Bloqueo de direcciones IP (herramienta de denegación de IP, Cloudflare, Nginx, Apache)

¿Está tratando con robots, spammers o piratas informáticos que visitan constantemente su página web? Dependiendo de la gravedad, esto tiene la posibilidad de tener un impacto importante en el acceso y el ancho de banda. En ese caso, debe intentar prevenirlos.

Todos los planes de Kinsta incluyen una herramienta gratuita de bloqueo de IP que le deja denegar direcciones IP y áreas concretas a fin de que no accedan a su sitio web. En el artículo, presentamos múltiples métodos que se pueden emplear para denegar direcciones IP.

¿Prepararse?

¡Empecemos!

De qué forma identificar una dirección IP problemática

WordPress es un sistema de administración de contenido dinámico, lo que significa que los trabajadores de PHP crean páginas en caché según sea preciso. Dado a que las peticiones almacenadas en caché requieren más elementos de CPU y RAM para otorgar servicios (en comparación con las solicitudes almacenadas en caché), los operadores malintencionados pueden enviar una gran cantidad de solicitudes para obligar al servidor a dejar de responder.

En el momento en que está con esta situación, un plan para achicar la carga del servidor es bloquear las direcciones IP intrusivas.

Utilice el panel de análisis de MyKinsta para ver una lista de las direcciones IP más populares que visitan su portal web. Puede ver estas direcciones IP en Análisis> Geografía e PILuego, desplácese hacia abajo hasta Top Client IP.

Si descubre que una dirección IP efectúa considerablemente más peticiones que otras direcciones IP (por servirnos de un ejemplo, 5-10 ocasiones), posiblemente deba investigar mucho más de cerca si se trata de un bot o un spammer. La manera más simple de comprobar si una dirección IP es maliciosa es utilizar un verificador de reputación como CleanTalk o Spamhaus.

Si la verificación de reputación identifica la dirección IP como la dirección IP de un robot o spammer, aún puede bloquear la dirección IP. Tenga presente que aun si un verificador de reputación no enumera una dirección IP como una dirección IP maliciosa, solo puede significar que la dirección IP aún no está en la banco de información.

Si descubre que la dirección IP provoca que su servidor devuelva un fallo HTTP 502, o se apaga completamente, debe probar si el bloqueo de la dirección IP optimización la situación.

Bloquear una dirección IP usando MyKinsta

Puede usar la herramienta Idioma IP en el panel de control de MyKinsta para denegar direcciones IP particulares y rangos de direcciones IP sin modificar los archivos de configuración del servidor web. Si está alojando Kinsta, IP Blocker es la forma recomendada de bloquear direcciones IP.

Para denegar una dirección IP en MyKinsta, vaya a Ubicación> Su sitio> Rechazo de IP.

Herramienta de rechazo de IP en MyKinsta.

Luego haga click en el botón "Añadir dirección IP" en la esquina superior derecha de la página.

Añade una dirección IP para denegar.

En el modo perfecto "Añadir direcciones IP para denegación", puede incluir en la lista negra direcciones IPv4, direcciones IPv6 y rangos de direcciones IP de enrutamiento entre dominios sin clases (CIDR). El rango CIDR se puede usar para evitar un rango continuo de direcciones IP (por ejemplo, 127.0.0.1 a 127.0.0.255). Para hacer un dominio CIDR válido, recomendamos emplear esa herramienta.

A continuación, se detallan algunos ejemplos de direcciones IP que puede denegar:

• Dirección IPv4 - 103.5.140.141
• Dirección IPv6 2001: 0db8: 0a0b: 12f0: 0000: 0000: 0000: 0001
• Rango CIDR 128.0.0.1 / 32

Una vez que haya añadido la dirección IP para bloquear, haga click en el botón "Agregar dirección IP".

Agregue la dirección IP a la lista negra.

Ahora debería ver la dirección IP agregada a la lista de bloqueo. También puede emplear dos acciones (editar y remover) en la columna Acciones de esta página. Utilice la función "Editar" para actualizar la dirección IP o la zona y la función "Eliminar" para remover la dirección IP denegada.

Edite o suprima la dirección IP denegada.

Denegar direcciones IP en Cloudflare

Si es un usuario de Cloudflare, puede eludir el uso de direcciones IP y rangos de IP utilizando la herramienta Reglas de empleo de IP en el panel de Cloudflare.

En el panel de Cloudflare, vaya a Cortafuegos> Herramientas.

Panel de control de la herramienta Cloudflare.

Para crear una nueva regla de acceso IP, añada una dirección IP, elija "Denegar", escoja "Este lugar" (si desea que esta regla se coloque a todos los dominios de Cloudflare, escoja "Todos los sitios web en su cuenta") y haga clic en "Agregar . "

Añada reglas de licencia de IP.

Una vez que haya añadido una regla de acceso, aparecerá en la lista de reglas de ingreso IP. Aquí puede realizar cambios en las reglas de ingreso, por ejemplo, B. Cambiar acciones, añadir comentarios y eliminar reglas.

