Lo que necesitas saber sobre el error 521 de Cloudflare:
- El error 521 significa que Cloudflare llegó a la dirección IP de tu servidor, pero tu proceso de servidor web no está aceptando conexiones en los puertos 80 o 443
- La máquina del servidor puede estar en línea; es el software del servidor web el que presenta el problema
- Cuatro causas principales: el servidor está fuera de línea, las IP de Cloudflare están bloqueadas por tu firewall, una mala configuración de SSL/TLS, sobrecarga de recursos
- Cinco soluciones: verifica el estado del servidor, permite las IP de Cloudflare, corrige la configuración de SSL, revisa el uso de recursos, desactiva Cloudflare temporalmente
- WordPress tiene dos revisiones adicionales: desactiva plugins que generen conflicto y revisa las reglas de firewall de plugins de seguridad
- Configura el monitoreo de tiempo de actividad y automatiza tu lista de permitidos de IP para evitar que vuelva a suceder
Tu sitio muestra «521 el servidor web está caído» a cada visitante. Cloudflare se conectó con éxito a la IP de tu servidor, pero nada respondió en los puertos 80 o 443. El proceso del servidor web no se está ejecutando, o está rechazando activamente la conexión.
Este error 521 de Cloudflare es más específico que la mayoría de los errores de Cloudflare. Esto es lo que está sucediendo y cómo solucionarlo.
¿Qué es el error 521 de Cloudflare?
El error 521 significa que Cloudflare llegó a la dirección IP de tu servidor de origen, pero el software de tu servidor web rechazó la conexión. El mensaje «el servidor web de Cloudflare está caído» es preciso: el camino de red funciona, la máquina es accesible, pero nada está aceptando tráfico HTTP o HTTPS.
Este error del servidor 521 se sitúa en una capa específica. El problema no es la infraestructura de Cloudflare. Es el proceso del servidor web en tu servidor de origen Cloudflare.
¿Qué causa el error 521 en Cloudflare?
Cuatro cosas representan casi cada caso 521. El servidor de origen de Cloudflare es alcanzable, pero algo entre la solicitud entrante y tu proceso de servidor web está rompiendo la conexión.
El servidor está fuera de línea o no responde
La causa más sencilla: el proceso de servidor web ha fallado o se ha detenido. Apache, Nginx, o lo que estés utilizando ya no está escuchando. Cloudflare intenta llegar a tu servidor de origen, no recibe respuesta en los puertos 80 o 443, y devuelve un error del servidor 521. Siempre verifica el estado del servidor primero.
Firewall que bloquea direcciones IP de Cloudflare
Tu servidor está funcionando bien, pero una regla de firewall de Cloudflare o un firewall a nivel de SO está bloqueando los rangos de IP de Cloudflare. Si has restringido las reglas recientemente o un plugin de seguridad aplicó nuevas restricciones, el bloqueo de IP de Cloudflare es muy probable que sea el culpable. Necesitas permitir explícitamente los rangos de IP de Cloudflare; la lista completa está en cloudflare.com/ips.
Configuración incorrecta de la encriptación SSL/TLS
Un desajuste entre el modo de encriptación SSL TLS de Cloudflare y lo que tu servidor de origen soporta causa rechazos de conexión en la etapa de apretón de manos de TLS. Si Cloudflare está configurado en Completo (Estricto) pero tu certificado SSL de Cloudflare en el origen está autofirmado o ha expirado, la conexión es rechazada antes de que se intercambie contenido. El modo SSL de Cloudflare en tu panel necesita coincidir con lo que tu servidor realmente tiene.
Sobrecarga de recursos del servidor: CPU y RAM
Bajo carga extrema, el proceso de servidor web puede dejar de aceptar nuevas conexiones aún mientras sigue funcionando técnicamente. Un verificador de servidor caído podría reportar la máquina como activa, pero verifica el estado del servidor a nivel de proceso y verás que el servicio se vuelve no responsivo. El uso de recursos del servidor al 100% de CPU o RAM agotada hará esto de manera confiable.
