Tu navegador, script o aplicación alcanzó un límite de solicitudes. El servidor vio demasiadas solicitudes desde tu dirección en un período de tiempo demasiado corto y cerró la puerta. Eso son 429 Demasiadas solicitudes, no un fallo, no una mala configuración, solo una restricción estricta.
La solución depende de qué lado del problema estés. Los visitantes tienen tres opciones. Los propietarios del sitio tienen cuatro más. Y si esto sigue sucediendo, hay tres medidas de prevención que vale la pena implementar ahora.
¿Qué significa 429 Demasiadas solicitudes?
HTTP 429 es una respuesta de limitación de tasa. El servidor rastrea cuántas solicitudes hace un cliente determinado por unidad de tiempo —por segundo, por minuto, por hora— y cuando ese conteo excede el límite configurado, devuelve 429 en lugar de el contenido solicitado.
Es un mecanismo deliberado, no un mal funcionamiento. Los servidores lo usan para protegerse contra la sobrecarga, intentos DDoS, ataques de inicio de sesión por fuerza bruta y scrapers. Las API lo utilizan para hacer cumplir un uso justo entre los clientes. Las plataformas de hosting compartido lo utilizan para evitar que un sitio consuma recursos que afectan a otros en el mismo servidor.
Cuando aparece el 429, la respuesta puede incluir un encabezado Retry-After que te dice exactamente cuánto tiempo esperar:
HTTP/1.1 429 Too Many Requests Retry-After: 3600Ese 3600 significa 3600 segundos, una hora. Consulta los encabezados de respuesta antes de hacer nada más. Si hay un valor Retry-After, esa es tu respuesta.
Cómo arreglar 429 Demasiadas solicitudes como visitante
Solución del usuario 1: espera y vuelve a intentar
Si alcanzas un límite de tasa, la solución más simple también es la correcta: deja de enviar solicitudes y espera. Los límites de tasa del lado del servidor se restablecen después de un periodo fijo, típicamente desde 30 segundos hasta una hora dependiendo del servicio.
Consulta el encabezado Retry-After en la respuesta de error si el sitio o API lo proporciona. Ese encabezado contiene el número exacto de segundos antes de que el límite se restablezca. Reintentarlo antes de que esa ventana se cierre solo reiniciará el contador.
Si no hay encabezado Retry-After, espera unos minutos antes de volver a intentarlo. No hagas clic en refrescar repetidamente, eso es exactamente lo que te ha limitado la tasa en primer lugar.
Solución del usuario 2: limpia la caché y las cookies del navegador
Los datos corruptos o desactualizados del navegador pueden hacer que tu navegador envíe solicitudes mal formadas o repetidas que el limitador de tasa del servidor marque como tráfico sospechoso. Limpiar la caché y las cookies te da un inicio limpio.
En Google Chrome:
- Haz clic en el menú de tres puntos (en la esquina superior derecha) y ve a Configuración.
- Selecciona Eliminar datos de navegación en la barra lateral izquierda.
- Elige imágenes y archivos en caché y cookies y otros datos del sitio.
- Establece el rango de tiempo en Todo el tiempo.
- Haz clic en Eliminar datos, luego reinicia Chrome.
Firefox, Safari y Edge siguen el mismo patrón general. Después de limpiar, vuelve a intentarlo en la página. Si eso resuelve el 429, los datos desactualizados del navegador fueron el desencadenante.
Solución del usuario 3: vacía la caché de DNS
Tu caché DNS local mapea nombres de dominio a direcciones IP. Si una entrada en caché está desactualizada o apunta a una dirección incorrecta, tu navegador puede acabar enviando solicitudes repetidas al endpoint incorrecto, lo que algunos limitadores de tasa cuentan hacia tu límite incluso si las solicitudes nunca llegan a contenido válido.
Limpiar la caché DNS fuerza una nueva búsqueda.
Windows: Abre la línea de comandos como administrador y ejecuta: ipconfig /flushdns
macOS: Ejecuta en la terminal: sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
Linux: Ejecuta: sudo systemd-resolve –flush-caches
Después de vaciar, vuelve a intentarlo en el sitio. Si el 429 desaparece, el registro DNS desactualizado estaba causando que tus solicitudes golpearan un endpoint mal configurado.
