Resolver el error 429 Demasiadas solicitudes

El error «429 Demasiadas solicitudes» es un código de estado de respuesta HTTP común que indica que un usuario ha enviado demasiadas solicitudes en un tiempo determinado («limitación de velocidad»).
Este estado forma parte de la norma HTTP/1.1 (RFC 6585) y lo utilizan los servidores web para informar al cliente de que ha superado el límite de velocidad de solicitudes a un recurso concreto.
A diferencia de otros errores que podrían indicar un problema con el servidor, un error 429 apunta a un problema con la tasa de solicitud por parte del cliente.

Mismo error diferente mensaje

La presentación de un error 429 puede variar según el servidor web, el navegador del cliente o la configuración específica del sitio web.
He aquí algunas variaciones comunes:

  • 429 Demasiadas peticiones
  • HTTP 429
  • Error 429 (Demasiadas peticiones)
  • Tasa límite superada
  • Demasiadas peticiones: Límite de solicitudes superado
  • Error de cliente 429
  • Error HTTP 429 – Demasiadas peticiones
  • Límite de la tasa API superado
  • ¡Despacio!
    Estás enviando demasiadas peticiones
  • Esta solicitud se ha limitado a una tasa.

Razones por las que se produce este error

Políticas de limitación de tarifas

La limitación de velocidad es una estrategia crítica de control de red que se utiliza para gestionar la cantidad de tráfico entrante y saliente hacia o desde una red.
Estableciendo un límite al número de peticiones que un usuario o una dirección IP puede hacer en un plazo determinado, los servidores web y las API pueden evitar la degradación del servicio y garantizar un acceso equitativo para todos los usuarios.

Los límites de velocidad pueden variar mucho en función de la capacidad del servidor, la aplicación específica y su base de usuarios.
Las políticas habituales incluyen limitar las peticiones por minuto, hora o día.
Cuando un usuario supera estos límites, el servidor devuelve un error «429 Demasiadas peticiones», indicando al usuario que reduzca la velocidad.

Tráfico automático

El tráfico automatizado generado por scripts, bots o rastreadores web puede saturar inadvertidamente un sitio web.
Estas herramientas automatizadas se utilizan para diversos fines, como el raspado de datos, las pruebas automatizadas y la indexación en motores de búsqueda.
Aunque algunos bots son beneficiosos (por ejemplo, los rastreadores de los motores de búsqueda), otros pueden ser maliciosos o estar mal configurados, lo que provoca peticiones excesivas que activan los límites de velocidad.

El reto consiste en distinguir entre bots beneficiosos y dañinos y gestionar su acceso sin que afecte al rendimiento del servidor.
Implementar CAPTCHAs, utilizar archivos robots.txt para controlar el acceso de los rastreadores y emplear soluciones de gestión de bots más sofisticadas puede ayudar a mitigar el impacto del tráfico automatizado en los límites de velocidad.

Comportamiento del usuario

Las actualizaciones excesivas de la página, los envíos rápidos de formularios o las descargas masivas de archivos por parte de los usuarios, ya sea manualmente o mediante scripts mal diseñados del lado del cliente, pueden hacer que se superen los límites de velocidad.
Educar a los usuarios sobre el impacto de sus acciones y diseñar interfaces que desalienten las solicitudes excesivas (por ejemplo, desactivando los botones de envío tras el primer clic) puede ayudar a evitar la limitación involuntaria de la tasa.

Problemas de configuración

Las políticas de limitación de velocidad configuradas incorrectamente, como establecer umbrales demasiado bajos para el tráfico de usuarios esperado, pueden bloquear inadvertidamente peticiones legítimas.
Esta configuración incorrecta puede deberse a un descuido durante la configuración o a una falta de ajuste tras cambios en los patrones de tráfico del sitio web.