Cómo arreglar el error 521 de Cloudflare
Cinco pasos para arreglar el error 521, en un orden aproximado de la frecuenta con que cada uno resuelve el problema. El error 521 de Cloudflare casi siempre tiene una sola causa raíz. Encuéntralo y la solución generalmente es rápida. Si necesitas usar Cloudflare, desactívalo en el paso cinco; esto levantará tu sitio mientras sigues indagando.
Paso 1 – Verifica si tu servidor de origen está funcionando
Conéctate a tu servidor vía SSH y verifica si el proceso de servidor web realmente está en ejecución:
systemctl status nginx
# or
systemctl status apache2Si se ha detenido, inícialo y prueba. Si no puedes conectarte por SSH, utiliza un verificador de servidor caído como UptimeRobot para confirmar si la máquina del servidor de origen de Cloudflare está incluso respondiendo. Este paso solo aclara una gran parte de los 521.
Paso 2 – Permitir rangos de IP de Cloudflare
Verifica tu firewall de Cloudflare y las reglas del firewall de SO para cualquier cosa que cause el bloqueo de IP de Cloudflare. Agrega los rangos de IP publicados por Cloudflare a tu lista de permitidos en los puertos 80 y 443:
for ip in $(curl -s https://www.cloudflare.com/ips-v4); do
ufw allow from $ip to any port 443
doneUna vez que permitas las direcciones IP de Cloudflare, las negativas de conexión de las reglas del firewall cesan inmediatamente.
Paso 3 – Arreglar la configuración de encriptación SSL/TLS
Abre tu panel de Cloudflare y verifica el modo SSL de Cloudflare bajo SSL/TLS. Si está configurado en Completo (Estricto), tu origen necesita un certificado SSL válido de Cloudflare. Instala un certificado adecuado en el servidor, o reduce el modo de SSL TLS de Cloudflare a Completo (no Estricto) temporalmente mientras lo resuelves.
Esta causa particular tiende a aparecer después de una renovación de certificado o un cambio en el panel que alguien hiciera y olvidara.
Paso 4 – Inspeccionar el uso de recursos del servidor
Si el proceso de servidor web está en ejecución, pero aún así rechaza conexiones, verifica el estado del servidor a nivel de recursos utilizando ps o top.
Busca procesos que consuman recursos anormales. Los errores de Cloudflare por sobrecarga de recursos tienden a ser intermitentes en lugar de constantes, lo cual es una pista diagnóstica útil. Reiniciar el proceso problemático generalmente lo soluciona si el uso de recursos del servidor es el culpable.
Paso 5 – Desactivar Cloudflare temporalmente
Si nada de lo anterior lo resuelve, usa la desactivación de Cloudflare para dirigir el tráfico directamente a tu origen. En tu panel, dirígete a Resumen y haz clic en «Pausar Cloudflare en el sitio». Ejecutar un purgado de caché de Cloudflare al mismo tiempo elimina cualquier posible involucramiento de cachés.
Arreglar el error 521 en sitios de WordPress
Una situación de error 521 de Cloudflare en WordPress casi siempre proviene de un plugin que interfiere con las conexiones, más que de un problema a nivel de servidor. Dos cosas a revisar.
Desactivar plugins en conflicto
Algunos plugins de caché y rendimiento interfieren con Cloudflare a nivel de conexión y producen errores de Cloudflare que parecen 521. A diferencia de un verdadero problema de firewall de Cloudflare, el bloqueo ocurre a nivel de aplicación dentro de WordPress. Desactiva todos los plugins y prueba. Si el error se soluciona, reactiva uno por uno. Es tedioso, pero este patrón de error de Cloudflare en WordPress es lo suficientemente común como para que siempre sea la primera revisión.
Revisa las reglas del firewall del plugin de seguridad
Los plugins de seguridad como Wordfence gestionan sus propias reglas al estilo de firewall de Cloudflare a nivel de aplicación. Si se ha aplicado el bloqueo de IP de Cloudflare a través de uno de estos plugins, los rangos de IP de Cloudflare no pasarán independientemente de la configuración de tu firewall de servidor. Revisa la lista de permitidos de cada plugin y añade los rangos completos de cloudflare.com/ips. Una vez que permitas las direcciones IP de Cloudflare a través del plugin también, la conexión se restablece.
