¿Tratando de detener el spam de registro de WordPress en tu sitio?

Debido a la inmensa popularidad de WordPress, es un jugoso objetivo para los spammers de todo el mundo. Puede que sólo estén tratando de explotar tu sitio y obtener acceso. O podrían querer enviar spam a tu comunidad, como llenar tu foro con temas de spam.

Si permites el registro público en tu sitio de WordPress, es casi seguro que vas a tener problemas con los registros de spam de una forma u otra.

En este post, aprenderás a reducir los registros de spam usando una mezcla de características incorporadas de WordPress y plugins gratuitos.

El proceso de registro de WordPress por defecto

Antes de llegar a la táctica, discutamos brevemente el proceso de registro de WordPress por defecto.

Si permite el registro público en tu sitio, la página de registro predeterminada de WordPress se encuentra en https://yoursite.com/wp-login.php?action=register:

El formulario de registro predeterminado de WordPress
El formulario de registro predeterminado de WordPress

Como puedes ver, no hay mucho que impida a los actores maliciosos o a los bots crear registros de spam.

Los bots pueden ir directamente a tu página de registro añadiendo la misma fórmula a todos los dominios de WordPress y no hay nada que les impida rellenar los campos del formulario.

¿Cómo detener el spam de registro de WordPress?

Hay varias estrategias diferentes que puedes usar para detener el spam de registro de WordPress. Dependiendo de las necesidades de tu sitio y de la gravedad de tu problema, puede ser que necesites implementar sólo una de estas estrategias o que necesites probar múltiples tácticas para detener el spam.

Aquí está la lista completa de estrategias:

Deshabilitar completamente el registro de WordPress

En primer lugar, si no necesitas un registro público en tu sitio de WordPress, es mejor desactivar el registro por completo en lugar de intentar luchar contra los registros de spam.

Aunque tengas que dar a otros usuarios cuentas de usuario en tu sitio, eso no significa necesariamente que tengas que habilitar el registro público. Por ejemplo, si sólo necesitas que un pequeño número de personas tengan sus propias cuentas, podrías crear manualmente cuentas para ellos en lugar de dejar que se registren ellos mismos.

Para desactivar completamente el registro de usuario en WordPress, vaya a Configuración → General y asegúrate de que la casilla Cualquier persona puede registrarse está desmarcada:

Cómo desactivar el registro de WordPress
¿Cómo desactivar el registro de WordPress?

Una vez que deshabilites el registro, cualquiera que intente visitar tu página de registro predeterminada verá este mensaje:

Un ejemplo de registro de discapacitados
Un ejemplo de registro de discapacitados

Añada el CAPTCHA a tu formulario de registro

Otra forma de evitar el spam de registro de usuarios es añadir un CAPTCHA al formulario de registro predeterminado de WordPress.

Hay varios tipos de CAPTCHA que puedes usar, pero la mayoría de la gente encuentra que el servicio reCAPTCHA de Google es el más fácil de usar (también conocido como No CAPTCHA reCAPTCHA). Su objetivo es ser invisible para la mayoría de los visitantes humanos legítimos, mientras que sigue mostrando una prueba de CAPTCHA a los visitantes que determina que son probablemente bots.

Para añadir NoCAPTCHA reCAPTCHA a tu formulario de registro de WordPress, puedes usar el plugin gratuito Advanced noCaptcha & invisible Captcha (v2 & v3).

Para configurar el plugin, primero tendrás que generar una clave gratuita de la API de reCAPTCHA de Google – lo que sólo implica entrar en tu sitio web y elegir qué tipo de reCAPTCHA utilizar:

Generando la clave API de reCAPTCHA
Generando la clave API de reCAPTCHA

Entonces, puedes ir a Settings → Advanced noCaptcha & invisible captcha para configurar el plugin:

  • Elige la versión (asegúrate de que coincide con la que seleccionaste cuando creaste tu clave de API).
  • Añade tu clave de sitio y tu clave secreta (Google se las da después de enviar el formulario de la captura de pantalla anterior).
  • Elige dónde activar tu CAPTCHA. Además de tu formulario de registro, también puedes habilitarlo para otras partes de tu sitio, como tu formulario de acceso.
Cómo configurar WordPress reCAPTCHA
¿Cómo configurar WordPress reCAPTCHA?

