Protegiendo tus Webhooks de n8n con Cloudflare Workers
Si gestionas n8n en producción, la seguridad y fiabilidad de tus webhooks no es un lujo, es una necesidad. Te presento una solución elegante, construida sobre Cloudflare Workers, que está cambiando la forma de proteger tus automatizaciones críticas.
El Riesgo Oculto de Exponer n8n Directamente
Imagina este escenario: es viernes por la noche, tu aplicación funciona a la perfección y, de repente... ¡BOOM! Tu servidor de n8n se cae. Los webhooks de pago fallan, los usuarios no reciben sus confirmaciones y el soporte técnico se colapsa.
¿La causa? Un simple bot encontró tus endpoints de webhook públicos y lanzó miles de peticiones en minutos, saturando tu servidor y derribando todo tu sistema de automatización.
Esta situación, lejos de ser ficticia, es una realidad para muchos. Exponer n8n directamente a Internet sin un escudo protector abre la puerta a problemas graves que van más allá de un simple ataque:
Pesadillas contables por webhooks duplicados: Servicios como Stripe o Shopify a veces envían la misma notificación varias veces. Sin un filtro, tu sistema procesa la misma orden tres veces, cobra al cliente tres veces y te deja lidiando con devoluciones y usuarios molestos.
Ataques de fuerza bruta: Los bots escanean la web sin descanso en busca de endpoints vulnerables como
/webhook/. Sin un límite de peticiones (rate limiting), pueden saturar tu sistema o intentar explotar fallos de seguridad.Pérdida permanente de datos: Si tu instancia de n8n se cae por sobrecarga, cualquier webhook que llegue durante ese tiempo se pierde para siempre. No hay reintentos automáticos, no hay segundas oportunidades. Esos datos simplemente se desvanecen.
Costes de infraestructura disparados: Para soportar picos de tráfico inesperados, muchos terminan pagando por servidores sobredimensionados que solo usan a plena capacidad una pequeña fracción del tiempo.
Horas perdidas en diagnósticos: Sin un sistema de registro y métricas claro, averiguar por qué falló un webhook se convierte en una tarea titánica, buscando una aguja en un pajar de logs.
Solución serverless basada en Cloudflare Workers ☁️
Tradicionalmente, proteger tus flujos de trabajo implicaba montar una infraestructura compleja con Nginx, Redis, balanceadores de carga y scripts personalizados. Una solución costosa, difícil de mantener y con múltiples puntos de fallo.
La alternativa moderna es una arquitectura cloud-native, ligera y escalable: Cloudflare Workers junto con su servicio de colas. Todo gestionado sin servidores, sin complicaciones.
🛡️ n8n-webhook-cf: Tu Guardaespaldas Digital para Webhooks
n8n-webhook-cf no es solo un proxy: es una capa de defensa inteligente desarrollada como un Cloudflare Worker, diseñada para actuar como escudo entre Internet y tu servidor de n8n.
Ejecutado en la red global de Cloudflare, este componente aprovecha su infraestructura de nivel empresarial para ofrecerte:
- Protección instantánea contra picos de tráfico y abusos.
- Entrega fiable mediante colas que desacoplan la recepción de eventos.
- Una configuración extremadamente sencilla, sin servidores que gestionar.
Moderniza la entrada a tus workflows con una solución robusta, eficiente y pensada para la nube.
¿Qué hace exactamente por ti?
✅ Protección contra ataques (DDoS): Utiliza la red global de Cloudflare para absorber y filtrar el tráfico malicioso antes de que llegue a ti.
✅ Ocultación de tu servidor n8n: Tu instancia de n8n real permanece oculta y protegida, sin una IP pública expuesta.
✅ Control de picos de tráfico (Rate Limiting): Limita el número de peticiones que un solo usuario puede hacer en un período de tiempo, previniendo abusos y saturación.
✅ Eliminación de duplicados (Deduplicación): Genera una firma única para cada webhook. Si llega uno repetido, lo descarta automáticamente, asegurando que cada evento se procese solo una vez.
✅ Cola de espera para errores: Si tu servidor n8n se cae o no responde, el worker no pierde el webhook. Lo guarda en una cola de espera.
✅ Reintentos automáticos: Una vez que tu servidor n8n vuelve a estar en línea, el worker reintenta enviar los webhooks que estaban en la cola, garantizando que no se pierda ningún dato.
El flujo es simple pero potente: un webhook llega primero al borde de la red de Cloudflare. Allí, el Worker lo inspecciona, aplica los filtros de seguridad y, solo si es legítimo y único, lo reenvía a tu instancia de n8n. Si tu servidor falla, el Worker lo guarda pacientemente para reintentarlo más tarde.
🚀 Instalación Guiada en Minutos
Poner en marcha n8n-webhook-cf es tan simple como clonar el repositorio y ejecutar un script. No necesitas ser experto en infraestructura: el asistente hace el trabajo por ti.
✅ Pasos para desplegar:
git clone https://github.com/aitorroma/n8n-webhook-cf/
cd n8n-webhook-cf
bash deploy.sh
🔧 ¿Qué hace el script deploy.sh?
El script te guiará paso a paso y te pedirá la siguiente información:
Copiar configuración base:
- Si no existe wrangler.toml, te ofrece copiar un archivo de ejemplo.
Cloudflare Account ID:
- Si no está configurado, te lo pedirá.
Entorno de despliegue:
- ¿Quieres desplegar en producción? (S/n)
URL base del proxy:
- Introduce la URL base para los webhooks (sin /webhook).
URL de la instancia de n8n:
- Introduce la URL completa donde tienes tu n8n.
Deduplicación:
- ¿Quieres habilitar la deduplicación de peticiones? (S/n)
Rate limiting:
- ¿Habilitar control por IP? (S/n)
KV Namespace:
- Si se activa la deduplicación, te pedirá un nombre para el almacenamiento clave-valor.
Nombre de la cola principal:
- Si no está configurada, se crea automáticamente.
Dead Letter Queue (DLQ):
- Nombre para la cola de errores en caso de que los mensajes fallen repetidamente.
Una vez completados estos pasos, el script:
- Configura los archivos automáticamente.
- Crea los recursos necesarios en tu cuenta de Cloudflare.
- Despliega y activa el worker en tu dominio.
🛠 Requisitos previos
- Un dominio gestionado por Cloudflare.
- Una cuenta de Cloudflare con el plan Workers & Pages (a partir de ~$5/mes).
- Una instancia de n8n funcionando en cualquier servidor.