Cloudflare: desactivado Bot Fight Mode básico (arregla 403 a Facebook/bots) #132

New Issue

2026-06-28T19:15:15Z

rafa commented

2026-06-28 19:15:15 +00:00

Labels: area:infra, security

Contexto

Facebook (y probablemente Google, Twitter/X, LinkedIn, herramientas SEO) recibían 403 al intentar acceder a feadulta.com. La causa era el Bot Fight Mode básico de Cloudflare (plan gratuito), no la regla WAF.

Por qué la regla WAF no servía

La casilla "All Super Bot Fight Mode Rules" / reglas "Skip" solo funcionan en Super Bot Fight Mode (planes de pago).
El Bot Fight Mode normal ignora las reglas Skip — limitación conocida de Cloudflare.
En el plan gratuito es todo-o-nada: o bloqueas todos los bots o ninguno; no hay lista blanca de bots verificados.

Acción realizada (2026-06-21)

Inma desactivó el Bot Fight Mode básico en Cloudflare (Security → Settings → Bots → Bot Fight Mode → Off).

La regla WAF de Facebook se deja puesta (no estorba y serviría si algún día se activa Super Bot Fight Mode).

Implicaciones

Qué se pierde: el filtro genérico de bots simples (scrapers, escáneres de vulnerabilidades, bots contra wp-login.php, spam de comentarios). Llegará algo más de ruido al servidor.

Qué NO se pierde (sigue activo):

Protección anti-DDoS de Cloudflare
SSL/HTTPS, caché, CDN
Reglas WAF propias y Managed Rules

Pendiente / recomendación

Para compensar la capa que se pierde, proteger lo que de verdad importa en WordPress:

Regla WAF de rate limiting sobre /wp-login.php y /xmlrpc.php, o
Plugin de seguridad (Wordfence — relacionado con #7, o Limit Login Attempts).

Alternativa de pago: plan Pro + Super Bot Fight Mode (permite "Allow verified bots", Facebook entraría solo). Probablemente innecesario para una web de contenidos.

Verificación

Tras desactivarlo, relanzar la prueba de Facebook (debe pasar a 200).

**Labels:** area:infra, security ## Contexto Facebook (y probablemente Google, Twitter/X, LinkedIn, herramientas SEO) recibían **403** al intentar acceder a feadulta.com. La causa era el **Bot Fight Mode básico** de Cloudflare (plan gratuito), no la regla WAF. ### Por qué la regla WAF no servía - La casilla "All Super Bot Fight Mode Rules" / reglas "Skip" **solo funcionan en Super Bot Fight Mode** (planes de pago). - El **Bot Fight Mode normal ignora las reglas Skip** — limitación conocida de Cloudflare. - En el plan gratuito es todo-o-nada: o bloqueas todos los bots o ninguno; no hay lista blanca de bots verificados. ## Acción realizada (2026-06-21) Inma **desactivó el Bot Fight Mode básico** en Cloudflare (Security → Settings → Bots → Bot Fight Mode → Off). La regla WAF de Facebook se deja puesta (no estorba y serviría si algún día se activa Super Bot Fight Mode). ## Implicaciones **Qué se pierde:** el filtro genérico de bots simples (scrapers, escáneres de vulnerabilidades, bots contra wp-login.php, spam de comentarios). Llegará algo más de ruido al servidor. **Qué NO se pierde (sigue activo):** - Protección anti-DDoS de Cloudflare - SSL/HTTPS, caché, CDN - Reglas WAF propias y Managed Rules ## Pendiente / recomendación Para compensar la capa que se pierde, proteger lo que de verdad importa en WordPress: - Regla WAF de **rate limiting** sobre `/wp-login.php` y `/xmlrpc.php`, o - Plugin de seguridad (**Wordfence** — relacionado con #7, o Limit Login Attempts). Alternativa de pago: plan Pro + Super Bot Fight Mode (permite "Allow verified bots", Facebook entraría solo). Probablemente innecesario para una web de contenidos. ## Verificación Tras desactivarlo, relanzar la prueba de Facebook (debe pasar a **200**).

rafa closed this issue

2026-06-28 19:15:15 +00:00

rafa referenced this issue

2026-06-28 19:15:22 +00:00

Posts con idioma mal asignado en Polylang (contenido ≠ idioma) #138

rafa referenced this issue

2026-06-28 19:15:23 +00:00

Revisión multiidioma tras lote de traducciones: bugs de contenido/categorías/avatares #139

rafa referenced this issue

2026-06-28 19:15:24 +00:00

Reasignar categorías traducidas a los posts traducidos (Polylang) — reasignación masiva #140

Sign in to join this conversation.