{"id":735,"date":"2018-01-28T00:02:22","date_gmt":"2018-01-28T04:02:22","guid":{"rendered":"https:\/\/tecnojupiter.net\/?p=735"},"modified":"2023-09-13T07:46:10","modified_gmt":"2023-09-13T11:46:10","slug":"bloquear-ip-user-agent-apache-htaccess","status":"publish","type":"post","link":"https:\/\/tecnojupiter.test\/bloquear-ip-user-agent-apache-htaccess\/","title":{"rendered":"Bloquear IP y User-Agent con SetEnvIfNoCase en Apache con htaccess"},"content":{"rendered":"<div class=\"wp-block-image\">\n<figure class=\"aligncenter\"><img fetchpriority=\"low\" decoding=\"async\" loading=\"lazy\" width=\"1280\" height=\"720\" src=\"https:\/\/tecnojupiter.test\/wp-content\/uploads\/2018\/01\/bloquea-user-agents-SetEnvIfNoCase.png\" alt=\"SetEnvIfNoCase user-agent\" class=\"wp-image-756\" srcset=\"https:\/\/tecnojupiter.test\/wp-content\/uploads\/2018\/01\/bloquea-user-agents-SetEnvIfNoCase.png 1280w, https:\/\/tecnojupiter.test\/wp-content\/uploads\/2018\/01\/bloquea-user-agents-SetEnvIfNoCase-800x450.png 800w, https:\/\/tecnojupiter.test\/wp-content\/uploads\/2018\/01\/bloquea-user-agents-SetEnvIfNoCase-384x216.png 384w\" sizes=\"(max-width: 1280px) 100vw, 1280px\" \/><\/figure><\/div>\n\n\n<p>En el post que escrib\u00ed sobre el <a href=\"https:\/\/tecnojupiter.test\/crear-archivo-robots-txt-wordpress\/\" target=\"_blank\" rel=\"noopener noreferrer\">archivo robots.txt<\/a>&nbsp;te di una idea sobre la cantidad aproximada de User-Agent que existen y la raz\u00f3n por la que debes bloquear cierto tipo de User-Agent.<\/p>\n\n\n\n<p>Ahora en esta entrada te muestro otra alternativa que puedes implementar en tu .htaccess para bloquear esos bot indeseables que son de mala reputaci\u00f3n.<\/p>\n\n\n\n<p>Por lo general cuando queremos bloquear un User-Agent para que no visite nuestra web el m\u00e9todo habitual seria editando el fichero Robots.txt y escribiendo una nueva linea identificando al bot que queremos que no rastree nuestra web, por ejemplo:<\/p>\n\n\n\n<p>User-agent: Baiduspider<br>Disallow: \/<\/p>\n\n\n\n<p>Pero ya sabemos que <strong>algunos rastreadores web<\/strong> <strong>ignoran por completo esta solicitud en el fichero robots.txt<\/strong>, por lo que la manera m\u00e1s confiable de bloquear el User-Agent es editando el fichero .htaccess en su lugar.<\/p>\n\n\n\n<p>Este a\u00f1o los raspadores y los bots que se comportan mal parecen estar de moda.&nbsp; Si bien ser\u00e1 muy dif\u00edcil bloquearlos a todos, puedes hacer mucho para evitar que la mayor\u00eda estos raspadores recojan su sitio.<\/p>\n\n\n\n<div class=\"wp-block-easyblock-note-info\">Este art\u00edculo supone que ya est\u00e1 familiarizado con la funcionalidad b\u00e1sica de WordPress y con la edici\u00f3n de ficheros en su hosting.<\/div>\n\n\n\n<p>Los fragmentos a continuaci\u00f3n te mostrar\u00e1n c\u00f3mo bloquear User-Agent utilizando la direcci\u00f3n IP y la cadena SetEnvIfNoCase.<\/p>\n\n\n\n<div id=\"toc_container\" class=\"no_bullets\"><p class=\"toc_title\">&Iacute;ndice de contenido<\/p><ul class=\"toc_list\"><li><a href=\"#bloqueo_por_direccion_ip\">Bloqueo por direcci\u00f3n IP.<\/a><ul><li><a href=\"#bloqueo_de_dos_direcciones_ip_especificas\">Bloqueo de dos direcciones IP especificas<\/a><\/li><li><a href=\"#bloquear_rango_de_ip_por_numero_cidr\">Bloquear rango de IP por numero CIDR<\/a><\/li><li><a href=\"#bloquear_rango_de_ip_por_truncado_de_digitos\">Bloquear rango de IP por \u00abtruncado de digitos\u00bb<\/a><\/li><\/ul><\/li><li><a href=\"#bloqueo_de_bots_por_setenvifnocase_user-agent\">Bloqueo de bots por SetEnvIfNoCase User-Agent<\/a><\/li><li><a href=\"#conclusion\">Conclusi\u00f3n<\/a><\/li><\/ul><\/div>\n<h2 class=\"wp-block-heading\"><span id=\"bloqueo_por_direccion_ip\">Bloqueo por direcci\u00f3n IP.