Una vez que guardes los cambios, deberías ver el formulario de CAPTCHA en tu página de registro (a menos que hayas elegido un método invisible, en cuyo caso sólo sería visible para los presuntos bots):

Un ejemplo de reCAPTCHA en el formulario de registro por defecto
Un ejemplo de reCAPTCHA en el formulario de registro por defecto

Usar un plugin de registro de spam dedicado de WordPress

Algunos plugins anti-spam de WordPress de uso múltiple pueden ayudar a detener el spam de registro de WordPress, así como el spam en otras áreas, como la sección de comentarios o el envío de formularios.

Desafortunadamente, el popular plugin de spam de comentarios Akismet de Automattic no funciona para el spam de registro, pero algunas otras opciones populares que sí bloquean el spam de registro incluyen:

Una vez más, estos plugins no se limitan sólo al registro de spam, sino que ayudan a bloquear los registros de spam como parte de 1qtus esfuerzos generales contra el spam.

Requiere la aprobación de la administración para los nuevos usuarios

Si además de las cuentas de spam propiamente dichas, también te preocupa lo que la gente hace después de registrarse, otra buena estrategia es requerir la aprobación del administrador para los nuevos usuarios.

Por ejemplo, si te preocupa que la gente envíe spamforo de bbPress o a la comunidad de BuddyPress, requerir la aprobación del administrador te permite evitar esa situación.

Este es uno bueno para combinar con un CAPTCHA u otra estrategia: el CAPTCHA filtrará el spam automatizado de bajo nivel y puedes usar la aprobación manual para atrapar todo lo demás.

Sin embargo, si tienes toneladas de registros de spam y tratas de implementar esta estrategia por sí misma, podrías encontrarte abrumado tratando de clasificar todos los registros.

Para requerir la aprobación del administrador para nuevos usuarios, puedes usar el plugin gratuito WP Approve User.

Una vez que instalas y activas el plugin, empieza a funcionar de inmediato. Todos tus usuarios actuales ya estarán aprobados (para evitar problemas).

Los nuevos usuarios, sin embargo, requerirán una aprobación manual, lo cual puede hacerse desde el área de usuarios existentes en su tablero de WordPress:

Aprobación de usuarios con el plugin WP Approve User
Aprobación de usuarios con el plugin WP Approve User

También tienes la opción de enviar y personalizar correos electrónicos para cuando un usuario lo haga:

  • Aprobado
  • No aprobado

Puedes habilitar estos correos electrónicos y personalizar su contenido visitando Configuración → Aprobar usuario.

Bloquear las direcciones IP maliciosas

Si la mayor parte del spam de registro proviene de las mismas direcciones IP, puede reducir el problema bloqueando esas direcciones IP para que no puedan acceder a tu sitio en primer lugar.

Si te hospedas en Kinsta, ofrecemos una herramienta de denegación de IP en el panel de control de Kinsta. Para acceder a ella, abre el sitio donde tienes problemas y elige la opción de denegación de IP en la barra lateral del tablero del sitio:

¿Cómo bloquear las direcciones IP con MyKinsta?
¿Cómo bloquear las direcciones IP con MyKinsta?

La mayoría de los hosts de cPanel también deberían darte una herramienta de bloqueo de IP.

Cambiar la URL de registro de WordPress

Si deseas añadir algo de «seguridad por oscuridad» a tu página de registro y reducir el tráfico de bot de bajo nivel, puedes cambiar la URL de tu página de registro alejándola de la predeterminada que utilizan todos los sitios de WordPress.

La página de registro forma parte de la página de inicio de sesión de WordPress, por lo que puedes lograrlo con cualquier plugin que te permita cambiar la URL de inicio de sesión de WordPress.

Una buena opción es el plugin gratuito WPS Hide Login.

Una vez que instales el plugin, ve a Settings → WPS Hide Login para ingresar tu nuevo URL. También puedes redirigir el URL predeterminado a otra página, como tu página 404:

Cómo cambiar el URL de registro de WordPress
¿Cómo cambiar el URL de registro de WordPress?

Por ejemplo, si cambias la URL de inicio de sesión a yoursite.com/sneakylogin, la página de registro predeterminada ya no funcionará. Tu nueva página de registro sería yoursite.com/sneakylogin/? action=register.