Reglas de licencia de IP en el panel de Cloudflare.

Además del desarrollo "Bloquear", Cloudflare también admite "Desafío", "Aceptar" y "Desafío de JavaScript". Dependiendo de lo que esté tratando de lograr, es posible que desee utilizar una de estas otras funciones en vez de la función "Denegar".

Denegar dominios IP, países / territorios y direcciones ASN en Cloudflare

Además de una sola dirección IP, las reglas de licencia de IP de Cloudflare también admiten dominios IP, nombres de países / zonas y ASN (Número de sistema autónomo).

• Para bloquear el rango de IP, especifique el rango de CIDR para el valor de la regla de ingreso de IP.
• Para denegar un país, ingréselo como código de país Alfa-2.
• Para bloquear ASN (direcciones IP administradas por un solo operador de red), ingrese un ASN válido que comience con "AS".

Denegar una dirección IP en Nginx

Si su ubicación está alojado en un servidor web Nginx, puede bloquear la dirección IP de forma directa en la configuración del servidor web. Si bien este procedimiento no es tan simple de emplear como utilizar la herramienta de bloqueo de IP MyKinsta o el Cortafuegos de Cloudflare para denegar IP, en algunos casos puede ser la única opción.

Para bloquear una dirección IP en Nginx, conéctese a su servidor mediante SSH y abra el fichero de configuración de Nginx con el siguiente comando nano Tal editor de texto:

nano /etc/nginx/nginx.conf

Cómo emplear Nginx para denegar una sola dirección IP

Para denegar una sola dirección IP (IPV4 o IPV6) en Nginx, use deny Las normas tienen este aspecto:

deny 190.60.78.31;
deny 4b73:8cd3:6f7b:8ddc:d2f9:31ca:b6b1:834e;

De qué forma denegar el rango de IP CIDR con Nginx

Para denegar el rango de IP de CIDR en Nginx, use el próximo comando:

deny 192.168.0.0/24;

Tecnología avanzada de bloqueo de IP Nginx

Para bloquear el acceso a un directorio específico (ed domain.com/secret-directory/), puede utilizar el siguiente comando nginx:

location /secret-directory/ 
        deny 192.168.0.0/24;

Esta deny Admitiendo el pedido all Arvona. Esto es útil cuando desea bloquear todas y cada una de las direcciones IP en su lugar. deny all; Las instrucciones suelen ser exactamente las mismas que allow - Así mismo puedes aceptar ciertas direcciones IP, eludiendo todo lo demás.

location /secret-directory/ 
        allow 192.168.0.0/16;
        deny all;

Guarde la configuración de Nginx y vuelva a cargar Nginx

Tras modificar la configuración con nano, presione Ctrl + O para almacenar los cambios. Tras almacenar el fichero, presione Ctrl + X para salir del nano.

Para habilitar la novedosa regla de bloqueo de IP, asimismo debe volver a cargar la configuración de Nginx con el próximo comando:

sudo systemctl reload nginx

Bloqueo de direcciones IP en Apache

Si su sitio está alojado en un servidor web Apache, puede denegar la dirección IP de manera directa en la configuración del servidor web. Para bloquear las direcciones IP de Apache, debe utilizar un fichero .htaccess que le deje utilizar reglas únicas a directorios concretos. Para utilizar las reglas a todo el lugar, el archivo .htaccess debe ponerse en el directorio raíz del lugar.

Primero, conéctese a su servidor mediante SSH, navegue hasta el directorio raíz de su lugar y después cree un fichero .htaccess con el próximo comando:

touch .htaccess

A continuación, use el siguiente comando para abrir el fichero .htaccess nano Tal editor de texto:

nano .htaccess

Las reglas exactas para el bloqueo de IP dependen de si está utilizando Apache 2.2 o 2.4, con lo que incluiremos reglas para ambas ediciones. Al modificar el archivo .htaccess, siga las reglas para la versión de Apache.

Bloquear una sola dirección IP usando Apache

Para denegar solo una dirección IP (IPV4 o IPV6) en Apache, use las siguientes reglas:

# Apache 2.2
order allow, deny
allow 192.168.0.0
deny from all

#Apache 2.4
Require all granted
Require not ip 192.168.0.0

De qué manera bloquear el rango de IP CIDR y Apache

# Apache 2.2
order allow, deny
allow 192.168.0.0/16
deny from all

#Apache 2.4
Require all granted
Require not ip 192.168.0.0/16

Generalizar

En dependencia de la configuración de su ubicación, hay varias maneras de denegar el ingreso de las direcciones IP a su sitio. Si es usuario de Kinsta, le recomendamos que utilice la herramienta de bloqueo de IP incorporada de MyKinsta.

Si su sitio web no está en Kinsta. Se aconseja previamente utilizar Cloudflare para protegerlo, lo que le deja hacer reglas de acceso IP únicas para bloquear direcciones IP, regiones, etc. Al final, si no puede configurar Cloudflare, puede activar las reglas de bloqueo de IP de manera directa en el fichero de configuración del servidor web.