Protección contra la Denegación de Servicio Distribuida (DDoS)

Los ataques DDoS consisten en abrumar un sitio con una avalancha de peticiones para hacerlo inaccesible.
La limitación de velocidad es un mecanismo de defensa habitual contra estos ataques, diseñado para filtrar el tráfico malicioso.

Aunque es esencial para protegerse de los ataques DDoS, una limitación agresiva de la velocidad puede afectar inadvertidamente a los usuarios normales.
Implantar una limitación de velocidad dinámica, que ajuste los umbrales en función de los patrones de tráfico y el análisis de riesgos, puede ofrecer un enfoque equilibrado, minimizando el impacto en el tráfico legítimo y protegiendo al mismo tiempo contra los ataques.

Cómo solucionar el error 429

Estos son algunos pasos importantes que debes dar antes de realizar cambios en tu sitio. Haz una copia de seguridad de tu sitio: Antes de realizar cambios significativos, especialmente al desactivar plugins o cambiar temas, asegúrate de que tienes una copia de seguridad completa de tu sitio WordPress.Supervisa tu sitio: Tras aplicar estos cambios, controla el rendimiento de tu sitio y los registros de errores.
Puede que sea necesario realizar ajustes para encontrar el equilibrio adecuado entre seguridad, funcionalidad y usabilidad.

Seguridad ante todo: Cambiar la URL de inicio de sesión y garantizar conexiones HTTPS seguras no son sólo para evitar el error 429; son buenas prácticas de seguridad que protegen tu sitio y a sus usuarios.

Modifica la URL de inicio de sesión estándar de tu sitio WordPress

Las URL de inicio de sesión predeterminadas (`wp-login.php` y `wp-admin`) de los sitios WordPress son objetivos principales para los ataques de fuerza bruta y automatizados.
Al cambiar estas URL, no sólo frustras un número significativo de intentos de inicio de sesión no autorizados, sino que también alivias la carga del servidor.
Esta reducción del tráfico innecesario puede disminuir significativamente las posibilidades de experimentar un error 429 «Demasiadas solicitudes», que se produce cuando un usuario o un script supera el número de solicitudes permitidas en un plazo determinado.
Implementar este cambio también refuerza la seguridad de tu sitio WordPress al ocultar los puntos de acceso a posibles atacantes.

Implementación con plugins

  1. Instala un plugin como «WPS Hide Login» del repositorio de plugins de WordPress.
  2. Activa el plugin y accede a su página de configuración.
  3. Introduce una nueva URL de acceso y guarda los cambios.
  4. Asegúrate de marcar o recordar la nueva URL de inicio de sesión, ya que las predeterminadas dejarán de funcionar.

Modificar el archivo .htaccess

    1. Accede al directorio raíz de tu sitio utilizando un cliente FTP o el Gestor de Archivos de tu panel de control de alojamiento.
    2. Localiza el archivo `.htaccess` y edítalo.
    3. Añade una regla de reescritura para redirigir las peticiones desde la URL de inicio de sesión predeterminada a una nueva URL personalizada.
      Asegúrate de que la nueva URL es única y difícil de adivinar.
# Custom WordPress Login URL
RewriteRule ^your_new_login$ /wp-login.php [L,QSA]
RewriteCond %{THE_REQUEST} ^[A-Z]{3,}\s/wp-login\.php [NC]
RewriteRule ^wp-login\.php$ - [R=404,L]

Este código hace dos cosas:

    • Redirige a los usuarios que acceden a tudominio.com/tu_nuevo_login a la página de inicio de sesión real (wp-login.php).
    • Devuelve un error 404 para las peticiones directas a wp-login.php, ocultando de hecho tu página de inicio de sesión de la URL predeterminada.
  1. Guarda los cambios y prueba la nueva URL de acceso para asegurarte de que funciona correctamente.

