting Anti-bot PHP
Enterprise y Administración Pública

Protección WAF soberana para organismos que no pueden depender del extranjero

Escudo cumple con los requisitos de seguridad de las Administraciones Públicas españolas sin depender de infraestructura externa.

ENS

Esquema Nacional de Seguridad. Protección de aplicaciones web conforme a CCN-STIC. Logs estructurados para auditorías.

RGPD

Art. 32: medidas técnicas de seguridad. Protección contra accesos no autorizados y filtración de datos personales via inyecciones.

NIS2

Directiva UE 2022/2555. Medidas de ciberseguridad para protección de aplicaciones web en entidades esenciales e importantes.

OWASP

Cobertura de OWASP Top 10: SQLi, XSS, path traversal, broken access control. Referencia internacional en seguridad de aplicaciones web.

Por que Escudo para AAPP

Soberanía tecnológica

Código 100% español, auditable, sin dependencias de Cloudflare, AWS WAF ni jurisdicciones extranjeras. Control total del filtrado.

Sin módulos de servidor

No requiere mod_security, nginx WAF ni acceso root. Funciona en cualquier hosting PHP sin configuración de infraestructura.

PHP nativo

Un archivo PHP, cero dependencias externas. Compatible con cualquier servidor de la AAPP que ejecute PHP 7.4 o superior.

Logs para SIEM

Registros JSON estructurados de cada petición bloqueada. Integrables con Elasticsearch, Splunk, Graylog o cualquier SIEM corporativo.

Comparativa

Escudo frente a las alternativas

Las soluciones WAF tradicionales requieren acceso root, módulos de servidor o suscripciones mensuales. Escudo funciona con un require_once.

PWR Escudo ModSecurity Cloudflare WAF Wordfence
Precio Desde 49 € Gratuito Desde 20 €/mes 99 USD/año
Pago único Si Si No No
PHP nativo Si No No Si
Sin acceso root Si Requiere root Si Si
Rate limiting Si Manual Si Si
Anti-scanner Si Parcial Si Si
Soberanía datos Local Local USA USA
Logs JSON/SIEM Si Si Dashboard propio Dashboard propio
Casos de uso

Donde aplicar Escudo

Desde aplicaciones PHP a medida hasta WordPress y APIs. Escudo protege cualquier proyecto que reciba tráfico HTTP.

</>

Aplicaciones web PHP

Protege tus aplicaciones a medida contra los vectores de ataque OWASP Top 10. Un require_once al inicio y toda la app queda cubierta.

WordPress y CMS

Funciona como mu-plugin o include directo. Protege tu WordPress, PrestaShop o cualquier CMS PHP sin configuración de servidor.

APIs y endpoints

Rate limiting por ruta, detección de payloads maliciosos en JSON y protección contra abuso automatizado de tus endpoints REST.

E-commerce y tiendas

Protege formularios de pago, fichas de producto y areas de cliente contra inyecciones, scraping y bots de competencia.

Hoja de ruta

Evolución continua hacia la protección total

Escudo v1.0 cubre los vectores de ataque más comunes. Las próximas versiones añaden protección activa, dashboard visual y compatibilidad WordPress nativa.

v1.0
2026 — ACTUAL
  • Detección SQLi, XSS y path traversal
  • Rate limiting por IP
  • Anti-scanner y anti-bot
  • Logs JSON estructurados
v1.5
2026
  • Tokens CSRF automáticos
  • Honeypot avanzado para formularios
  • Whitelist/blacklist por IP
  • Métricas de ataque en tiempo real
v2.0
2027
  • Dashboard visual de ataques
  • Reglas custom por ruta y parámetro
  • WordPress mu-plugin oficial
  • Alertas por email y webhook
Precio

Los 9 productos PWR. Un plan.

Cifrado, firewall, auth, backups, firma digital, escaner, compliance, storage y formularios E2E. Todo incluido.

Gratis

0€

para siempre

  • Los 9 productos completos
  • Desarrollo y testing
  • API PQC: 100 ops/mes
  • Documentacion completa
  • Sin uso comercial
Empezar gratis

Pro

19

al mes

  • Los 9 productos completos
  • 1 proyecto en produccion
  • Uso comercial incluido
  • API PQC: 10K ops/mes
  • Plugin WordPress Pro
  • Soporte email (48h)
Empezar

o 499€ perpetuo

MEJOR VALOR

Agencia

59

al mes

  • Los 9 productos completos
  • Proyectos y clientes ilimitados
  • API PQC: 100K ops/mes
  • Servidor ENS alto + ISO
  • Soporte prioritario (24h)
Empezar

o 1.499€ perpetuo

Enterprise

A medida

desde 2.500€/año

  • Los 9 productos ilimitados
  • On-premise / Docker
  • API PQC ilimitada
  • Soporte dedicado + SLA (4h)
  • Integracion + auditoria RGPD
Contactar

Necesitas ayuda con la integracion? Consultoria desde 500€ — Implementacion, auditoria, formacion y cumplimiento normativo.

Preguntas frecuentes

Dudas habituales

Es un WAF completo que intercepta la petición HTTP antes de que tu código la procese. Analiza GET, POST, cookies, headers y URI contra patrones de ataque conocidos. Incluye rate limiting, detección de scanners y logging estructurado. No es un simple htmlspecialchars o filter_input.
Menos de 1 milisegundo por petición en hardware estándar. El análisis se hace en memoria con expresiones regulares optimizadas. No hay consultas a base de datos, no hay llamadas externas. Hemos medido con 59 tests automatizados que el impacto en rendimiento es imperceptible.
Si. Escudo es PHP puro y no necesita módulos de servidor (mod_security, nginx WAF), acceso root ni configuración especial. Si tu hosting ejecuta PHP 7.4 o superior, Escudo funciona. Ideal para hostings donde no tienes control del servidor.
Escudo utiliza patrones específicos de ataque, no heurísticas genéricas. Los tests cubren tanto ataques reales como tráfico legitimo para minimizar falsos positivos. Además, puedes configurar excepciones por ruta o parámetro si algun caso específico de tu aplicación lo requiere.
Es complementario. Cloudflare protege a nivel DNS/CDN, ModSecurity a nivel servidor. Escudo protege a nivel de aplicación PHP. La defensa en profundidad recomienda múltiples capas. Escudo es ideal cuando no tienes acceso a las otras opciones o como capa adicional de seguridad.
Las actualizaciones de reglas y firmas estan incluidas en la licencia. Cuando se descubre un nuevo patrón de ataque, públicamos una actualización del archivo core/escudo.php. Solo tienes que reemplazar el archivo. Sin migraciónes, sin base de datos, sin configuración.

PWR ESCUDO esta disponible

Empieza a proteger tu aplicacion hoy. Sin configuracion compleja, sin dependencias, sin curva de aprendizaje.

Consigue Escudo Ver todos los productos