<\/span><\/h2>\n\n\n\n<p>Puede bloquear direcciones IP espec\u00edficas en .htaccess f\u00e1cilmente utilizando el siguiente c\u00f3digo:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">Order allow, deny\nDeny from 123.123.123.123\nAllow from all<\/pre>\n\n\n\n<p><strong>Order Allow,Deny<\/strong>&nbsp;Simplemente significa que si el servidor web tiene una solicitud que coincida con la regla Denegar, la rechazar\u00e1.&nbsp;Si no coincide con la regla Denegar, entonces lo permitir\u00e1.<\/p>\n\n\n\n<p><strong>deny from<\/strong> xxx.xxx.xxx.xxx. Le dice al servidor que rechace cualquier solicitud de esa IP y que emita un mensaje de Prohibido en lugar de la p\u00e1gina web&nbsp; solicitada.<\/p>\n\n\n\n<p>Puede bloquear m\u00e1s direcciones IP a\u00f1adiendo m\u00e1s lineas Deny from, obviamente siguiendo la secuencia denegar, de las l\u00edneas en su .htaccess.<\/p>\n\n\n\n<p>Esta tipo de bloqueo es mucho m\u00e1s radical as\u00ed que debes estar completamente seguro antes de a\u00f1adir algo como esto, y no cometer un error de bloquear por ejemplo una IP de Google que pueda afectar tu SEO.<\/p>\n\n\n\n<p>Habr\u00eda que decir tambi\u00e9n que, hay varias maneras de bloquear IP con el fichero .htaccess aqu\u00ed te muestro otros ejemplos:<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span id=\"bloqueo_de_dos_direcciones_ip_especificas\">Bloqueo de dos direcciones IP especificas<\/span><\/h3>\n\n\n\n<p>Cuando no queremos que el .htaccess se tan largo, podemos ahorrar algo de espacio a\u00f1adiendo la regla en una sola linea.<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\"># block dos direcciones IP en una sola linea \ndeny from 99.58.47.66 11.22.37.47<\/pre>\n\n\n\n<p>Puedes bloquear tantas direcciones IP en una sola linea como quieras, solo debes escribir la IP y dejar un espacio entre ellas.<\/p>\n\n\n\n<p>Tambi\u00e9n puedes usar el m\u00e9todo anterior para permitir el acceso a direcciones IP especificas.<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\"># permitur acceso a dos direcciones IP\nallow from 157.55.39.102 66.249.65.221<\/pre>\n\n\n\n<h3 class=\"wp-block-heading\"><span id=\"bloquear_rango_de_ip_por_numero_cidr\">Bloquear rango de IP por numero CIDR<\/span><\/h3>\n\n\n\n<p>A veces el atacante posee una IP que est\u00e1 incluida en un rango de direcciones especificado en un bloque CIDR&nbsp;(Classless Inter-Domain Routing) y puede utilizarlas todas.<\/p>\n\n\n\n<p>Pongamos por caso que, estas bloqueando una nueva direcci\u00f3n IP en tu .htaccess y te das cuentas que has estado a\u00f1adiendo direcciones IP que empiezan con los mismos n\u00fameros, elige una de ellas para realizar una consulta <a href=\"https:\/\/www.ultratools.com\/tools\/netMask\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">Whois<\/a>.<\/p>\n\n\n\n<p>En los resultados de la consulta Whois encontraras el valor del bloque CIDR que representa a esa direccion IP asociada a esa red en particular, para denegarle el acceso a todas las IP que utiliza el mismo atacante que comprenden ese rango, un modo muy \u00fatil es bloquear mediante CIDR, implementando la siguiente regla en el .htaccess.<\/p>\n\n\n\n<p>Un ejemplo muy gen\u00e9rico de bloqueo por CIDR, cambia los n\u00fameros a los que quieras bloquear:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\"># bloquear acceso de IPs por CIDR\n&lt;Limit GET POST PUT&gt;\norder allow,deny\nallow from all\nDeny from 10.1.0.0\/16\nDeny from 80.0.0\/8\n&lt;\/Limit&gt;<\/pre>\n\n\n\n<p>Recuerda cambiar el rango IP CIDR a las que quieras bloquear.