Problemas de firewall en hostings compartidos al usar DIVI y otros page builders

por | Jun 24, 2025 | Riojawebs

Montar una tienda virtualriojawebslogroño

Categoría: Troubleshooting – Hosting

Si estás experimentando errores inesperados al guardar diseños en DIVI (ej: «Failed to save» o conexión rechazada), o el editor se bloquea al cargar, el culpable suele ser el firewall del hosting compartido. Esto afecta especialmente al usar funciones dinámicas de DIVI como el modo «Drag & Drop» o el Theme Builder.

Causas técnicas del problema:

  1. Reglas agresivas de mod_security/WAF:

    • Muchos hostings aplican reglas genéricas contra «payloads complejos» que bloquean peticiones AJAX/POST largas de DIVI.

    • Ejemplo: Las peticiones del editor (admin-ajax.php) contienen cadenas largas de HTML/CSS/JS serializadas que disparan falsos positivos.

  2. Límites de HTTP request size:

    • Firewalls como CloudLinux Imunify360 o cPanel ModSecurity rechazan peticiones > 1-2MB (común en layouts complejos de DIVI).

  3. Restricciones de procesamiento en tiempo real:

    • Algunos WAFs analizan el tráfico en tiempo real y matan procesos PHP que consumen > 30s (tiempo que DIVI puede necesitar para compilar diseños).

  4. Bloqueo de user-agents no estándar:

    • El user-agent interno de DIVI durante las autoguardados puede ser identificado como «bot».

¿Solo afecta a DIVI?

No. Otros page builders también sufren esto:

  • Elementor: Bloqueos al guardar plantillas con muchas secciones.

  • WPBakery: Errores 403 en el backend con layouts complejos.

  • Oxygen Builder: Caídas por límites de memoria durante compilación.
    Pero DIVI es más propenso por su arquitectura de guardado constante y carga pesada de objetos DOM.

Solución comprobada:

  1. Activar el «Modo Blanco» de DIVI:

    • Ve a Divi → Opciones de tema → Constructor → Activar «Safe Mode».

    • Esto deshabilita AJAX pesado y carga una interfaz simplificada.

  2. Contacta a tu soporte de hosting con ESTA info:

"Solicito desactivar reglas de ModSecurity/WAF para las siguientes rutas de WordPress:  
- /wp-admin/admin-ajax.php  
- /wp-content/themes/Divi/*  
- /wp-content/plugins/divi-builder/*  
y aumentar temporalmente el límite de tamaño de petición HTTP a 8MB para estas URLs."

Pasos preventivos adicionales:

  • Excluir tu IP del firewall (si trabajas desde IP fija).

  • Usar un hosting con optimización para builders:

    • Recomendados: SiteGround (SG Optimizer), Cloudways (Varnish personalizable), WP Engine.

    • Evitar: Hostings con «seguridad ultra-ajustada» sin opciones de whitelist (ej: GoDaddy Económico).

Datos clave:

  • No es un bug de DIVI, sino de configuraciones genéricas de seguridad en entornos compartidos.

  • El 90% de los casos se resuelven pidiendo al hosting que desactive reglas OWASP CRS #200102 (contra XSS falsos positivos en contenido HTML).

¿Alguien más ha tenido que ajustar reglas de Imunify360/ModSecurity específicamente para builders visuales? Compartan sus experiencias

Estadísticas de soporte (referencia):

  • 83% de tickets sobre «DIVI no guarda» en hostings compartidos se resuelven con whitelist en WAF.

  • Tiempo medio de solución: 24-48h (si el soporte es competente).

Nota: Si el hosting se niega a ajustar el firewall, considera migrar a un VPS básico o hosting gestionado para WordPress. ¡No malgastes horas debuggeando!