Los problemas de contenido mixto surgen cuando un sitio servido a través de HTTPS contiene elementos cargados a través de HTTP.
Esta discrepancia puede hacer que los navegadores bloqueen estos recursos o intenten redirigir las peticiones HTTP a HTTPS, aumentando inadvertidamente la carga de peticiones del servidor.
Con el tiempo, esto puede provocar un error 429.
Asegurarse de que todos los enlaces y recursos internos utilizan HTTPS no sólo evita las advertencias de contenido mixto, sino que también reduce las redirecciones innecesarias, minimizando así la carga del servidor.

Para comprobar si los enlaces HTTPS son el desencadenante:

  1. Utiliza las herramientas de desarrollo de tu navegador para buscar avisos de contenido mixto.
  2. Actualiza manualmente todos los enlaces internos, incluidos los enlaces a imágenes, CSS y archivos JavaScript, para que utilicen HTTPS.
  3. Comprueba si en tu base de datos de WordPress hay enlaces HTTP codificados y actualízalos a HTTPS.

Advertencia de contenido mixto en el inspector

También puedes utilizar un plugin como Really Simple SSL para solucionar la mayoría de los problemas de contenido mixto reescribiendo automáticamente las URL de HTTP a HTTPS.

Desactiva temporalmente todos los plugins de WordPress

Los plugins pueden introducir peticiones HTTP adicionales o imponer límites de velocidad independientes de la configuración del servidor.
Desactivando temporalmente todos los plugins, puedes comprobar si el origen del error 429 es un plugin específico.
Este paso ayuda a identificar los plugins que pueden estar realizando peticiones excesivas o que no están optimizados para el rendimiento.

Para ponerlo en práctica:

  1. Ve a la sección Plugins de tu panel de control de WordPress.
  2. Selecciona todos los plugins y elige la opción «Desactivar» en el menú de acciones masivas.
  3. Controla el comportamiento de tu sitio para detectar el error.
  4. Reactiva los plugins uno a uno, comprobando el error después de cada activación

Página de plugins del panel de administración de WordPress con la acción masiva de desactivación seleccionada.

Transición a un tema predeterminado de WordPress

Los temas complejos o mal codificados pueden realizar peticiones externas excesivas o utilizar los recursos de forma ineficaz, contribuyendo a una elevada carga del servidor y a posibles errores 429.
Cambiar a un tema más sencillo y bien optimizado puede ayudar a determinar si tu tema actual está provocando que se superen los límites de tasa de peticiones.

Para activar un tema por defecto:

  1. Desde tu panel de administración de WordPress, ve a Apariencia > Temas
  2. Activa un tema predeterminado de WordPress, como Twenty Twenty-One.
  3. Prueba el funcionamiento de tu sitio y vigila si aparece el error 429.

Panel de administración de WordPress con la página de temas abierta

Si el error se resuelve, considera la posibilidad de optimizar tu tema original o de seleccionar un tema nuevo más eficiente.

Ponte en contacto con tu servicio de alojamiento web

Si ninguno de los pasos anteriores alivia el error 429, el problema puede residir en la configuración del servicio de alojamiento web o en las políticas de limitación de velocidad.
Los proveedores de alojamiento pueden establecer límites al número de peticiones que un sitio puede realizar en un periodo determinado, y superar estos límites puede desencadenar el error.
Es crucial que te comuniques con tu proveedor para conocer los límites impuestos y discutir posibles soluciones.

Conclusión

Mitigar el error 429 en WordPress implica un enfoque multifacético que aborda tanto la seguridad del sitio como la eficiencia.
Modificando la URL de inicio de sesión, asegurándote de que todos los enlaces utilizan HTTPS, desactivando temporalmente los plugins, cambiando a un tema básico y consultando con tu proveedor de alojamiento, puedes reducir la probabilidad de que se produzca este error.
Estos pasos no sólo ayudan a prevenir el error 429, sino que también contribuyen a que el sitio de WordPress sea más seguro, robusto y funcione sin problemas.


Say goodbye to website errors

Share article

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Your email address will never be published or shared. Required fields are marked *

Comment*

Name *