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span id=\"bloquear_rango_de_ip_por_truncado_de_digitos\">Bloquear rango de IP por \u00abtruncado de digitos\u00bb<\/span><\/h3>\n\n\n\n<p>De manera semejante al punto anterior, puedes bloquear un rango de direcciones IP completo \u00abtruncando d\u00edgitos\u00bb hasta que aparezca el IP buscado.<\/p>\n\n\n\n<p>Por ejemplo, esta direcci\u00f3n <strong>IP 217.147.169.238<\/strong> es una direcci\u00f3n IP espec\u00edfica y \u00fanica, por cierto pertenece a <strong>Ucrania<\/strong> y de hecho <strong>es una IP que tuve que bloquear por constantes intentos de ataque a mi sitio web<\/strong>.<\/p>\n\n\n\n<p>Volviendo al tema, si quitamos los \u00faltimos d\u00edgitos (238) de la direcci\u00f3n IP en el .htaccess, cualquier IP que comience con el resto de n\u00fameros, o sea, que 217.147.169 vale para;<\/p>\n\n\n\n<p>217.147.169.1<br>217.147.169.2<br>217.147.169.3<br>217.147.169.4<br>217.147.169.5&#8230;Y&nbsp;as\u00ed sucesivamente, sera bloqueada.&nbsp;Teniendo en cuenta que una direccion IP se lee de izquierda a derecha.<\/p>\n\n\n\n<p>Y si todav\u00eda queremos ser m\u00e1s restrictivos, quitando otros decimales a la direcci\u00f3n IP, el rango de bloqueo se ampl\u00eda a cualquier direcci\u00f3n IP que empiece con 217.147.xxx.xxx as\u00ed que estar\u00edamos bloqueando 65.536 posibles direcciones IP.<\/p>\n\n\n\n<p>Y si que queremos ser a\u00fan m\u00e1s restrictivos siguiendo esta l\u00f3gica quitando decimales es posible bloquear todo un rango de direcciones IP a distintos grados de necesidad.<\/p>\n\n\n\n<p>Sirva de ejemplo (modelo):<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\"># bloquear rango de IP por truncado numeros\n&lt;Limit GET POST PUT&gt;\norder allow,deny\nallow from all\ndeny from 217.147.169.238\ndeny from 217.147.169.*\ndeny from 217.147.*.*\ndeny from 217.*.*.*\n&lt;\/Limit&gt;<\/pre>\n\n\n\n<hr class=\"wp-block-separator has-css-opacity is-style-default\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><span id=\"bloqueo_de_bots_por_setenvifnocase_user-agent\">Bloqueo de bots por SetEnvIfNoCase User-Agent<\/span><\/h2>\n\n\n\n<p>Utilizando la <strong>directiva&nbsp;SetEnvIfNoCase de Apache<\/strong> en tu fichero .htaccess se puede decir que es una forma f\u00e1cil de bloquear los User-Agent.<\/p>\n\n\n\n<p>La cual consiste en establecer una variable de entorno llamada bad_bot que tendr\u00e1 un valor o condici\u00f3n bad_bot en el caso que la petici\u00f3n a nuestro sitio web provenga de un User-Agent especifico.<\/p>\n\n\n\n<p>Entonces, digamos que queremos bloquear algunos bots implementamos el siguiente fragmento:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\"># Block Bad Bots &amp; Scrapers\n\nSetEnvIfNoCase User-Agent \"^Xenu\" bad_bot\nSetEnvIfNoCase User-Agent \"^Zeus\" bad_bot\nSetEnvIfNoCase User-Agent \"ZmEu\" bad_bot\nSetEnvIfNoCase User-Agent \"^Zyborg\" bad_bot\n\n#  Esc\u00e1neres de vulnerabilidad\nSetEnvIfNoCase User-Agent \"Acunetix\" bad_bot\nSetEnvIfNoCase User-Agent \"FHscan\" bad_bot\n\n# Motor de b\u00fasqueda chino agresivo\nSetEnvIfNoCase User-Agent \"Baiduspider\" bad_bot\n\n# Motor de b\u00fasqueda ruso agresivo\nSetEnvIfNoCase User-Agent \"Yandex\" bad_bot\n\nOrder Allow,Deny\nAllow from all\nDeny from env=bad_bot<\/pre>\n\n\n\n<p>La ultima linea <strong>Deny from env=bad_bot<\/strong>, declara que, cada condici\u00f3n que termine con bad_bot se le emitir\u00e1 un error 403 Forbidden, el cual como mencionaba deniega el acceso a nuestro sitio web a aquellas peticiones cuyo casos se cumpla la condici\u00f3n bad_bot.