Saltearse al contenido
Host Admin

Limitación de tasa

Qué hace

Sección titulada «Qué hace»

Cuenta las solicitudes de cada dirección IP dentro de una ventana de tiempo y responde HTTP 429 (Too Many Requests) cuando se supera el límite configurado. Funciona a nivel de ruta, así que podés limitar agresivamente /api/login sin afectar al resto del sitio.

El conteo se hace por la combinación (dirección IP, dominio, segmento de path), de modo que distintos endpoints no comparten cupo entre sí.

Cuándo usarlo

Sección titulada «Cuándo usarlo»
  • Rutas de autenticación (/login, /register, /wp-login.php).
  • Endpoints de envío de correo, SMS o formularios de contacto.
  • API públicas donde querés acotar el abuso por cliente.
  • Defensa ante relleno de credenciales (probar listas robadas de usuario/contraseña) y extracción masiva de bajo volumen.

Cómo se configura

Sección titulada «Cómo se configura»

Se le indica al equipo, por ruta:

  • Path o dominio donde aplica.
  • Límite: cantidad de solicitudes permitidas por ventana.
  • Ventana: período de medición (por ejemplo, 60 segundos).
  • Respuesta ante exceso: 429 con encabezado Retry-After, opcionalmente con cuerpo JSON o HTML personalizado.

Valor efectivo: override por ruta sobre el valor por defecto

Sección titulada «Valor efectivo: override por ruta sobre el valor por defecto»

El límite aplicado se resuelve así:

  1. Override de la ruta — si la ruta define su propia activación, cantidad y ventana, gana.
  2. Valor por defecto del servicio — si la ruta no define nada, se aplica el valor por defecto configurado por Host Admin.

Esto te permite subir el límite de una API puntual sin tocar el resto, o partir de un valor por defecto conservador y relajarlo donde haga falta.

Cómo se comporta

Sección titulada «Cómo se comporta»
SituaciónRespuesta
Dentro del límiteLa solicitud pasa normalmente
Límite superado429 con Retry-After indicando cuándo reintentar
Dirección IP en lista de exclusiónNo cuenta contra el límite (ver más abajo)

Limitaciones

Sección titulada «Limitaciones»
  • La unidad de medición es la dirección IP del visitante. Detrás de una traducción de red corporativa (NAT), muchos usuarios aparecen como una sola IP.
  • Es una ventana de conteo: el contador se reinicia al completarse la ventana.
  • El conteo se realiza en el borde del servicio, no como un agregado global entre regiones.

Combinación con otras capacidades

Sección titulada «Combinación con otras capacidades»
  • CrowdSec se ocupa del bloqueo persistente de direcciones IP con historial malicioso; la limitación de tasa se ocupa del abuso puntual y de corto plazo.
  • El WAF puede descartar solicitudes inválidas antes de que lleguen al contador (por ejemplo, agentes de usuario claramente falsos).

Preguntas frecuentes

Sección titulada «Preguntas frecuentes»
  • ¿El 429 aparece en mis métricas? Sí, hay un contador específico de limitación de tasa por ruta.
  • ¿Puedo excluir direcciones IP del límite? Sí. Indicá una lista de IPs que no contarán contra el cupo (típicamente tu panel administrativo, tu monitoreo o tus oficinas).
  • ¿Puedo devolver un mensaje propio al bloquear? Sí, el cuerpo del 429 puede personalizarse (JSON para API, HTML para sitios).