En España, cada jornada de Liga trae consigo algo más que goles: llegan también bloqueos judiciales de IP y rangos enteros para combatir las retransmisiones pirata. El daño colateral es conocido por demasiadas empresas: sitios completamente legítimos ven cómo su tráfico se hunde justo a la hora del partido, su facturación cae y su reputación técnica queda en entredicho… sin haber emitido ni un segundo de fútbol. Para ese problema real y recurrente, el desarrollador David Carrero (@carrero) ha creado CF Football Bypass, un plugin libre (GPLv2) para WordPress que automatiza una maniobra simple y segura sobre Cloudflare DNS: quitar temporalmente el proxy en los registros que señales mientras “hay fútbol”, y volver a activarlo cuando termina la ventana de riesgo.
La idea es tan directa como eficaz: si los rangos de Cloudflare son los que pueden caer en una orden de bloqueo, sal del rango durante el partido. El plugin no toca contenidos, ni URLs, ni reglas de WAF. Solo alternará el flag proxied/DNS Only en los registros A y CNAME que el administrador seleccione. Terminada la franja del encuentro, reactiva el proxy y todo regresa al estado habitual.
El problema: bloqueos por rangos compartidos que arrastran a inocentes
Las resoluciones para bloquear emisiones ilícitas suelen apuntar a rangos completos de infraestructuras compartidas: CDN, redes de distribución, IPs anycast. Cuando esos rangos afectan a Cloudflare, cualquier dominio que pase por esas IP puede dejar de resolver correctamente para un porcentaje significativo de usuarios (según operadora, territorio y propagación). Y el gráfico de analítica lo confirma: caídas bruscas y sincronizadas con el horario del partido, que se traducen en carritos abandonados, formularios sin enviar y métricas de calidad deterioradas.
CF Football Bypass no discute el marco legal ni pretende evadir lo que le toca a quien emite sin derechos. Lo que hace es proteger a quien no emite y, aun así, sufre por compartir infraestructura con terceros infractores.
La solución: “si hay partido, DNS Only; si no, Proxied”
El plugin consulta de forma automática si “hay fútbol ahora” mediante el servicio hayahora.futbol. Con esa señal:
- Partido detectado → desactiva el proxy de Cloudflare (modo DNS Only) solo en los registros A/CNAME que hayas marcado.
- Mantiene el bypass durante el tiempo configurado (entre 60 y 600 minutos; valor típico 120).
- Terminado el plazo → reactiva el proxy (Proxied) en esos mismos registros y restaura el comportamiento habitual.
Además, incorpora controles manuales (activar/desactivar) por si hay una prórroga, un amistoso no programado, o deseas probar la conmutación sin esperar al cron.
Diseño a prueba de fallos: si por cualquier razón no puede consultar el estado del fútbol, no toca nada. Es decir, falla a seguro.
Autenticación en Cloudflare: mejor con Token de mínimos permisos
Para conmutar el flag de proxy, el plugin se conecta a la API oficial de Cloudflare. Admite:
- API Key global + correo (método clásico).
- Token API con permisos mínimos (recomendado).
Permisos necesarios para el Token API:
- Zone:Read
- DNS:Read
- DNS:Edit
Así limitas el alcance del token y reduces el riesgo si se filtrara. El plugin solo utiliza esas credenciales para listar registros y editar el estado proxied.
Programación confiable: wp_cron o cron externo con token
Por defecto, CF Football Bypass usa wp_cron para comprobar el estado cada X minutos (entre 5 y 60; recomendado 15). En sitios de bajo tráfico —donde wp_cron podría no dispararse con puntualidad— ofrece un endpoint protegido por token para lanzar la tarea desde el cron del servidor:
*/15 * * * * curl -s "https://tudominio.com/wp-cron.php?cfb_cron=1&token=TOKEN_AQUI" > /dev/null 2>&1
Ese endpoint solo ejecuta la comprobación del plugin. El token se regenera al guardar ajustes con el campo vacío.
Control fino: eliges qué registros alternan y cuánto dura el bypass
No todo el dominio tiene por qué conmutar. Desde la configuración puedes:
- Marcar solo los registros críticos (p. ej.,
@ywww) y dejar el resto siempre proxied (correo, FTP, subdominios internos, estáticos…). - Ajustar la duración del bypass (entre 60 y 600 min.).
- Forzar manualmente activar/desactivar cuando lo necesites.
Este granularidad reduce el impacto en caché/CDN: por ejemplo, puedes conmutar el front público y mantener proxied medios o estáticos que te interese seguir sirviendo desde Cloudflare.
Panel claro y logs auditables
El plugin ofrece un tablero de estado con:
- Estado del fútbol en tiempo real.
- Última comprobación (fecha/hora).
- Bypass activo/inactivo.
Incluye log de acciones (cron interno/externo, acciones manuales, usuario, resultado), con retención configurable e incluso opción de desactivar el registro si lo prefieres. El fichero cfb-actions.log queda en la carpeta del plugin. Además, puedes verificar la programación en Herramientas → Salud del sitio → Info → Eventos programados (busca cfb_check_football_status).
