Solución al error 405 Method Not Allowed en WordPress

El error 405 wordpress indica que el servidor ha entendido la petición, pero no permite el método HTTP utilizado en esa ruta o endpoint. En la práctica, puede bloquear acciones como enviar formularios, iniciar sesión, guardar cambios en el panel, procesar pagos, lanzar peticiones AJAX o usar la REST API. Para resolverlo sin agravar la incidencia, conviene diagnosticar primero qué petición falla, con qué método, en qué URL y en qué capa del stack se está bloqueando: servidor web, firewall, CDN, plugin, tema o configuración específica.

Dicho de forma breve: un 405 Method Not Allowed no suele ser un error genérico de WordPress, sino una respuesta del servidor o de una capa intermedia que rechaza un método como POST, PUT, PATCH o DELETE en una URL concreta. La solución depende del contexto: la misma respuesta puede aparecer por reglas en Apache o Nginx, por un WAF, por un plugin de seguridad, por una configuración del hosting WordPress o por endpoints REST restringidos.

Cuándo suele aparecer y qué síntomas da

En WordPress, este tipo de incidencia puede aparecer en momentos muy concretos, normalmente cuando una acción necesita enviar datos al servidor mediante un método distinto de una simple petición GET. Por eso muchos usuarios lo detectan al realizar una tarea y no tanto al navegar por páginas estáticas.

• Al enviar un formulario de contacto o un formulario personalizado.
• Al intentar iniciar sesión o completar procesos de autenticación.
• Al guardar entradas, páginas o ajustes en el administrador de WordPress.
• En llamadas AJAX desde plugins, constructores visuales o funcionalidades del tema.
• Al consumir o exponer la REST API de WordPress.
• Durante un proceso de pago, checkout o integración con pasarelas.
• Al trabajar detrás de una CDN, firewall o WAF que aplica reglas agresivas.

Los síntomas también varían. A veces se ve una página con el mensaje 405 Method Not Allowed. En otros casos, la web parece cargar, pero una función concreta deja de responder, muestra errores en JavaScript, devuelve respuestas vacías o lanza avisos en la consola del navegador.

Causas más habituales del error 405 en WordPress

No hay una causa única. El 405 puede deberse a distintas capas técnicas que intervienen antes, durante o después de que WordPress procese la petición. Lo prudente es pensar en una cadena de validaciones: navegador, CDN, firewall, servidor web, reglas de reescritura, aplicación y plugins.

Método HTTP no permitido frente a error genérico del servidor

Un error genérico del servidor, como un 500, sugiere que la aplicación o la infraestructura han fallado al procesar la petición. En cambio, un 405 implica que sí se ha identificado la solicitud, pero el método no encaja con lo que esa ruta acepta o con las reglas de seguridad aplicadas.

Por ejemplo, una ruta puede aceptar GET para mostrar información, pero rechazar POST si una regla del servidor, un plugin o un firewall considera que esa acción no debe ejecutarse. Del mismo modo, un endpoint REST puede estar disponible, pero restringido para ciertos métodos si faltan permisos, cabeceras o configuración adecuada.

Capas que conviene revisar

• Plugins y tema: formularios, seguridad, caché, constructor visual, eCommerce o código a medida.
• Apache: reglas en htaccess WordPress, módulos de seguridad y reescrituras.
• Nginx: bloques location, restricciones limit_except, proxy y fastcgi.
• Firewall, CDN y ModSecurity: bloqueos por firma, reputación, patrones POST o cabeceras sospechosas.
• REST API: rutas personalizadas, permisos, autenticación y métodos admitidos.

Cómo diagnosticar el error 405 paso a paso

El objetivo del diagnóstico no es probar cambios al azar, sino aislar la capa que bloquea la petición. En muchos casos, la diferencia entre una resolución rápida y una incidencia prolongada está en contar con datos concretos: URL afectada, método, respuesta, logs y momento exacto en que empezó.

1. Identifica la petición que falla. Abre las herramientas de desarrollador del navegador y revisa la pestaña de red. Comprueba qué URL devuelve 405, con qué método HTTP y si aparece alguna cabecera o mensaje útil en la respuesta.
2. Delimita el alcance. Verifica si el error afecta solo al front, solo al admin, solo a usuarios conectados o a una funcionalidad concreta como AJAX, formularios o API.
3. Revisa cambios recientes. Si la incidencia comenzó tras una actualización, una migración, un ajuste de seguridad o un cambio en el hosting, esa pista puede reducir mucho el tiempo de análisis.
4. Consulta los logs del servidor. En Apache y Nginx, los registros de acceso y error suelen mostrar qué ruta se ha pedido y qué capa respondió con 405. Si hay WAF o ModSecurity, busca también sus propios eventos.
5. Comprueba si el bloqueo viene de WordPress o de una capa previa. Si el servidor o la CDN responden antes de que WordPress procese la petición, el problema probablemente no está en el core, sino en reglas perimetrales o de servidor.
6. Prueba en staging. Antes de editar reglas, desactivar plugins o tocar configuración del servidor, crea una copia de pruebas. Esto reduce el riesgo de dejar la web inaccesible o alterar procesos críticos.
7. Aísla plugins y tema de forma controlada. Desactiva de uno en uno, empezando por seguridad, caché, formularios, optimización y funciones relacionadas con la incidencia. Si trabajas en producción, evita cambios masivos sin ventana de mantenimiento ni copia previa.

