# Como corrigir o 404 Lockout que bloqueia visitantes no All in One Security

O AIOS 404 lockout acontece quando o recurso 404 Detection do All in One Security conta os erros 404 de um visitante e bloqueia o IP dele depois de passar do limite no intervalo configurado. Quando assets quebrados, links antigos ou um favicon ausente geram 404 demais, o plugin tranca visitantes legitimos e até o próprio administrador.

## O que é o AIOS 404 lockout que bloqueia visitantes?

O 404 Detection do All in One Security (AIOS) monitora os erros 404 de cada IP e, quando um mesmo visitante gera muitos 404 num intervalo curto, bloqueia esse IP pelo tempo definido em 404 Lockout Time Length. A ideia e travar robos que ficam adivinhando URLs (por exemplo /wp-admin/js/mssqli.php), mas o contador não distingue um ataque de um navegador real pedindo um arquivo que sumiu.

## Como identificar

- Visitantes relatam 'não consigo abrir o site' e, ao tentar de novo, a página não carrega ou redireciona para um endereco estranho como 'http://127.0.0.1'.
- Você mesmo perde o acesso ao wp-admin depois de navegar pelo site, e o navegador trava em loop de redirecionamento.
- Na aba Rede do navegador (F12) vários arquivos (CSS, JS, imagens, favicon.ico) retornam status 404 antes do IP ser bloqueado.
- O painel do AIOS mostra contagem alta em '404 events' e o IP do visitante aparece na lista de IPs bloqueados temporariamente.
- O bloqueio some sozinho depois de um tempo (o 404 Lockout Time Length) e volta a acontecer assim que o mesmo visitante navega de novo.

**Antes de começar:** Antes de mexer no firewall, faca backup do banco de dados e do arquivo .htaccess. Se você ficar trancado fora do wp-admin pelo próprio 404 lockout, use FTP ou o gerenciador de arquivos da hospedagem para renomear a pasta do plugin (wp-content/plugins/all-in-one-wp-security-and-firewall) e recuperar o acesso, depois renomeie de volta e ajuste as configurações. Nunca desligue o 404 Detection de forma permanente: prefira afrouxar o limite e liberar por allowlist.

## Como prevenir

- Mantenha o seu IP de gestão na allowlist do AIOS para nunca ser trancado pelo próprio 404 Detection.
- Defina um 404 Lockout Time Length razoavel e um limite de eventos que tolere os 404 normais de navegadores, em vez do valor mínimo.
- Monitore a lista de 404 events do painel semanalmente para corrigir assets e links quebrados antes que travem visitantes.
- Troque o 404 Lockout Redirect URL do padrão http://127.0.0.1 para a home do site, para que um bloqueio acidental não deixe a pessoa numa tela morta.

Erros relacionados

- [Como corrigir a IP Whitelist que não funciona no All in One Security](https://full.services/wp-fixer/corrigir-ip-whitelist-aios/)
- [Como corrigir as regras de firewall que não aplicam no All in One Security](https://full.services/wp-fixer/corrigir-firewall-regras-aios/)
- [Como desbloquear usuários legítimos travados pelo Login Security do All in One Security](https://full.services/wp-fixer/corrigir-bloqueio-usuarios-aios/)

## Causa

- 404 Lockout ativo no 404 Detection com um 404 Event Logging and Blocking marcado e um limite baixo, fazendo o IP do visitante estourar a contagem com poucos erros 404 reais.
- Assets quebrados servidos pelo tema ou por um plugin (CSS, JS, imagem ou favicon.ico ausente) que geram vários 404 numa única visita e enchem o contador daquele IP.
- Links ou redirecionamentos antigos apontando para URLs que não existem mais (páginas removidas, anexos apagados), somando 404 a cada clique do visitante.
- Uma regra de string em 'Block IP based on 404 events with URL matching' marcando um trecho de URL legitimo do site (por exemplo um caminho de plugin) e bloqueando o IP de forma permanente.
- 404 Lockout Redirect URL deixado no padrão http://127.0.0.1, que joga o visitante bloqueado para um endereco morto em vez de uma página de aviso útil.