Utiliza un plugin personalizado para el formulario de registro de WordPress

Otra buena alternativa para detener el spam de registro de WordPress es usar un plugin de formulario de registro de WordPress personalizado.

Estos plugins te permiten pasar por alto el proceso normal de registro de WordPress y también implementar una serie de útiles tácticas anti-spam como:

  • URL de registro personalizado: si cambias la URL de registro para que no sea la predeterminada, puedes reducir el spam de bajo nivel, aunque es poco probable que detenga el spam de registro de los usuarios por sí mismo.
  • Confirmación de correo electrónico – esto evita que los usuarios de spam con correos falsos requieran que los nuevos usuarios confirmen su correo electrónico. Si un usuario no confirma su correo electrónico, el plugin descartará automáticamente ese registro.
  • Aprobación de la administración para nuevos usuarios – estos plugins normalmente pueden ayudarte a implementar la función de aprobación de la administración desde arriba.
  • Prevención de Spam – estos plugins también pueden ayudarte a añadir campos de CAPTCHA o honeypot a tu formulario de registro personalizado.

Muchos plugins de formularios de WordPress de uso múltiple también incluyen la posibilidad de crear formularios de registro personalizados con características antispam. Sin embargo, el inconveniente es que normalmente sólo obtendrás las características de registro en la versión premium. Si estás dispuesto a pagar, hay algunas buenas opciones:

Veamos más de cerca cómo usar dos soluciones gratuitas proporcionadas por los plugins de Registro de Usuario y Constructor de Perfiles.

1. Registro de usuario

Cuando instales el plugin gratuito de registro de usuarios, te dará la opción de crear automáticamente tu página de registro personalizada ubicada en yoursite.com/registration (siempre se puede cambiar esta URL).

Tiene otras opciones para reducir el spam durante el proceso de registro.

En primer lugar, en la pestaña de Opciones Generales de la configuración del plugin, puedes utilizar el desplegable de la opción de inicio de sesión de usuario para requerir la aprobación del administrador después de que un usuario se registre:

Habilitar la aprobación del administrador en el plugin de registro de usuarios
Habilitar la aprobación del administrador en el plugin de registro de usuarios

También puedes ir a la pestaña Integración para configurar Google reCaptcha (necesitarás las claves de la API, puedes seguir los mismos pasos que en esta publicación):

Activar reCAPTCHA en el plugin de registro de usuario
Activar reCAPTCHA en el plugin de registro de usuario

Para habilitar el CAPTCHA en un formulario de registro específico, también necesitarías editar ese formulario y habilitarlo allí. Cuando edites un formulario, también puedes añadir campos de información de perfil adicionales si lo deseas.

2.Profile Builder

El plugin gratuito Profile Builder sigue el mismo enfoque básico.

Para personalizar los campos de tu formulario de registro, puedes ir a Profile Builder → Form Fields. Para añadir un CAPTCHA a tu formulario, puedes incluir un campo reCAPTCHA, en el que tendrás que añadir tus claves de la API:

Añadiendo un campo CAPTCHA en el plugin Profile Builder
Añadiendo un campo CAPTCHA en el plugin Profile Builder

Luego, para mostrar tu formulario de registro personalizado, puedes agregar el atajo [wppb-register] en cualquier lugar de tu sitio.

Profile Builder también incluye una función para requerir la aprobación del administrador para nuevos registros, pero sólo está disponible en la versión premium.

Resumen

Si necesitas permitir el registro público en tu sitio de WordPress, el registro de spam puede ser un tema frustrante. Puedes reducir o incluso eliminar completamente el spam de registro combinando diferentes tácticas.

La opción más simple y ligera es añadir un NoCAPTCHA reCAPTCHA al formulario de registro predeterminado de WordPress. La mayoría de los visitantes humanos no notarán nada diferente, pero Google mostrará las pruebas de CAPTCHA a los bots para evitar que se registren como spam.

Si deseas una revisión completa, también puedes utilizar un plugin de registro dedicado de WordPress para crear un formulario de registro personalizado que incluya tus propias propiedades antispam, así como características como la aprobación del administrador para los nuevos usuarios.

Matteo Duò Kinsta

Editor en jefe de Kinsta y consultor de marketing de contenidos para desarrolladores de plugins de WordPress. Conéctese con Matteo en Twitter.