La web está más activa que nunca, no solo con visitantes humanos, sino también con cada vez más bots automatizados, rastreadores y herramientas de inteligencia artificial que escanean constantemente los sitios web en busca de contenido y datos.

Aunque algunos bots son útiles, como los rastreadores de los motores de búsqueda que ayudan a descubrir tu contenido, otros pueden inflar rápidamente tus métricas de tráfico, sesgar los análisis e incluso provocar sobrecostes de alojamiento innecesarios.

En esta guía, mostramos cómo utilizar las herramientas de seguridad gratuitas de Cloudflare, como el Bot Fight Mode, JavaScript y los desafíos gestionados, así como otros ajustes de Cloudflare, para ayudarte a reducir el tráfico no deseado de bots, proteger tu sitio de WordPress y garantizar que tus recursos de alojamiento se reserven para los visitantes reales.

Configurar Cloudflare para la protección contra bots

No necesitas una cuenta premium ni una configuración compleja para detener el tráfico no deseado de bots con Cloudflare. El plan gratuito de Cloudflare ofrece varias funcionalidades potentes que pueden marcar una gran diferencia.

Vamos a explicarte cómo empezar.

Conecta tu sitio a Cloudflare

Si alojas tu sitio de WordPress con Kinsta, ya te estás beneficiando de una potente integración con Cloudflare, que incluye un rendimiento de nivel empresarial y una CDN global. Sin embargo, para acceder a herramientas de seguridad avanzadas, necesitas conectar tu propia cuenta de Cloudflare.

Afortunadamente, este proceso es rápido y sencillo. Te ofrecemos un tutorial detallado, paso a paso, que te guía por todo el proceso, desde añadir tu dominio hasta configurar los registros DNS y los servidores de nombres. Sigue esta guía para conectar tu sitio:

👉 Cómo instalar y configurar Cloudflare en tu sitio de WordPress

Una vez que tu dominio esté conectado y activo en Cloudflare, estarás listo para activar las funcionalidades que ayudan a proteger tu sitio del tráfico no deseado de bots y scraper, sin afectar a los visitantes reales.

Activar Bot Fight Mode

Una vez que tu sitio esté conectado a Cloudflare, una de las formas más rápidas y eficaces de empezar a filtrar el tráfico automatizado no deseado es activar el Bot Fight Mode.

Esta funcionalidad gratuita de Cloudflare ayuda a detectar y mitigar los bots conocidos que pueden rastrear, extraer datos o sobrecargar tu sitio web, incluso cuando intentan disfrazarse de visitantes humanos.

Para activar el bot fight mode, sigue estos pasos:

  1. En el menú de la izquierda, ve a Seguridad > Configuración.
  2. En la sección Filtrar por, elige Tráfico de bots.
  3. Busca Bot fight mode y actívalo.
Panel de control de Cloudflare que muestra las opciones de configuración del Bot Fight mode para una mayor seguridad.
Panel de Cloudflare mostrando la opción Bot Fight mode.

Tras la activación, puedes monitorizar los resultados dentro de tus analíticas de MyKinsta, ya que los recuentos de visitas empiezan a descender porque Cloudflare filtra más peticiones no humanas antes de que lleguen a tu sitio.

Si utilizas un plan de Cloudflare de pago, tendrás acceso al Super Bot fight mode, una versión mejorada del  Bot fight mode con más flexibilidad. Se basa en la misma tecnología, pero te permite elegir cómo gestionar los distintos tipos de tráfico, habilitando detecciones de JavaScript para atrapar navegadores headless, rastreadores ocultos y otros tipos de tráfico malicioso.

Por ejemplo, en lugar de bloquear todos los rastreadores, puedes configurar la herramienta para que sólo bloquee el «tráfico definitivamente automatizado» y permita los «bots verificados», como los rastreadores de los motores de búsqueda:

Panel de control del modo Super Bot Fight de Cloudflare, que muestra la configuración y las analíticas de protección contra bots.
Super Bot Fight Mode de Cloudflare.

Configura JavaScript y los desafíos gestionados

Incluso con el Bot fight mode activo, algunos rastreadores automatizados o herramientas de IA pueden colarse, especialmente los que imitan el comportamiento normal de navegación.

Las reglas de seguridad de Cloudflare te permiten aplicar una protección adicional en forma de desafíos, que verifican que los visitantes son humanos antes de concederles acceso.

Puedes aplicar Desafíos JS en todo el sitio, pero para la mayoría de los sitios de WordPress, es mejor utilizarlos en rutas específicas como:

  • /wp-login.php (página de inicio de sesión de WordPress)
  • /xmlrpc.php (objetivo habitual de bots)
  • /wp-admin/ (área de administración)

Para añadir una regla JavaScript o de Desafío Gestionado:

  • Ve a Seguridad > Reglas de seguridad.
  • Haz clic en Crear regla > Reglas personalizadas.
  • Introduce un Nombre de regla (por ejemplo, Desafío JS para wp-login).
  • En Cuando coincidan las solicitudes entrantes, configura:
    • Campo: Ruta URI
    • Operador: contiene
    • Valor: /wp-login.php
Configuración de reglas personalizadas en Cloudflare para gestionar y filtrar el tráfico web.
Regla personalizada configurada en Cloudflare.