## Como resolver

1. Confirme que e o 404 Detection bloqueando: abra o painel do AIOS e veja se ha contagem alta de eventos 404 e IPs na lista de bloqueio; cruze com a aba Rede do navegador para ver quais arquivos retornam 404 no carregamento do site.

```
WP Security -> Brute Force -> 404 Detection
WP Security -> Dashboard -> 404 events
```

2. Libere o IP bloqueado: remova da lista de bloqueio o seu IP e os IPs de visitantes legitimos travados, e adicione o seu IP de gestão na whitelist para não cair de novo enquanto investiga a causa.

```
WP Security -> Brute Force -> 404 Detection -> 404 IP Lockout List
WP Security -> Settings -> Allowlist
```

3. Afrouxe o gatilho do lockout: no 404 Detection, aumente o 404 Lockout Time Length para um valor menor de impacto ou desative temporariamente o IP Lockout for 404 detections enquanto corrige os 404 de origem, em vez de deixar o limite baixo demais.

```
WP Security -> Brute Force -> 404 Detection -> Enable IP Lockout for 404 detections -> Off (temporario)
WP Security -> Brute Force -> 404 Detection -> Time Length of 404 Lockout
```

4. Troque o redirect padrão 127.0.0.1: substitua o 404 Lockout Redirect URL pelo endereco da sua própria página inicial, para que o visitante bloqueado caia numa página real do site em vez do endereco morto local.

```
WP Security -> Brute Force -> 404 Detection -> 404 Lockout Redirect URL
```

5. Elimine os 404 de origem: encontre os arquivos quebrados que disparam os 404 (CSS, JS, imagem, favicon ausente ou links para páginas removidas) e corrija ou redirecione cada um, para que o contador do 404 Detection pare de subir com tráfego legitimo.

```
WP Security -> Dashboard -> 404 events
Aparencia -> Editor de tema (corrigir referencia ao asset ausente)
```


## Código

```sql
-- Emergencia: limpar os bloqueios de 404 lockout direto no banco quando voce
-- ficou trancado fora do wp-admin. Rode no phpMyAdmin / Adminer da hospedagem.
-- Ajuste o prefixo 'wp_' se o seu banco usar outro (ex.: wpab1_).

-- 1) Ver os IPs presos pelo lockout (404 e brute force ficam na mesma tabela):
SELECT id, user_id, lockdown_date, release_date, failed_login_ip, lock_reason
FROM wp_aiowps_login_lockdown
ORDER BY lockdown_date DESC;

-- 2) Soltar TODOS os bloqueios de uma vez (libera 404 lockout + login lockout):
DELETE FROM wp_aiowps_login_lockdown;

-- 3) (Opcional) zerar o historico de eventos 404 que alimenta o contador:
DELETE FROM wp_aiowps_events WHERE event_type = '404';
```

## Perguntas frequentes

### Por que o AIOS bloqueou um visitante que não fez nada de errado

O 404 Detection conta todos os erros 404 do IP, sem distinguir ataque de navegador real. Se o site serve um CSS, um JS ou um favicon que retornam 404, uma única visita pode gerar vários 404 e estourar o limite, fazendo o firewall trancar um visitante legitimo.

### Como desbloqueio um IP travado pelo 404 lockout

Va em WP Security -> Brute Force -> 404 Detection, abra a lista de IPs bloqueados por 404 e remova o IP travado. Em seguida adicione esse IP na allowlist em WP Security -> Settings -> Allowlist para que ele não seja bloqueado de novo enquanto você corrige a causa dos 404.

### Fiquei trancado fora do meu próprio wp-admin. Como recupero

Acesse o site por FTP ou pelo gerenciador de arquivos da hospedagem e renomeie a pasta do plugin (all-in-one-wp-security-and-firewall) para desativar o AIOS na forca. Com o acesso de volta, renomeie a pasta de novo, libere o seu IP e ajuste o 404 Detection antes de reativar a proteção.

### Para onde o visitante bloqueado e redirecionado

Para o endereco definido em 404 Lockout Redirect URL, que vem por padrão como http://127.0.0.1, um endereco local morto. Por isso o visitante ve uma tela quebrada. Troque esse campo pela home do seu site para que o bloqueio acidental ao menos caia numa página real.

### Devo desligar o 404 Detection para resolver de vez

Não de forma permanente, porque ele protege contra robos que adivinham URLs como /wp-admin/js/mssqli.php. Prefira afrouxar o 404 Lockout Time Length, manter o seu IP na allowlist e corrigir os 404 reais do site, mantendo a proteção ligada contra tráfego malicioso.

### Como sei quais 404 estão disparando o bloqueio

Abra a aba Rede do navegador (F12) e recarregue o site para ver quais arquivos retornam 404, e cruze com a lista de 404 events no painel do AIOS. Os caminhos que mais repetem (um asset do tema, um JS de plugin ou o favicon) são os que enchem o contador do IP.

### Uma regra de URL string bloqueou um IP permanentemente. Como reverto

Na opção de bloquear IP por eventos 404 com URL correspondente, revise os trechos de string cadastrados e remova qualquer um que case com um caminho legitimo do site. Depois remova o IP da lista de bloqueio permanente para liberar o visitante afetado.

**Fonte:** [All in One Security — Instantly block IP addresses based on 404 events where the URL matches certain strings](https://teamupdraft.com/documentation/all-in-one-security/faqs/how-do-i-instantly-block-ip-addresses-based-on-404-events-and-url-strings/)