Cómo arreglar 429 Demasiadas solicitudes como propietario del sitio
Solución del propietario 1: mejora tu plan de hosting
Si tu sitio está generando respuestas 429 para visitantes legítimos, la causa más probable en hosting compartido es el agotamiento de recursos. Los planes compartidos limitan el uso de CPU, conexiones simultáneas y solicitudes por minuto. Cuando los picos de tráfico ocurren, alcanzas esos límites rápidamente.
Pasar a un plan de VPS o de hosting en la nube elimina esos techos duros. Recibes CPU y RAM dedicadas, y los límites de solicitudes escalan con los recursos que pagas en lugar de ser compartidos entre docenas de otros sitios en la misma máquina.
Señales de que una mejora de hosting es la solución correcta: los errores 429 se correlacionan con picos de tráfico, horas pico o contenido viral. Si el servidor es tranquilo y todavía está obteniendo los 429, el problema es más probable que un plugin o tema.
Solución del propietario 2: desactiva los plugins de WordPress
Algunos plugins de WordPress hacen solicitudes HTTP frecuentes hacia afuera o hacia adentro como parte de su operación normal: los botones de compartir en redes sociales consultando API, herramientas de automatización de correos electrónicos sincronizando listas, scripts analíticos ejecutándose en cada carga de página. En un servidor con límites de tasa estrictos, estas solicitudes en segundo plano pueden empujar al sitio más allá de su cuota.
Para aislar al culpable:
- Ve a Plugins > Plugins instalados en wp-admin.
- Selecciona todos los plugins y elige Desactivar en el menú de acciones masivas.
- Verifica si los errores 429 se detienen.
- Si es así, reactiva los plugins uno a la vez, verificando después de cada uno, hasta que el error regrese.
- El último plugin que activaste es la fuente del problema.
Si no puedes acceder a wp-admin, renombra la carpeta wp-content/plugins a plugins_disabled a través de FTP o del administrador de archivos de tu hosting. WordPress desactiva automáticamente todos los plugins.
Solución del propietario 3: cambia a un tema de WordPress predeterminado
Los temas personalizados que cargan múltiples fuentes externas, scripts, recursos CDN y píxeles de seguimiento pueden generar un número sorprendentemente alto de solicitudes HTTP en cada carga de página. Si los errores 429 comenzaron después de un cambio de tema, vale la pena probar esto.
En wp-admin, ve a Apariencia > Temas y cambia a un tema predeterminado como Twenty Twenty-Four. Si los errores 429 disminuyen, tu tema anterior estaba generando demasiadas solicitudes. Contacta al desarrollador del tema o busca una alternativa más ligera.
Antes de cambiar de tema, haz una copia de seguridad de tu sitio. Cambiar de tema no elimina contenido, pero elimina todas las personalizaciones vinculadas al tema anterior.
Solución del propietario 4: contacta a tu proveedor de hosting
Si nada de lo anterior resuelve el problema, el límite de tasa puede estar establecido a nivel de configuración del servidor, no a nivel de aplicación. Los proveedores de hosting a veces establecen límites de solicitudes por minuto conservadores que no escalan con el crecimiento legítimo del tráfico.
Contacta con el soporte a través de:
- El código de error específico y la(s) hora(s) en que ocurrió.
- Si el 429 afecta a todos los visitantes o a IP específicas.
- Tu nivel de hosting actual y datos recientes de tráfico.
Ellos pueden ser capaces de incrementar el umbral del límite de tasa, asignar una IP dedicada o configurar un CDN para absorber los picos de tráfico antes de que lleguen a tu servidor de origen.
¿Qué causa el error 429?
- Límites de tasa de la API. La mayoría de las API aplican cuotas estrictas de solicitudes por clave API por minuto. Excederlas y el 429 se activa inmediatamente. Este es el comportamiento esperado, no un error.
- Límites de recursos del servidor. Los planes de alojamiento compartido tienen límites estrictos en CPU, RAM y conexiones concurrentes. El tráfico pesado o el código ineficiente te llevan más allá de estos límites.