Qué mirar en los logs y en el navegador

• Código de estado exacto y URL completa afectada.
• Método utilizado: GET, POST, PUT, DELETE, OPTIONS u otro.
• Cabeceras de petición y respuesta que puedan revelar restricciones.
• Mensajes asociados a ModSecurity, firewall, deny, not allowed o limit_except.
• Errores JavaScript o fallos de autenticación que acompañen a la petición.

Soluciones para corregir el error 405 sin poner en riesgo la web

La mejor forma de solucionar error 405 en WordPress es aplicar una corrección alineada con la causa detectada. No conviene borrar archivos, regenerar configuraciones o desactivar toda la seguridad sin una hipótesis clara, porque eso puede ocultar el origen real y abrir nuevos problemas.

1. Revisar plugins y tema

Si el error apareció tras una actualización o al usar una función concreta, puede existir un conflicto de plugins en WordPress o una incompatibilidad con el tema activo. Conviene revisar especialmente:

• Plugins de formularios, seguridad, caché, optimización y eCommerce.
• Código personalizado en el tema o en un plugin propio que haga llamadas AJAX o REST.
• Endpoints registrados manualmente con permisos o métodos mal definidos.

Si al desactivar un plugin desaparece el 405, el siguiente paso no debería ser dejarlo inactivo sin más, sino confirmar qué ajuste, regla o integración estaba bloqueando el método HTTP.

2. Revisar .htaccess si el servidor usa Apache

En entornos con apache WordPress, el archivo htaccess WordPress puede influir directamente en las rutas permitidas, las reescrituras y ciertos bloqueos. Conviene comprobar si hay reglas personalizadas añadidas por plugins, hardening, migraciones o configuraciones antiguas.

Busca directivas que limiten métodos, accesos a rutas del administrador, XML-RPC, wp-json o formularios. También puede ser relevante revisar módulos como ModSecurity o reglas de seguridad del hosting que actúan junto a Apache.

3. Revisar bloques o directivas si el servidor usa Nginx

En servidores con nginx WordPress, el 405 puede relacionarse con bloques location, restricciones por método, reglas de proxy o configuraciones que no contemplan correctamente ciertas rutas de WordPress, como admin-ajax.php o wp-json.

Merece la pena revisar si existen directivas como limit_except, validaciones sobre métodos permitidos o reglas heredadas de una configuración general del servidor que estén afectando a la web de forma indirecta.

4. Comprobar firewall, CDN y plugins de seguridad

Muchas incidencias de este tipo tienen que ver con capas de seguridad WordPress o perimetral. Un firewall de aplicación web, una CDN con protección activa o un plugin de seguridad puede interpretar ciertas peticiones POST o llamadas a la API como sospechosas y bloquearlas.

Aquí es útil revisar registros de eventos, firmas activadas, listas blancas, protección contra bots, reglas antiabuso y validaciones de cabeceras. Si el error solo afecta a una funcionalidad concreta, la causa puede estar en una regla demasiado restrictiva y no en un fallo general del sitio.

5. Validar endpoints REST, AJAX y formularios

Si el 405 aparece al usar la REST API de WordPress, un formulario o una acción AJAX, conviene revisar cómo se ha construido la petición: método empleado, nonce, permisos, autenticación, URL y cabeceras. En desarrollos personalizados, un simple desajuste entre el método esperado por el endpoint y el método enviado por el navegador puede bastar para provocar la respuesta.

En formularios y pasarelas de pago, también puede influir una reescritura errónea, una redirección mal aplicada o una protección anti-spam que intercepte la solicitud antes de llegar a WordPress.

6. Confirmar restricciones del hosting

Algunos proveedores de hosting WordPress aplican reglas de seguridad o plantillas de servidor que limitan ciertos métodos o endpoints. Esto no siempre es un problema, pero sí puede generar conflictos con plugins, APIs externas o configuraciones más avanzadas.

Si has agotado las comprobaciones principales, merece la pena pedir al proveedor información sobre bloqueos recientes, reglas activas y registros asociados a la URL afectada.

Cuándo conviene pedir soporte WordPress o mantenimiento especializado

Hay casos en los que el análisis básico no basta, especialmente si el error afecta a procesos de negocio: formularios de captación, área privada, tienda online, pagos, integraciones con terceros o trabajo editorial en el panel. Cuando el 405 aparece de forma intermitente, depende del rol del usuario o solo se reproduce con determinadas reglas de seguridad, el diagnóstico suele requerir acceso técnico a varias capas a la vez.

En ese escenario, el soporte WordPress especializado puede ayudarte a revisar logs, plugins, reglas de Apache o Nginx, firewall, CDN y endpoints sin aplicar cambios a ciegas. Además, un servicio de mantenimiento WordPress reduce la probabilidad de que estas incidencias se repitan mediante actualizaciones controladas, staging, monitorización y validaciones tras cambios relevantes.