<\/p>\n\n\n\n<p>El anterior fragmento de c\u00f3digo es solo un ejemplo de como se implementa la directiva&nbsp;SetEnvIfNoCase, no es una lista completa de la cantidad de malos bots que existen.<\/p>\n\n\n\n<p>Puedes incluir los que est\u00e1n en esta lista que se mantiene en GitHub <a rel=\"nofollow noopener noreferrer\" href=\"https:\/\/github.com\/bluedragonz\/bad-bot-blocker\/blob\/master\/.htaccess\" target=\"_blank\">bad-bot-blocker<\/a>, tambi\u00e9n puedes revisar esta <a rel=\"nofollow noopener noreferrer\" href=\"https:\/\/cloudup.com\/cx5Ljh0iBmp\" target=\"_blank\">otra lista<\/a> para tomar algunos nombres de User-Agent e incluirlos en tu .htaccess con la directiva&nbsp;SetEnvIfNoCase.<\/p>\n\n\n\n<div class=\"wp-block-easyblock-note-info\">Importante: Recuerda realizar una copia de seguridad de tu fichero .htaccess, antes de realizar alg\u00fan cambio.<\/div>\n\n\n\n<p>Si causas un error interno en el servidor puedes revertirlo utilizando el archivo <code>.htaccess<\/code> original o simplemente eliminando la lineas donde escribiste nuevas reglas.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span id=\"conclusion\">Conclusi\u00f3n<\/span><\/h2>\n\n\n\n<p>Existen muchos plugins que puedes instalar y activar con pocos clic los cuales te permiten hacer lo mismo y evitar estas ediciones.<\/p>\n\n\n\n<p>Pero soy creyente de <strong>DIY<\/strong> (<strong>Do It Yourself<\/strong>) que traducido a nuestro idioma &#8216;<strong>Hazlo tu mismo<\/strong>&#8216;, al hacerlo de forma manual editando el fichero <code>.htaccess<\/code> puedes bloquear de forma efectiva IP y User-Agent con mayor eficiencia y rendimiento para la web, recuerda que instalar muchos plugins en tu instalaci\u00f3n de WordPress no es muy recomendable sobre todo si estas en un plan de hosting compartido.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>En el post que escrib\u00ed sobre el archivo robots.txt&nbsp;te di una idea sobre la cantidad aproximada de User-Agent que existen y la raz\u00f3n por la que debes bloquear cierto tipo de User-Agent. Ahora en esta entrada te muestro otra alternativa que puedes implementar en tu .htaccess para bloquear esos bot indeseables que son de mala&#8230;<\/p>\n","protected":false},"author":1,"featured_media":756,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_editorskit_title_hidden":false,"_editorskit_reading_time":0,"_editorskit_is_block_options_detached":false,"_editorskit_block_options_position":"{}","_kad_post_transparent":"","_kad_post_title":"","_kad_post_layout":"","_kad_post_sidebar_id":"","_kad_post_content_style":"","_kad_post_vertical_padding":"","_kad_post_feature":"","_kad_post_feature_position":"","_kad_post_header":false,"_kad_post_footer":false,"footnotes":""},"categories":[4],"tags":[23,18],"_links":{"self":[{"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/posts\/735"}],"collection":[{"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/comments?post=735"}],"version-history":[{"count":1,"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/posts\/735\/revisions"}],"predecessor-version":[{"id":3154,"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/posts\/735\/revisions\/3154"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/media\/756"}],"wp:attachment":[{"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/media?parent=735"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/categories?post=735"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/tags?post=735"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}