- Ataques de fuerza bruta. Bots golpeando tu página de inicio de sesión de WordPress con intentos de relleno de credenciales generan volúmenes masivos de solicitudes que activan los limitadores de tasa a nivel de servidor.
- Plugins o temas que se comportan mal. Tareas en segundo plano, bucles de consulta y carga de activos mal optimizados pueden generar suficientes solicitudes internas para alcanzar los límites de tasa incluso sin tráfico externo.
Cómo prevenir errores 429
Prevención 1: cambia la URL de inicio de sesión de WordPress
/wp-admin y /wp-login.php son las mismas en todos los sitios de WordPress en internet. Los bots saben esto. Golpean esos endpoints constantemente con listas de credenciales, generando miles de intentos de inicio de sesión por hora desde una sola botnet.
Cambiar la URL de inicio de sesión a algo no estándar cierra la superficie de ataque predecible. Instala WPS Hide Login desde el directorio de plugins de WordPress, actívalo y ve a Configuración > WPS Hide Login. Establece una ruta de URL personalizada. Guarda cambios.
La antigua URL /wp-admin deja de funcionar inmediatamente. Los bots siguen intentándolo y obtienen 404 en lugar de 429. Tu servidor deja de desperdiciar el presupuesto de límite de tasas en intentos de inicio de sesión fallidos.
Prevención 2: implementar limitación de tasa en WordPress
La limitación de tasa en tu propio sitio significa que controlas quién es frenado, a qué umbral y por cuánto tiempo. Wordfence Security incluye un motor de limitación de tasa incorporado que te permite establecer reglas separadas para rastreadores, humanos y bots.
Después de instalar Wordfence, ve a Wordfence > Todas las Opciones > Opciones del Firewall > Limitación de Tasa. Configuraciones iniciales razonables:
- Frenar si las solicitudes de alguien superan 240 por minuto.
- Frenar si las vistas de página de un rastreador superan 120 por minuto.
- Frenar si los 404 de un rastreador superan 60 por minuto.
- Bloquear las IP que rompan las reglas por 30 minutos.
Ajusta estos basándote en tus patrones de tráfico reales. Los sitios editoriales de alto tráfico necesitan umbrales más amplios. Los sitios B2B de bajo tráfico pueden operar límites más estrictos con seguridad.
Prevención 3: limitar intentos de inicio de sesión
Incluso con la URL de inicio de sesión cambiada, añadir un límite a los intentos de inicio de sesión vale la pena. La protección contra fuerza bruta de Wordfence bloquea las IP después de un número configurable de intentos de inicio de sesión fallidos.
Ajustes prácticos:
- Bloquear después de 3-5 fracasos de inicio de sesión.
- Bloquear después de 3-5 intentos fallidos de restablecimiento de contraseña.
- Contar los fracasos en un período de 4 horas.
- Duración de bloqueo: 30 minutos como mínimo.
Añade reCAPTCHA v3 encima de esto. Ve a Wordfence > Seguridad de Inicio de Sesión > Configuraciones e introduce tu clave de sitio y secreto de reCAPTCHA v3. Esto bloquea herramientas de inicio de sesión automatizadas que pueden resolver CAPTCHAs simples pero luchan con el enfoque de puntuación de riesgo de v3.
Impacto de los Errores 429 en SEO y Experiencia del Usuario
Los rastreadores de motores de búsqueda tratan el 429 de la misma manera que tratan cualquier error del servidor: si no pueden recuperar una página, no pueden indexarla. Un rastreo que golpea repetidamente respuestas 429 se retirará y rastreará con menos frecuencia. Las páginas que quedan sin indexar dejan de clasificar.
Para los usuarios, un 429 es un callejón sin salida. No hay un mensaje de error útil, ni redirección, ni sugerencia. Ven una página rota y se van. La tasa de rebote aumenta, la profundidad de sesión disminuye y los visitantes recurrentes comienzan a asociar tu dominio con falta de fiabilidad.
El daño a la marca es más lento pero se acumula. Un sitio que se cae durante un pico de tráfico, exactamente cuando debería estar obteniendo su mayor audiencia, enseña a los visitantes a no depender de él.
La limitación de tasa, un plan de hosting correctamente dimensionado y una gestión limpia de plugins previenen todo esto. El 429 es casi siempre un error prevenible.
