AIOS 404 lockout: corrigir bloqueio de visitantes

Tipo Seguranca

Nome do erro 404 Lockout bloqueando visitantes no All in One Security EN: All in One Security 404 Lockout blocking visitors

Severidade Grave

Descrição O AIOS 404 lockout acontece quando o recurso 404 Detection do All in One Security conta os erros 404 de um visitante e bloqueia o IP dele depois de passar do limite no intervalo configurado. Quando assets quebrados, links antigos ou um favicon ausente geram 404 demais, o plugin tranca visitantes legitimos e até o próprio administrador.

Conteúdo exclusivo para membros Pro

Faça upgrade para acessar este item completo.

// ★ Conteúdo disponível para membros Pro...
// Faça upgrade para acessar este item.

Perguntas frequentes

Por que o AIOS bloqueou um visitante que não fez nada de errado

O 404 Detection conta todos os erros 404 do IP, sem distinguir ataque de navegador real. Se o site serve um CSS, um JS ou um favicon que retornam 404, uma única visita pode gerar vários 404 e estourar o limite, fazendo o firewall trancar um visitante legitimo.

Como desbloqueio um IP travado pelo 404 lockout

Va em WP Security -> Brute Force -> 404 Detection, abra a lista de IPs bloqueados por 404 e remova o IP travado. Em seguida adicione esse IP na allowlist em WP Security -> Settings -> Allowlist para que ele não seja bloqueado de novo enquanto você corrige a causa dos 404.

Fiquei trancado fora do meu próprio wp-admin. Como recupero

Acesse o site por FTP ou pelo gerenciador de arquivos da hospedagem e renomeie a pasta do plugin (all-in-one-wp-security-and-firewall) para desativar o AIOS na forca. Com o acesso de volta, renomeie a pasta de novo, libere o seu IP e ajuste o 404 Detection antes de reativar a proteção.

Para onde o visitante bloqueado e redirecionado

Para o endereco definido em 404 Lockout Redirect URL, que vem por padrão como http://127.0.0.1, um endereco local morto. Por isso o visitante ve uma tela quebrada. Troque esse campo pela home do seu site para que o bloqueio acidental ao menos caia numa página real.

Devo desligar o 404 Detection para resolver de vez

Não de forma permanente, porque ele protege contra robos que adivinham URLs como /wp-admin/js/mssqli.php. Prefira afrouxar o 404 Lockout Time Length, manter o seu IP na allowlist e corrigir os 404 reais do site, mantendo a proteção ligada contra tráfego malicioso.

Como sei quais 404 estão disparando o bloqueio

Abra a aba Rede do navegador (F12) e recarregue o site para ver quais arquivos retornam 404, e cruze com a lista de 404 events no painel do AIOS. Os caminhos que mais repetem (um asset do tema, um JS de plugin ou o favicon) são os que enchem o contador do IP.

Uma regra de URL string bloqueou um IP permanentemente. Como reverto

Na opção de bloquear IP por eventos 404 com URL correspondente, revise os trechos de string cadastrados e remova qualquer um que case com um caminho legitimo do site. Depois remova o IP da lista de bloqueio permanente para liberar o visitante afetado.

Pro Grave

Como proteger contra ataques de forca bruta no login do WordPress

Um ataque de forca bruta no WordPress tenta adivinhar usuario e senha enviando milhares de combinacoes ao wp-login.php. A protecao combina limitar tentativas, exigir senha forte com 2FA e bloquear ou esconder a pagina de login.

Pro Grave

Como implementar 2FA no WordPress corretamente

Implementar 2FA no WordPress é exigir um segundo fator (um código temporário de app autenticador) além da senha no login. Mesmo que a senha vaze ou seja quebrada por força bruta, o invasor não entra sem o código, o que protege a tela de login, o ponto mais atacado do site.

Pro Atenção

Como desativar o XML-RPC com segurança no WordPress

Desativar o XML-RPC no WordPress significa bloquear o arquivo xmlrpc.php, uma interface antiga de acesso remoto que invasores abusam para força bruta amplificada e ataques de pingback. Em sites que não usam app móvel nem Jetpack clássico, desligá-lo remove uma superfície de ataque inteira sem perda de função.

Pro Grave

Como corrigir o bloqueio de login que não funciona no All in One Security

O AIOS não bloqueia login quando o recurso Login Lockdown do All in One Security esta desativado, com limite de tentativas alto demais, ou quando os ataques chegam por um formulário de login customizado que não passa pelo wp-login.php. Nesses casos o plugin registra as falhas mas nunca tranca o IP atacante.

Pro Crítico

Como corrigir vulnerabilidade XSS no WordPress

Uma vulnerabilidade XSS (cross-site scripting) no WordPress permite que um invasor injete JavaScript malicioso nas suas páginas, que então roda no navegador de quem visita. Corrigir significa achar a entrada não sanitizada, escapar a saída e atualizar o plugin ou tema que abriu a brecha.

Pro Grave

Como corrigir a alteração de prefixo do banco que falha no All in One Security

No All in One Security, mudar o prefixo do banco falha quando o wp-config.php não é gravável pelo PHP ou quando o usuário do MySQL não tem privilégio ALTER para renomear as tabelas. A correção exige liberar a escrita do arquivo e conceder o privilégio.

Setores

Extensões

Integrações

Como corrigir o 404 Lockout que bloqueia visitantes no All in One Security

Conteúdo exclusivo para membros Pro

Perguntas frequentes

Itens relacionados

Como proteger contra ataques de forca bruta no login do WordPress

Como implementar 2FA no WordPress corretamente

Como desativar o XML-RPC com segurança no WordPress

Como corrigir o bloqueio de login que não funciona no All in One Security

Como corrigir vulnerabilidade XSS no WordPress

Como corrigir a alteração de prefixo do banco que falha no All in One Security

Setores

Extensões

Integrações

Extensões

Hero Sections

Seções de CTA

Login

Blog

Cabeçalhos

Seções de FAQ

Cadastro

Blog individual

Rodapés

Seções de contato

Seções de preços

Faixas

Portfólio

Seções de equipe

Números

Logotipos