Bloqueo progresivo de direcciones IP: cómo detener los ataques de fuerza bruta sin falsos positivos
Para bloquear los ataques de fuerza bruta en WordPress sin bloquear el acceso a los usuarios legítimos, la duración del bloqueo es tan importante como el motivo que lo desencadena. ReportedIP utiliza un sistema de escalonamiento progresivo: una primera infracción conlleva 5 minutos de bloqueo, mientras que un atacante persistente puede llegar a acumular hasta 7 días.
Esta guía explica el sistema de clasificación, el periodo de reinicio de 30 días y por qué los bloqueos manuales nunca se anulan.
¿Qué es ReportedIP ?
ReportedIP es un completo plugin de seguridad para WordPress: 12 sensores de ataque, cuatro métodos de autenticación de dos factores (2FA) y bloqueo progresivo de IP, todo ello en un único plugin gratuito y compatible con GPL-2.0. El bloqueo funciona totalmente sin conexión en el modo «Local Shield». Consulta el conjunto completo de funciones ReportedIP para tener una visión más amplia.
La escala de escalamiento predeterminada
Cuando se supera el umbral de un sensor, el IP entra en la escalera implementada en ReportedIP_Hive_Block_Escalation (añadido en la versión 1.5.0). Cada nueva infracción hace que suba un peldaño:
- Primera infracción: 5 minutos
- 2.º — 15 minutos
- 3.º — 30 minutos
- 4.º — 24 horas
- 5.º — 48 horas
- A partir del sexto día — 7 días (máximo)
La lista se puede editar completamente en formato de lista de minutos separados por comas en «Configuración» → «Bloqueo». Un botón de activación mantiene disponible el modo clásico de duración única para los sitios que prefieren una duración fija para los bloques.
Por qué un error tipográfico nunca cuesta 24 horas
Un visitante que comete un error por primera vez —ya sea un administrador con dedos torpes o un usuario legítimo detrás de una dirección CGNAT compartida— recibe un tiempo de espera de 5 minutos y puede seguir adelante. Solo las direcciones IP que siguen reincidiendo se van acumulando hacia bloqueos más prolongados. Tras 30 días sin nuevas infracciones, la dirección IP vuelve al nivel 1, por lo que un error puntual nunca deja una huella permanente.
Los bloqueos manuales siempre ganan
Cuando haces clic en «Bloquear esta IP» o importas un archivo CSV con rangos de direcciones maliciosas conocidas, ese bloqueo se mantiene durante el tiempo que hayas elegido y el sistema de escalado nunca lo anula. La escalada automática solo se aplica a las direcciones IP que los sensores detectan por sí mismos.
Prueba antes de aplicar
Utiliza el modo «Solo informe» en Ajustes → Bloqueo para supervisar las decisiones de la cola en los registros sin rechazar a nadie. La propia página de error 403 es compatible con la caché: establece DONOTCACHEPAGE y Cache-Control: no-store, por lo que WP Rocket, W3TC, WP Super Cache y LiteSpeed nunca muestran un bloque almacenado en caché a un visitante legítimo.
Guías relacionadas
- Los 12 sensores que alimentan la escalera de bloques
- El modo de refuerzo endurece los umbrales en caso de ataque
- Red comunitaria: rechaza a los atacantes que ya han aparecido en otros sitios
La configuración completa se encuentra en la documentación del plugin de WordPress. Echa un vistazo al resto de las guías del pluginReportedIP o revisa la clase de escalado en GitHub.