Cómo prevenir que el error 521 se repita
Configura monitoreo del tiempo de actividad del servidor
Un verificador de servidor caído te alerta en minutos de que tu servidor web está fuera de línea. Configura tanto un monitor HTTP como un chequeo de TCP a nivel de puerto en 443 para que sepas inmediatamente si el problema está a nivel de máquina o proceso. Verifica el estado del servidor automáticamente, no desde un reclamo de visitante.
Automatiza las actualizaciones de la lista de permitidos de IP de Cloudflare
Cloudflare actualiza sus rangos de IP periódicamente. Si tu firewall no se mantiene al día, el bloqueo de IP de Cloudflare puede regresar. Un trabajo cron que toma la lista actual de cloudflare.com/ips y actualiza tus reglas automáticamente mantiene la configuración de la lista de permitidos de IP de Cloudflare actual. Agrega una revisión de firewall de Cloudflare después de cualquier actualización del plugin de seguridad y habrás cubierto las dos fuentes más comunes de los errores recurrentes 521.
Error 521 vs otros errores de Cloudflare
Error 520 vs error 521 de Cloudflare
El error 520 de Cloudflare significa que se estableció la conexión, pero la respuesta volvió vacía o mal formada. Un 521 significa que la conexión fue rechazada antes de cualquier respuesta. Con los errores de Cloudflare en el rango 520, el servidor web está funcionando pero se comporta mal. Con un 521, no está respondiendo en absoluto.
Error 522 vs Error 521 de Cloudflare
El error 522 de Cloudflare es un tiempo de espera TCP: Cloudflare intentó conectarse y su servidor nunca respondió dentro de la ventana. Un 521 es un rechazo activo. Estos errores de Cloudflare parecen idénticos para los visitantes, pero tienen diferentes causas raíz: un 522 apunta a un servidor inalcanzable, un 521 apunta a uno que rechaza activamente la conexión.
Preguntas frecuentes sobre el error 521 de Cloudflare
Las preguntas siguientes cubren los puntos de confusión más comunes en torno al error 521 de Cloudflare. Si llegaste aquí desde una página de «el servidor web 521 está caído» o «el servidor web de Cloudflare está caído» y no sabes por dónde empezar, las dos primeras respuestas son el camino más rápido a seguir.
El error 521 de Cloudflare significa que el proceso de su servidor web no está aceptando conexiones en el puerto 80 o 443. Cloudflare alcanzó la máquina del servidor con éxito, pero el error 521 se produce porque el software del servidor web rechazó la conexión o no estaba escuchando. El hecho de que la máquina esté en línea no significa que el servicio esté en funcionamiento.
Comienza con el proceso del servidor web: confirma que realmente esté funcionando. Luego verifica las reglas del firewall, el modo SSL/TLS y el uso de recursos del servidor en ese orden. Para solucionar el error 521 de manera definitiva, necesitas la causa raíz, no solo una solución provisional.
El hecho de que la máquina esté en línea no significa que el proceso del servidor web esté activa. El error 521 de Cloudflare aparece cuando las reglas del firewall de Cloudflare bloquean las IP de Cloudflare, cuando una discrepancia en el certificado SSL de Cloudflare interrumpe el apretón de manos TLS, o cuando el proceso está funcionando pero sobrecargado para aceptar conexiones.
Problema del servidor. El error 521 de Cloudflare significa que Cloudflare está funcionando correctamente. Los errores de Cloudflare en el rango 5xx casi siempre apuntan a problemas de origen, y el 521 es uno de los que más se relaciona con el lado del origen.
Configura un verificador de caída del servidor que monitorice el proceso del servidor web directamente y automatiza tu lista blanca de bloqueo de IP de Cloudflare para mantenerla actualizada con los rangos de IP publicados por Cloudflare. Esos dos pasos cubren las fuentes más comunes de incidentes repetidos del error 521.
