A tela “Hosting Block” é exibida quando o servidor de origem (onde a aplicação está hospedada) retorna um código HTTP 403 Forbidden.
Embora lembre a mensagem de “Hosting Error”, a sua origem e objetivo são diferentes. Aqui, não se trata de um erro interno do servidor, mas sim de uma recusa de acesso por parte do servidor de destino.
Por que exibimos a tela “Hosting Block”?
Nosso WAF intercepta o código 403 Forbidden retornado pelo servidor de hospedagem do cliente e, para proteger dados sensíveis ou configurações internas, apresenta ao usuário final uma mensagem mais amigável e informativa. Assim, evitamos que detalhes de configuração do servidor — ou mesmo sua estrutura de pastas, em alguns casos — sejam expostos.
Principais causas do 403 Forbidden (Hosting Block)
-
Bloqueio de conexões pelo servidor de origem
- O servidor de hospedagem (ex.: Apache, Nginx, IIS) pode estar configurado para bloquear determinadas requisições.
- Firewalls internos ou listas de controle de acesso podem recusar tráfego de certos endereços IP.
-
O IP do WAF não está em whitelist
- Caso a aplicação use .htaccess, configurações de Virtual Host ou regras de firewall que restringem o acesso, é necessário adicionar os IPs do WAF na lista de confiança (“whitelist”).
- Se os IPs do WAF não estiverem autorizados, o servidor de origem recusará as requisições com 403 Forbidden.
-
Plugins de segurança
- CMS como WordPress podem ter plugins de segurança ou firewalls adicionais (ex.: Wordfence, iThemes Security, etc.) que bloqueiam IPs suspeitos.
- É fundamental conferir se o IP do WAF não está indevidamente classificado como malicioso ou não permitido.
-
Limitações de segurança na aplicação de origem
- A aplicação web pode ter mecanismos internos (ex.: limitação de tentativas de login, controle de sessões, rate limiting) que resultam em 403 Forbidden quando se atinge determinado limite ou não atende a requisitos de autenticação.
Como solucionar o “Hosting Block”?
Seguem algumas ações que administradores e desenvolvedores podem tomar para resolver o problema quando se deparam com a tela “Hosting Block”:
-
Verificar logs e configurações do servidor web
- Consulte os arquivos de log (por exemplo,
/var/log/apache2/error.log
,/var/log/nginx/error.log
ouC:\inetpub\logs\LogFiles\
no Windows) para saber a razão exata do 403. - Cheque regras de firewall, ACLs (Access Control Lists) e configurações de Virtual Host ou .htaccess.
- Consulte os arquivos de log (por exemplo,
-
Validar listas de permissão (whitelists)
- Assegure-se de que os IPs do WAF estejam adequadamente liberados no servidor de hospedagem, nos plugins de segurança ou em regras de firewall.
- Se você estiver usando serviços de CDN que mudam dinamicamente de IP, verifique se está usando as faixas de IP recomendadas pela nossa plataforma.
-
Verificar plugins e extensões de segurança
- Em CMS como WordPress ou Joomla, revise as configurações dos plugins que controlam segurança e bloqueio de IPs.
- Atualize para as versões mais recentes desses plugins, pois erros em versões antigas podem gerar bloqueios indevidos.
-
Revisar limites de autenticação e rate limiting
- Se a aplicação web possui políticas restritivas de acesso ou detecção de bots, confira se o reverse proxy ou WAF está sendo interpretado como um usuário mal-intencionado.
- Ajuste corretamente o rate limiting ou as regras de detecção para reconhecer os IPs de proxy e tratar o cabeçalho
X-Forwarded-For
de forma adequada.
Principais diferenças entre “Hosting Error” e “Hosting Block”
- Hosting Error: Geralmente indica erros do tipo 5xx (ex.: 500, 502, 503) por parte do servidor de origem. São problemas de infraestrutura ou falhas internas da aplicação que o WAF está simplesmente repassando (de forma mascarada para maior segurança).
- Hosting Block: Refere-se a situações em que o servidor de origem se recusa a fornecer o conteúdo por configurações de segurança ou bloqueios específicos (403 Forbidden). O WAF mascara a mensagem original de 403 para não expor detalhes internos.
Conclusão
A tela “Hosting Block” não é uma falha no WAF, mas um indicativo de que o servidor de origem está intencionalmente rejeitando determinadas requisições. Para resolver o problema, é essencial:
- Verificar os logs de erro e acesso do servidor, pois eles indicarão a razão do 403.
- Garantir que os IPs do WAF (ou a CDN) estejam devidamente liberados em regras de firewall, .htaccess e plugins de segurança.
- Revisar configurações de segurança (rate limiting, autenticação, whitelists, etc.) na aplicação e no servidor de origem.
Se, após essas verificações, persistirem dúvidas ou problemas, entre em contato com nossa equipe de suporte para auxiliarmos na análise detalhada do ambiente e garantirmos que a aplicação esteja recebendo apenas o tráfego desejado — sem bloqueios indevidos.