Cuando el uso de recursos en el sitio de un cliente empieza a subir sin que haya un aumento equivalente en el número de visitas, lo más probable es que la causa sea el tráfico de bots. Los bots que acceden a endpoints que no se pueden almacenar en caché, como acciones del carrito, páginas de productos filtradas y consultas de búsqueda, activan la ejecución de PHP y consultas a la base de datos en cada solicitud. Por eso, la caché de tu página nunca tiene la oportunidad de absorberlas.

Aunque tu instinto te diga que bloquees todo el tráfico automatizado, Googlebot, Bingbot, los lectores de RSS y los monitores de disponibilidad entran en la misma categoría automatizada que los bots que quieres detener. Bloquearlo todo elimina el tráfico que mantiene tus sitios visibles y en funcionamiento.

La Protección contra Bots de Kinsta te permite filtrar las solicitudes que generan costes sin aportar ningún valor y dejar pasar solo las que realmente importan. Estos controles se sitúan en la capa de infraestructura, lo que significa que el filtrado se produce antes incluso de que las solicitudes lleguen a tu sitio de WordPress.

Por qué bloquear el tráfico de forma generalizada no es la solución

Un bloqueo total de todo el tráfico automatizado es, en teoría, una táctica válida para reducir el desperdicio de ancho de banda. Sin embargo, al hacerlo también se eliminan las solicitudes de las que dependes. Por ejemplo, un bloqueo total implica que Googlebot y Bingbot no podrán rastrear tu contenido, que las herramientas de monitorización del tiempo de actividad no harán lo que necesitas que hagan y que las integraciones de las APIs que conectan los flujos de trabajo de tus clientes con WordPress dejarán de funcionar.

Por el contrario, el tráfico que vale la pena bloquear es un subconjunto específico del total: los bots no verificados y los procesos automatizados que acceden a endpoints no almacenables en caché. En muchos casos, estos no contribuyen al SEO, a la experiencia del usuario ni a los ingresos.

Sin embargo, según David Belson, antiguo Responsable de Análisis de Datos en Cloudflare, este es un comportamiento típico en muchas acciones realizadas por bots:

La mayor parte de lo que vemos no es malicioso. Son bots que funcionan de forma ineficaz a gran escala, y ahí es donde empiezan los verdaderos problemas.

Un bot que sigue variaciones de URLs no puede reconocer que está entrando en un bucle. Por ejemplo, imagina que cada filtro de producto, cadena de consulta o parámetro del carrito se trata como una página distinta. Los datos de nuestra propia infraestructura registraron 550 millones de solicitudes filtradas por una sola regla de detección de bucles en un periodo de 30 días. Un servidor procesa cada una de ellas como trabajo real, independientemente de la intención.

La seguridad a nivel de plataforma de Kinsta ya se encarga de las amenazas más evidentes, bloqueando el tráfico clasificado como malicioso antes de que llegue a tu sitio. Esto incluye la mitigación de ataques DDoS y las solicitudes procedentes de direcciones IP asociadas a fuentes de ataque conocidas. Sin embargo, entre esta protección básica y el tráfico que quieres permitir existe una capa intermedia de seguridad contra los bots no verificados y no deseados.

Filtrar de forma selectiva el tráfico automatizado restante es lo que evita que el uso de recursos se dispare mientras el número de visitas se mantiene estable. Es este patrón el que muchas agencias que gestionan Alojamiento para WordPress de múltiples clientes reconocen como una señal de que la carga generada por bots ha superado el umbral de lo que la capa de seguridad predeterminada puede gestionar por sí sola.

Entender el tráfico que realmente gestionas

Kinsta clasifica cada solicitud utilizando una combinación de su propio análisis de tráfico y el sistema de aprendizaje automático de Cloudflare, que asigna a cada visitante una puntuación de bot del 1 al 99. Una puntuación de 99 indica que es muy probable que la solicitud provenga de un humano; una puntuación de 1 confirma que se trata de actividad automatizada.

Hay cinco categorías que influyen en las decisiones sobre protección:

  • Los bots verificados son tráfico automatizado procedente de organizaciones reconocidas. Esto incluye a Googlebot, Bingbot y otros servicios que figuran en el directorio de bots verificados de Cloudflare. Estos pasan sin problemas por todos los niveles de protección, independientemente de tu configuración.
  • Los probablemente humanos obtienen una puntuación entre 30 y 99 y representan a visitantes reales con un comportamiento de navegación normal.
  • Los probablemente bots obtienen una puntuación entre 2 y 29 y representan automatizaciones no verificadas detectadas como probable actividad de bot.
  • El tráfico automatizado tiene una puntuación de uno y abarca los bots confirmados, pero también incluye herramientas que se conectan a tu sitio de forma programada sin una identidad verificada. Se trata de integraciones personalizadas, scripts de despliegue, monitores de disponibilidad autohospedados y mucho más.
  • Los rastreadores de IA con frecuencia excesiva son bots de IA que generan carga mediante solicitudes muy frecuentes o en bucle.

Hay otras dos categorías que vale la pena mencionar. En primer lugar, el tráfico malicioso se bloquea automáticamente en todos los niveles de protección, sin necesidad de configuración. Sin embargo, también existe el tráfico no clasificado. Normalmente se trata de cantidades muy pequeñas e inofensivas de tráfico. Suele consistir en solicitudes de servicios internos que no afectan al servidor de origen, como las solicitudes que se generan cuando tu sitio web muestra una página de error.

Cómo entender tu uso de recursos con MyKinsta

El primer paso es entender qué tipo de tráfico es el que está generando el consumo de recursos. La vista de analítica de tráfico de bots y automatizado de MyKinsta te muestra cómo se clasifican las solicitudes que llegan a tu sitio, lo que te ayuda a identificar más fácilmente cuándo el tráfico automatizado está contribuyendo a aumentar la carga.

Para consultar estos datos, ve a Sitios > nombre del sitio > Analíticas > Tráfico de bots y automatizado.

La pantalla de analíticas de MyKinsta, donde se muestra el historial de solicitudes en forma de gráfico de barras.
La pantalla de analíticas de MyKinsta que muestra el historial de solicitudes en forma de gráfico de barras.

Esta vista clasifica el tráfico en bots verificados, probablemente bots, rastreadores de IA, rastreadores agresivos, tráfico automatizado y usuarios probablemente humanos. En lugar de deducir la actividad de los bots de forma indirecta solo a partir del ancho de banda o del número de visitas, puedes ver cuánto tráfico automatizado llega realmente a tu sitio y cómo lo clasifica Kinsta.

Por ejemplo, los picos en el número de rastreadores agresivos o en el tráfico automatizado suelen indicar que hay bots que acceden repetidamente a endpoints que no están almacenados en caché. Del mismo modo, un volumen elevado de tráfico de rastreadores de IA puede explicar un aumento inesperado del ancho de banda o una mayor carga en el servidor de origen, incluso cuando el tráfico humano se mantiene relativamente estable.

El gráfico de resultados de la protección contra bots también muestra cómo se gestionan las solicitudes tras su clasificación, incluyendo el tráfico que se ha permitido, el que se ha sometido a verificación o el que se ha bloqueado. Esto te da una idea más clara de cómo afectan tus ajustes de protección al tráfico entrante antes de cambiar los niveles de protección.

La vista de analíticas de bots y tráfico automatizado dentro de MyKinsta.
La vista de analíticas de bots y tráfico automatizado dentro de MyKinsta.

El informe Solicitudes más frecuentes por visitas de las Analíticas también te ayuda a identificar los endpoints exactos que reciben el mayor volumen de solicitudes. Un grupo de solicitudes repetidas a rutas que no se pueden almacenar en la caché, como las URL de añadir al carrito, las páginas de productos filtrados, las consultas de búsqueda y los endpoints del proceso de compra, suele indicar que los bots están consumiendo recursos del servidor que la caché no puede absorber.

Solicitudes más frecuentes por visitas.
Solicitudes más frecuentes por visitas.

En conjunto, estas analíticas ofrecen la forma más clara de relacionar los patrones de tráfico con el uso de los recursos antes de decidir qué nivel de protección aplicar.

Cómo funciona la Protección Contra Bots de Kinsta

Los controles de Protección contra Bots de MyKinsta funcionan a nivel de infraestructura. El filtrado se realiza antes de que las solicitudes lleguen al nivel de PHP o de la base de datos, por lo que la reducción de la carga del servidor se aplica al coste total de la solicitud. Esto significa que no hace falta ningún plugin ni hay que hacer ningún cambio en la configuración de WordPress.

Kinsta clasifica el tráfico entrante mediante una combinación de su propio análisis de tráfico y el sistema de detección de bots de nivel empresarial de Cloudflare. Las solicitudes se clasifican en grupos de tráfico como bots verificados, posibles bots, rastreadores de IA, rastreadores agresivos, tráfico automatizado y posibles usuarios humanos. El nivel de protección que elijas determina cómo se gestiona cada categoría.

Todos los controles de protección contra bots se encuentran en Sitios > nombre del sitio > Protección contra Bots.

La pantalla de Protección contra Bots con opciones para bloquear rastreadores de IA y cambiar el nivel de protección.
La pantalla de Protección contra Bots con opciones para bloquear rastreadores de IA y cambiar el nivel de protección.

Hay cuatro componentes principales en la pantalla de Protección contra bots:

  • Niveles de protección que determinan si el tráfico se permite, se controla o se bloquea.
  • Un botón independiente para bloquear los rastreadores de IA.
  • Una configuración para Permitir automatizaciones típicas de WordPress para las APIs habituales de WordPress y las funciones en segundo plano.
  • Permite siempre excepciones para fuentes de tráfico de confianza.

Como parte de la integración con Cloudflare de Kinsta, la infraestructura subyacente de evaluación y verificación de bots tiene un nivel empresarial por defecto.

Elegir un nivel de protección

Tienes cuatro niveles entre los que elegir en el panel Nivel de protección de la pantalla Protección contra Bots:

  • Bloquear el tráfico malicioso es la configuración predeterminada en todos los sitios de Kinsta. Se encarga de mitigar los ataques DDoS y bloquea el tráfico procedente de direcciones IP y endpoints asociados a fuentes de ataque conocidas.
  • Bloquear automatizaciones amplía la opción predeterminada para bloquear también el tráfico automatizado confirmado, sin afectar a los visitantes humanos ni a los que parecen ser humanos.
  • Desafiar bots bloquea el tráfico automatizado y malicioso, y añade un paso de verificación para los posibles bots. A los visitantes que superen la verificación no se les volverá a pedir que la repitan durante diez días si usan el mismo navegador y la misma dirección IP. Ten en cuenta que las pruebas basadas en CAPTCHA pueden resultar difíciles para los visitantes que usan tecnologías de apoyo, algo que conviene tener en cuenta en los sitios web con requisitos de accesibilidad.
  • Desafiar a todos también aplica los desafíos a los usuarios que parecen ser humanos, por lo que resulta más adecuado para un uso a corto plazo durante un pico de tráfico que como configuración permanente.

Para cambiar el nivel, ve a Sitios >  nombre del sitio > Protección contra Bots y haz clic en el botón Cambiar. También puedes aplicar un cambio en varios sitios a la vez yendo a Sitios, seleccionando los sitios correspondientes y utilizando Acciones > Cambiar Protección contra Bots.

La pantalla Nivel de protección en MyKinsta, donde se muestran los cuatro niveles de protección disponibles.
La pantalla Nivel de protección en MyKinsta, donde se muestran los cuatro niveles de protección disponibles.

Si subes el nivel a Desafiar bots o superior, esto puede afectar a las herramientas que se conectan a tu sitio web mediante programación. Cualquier servicio que no figure en el directorio de bots verificados de Cloudflare quedará bloqueado o será sometido a un desafío en estos niveles.

Permitir las automatizaciones típicas de WordPress

Algunas funcionalidades de WordPress dependen de solicitudes automáticas para funcionar correctamente. Entre ellas se incluyen la API REST de WordPress, las tareas programadas en segundo plano, las integraciones de plugins, las herramientas de SEO, los formularios, las conexiones con herramientas de analítica y los servicios de sincronización.

La configuración Permitir automatizaciones típicas de WordPress ayuda a mantener estos flujos de trabajo habituales de WordPress, al tiempo que filtra el tráfico automatizado no deseado. Esto ayuda a reducir el riesgo de que se bloqueen funciones legítimas cuando se utilizan niveles de protección más estrictos.

El panel de configuración Permitir automatizaciones típicas de WordPress en MyKinsta.
El panel de configuración Permitir automatizaciones típicas de WordPress en MyKinsta.

Si tu sitio depende de integraciones personalizadas o de servicios de terceros, sigue mereciendo la pena comprobar que las funciones esenciales funcionan correctamente después de activar una configuración de protección más estricta.

Bloquear los rastreadores de IA

El botón de activación Bloquear rastreadores de IA afecta a los rastreadores de IA que recopilan contenido para el entrenamiento de modelos, la generación aumentada por recuperación y las funcionalidades de búsqueda basadas en IA. Bloquea estos rastreadores, incluidos los verificados como GPTBot, pero no afecta a los rastreadores de los motores de búsqueda. Googlebot y Bingbot siguen rastreando e indexando tu sitio, tanto si el botón está activado como desactivado.

Para activarlo, ve a Sitios > nombre del sitio > Protección contra Bots y haz clic en el control deslizante junto a Bloquear rastreadores de IA. Si tienes varios sitios, usa Acciones > Cambiar bloqueo de rastreadores de IA desde la vista de Sitios.

La pantalla Protección contra Bots de MyKinsta, donde se ve el interruptor Bloquear rastreadores de IA.
La pantalla Protección contra Bots de MyKinsta, donde se ve el interruptor Bloquear rastreadores de IA.

En los sitios web en los que sospeches que el volumen de rastreadores de IA tiene un impacto, según tus datos analíticos, esta opción te permite eliminarlo sin que afecte a la visibilidad en las búsquedas tradicionales. Sin embargo, la contrapartida es una menor visibilidad en los resúmenes de IA y en los resúmenes de contenido.

Los rastreadores bloqueados por esta opción alimentan los sistemas que muestran contenido en las respuestas y recomendaciones generadas por IA. Si tu estrategia de contenido depende de esta exposición, te conviene comprobar el impacto antes de dejar la opción activada de forma permanente.

Crear excepciones con Permitir siempre

La sección Permitir siempre te permite crear excepciones para el tráfico que nunca debe ser bloqueado ni sometido a verificación por la protección contra bots.

El panel Permitir siempre de la pantalla Protección contra Bots de MyKinsta.
El panel Permitir siempre de la pantalla Protección contra Bots de MyKinsta.

Esto resulta útil para integraciones de confianza, servicios de monitorización, sistemas de despliegue, APIs internas o visitantes concretos que necesiten acceso ininterrumpido a tu sitio.

Puedes crear excepciones basadas en:

  • Direcciones IP o rangos de IP
  • Rutas o endpoints
  • Agentes de usuario

Por ejemplo, podrías añadir un servicio de monitorización a la lista de permitidos, excluir un endpoint de API personalizado de los desafíos o asegurarte de que un flujo de trabajo de despliegue siga funcionando con normalidad incluso con niveles de protección más estrictos.

El panel Añadir nueva excepción dentro del panel Protección contra Bots de MyKinsta.
El panel Añadir nueva excepción dentro del panel Protección contra Bots de MyKinsta.

Dado que las excepciones se aplican antes de que se apliquen las reglas de protección, debes usarlas con cuidado y revisarlas periódicamente para evitar eludir involuntariamente las medidas de seguridad.

Deja de dedicar ancho de banda al tráfico que no devuelve nada

El tráfico de bots no gestionado genera una carga en el servidor que ninguna optimización del código puede resolver, ya que llega antes de que la caché pueda absorberlo. Este tráfico consume hilos de PHP y conexiones a la base de datos en cada solicitud.

La solución no es bloquear toda la automatización, sino filtrar de forma selectiva el tráfico que desperdicia recursos, al tiempo que permites el acceso a los bots y servicios de los que depende tu sitio.

Si quieres tener más control sobre cómo se gestiona el tráfico automatizado en tu sitio, la Protección contra Bots de Kinsta te ofrece las herramientas para monitorizar, clasificar, verificar y bloquear el tráfico no deseado directamente desde MyKinsta.

Joel Olawanle Kinsta

Joel es un desarrollador Frontend que trabaja en Kinsta como Editor Técnico. Es un formador apasionado enamorado del código abierto y ha escrito más de 200 artículos técnicos, principalmente sobre JavaScript y sus frameworks.