Detalle de seguridad extra: si decides desactivar el plugin, este reactiva automáticamente el proxy en todos los registros seleccionados, para que no queden estados “a medias”.
Instalación en 10 minutos (paso a paso)
- Descarga el plugin desde GitHub.
- Sube y activa el plugin en
wp-content/plugins/cf-football-bypass/. - Ve a Ajustes → CF Football Bypass.
- Elige el método de autenticación (mejor Token API).
- Pega Token y Zone ID de Cloudflare.
- Define intervalo de comprobación (p. ej., 15 minutos) y duración (p. ej., 120 minutos).
- Pulsa “Probar conexión y actualizar lista DNS”.
- Marca los registros A/CNAME a gestionar.
- Guarda.
Desde ese momento, la automatización está activa.
Casos de uso típicos
1) Ecommerce y medios con picos previsibles
Si tus picos de tráfico coinciden con los partidos, el bypass reduce errores 5xx/522, tiempos de respuesta anómalos y quejas. Puedes conmutar solo @ y www y mantener en Cloudflare el dominio de estáticos.
2) Ecosistemas con muchos subdominios
Cada subdominio puede tener política distinta: app.empresa.com siempre proxied, blog.empresa.com conmutado, api.empresa.com inalterado. Evitas romper integraciones.
3) Sitios con poco tráfico nocturno o fines de semana
Configura el cron externo con token para asegurar la comprobación puntual aunque no haya visitas.
Alcance y límites (lo que hace y lo que no)
- Sí hace: alterna proxied/DNS Only en registros marcados vía API de Cloudflare.
- No hace: no borra registros, no edita contenido, no cambia WAF, no manipula páginas de caché.
- Importante: si tus IPs de origen (servidor) son las bloqueadas, el problema es otro; este plugin evita caer en bloqueos hacia rangos de Cloudflare, no puede “desbloquear” un origen listado.
Requisitos y versión
- WordPress: desde 5.0 (probado hasta 6.8).
- PHP: 7.4 o superior (extensiones curl y json).
- Conectividad saliente HTTP/HTTPS para hayahora.futbol y API de Cloudflare.
- Cron: wp_cron o cron externo con token.
- Versión estable: 1.0.1 (añade Token API, mejora logs, sidebar de ayuda y controles manuales con doble verificación). La 1.0.0 estrenó monitorización y gestión via API Key Global.
Licencia: GPLv2 (o posterior). Código abierto en GitHub (nombre del repositorio: dcarrero/cf-football-bypass). Autor: David Carrero.
Por qué este enfoque “de mínimo cambio” funciona
- Cero impacto en SEO y enlaces: no cambias URLs, mapas ni estructura; solo alteras el camino del tráfico durante el partido.
- Reversibilidad total: el estado habitual vuelve solo cuando termina la ventana.
- Visibilidad y trazabilidad: panel y logs para explicar a negocio qué pasó y cuándo.
- Menos superficie de error: una sola bandera (proxied) en registros concretos, sin tocar otras capas.
Guía rápida de buenas prácticas
- Empieza pequeño: conmutar
@ywww; evaluar métricas; ajustar. - Token de mínimos: evita API Key global salvo que no tengas alternativa.
- Cron fiable: si tu wp_cron es irregular, cron externo cada 15 min.
- Monitorea: anota hora de partido, comprueba logs y tiempos.
- Documenta: deja constancia de registros afectados y duración acordada.
Preguntas frecuentes
¿Puede afectar a la caché o al rendimiento servir en DNS Only?
Puede cambiar la ruta del tráfico (del CDN al origen), por lo que es normal ver diferencias temporales en latencia o ancho de banda. Al tener control por registro, puedes mantener proxied tus estáticos y conmutar solo el front.
¿Qué permisos exactos necesita el Token API de Cloudflare?
Zone:Read, DNS:Read y DNS:Edit. Nada más. Con eso, el plugin puede listar registros y cambiar el flag proxied. Evita permisos amplios.
¿Y si el partido entra en prórroga?
Configura una duración generosa (p. ej., 120 minutos). Si se alarga, puedes extender manualmente el bypass o reactivarlo con un clic si hiciera falta.
¿Se puede usar en varias zonas (dominios) a la vez?
El plugin trabaja por zona. Para múltiples dominios, repite la configuración en cada sitio/instancia de WordPress o crea un procedimiento por proyecto.
¿Qué ocurre si desinstalo o desactivo el plugin durante un bypass?
El plugin incluye una función de seguridad que, al desactivarse, restaura el estado Proxied en los registros gestionados, evitando dejar la web “a medias”.
Conclusión
CF Football Bypass propone una respuesta técnica sencilla ante un riesgo predecible: cuando los bloqueos por rangos golpean a Cloudflare durante los partidos, conmuta temporalmente a DNS Only y vuelve al estado normal después. Lo hace con mínima intrusión, trazabilidad y reversibilidad. Para quienes ven desplomarse el tráfico en cada partido sin ser parte del problema, es una red de seguridad que puede marcar la diferencia entre una tarde perdida y una operación estable.