Puedes añadir más condiciones según sea necesario haciendo clic en Editar expresión y, a continuación, puedes añadir una expresión como la siguiente:

(http.host in {"example.com" "www.example.com"} and 
 starts_with(http.request.uri.path, "/wp-admin") and 
 not cf.client.bot and 
 not http.request.uri.path contains "/wp-admin/admin-ajax.php")

El ejemplo anterior se dirige al área /wp-admin, omite los bots verificados y excluye el endpoint AJAX utilizado por los plugins de WordPress.

En Then take action (Actuar a continuación), elige una de las siguientes opciones:

  • JavaScript Challenge (Desafío JavaScript) – ejecuta una prueba de navegador para cada visitante.
  • Managed Challenge (Desafío gestionado) – deja que la IA de Cloudflare decida cuándo desafiar, basándose en el comportamiento y el nivel de riesgo.

Por último, haz clic en Desplegar para activar la regla. Si quieres probarla primero, elige Guardar como borrador.

Monitoriza los resultados

Una vez que hayas activado el Bot fight mode o configurado tus propias reglas de Cloudflare, es importante confirmar que tus cambios están funcionando y que el tráfico automatizado que infló tus visitas se está filtrando eficazmente.

Tanto Cloudflare como MyKinsta ofrecen herramientas de analíticas que te permiten medir el impacto. A continuación te explicamos cómo utilizarlas conjuntamente.

Comprueba las analíticas de seguridad de Cloudflare

En tu panel de Cloudflare, ve a Seguridad > Analíticas > Analíticas de bots.

El panel Analíticas de bots de Cloudflare muestra estadísticas de tráfico de bots y tendencias de actividad.
Analíticas de bots de Cloudflare.

Esta vista proporciona un desglose claro de cuánto del tráfico total de tu sitio está generado por humanos frente a bots.

Cloudflare asigna una puntuación de bot a cada solicitud entrante basándose en patrones, aprendizaje automático y señales de comportamiento. Estas puntuaciones se agrupan en tipos de tráfico como:

  • Automatizado – Bots claramente no humanos.
  • Probablemente automatizado – Peticiones sospechosas, similares a las de los bots (por ejemplo, navegadores headless o rastreadores de IA).
  • Probablemente humano – Visitantes normales que utilizan navegadores reales.
  • Bot verificado – Bots legítimos (como Googlebot o PayPal).

El gráfico Analíticas de bots muestra estas categorías en tiempo real. Puedes utilizar los filtros (por país, dirección IP, navegador o sistema operativo) para identificar de dónde procede la mayor parte del tráfico automatizado.

Interfaz de analítica de Cloudflare que muestra analíticas de tráfico filtrado e información de seguridad.
Filtrar el análisis del tráfico.

Comprueba las analíticas de MyKinsta

A continuación, abre tu panel de MyKinsta > Analíticas > Informe de visitas.

Visita la vista de analíticas en MyKinsta, donde se muestran las tendencias de tráfico y la información sobre el uso.
Vista de analíticas de visitas en MyKinsta.

Como Kinsta mide las visitas basándose en las direcciones IP únicas vistas cada día (y no en el seguimiento de JavaScript como Google Analytics), proporciona una visión precisa de todo el tráfico que llega a tu sitio, incluidos los bots que se cuelan a través de otros filtros.

Después de que Cloudflare empiece a bloquear las peticiones automatizadas, deberías notar un descenso en el total de visitas (puesto que los bots ya no llegan a tu origen).

Si sigues viendo picos, revisa tus informes de Solicitudes Principales e IPs de Clientes Principales para identificar cualquier URL o IP que se solicite repetidamente. Estos son candidatos probables a nuevos retos de Cloudflare o bloqueos de países.

Direcciones IP de los clientes principales que se muestran en las estadísticas de MyKinsta para monitorizar las fuentes de tráfico del sitio.
Direcciones IP de clientes principales mostradas en las analíticas de MyKinsta.

Resumen

Gestionar el tráfico no deseado de bots se ha convertido en parte del funcionamiento de un sitio web moderno. Con las herramientas gratuitas de Cloudflare, puedes filtrar rápidamente los rastreadores y scrapers automatizados antes de que afecten al rendimiento o aumenten el uso del alojamiento.

Para los clientes de Kinsta, combinar estas protecciones de Cloudflare con tu configuración de alojamiento ayuda a que tus analíticas reflejen con precisión los visitantes reales y mantiene un uso coherente de los recursos. Si quieres aún más previsibilidad, los nuevos planes de Kinsta basados en el ancho de banda ofrecen una alternativa a los precios basados en las visitas.

Juntos, Cloudflare y Kinsta te proporcionan la visibilidad y el control necesarios para centrarte en tus contenidos y usuarios, en lugar de perseguir bots.

Joel Olawanle Kinsta

Joel es un desarrollador Frontend que trabaja en Kinsta como Editor Técnico. Es un formador apasionado enamorado del código abierto y ha escrito más de 200 artículos técnicos, principalmente sobre JavaScript y sus frameworks.