UA-51298262-10 Skip to main content
search
WordPress

Bloquear IP WordPress: Guía completa sin plugins

By junio 23, 2026No Comments
Bloquear IP WordPress: Guía completa sin plugins

La seguridad de tu sitio web es algo que no puedes dejar al azar, y saber bloquear IP WordPress sin plugins es una de esas habilidades que te sacan de más de un apuro. Claro que existen miles de extensiones de seguridad, pero confiar ciegamente en ellas tiene su coste: suelen ralentizar tu sitio y, a menudo, acaban siendo ellos mismos un punto débil. Si vas a lo serio y haces el bloqueo directamente en el servidor o vía código, la defensa es mucho más robusta. Es la forma más eficiente de mantener a raya a atacantes, bots y visitas indeseadas.

¿Por qué bloquear IP WordPress a mano?

Antes de ver la parte técnica, conviene entender por qué evitar los plugins es una buena idea para esto. Los plugins consumen recursos, añaden más código a tu instalación y, con demasiada frecuencia, entran en conflicto con otros elementos de tu stack. Si mueves el bloqueo al nivel del servidor o al archivo de configuración, eliminas el procesamiento extra de PHP y bases de datos. La consecuencia es directa: denegas el acceso antes de que WordPress siquiera empiece a cargarse.

Ventajas del bloqueo manual:

  • Rendimiento: El servidor rechaza la petición al instante. Ahorras recursos.
  • Eficiencia: Funciona aunque WordPress esté roto o en modo mantenimiento.
  • Seguridad: Reduces los puntos de fallo que podrían explotar vulnerabilidades de plugins.

Nota importante: Antes de tocar ningún archivo del núcleo o del servidor, haz una copia de seguridad completa de tu sitio. Un error de sintaxis podría dejar tu web inaccesible temporalmente.

Método 1: Usando el archivo .htaccess (Apache)

Si tu servidor usa Apache —lo más habitual en los hostings compartidos—, el archivo .htaccess es tu mejor aliado. Este pequeño archivo controla la configuración del directorio donde vive y todo lo que hay debajo. Es, sin duda, la forma más efectiva de bloquear IP WordPress a nivel de servidor.

Puedes editarlo desde el gestor de archivos de tu panel (como cPanel) o vía FTP. Lo encontrarás, casi seguro, en la raíz de tu instalación de WordPress.

Bloquear una sola dirección IP

Para echar el cierre a una dirección IP específica, añade estas líneas al final de tu archivo .htaccess:

<RequireAll>
    Require all granted
    Require not ip 123.456.78.90
</RequireAll>

Si tu versión de Apache es antigua (Apache 2.2), la sintaxis cambia un poco:

<Limit GET POST>
order allow,deny
deny from 123.456.78.90
allow from all
</Limit>

Bloquear un rango de IPs

A veces el problema no viene de una sola máquina, sino de un rango entero. Si quieres vetar un bloque completo (por ejemplo, todas las IPs que empiezan por 123.456), simplemente omite el último grupo de números:

Require not ip 123.456.0.0/16

O si usas la sintaxis antigua:

deny from 123.456.

Método 2: Usando el archivo functions.php

Si no tienes acceso a la configuración del servidor pero sí al editor de temas de WordPress, puedes usar un fragmento de código en el archivo functions.php. Ojo: hazlo siempre en un tema hijo, nunca en el principal, o perderás los cambios con la próxima actualización. Este método es menos eficiente que el .htaccess porque WordPress debe arrancar parcialmente antes de ejecutar el bloqueo, pero funciona si no te queda otra.

Añade este código al final del archivo:

add_action( 'init', 'bloquear_ips_malignas' );

function bloquear_ips_malignas() {
    $lista_bloqueo = array(
        '123.456.78.90',
        '111.222.333.44'
    );

    if ( in_array( $_SERVER['REMOTE_ADDR'], $lista_bloqueo ) ) {
        wp_die( 'Tu acceso ha sido restringido por motivos de seguridad.' );
    }
}

Este script intercepta la carga y muestra un error si la IP del visitante está en tu lista negra.

Método 3: Uso de cPanel o Plesk (Panel de Control)

La mayoría de proveedores de hosting ofrecen interfaces gráficas para esto. Si usas cPanel, busca la herramienta «IP Blocker» (Bloqueador de IP).

  1. Entra en tu cuenta cPanel.
  2. Busca la sección Seguridad.
  3. Haz clic en IP Blocker.
  4. Escribe la dirección IP o el rango a bloquear.
  5. Haz clic en Add.

Es la opción ideal si no te sientes cómodo editando archivos a mano. El panel se encarga de modificar la configuración del servidor por ti.

Método 4: Configuración en NGINX

Para servidores más avanzados que montan NGINX en lugar de Apache, el bloqueo se hace editando el archivo de configuración del sitio (suele estar en /etc/nginx/sites-available/tu-dominio.com).

Dentro del bloque server { ... }, añade lo siguiente:

deny 123.456.78.90;
deny 111.222.333.0/24;

Guarda los cambios y recarga la configuración de NGINX con este comando:

sudo service nginx reload

Consejo de experto: NGINX es famoso por su rendimiento. Bloquear IPs a este nivel es extremadamente rápido y soporta mucho tráfico sin que tu web sufra.

¿Cómo identificar qué IPs bloquear?

De nada sirve saber bloquear IP WordPress si no sabes quién es el enemigo. Aquí tienes algunas formas de detectar actividad sospechosa:

  • Logs de acceso: Revisa los registros raw en tu panel de hosting. Busca peticiones repetitivas a wp-login.php o xmlrpc.php.
  • Comentarios de spam: Si te llueve el spam, mira la dirección IP de los remitentes. Suelen ser siempre los mismos.
  • Plugins de monitoreo: Aunque no queremos plugins de seguridad activos, usar uno solo para leer logs puede ayudarte a identificar al culpable antes de borrarlo y aplicar el bloqueo manual.

Preguntas Frecuentes

¿Qué pasa si bloqueo mi propia IP por error?

Perderás el acceso a tu sitio y al panel de administración. Tendrás que usar una VPN para cambiar tu IP, entrar desde otra conexión o acceder por FTP/panel de hosting para deshacer el cambio en el .htaccess.

¿Las IPs dinámicas son un problema?

Sí. Los proveedores de internet doméstico suelen asignar IPs que cambian. Si bloqueas una hoy, mañana podría tenerla un usuario legítimo. Este método es más efectivo contra bots o atacantes con IPs fijas.

A modo de cierre

Aprender a bloquear IP WordPress sin plugins te da un control total sobre tu seguridad, garantizando mejor rendimiento y menos superficie de ataque. Da igual si eliges el .htaccess, tocas la configuración de NGINX o usas tu panel de control: estos métodos son más limpios y eficientes que saturar tu instalación con extensiones que no necesitas. Mantener el sitio limpio y seguro requiere mano directa, y estos pasos son la base de una administración sólida. Si tienes dudas sobre cómo modificar estos archivos sin romper nada, en RedServicio (redservicio.net) puedes encontrar ayuda profesional para cualquier problema técnico.

Entradas relacionadas:

  1. Aumentar el límite de subida WordPress: guía completa
  2. Cómo bloquear Spammers
  3. Guía completa de WP-CLI: gestionar WordPress desde terminal
  4. Guía completa de seguridad para WordPress
Close Menu

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies