TL;DR · resum executiu
¿Qué vas a encontrar en este artículo?
Estàs navegant per un lloc web, fas clic en un enllaç i de sobte apareix una pantalla amb el missatge «Access Denied – Error 1020». O pitjor encara: els teus propis visitants estan sent bloquejats en intentar accedir a la teva pàgina. L’Error Code 1020 és un dels bloquejos de seguretat més freqüents a la web moderna, generat per les regles de firewall de Cloudflare quan detecta una sol·licitud que viola les pol...
Estàs navegant per un lloc web, fas clic en un enllaç i de sobte apareix una pantalla amb el missatge «Access Denied – Error 1020». O pitjor encara: els teus propis visitants estan sent bloquejats en intentar accedir a la teva pàgina. L’Error Code 1020 és un dels bloquejos de seguretat més freqüents a la web moderna, generat per les regles de firewall de Cloudflare quan detecta una sol·licitud que viola les polítiques d’accés configurades. Encara que la seva funció és protegir, quan s’activa erròniament es converteix en una barrera que allunya usuaris legítims i pot impactar directament en el rendiment del teu negoci digital.
El que fa especialment problemàtic aquest error és que les seves causes són múltiples i sovint se solapen. Des de regles de firewall excessivament restrictives fins a conflictes amb VPNs, passant per cookies corruptes o configuracions de bot management que no distingeixen correctament entre trànsit automatitzat i humà. Aquest article t’ofereix una guia tècnica completa per diagnosticar, resoldre i prevenir l’Error 1020, tant si l’estàs experimentant com a visitant com si l’estàs generant inadvertidament al teu propi lloc.
Què és l’Error Code 1020 i com funciona
L’Error Code 1020 és un error d’accés denegat generat per Cloudflare quan una sol·licitud HTTP viola una regla de firewall activa. Apareix amb el missatge «Access Denied» i significa que la petició va ser bloquejada abans d’arribar al servidor d’origen.
És important entendre que aquest error no prové del servidor d’origen ni del CMS que allotja la teva web. És exclusivament una resposta del WAF (Web Application Firewall) de Cloudflare, cosa que significa que la sol·licitud mai no arriba al teu servidor. Això té implicacions pràctiques: no trobaràs registres d’aquestes sol·licituds bloquejades als logs del teu hosting o del teu WordPress, sinó únicament al panell de seguretat de Cloudflare.
El sistema avalua cada sol·licitud contra un conjunt de regles que poden incloure: restriccions geogràfiques, llistes d’IPs bloquejades, patrons de user-agent sospitosos, límits de taxa de sol·licituds, regles personalitzades basades en paràmetres d’URL i validacions de cookies de seguretat. Quan qualsevol d’aquestes condicions es compleix, el resultat és el bloqueig 1020.
A CRONUTS hem resolt aquest error en clients amb Cloudflare actiu en webs WordPress on Wordfence generava conflictes amb les regles de firewall. El problema era que tots dos sistemes intentaven gestionar la seguretat de forma simultània: Wordfence bloquejava sol·licituds abans que arribessin a Cloudflare, i Cloudflare interpretava aquest comportament com a trànsit anòmal, activant l’error 1020 per a usuaris completament legítims. La solució va passar per definir clarament quin sistema s’encarregava de cada capa de seguretat — Cloudflare gestionant el perímetre extern i la protecció DDoS, i Wordfence limitat a la seguretat interna de WordPress — eliminant les regles duplicades que generaven el conflicte. Des d’aleshores, cap d’aquests clients ha tornat a reportar falsos positius de l’error 1020.
Causes principals de l’Error 1020 en llocs web
Regles de firewall excessivament restrictives
L’Error Code 1020 s’activa quan una sol·licitud HTTP viola una de les regles WAF (Web Application Firewall) configurades al panell de Cloudflare del lloc. Els administradors web, especialment després de patir un atac o detectar trànsit sospitós, tendeixen a crear regles àmplies que acaben bloquejant rangs complets d’IPs, països sencers o patrons de trànsit que inclouen usuaris legítims. Una regla que bloqueja totes les sol·licituds d’un determinat país pot semblar una mesura de seguretat raonable, però si part de la teva audiència objectiu hi resideix, estàs perdent trànsit qualificat.
Conflictes amb VPNs, proxies i xarxes corporatives
Els usuaris que naveguen a través de VPNs comparteixen adreces IP amb milers d’altres usuaris, alguns dels quals poden haver generat activitat maliciosa prèvia. Quan Cloudflare detecta que una IP ha estat utilitzada per a atacs o scraping, pot marcar-la com a sospitosa, afectant tots els usuaris que comparteixen aquesta mateixa IP. Les xarxes corporatives amb NAT (Network Address Translation) generen un efecte similar: centenars d’empleats naveguen sota una única IP pública, i si un d’ells genera activitat anòmala, el bloqueig pot afectar tota l’organització.
Cookies corruptes i problemes de sessió
Cloudflare utilitza cookies específiques (com cf_clearance i __cf_bm) per validar que un visitant ha superat les verificacions de seguretat. Si aquestes cookies es corrompen, expiren prematurament o són eliminades per extensions de privacitat del navegador, el sistema interpreta la sol·licitud com a nova i potencialment sospitosa. Això genera cicles de bloqueig frustrants per a usuaris legítims que poden veure el lloc correctament en un moment i trobar-se bloquejats al següent.
Per què apareix l’error code 1020 a ChatGPT, Zoom o Spotify?
Si has arribat aquí perquè l’error code 1020 t’apareix en intentar entrar a ChatGPT, unir-te a una reunió de Zoom o obrir Spotify, no és casualitat. Aquestes plataformes tenen una cosa en comú: totes fan servir Cloudflare com a capa de seguretat i protecció contra atacs DDoS. Quan el seu firewall detecta que la teva IP, la teva VPN o el teu navegador incompleixen alguna de les seves regles d’accés, bloqueja la sol·licitud i mostra exactament el mateix missatge que estàs veient: «Access Denied – Error 1020».
En aquests casos, el problema gairebé mai no està al teu compte ni al servei en si. Les causes més habituals són fer servir una VPN amb una IP prèviament marcada com a sospitosa, tenir extensions de navegador que modifiquen les capçaleres HTTP, o connectar-te des d’una xarxa corporativa o universitària amb regles de proxy restrictives. La solució és la mateixa que per a qualsevol error 1020: desactiva la VPN, neteja cookies i memòria cau del navegador, i prova des d’una xarxa diferent o en mode incògnit.
Diagnòstic pas a pas de l’Error Code 1020
Abans d’aplicar qualsevol solució, necessites identificar la causa arrel. El diagnòstic sistemàtic t’estalviarà temps i evitarà que apliquis correccions que no aborden el problema real. El primer pas és accedir al panell de Cloudflare i navegar a Security > Events. Allà trobaràs un registre detallat de cada sol·licitud bloquejada, incloent-hi la IP d’origen, el user-agent, la URL sol·licitada i, crucialment, la regla específica que va activar el bloqueig.
Identifica la regla responsable del bloqueig. Cloudflare etiqueta cada esdeveniment amb l’ID de la regla i una descripció que indica si es tracta d’una regla personalitzada (creada per tu), una regla gestionada per Cloudflare o una regla de Rate Limiting. Aquesta informació és fonamental perquè la solució varia completament segons el tipus de regla. Una regla personalitzada la pots modificar directament. Una regla gestionada requereix ajustar la sensibilitat o crear una excepció.
Si l’error t’afecta com a visitant i no tens accés al panell de Cloudflare, el diagnòstic se centra a aïllar variables. Prova des d’una connexió diferent (dades mòbils en lloc de WiFi), desactiva la VPN si n’estàs fent servir una, neteja les cookies del navegador i prova en mode incògnit. Si el lloc funciona sota alguna d’aquestes condicions, hauràs identificat el factor que activa el bloqueig.
Què és el Ray ID i per què és clau per diagnosticar l’error 1020?
Quan Cloudflare bloqueja una sol·licitud i mostra l’error 1020, a la part inferior de la pantalla d’error apareix un codi alfanumèric de 16 caràcters anomenat Ray ID. Té aquest aspecte: Ray ID: 8a3f2c91b04d7e1a. Aquest identificador és el punt de partida del diagnòstic i, sense ell, localitzar la regla exacta que està causant el bloqueig és pràcticament impossible.
El Ray ID funciona com una empremta digital d’aquesta sol·licitud concreta: registra el moment exacte en què va ocórrer el bloqueig, la IP d’origen, el data center de Cloudflare que va processar la petició i la regla de firewall que es va activar. Si ets el propietari del lloc, accedeix al teu panell de Cloudflare, ves a Security › Events i enganxa el Ray ID al cercador. En segons veuràs quina regla va bloquejar aquesta petició específica i podràs decidir si modificar-la, crear una excepció o confirmar que el bloqueig va ser legítim.
Si ets visitant i l’error persisteix, copia el Ray ID de la pantalla d’error i proporciona’l a l’administrador del lloc juntament amb la teva IP i la URL que intentaves visitar. Amb aquesta informació, l’admin pot localitzar l’esdeveniment en qüestió de segons en lloc de revisar centenars de registres a cegues.
Si confirmes que es tracta d’un fals positiu — un usuari legítim bloquejat per error — la solució més ràpida és afegir la seva IP a la whitelist mitjançant una regla de tipus Allow a Cloudflare › Security › WAF › IP Access Rules.

Per què veus l’error 1020 i no un altre missatge? Les accions de Cloudflare explicades
Quan Cloudflare detecta una sol·licitud sospitosa, no sempre reacciona de la mateixa manera. L’error 1020 és només una de les respostes possibles, i entendre quina correspon a cada situació t’ajuda a diagnosticar exactament què està passant al teu lloc i per què alguns usuaris veuen un bloqueig total mentre altres només han de resoldre un CAPTCHA.
Cloudflare disposa de quatre accions principals que pot executar quan una sol·licitud activa una regla de firewall. La que determina si el visitant veu l’error 1020 o una cosa diferent és precisament l’acció configurada en aquesta regla concreta:
| Acció | Què veu el visitant | Error 1020? | Quan usar-la |
|---|---|---|---|
| Block | Pantalla «Access Denied – Error 1020». Accés completament denegat. | Sí | IPs malicioses confirmades, bots agressius, rangs geogràfics bloquejats de forma deliberada. |
| Managed Challenge | Verificació invisible o CAPTCHA adaptatiu. L’usuari pot passar si és humà. | No | Trànsit sospitós però no confirmat, VPNs, IPs de datacenter, protegir formularis de contacte o login. |
| JS Challenge | Pantalla d’espera breu mentre s’executa JavaScript al navegador. | No | Bots simples sense suport JS, scrapers bàsics, protecció lleugera d’endpoints públics. |
| Allow | Accés directe sense cap mena de restricció ni verificació. | No | IPs de confiança en whitelist, Googlebot, eines de monitorització, APIs pròpies del negoci. |
Si al teu panell de Cloudflare veus que la regla que s’està disparant té configurada l’acció Block, això és exactament el que genera l’error 1020. Canviar-la a Managed Challenge és freqüentment la solució més intel·ligent quan vols mantenir la seguretat sense bloquejar usuaris legítims: en lloc de denegar l’accés per complet, Cloudflare els presenta una verificació invisible o un CAPTCHA que els humans superen sense problema i els bots no.
Solucions tècniques per resoldre l’Error 1020 com a administrador
Si ets l’administrador del lloc que genera l’Error 1020, tens control total per resoldre’l. La solució depèn de la causa identificada al diagnòstic. Per a regles de firewall personalitzades excessivament àmplies, l’estratègia és refinar les condicions. En lloc de bloquejar un país complet, filtra per combinacions més específiques: país + user-agent sospitós, o país + taxa de sol·licituds anormalment alta. Cloudflare permet combinar fins a cinc condicions en una única regla, cosa que ofereix granularitat suficient per a la majoria d’escenaris.
Les llistes blanques d’IP són essencials per evitar bloquejos al teu propi equip, serveis de tercers i bots legítims. Afegeix a la llista blanca les IPs de la teva oficina, les de serveis de pagament com passarel·les de pagament o APIs de tercers, i les de bots de motors de cerca (Googlebot, Bingbot). Aquesta configuració es gestiona des de Security > WAF > Tools > IP Access Rules. Per a estratègies SEO és crític que els crawlers de Google no siguin bloquejats inadvertidament.
Si el problema està relacionat amb les regles gestionades de Cloudflare (Managed Rules), pots ajustar la sensibilitat del WAF des de Security > WAF > Managed Rules. Reduir la sensibilitat de «High» a «Medium» o «Low» per a regles específiques sol resoldre falsos positius sense comprometre significativament la seguretat. També pots crear excepcions específiques que desactivin regles concretes per a URLs determinades, útil quan una regla bloqueja legítimament la majoria del trànsit però genera falsos positius en pàgines específiques.
Com resoldre l’Error 1020 com a visitant
Quan et trobes amb l’Error 1020 com a usuari i no tens control sobre la configuració del lloc, hi ha diverses accions que pots fer. La primera i més efectiva és netejar les cookies del navegador per al domini específic que està generant l’error. A Chrome, ves a Configuració > Privacitat i Seguretat > Cookies i altres dades de llocs > Veure totes les dades i permisos del lloc, busca el domini i elimina’n les cookies. Això força una nova verificació de seguretat amb Cloudflare.
Si estàs fent servir una VPN, desactiva-la temporalment i recarrega la pàgina. Les IPs compartides de serveis VPN populars solen estar marcades a les bases de dades de reputació que consulta Cloudflare. Canviar a un servidor VPN diferent també pot funcionar si el servidor actual té una IP amb mala reputació. Un altre enfocament és provar al navegador en mode incògnit, cosa que descarta problemes amb extensions o cookies existents.
Si cap d’aquestes solucions funciona, és probable que la regla de bloqueig estigui basada en el teu rang d’IP o ubicació geogràfica, cosa que només l’administrador del lloc pot modificar. En aquest cas, contacta el propietari del lloc web proporcionant la teva IP (visible a whatismyip.com), la URL exacta que intentes visitar i l’hora de l’intent. Aquesta informació permet a l’administrador localitzar ràpidament l’esdeveniment de bloqueig als registres de Cloudflare i identificar la regla responsable.
Configuració avançada de Cloudflare per evitar falsos positius
La configuració òptima de Cloudflare equilibra seguretat i accessibilitat. El Security Level és el primer paràmetre a ajustar: estableix-lo en «Medium» com a punt de partida. Els nivells «High» i «I’m Under Attack» són útils durant atacs actius però generen una taxa inacceptable de falsos positius en operació normal. Pots configurar el nivell de seguretat de forma diferenciada per URL usant Page Rules, aplicant més protecció a àrees sensibles com /wp-admin/ o /api/ i menys restricció a pàgines públiques.
El Bot Fight Mode de Cloudflare mereix atenció especial. Quan està activat, pot bloquejar bots legítims que no s’identifiquen correctament, incloent-hi eines de monitorització i anàlisi, serveis d’uptime monitoring i alguns crawlers de xarxes socials. Si detectes que eines legítimes estan sent bloquejades, revisa aquesta configuració a Security > Bots i considera afegir excepcions específiques per als user-agents afectats.
Les regles de Rate Limiting són una altra font freqüent d’Error 1020. Configuracions massa agressives (per exemple, bloquejar després de 10 sol·licituds per minut) poden afectar usuaris legítims que naveguen ràpidament pel lloc o que carreguen pàgines amb molts recursos. Un llindar de 100-150 sol·licituds per minut sol ser un punt de partida raonable per a llocs web estàndard, ajustable segons el patró de navegació normal de la teva audiència.
Estratègies de prevenció per evitar l’Error Code 1020
La prevenció de l’Error 1020 comença amb una política de seguretat ben documentada. Defineix explícitament quin tipus de trànsit s’ha de bloquejar i quin s’ha de permetre, en lloc d’afegir regles reactives després de cada incident. Un pla de protecció web integral inclou no només la configuració del firewall, sinó també protocols de resposta davant incidents que evitin reaccions exagerades que perjudiquin l’accessibilitat.
Implementa un procés de revisió periòdica de les regles de firewall. Les regles que tenien sentit fa sis mesos poden no ser rellevants avui, i acumular regles obsoletes augmenta la probabilitat de conflictes i falsos positius. Programa una auditoria trimestral on revisis cada regla activa, la seva taxa d’activació i si els bloquejos que genera són legítims. Cloudflare proporciona estadístiques d’activació per regla que faciliten aquesta avaluació.
Monitoritza activament els esdeveniments de seguretat amb alertes configurades. Cloudflare permet enviar notificacions quan la taxa de bloquejos supera un llindar definit. Un pic sobtat de bloquejos 1020 pot indicar un atac real que requereix atenció, o una regla nova que està generant falsos positius massius. La detecció primerenca et permet actuar abans que l’impacte en l’experiència d’usuari sigui significatiu.
Impacte de l’Error 1020 en el SEO i el rendiment digital
L’Error 1020 té conseqüències directes en el posicionament del teu lloc web si afecta els crawlers de motors de cerca. Quan Googlebot rep un bloqueig 1020, no pot rastrejar ni indexar la pàgina afectada. Si això passa de forma sistemàtica, Google pot reduir la freqüència de rastreig del teu domini complet, cosa que ralenteix la indexació de contingut nou i pot provocar caigudes de posicions als resultats de cerca.
Verifica regularment a Google Search Console que Googlebot pot accedir al teu lloc sense problemes. L’informe de Cobertura mostra si hi ha pàgines que el bot no ha pogut rastrejar, i l’eina d’Inspecció d’URLs permet simular un rastreig en temps real. Si detectes problemes d’accés, revisa immediatament les regles de Cloudflare per assegurar que els rangs d’IP de Google estan a la llista blanca. Complementa aquesta monitorització amb una anàlisi de visibilitat als cercadors per detectar qualsevol impacte primerenc.
Més enllà del SEO, l’Error 1020 impacta en mètriques de negoci crítiques. Cada visitant bloquejat és una conversió potencial perduda. En campanyes de Google Ads, un bloqueig 1020 significa que estàs pagant per clics que mai no arriben a la teva landing page, malgastant pressupost publicitari directament. Creua les dades de bloquejos de Cloudflare amb les de la teva plataforma publicitària per quantificar l’impacte econòmic real.
Error 1020 a WordPress: causes específiques i solucions
Els llocs WordPress presenten causes addicionals de l’Error 1020 relacionades amb la seva arquitectura. Els plugins de seguretat com Wordfence o Sucuri poden generar conflictes amb les regles de Cloudflare, creant una doble capa de protecció que s’interfereix mútuament. Quan tots dos sistemes avaluen la mateixa sol·licitud amb criteris diferents, el resultat pot ser un bloqueig fals positiu. La solució és decidir quin sistema gestiona quin aspecte de la seguretat i configurar tots dos per evitar solapaments.
L’arxiu xmlrpc.php de WordPress és un objectiu freqüent d’atacs de força bruta, i moltes regles de Cloudflare el bloquegen per defecte. Tanmateix, alguns plugins i aplicacions mòbils legítimes depenen d’XML-RPC per funcionar. Si necessites mantenir XML-RPC actiu, crea una regla específica que permeti accés només des d’IPs conegudes en lloc de desactivar la protecció globalment. Alternativament, migra les funcionalitats que depenen d’XML-RPC a la REST API de WordPress.
Les actualitzacions automàtiques de WordPress, temes i plugins també poden veure’s afectades. Les sol·licituds que WordPress fa a wp.org per comprovar actualitzacions poden activar regles de Rate Limiting si el teu servidor fa múltiples comprovacions en un període curt. Assegura’t que les IPs del servidor d’origen estiguin a la llista blanca de Cloudflare perquè les comunicacions servidor-a-servidor no es vegin afectades per les regles de seguretat orientades al trànsit de visitants.
Com la intel·ligència artificial està redefinint la seguretat web i la gestió d’errors
La intel·ligència artificial està transformant fonamentalment la manera com els sistemes de seguretat web distingeixen entre trànsit legítim i maliciós. Els WAFs tradicionals operen amb regles estàtiques que generen falsos positius inevitables. Els sistemes basats en IA, com els que Cloudflare està integrant progressivament a la seva plataforma, analitzen patrons de comportament en temps real i adapten dinàmicament els llindars de bloqueig segons el context de cada sol·licitud.
Els models de machine learning entrenats amb dades de milions de llocs web poden identificar patrons de trànsit maliciós amb una precisió que les regles manuals no assoleixen. Aquests sistemes avaluen desenes de senyals simultàniament: la velocitat de navegació, els patrons de moviment del ratolí, la seqüència de pàgines visitades, les característiques del dispositiu i l’historial de comportament de la IP. El resultat és una reducció significativa de falsos positius, cosa que beneficia tant la seguretat com l’experiència d’usuari.
Per als administradors web, la IA també facilita la gestió proactiva de la seguretat. Les eines d’anàlisi predictiu poden anticipar pics de trànsit maliciós basant-se en patrons històrics i esdeveniments externs, permetent ajustar les regles de firewall de forma preventiva en lloc de reactiva. Aquesta evolució cap a la seguretat adaptativa promet reduir dràsticament la incidència d’errors com el 1020 en els pròxims anys.
La seguretat web no hauria de ser una elecció entre protecció i accessibilitat. La configuració intel·ligent del firewall permet bloquejar amenaces reals sense convertir el teu lloc en una fortalesa inaccessible per als usuaris que vols atraure.
Albert Puig Navàs · Co-Founder & Head of Growth a CRONUTS.DIGITAL
Preguntes freqüents
El que CMOs i directors ens pregunten.
8 dubtes concrets amb resposta accionable en ≤ 80 paraules · format òptim per a AI Overviews.
¿Qué son los Core Web Vitals y por qué son críticos en 2026?
¿Cómo mido LCP, INP y CLS con datos reales?
web-vitals desde 2024.