Cuando el uso de recursos en la página de un cliente empieza a subir sin que haya un aumento real de visitas, parece que lo mejor es cambiar a un plan superior. Es una buena idea cuando el crecimiento viene de tráfico real que aumenta la carga y la necesidad de capacidad.

Sin embargo, aunque el escalado aporta más recursos, no reduce el número de solicitudes que llegan al servidor. Si el tráfico de bots se suma a esas solicitudes y a la carga del servidor, una mayor capacidad solo les da más margen para actuar.

Como resultado, los costes de funcionamiento aumentan, pero los problemas de rendimiento siguen siendo los mismos. La herramienta de Protección contra Bots de Kinsta está diseñada para este tipo de situaciones, ya que te permite controlar lo que llega a tu servidor, en lugar de ampliar la superficie que lo absorbe.

Por qué los bots no se comportan como el tráfico real

Un visitante humano que se encuentra con una página lenta puede esperar, recargarla o, simplemente, marcharse. En cambio, un bot sigue enviando el mismo volumen de solicitudes, independientemente de cómo responda tu servidor. Este problema fundamental —que el tráfico de bots no sea capaz de autorregularse cuando añades recursos— hace que, al ampliar tu plan, les des a los bots más capacidad para consumir recursos.

La cosa se complica un poco más si tienes en cuenta cómo gestionan las solicitudes los sitios web modernos de WordPress. La mayor parte del tráfico de bots no llega a páginas estáticas que tu caché pueda absorber. En cambio, llega a endpoints que eluden los sistemas de almacenamiento en caché y obligan al servidor a trabajar más. En cualquier sitio web que utilice WooCommerce, la función de búsqueda o los filtros, esto significa que los bots acceden a varios elementos:

  • Acciones del carrito y variantes del parámetro ?add-to-cart=.
  • Páginas de productos filtrados con diferentes combinaciones de cadenas de consulta.
  • Consultas de búsqueda.
  • Pasos del proceso de pago y acciones relacionadas con la lista de deseos.
  • Interacciones basadas en AJAX.

Ninguno de ellos se puede almacenar en caché como lo haría una página estática. Cada vez que llega una solicitud a uno de estos endpoints, pasan varias cosas en el lado del servidor:

  • Ejecución de PHP. Se reserva un hilo de PHP durante todo el tiempo que dura la solicitud. Si hay una carga constante de bots, los hilos se agotan y tus visitantes tienen que esperar.
  • Consultas a la base de datos. Las páginas dinámicas consultan la base de datos cada vez que se cargan, ya que no hay una capa de caché que lo absorba.
  • Gestión de sesiones. Las páginas del carrito y de pago crean o validan sesiones en cada solicitud, lo que supone una carga adicional incluso para los bots que no realizan ninguna compra.

Según los datos de nuestra propia infraestructura, un solo bot fue capaz de generar 3,75 millones de solicitudes a las URLs de añadir al carrito en un periodo de 24 horas. Eso equivale más o menos a una solicitud cada 23 milisegundos, durante todo el día. Además, una sola regla de detección de bucles filtró 550 millones de solicitudes en toda la plataforma en un periodo de 30 días.

Sin embargo, no se trata de volúmenes de ataques en el sentido tradicional. Son el resultado de bots diseñados para seguir cada URL que encuentran, incluidas algunas variaciones de cadenas de consulta y rutas basadas en parámetros.

«Desde el punto de vista de la infraestructura, no existe eso de “solo tráfico de bots”. Cada solicitud supone un trabajo real. A gran escala, el rastreo ineficiente deja de ser un problema de tráfico y se convierte en un problema de recursos». – Daniel Pataki, director técnico de Kinsta

A qué se parece el coste del tráfico de bots

Las agencias suelen seguir un patrón cíclico: en cuanto aumenta el uso de recursos, los clientes amplían su plan y, a continuación, el uso de recursos vuelve a aumentar. Mientras tanto, el rendimiento no mejora porque el volumen de solicitudes subyacente no ha cambiado.

Como la facturación de Kinsta excluye el tráfico de bots del consumo de tu plan, tienes una forma rápida de averiguar si los bots son un problema. Los agentes de usuario de bots reconocidos ya se filtran en la pantalla Visitas de la sección Analíticas de MyKinsta. Si estas estadísticas parecen normales mientras tu servidor está sobrecargado, es probable que el tráfico automatizado sea la causa.

La vista de analíticas de bots y tráfico automatizado de MyKinsta te ofrece un desglose más claro del tráfico que llega a tu sitio, incluyendo bots verificados, posibles bots, rastreadores de IA, rastreadores agresivos, tráfico automatizado y posibles usuarios humanos.

La pantalla de analíticas de MyKinsta que muestra un historial de solicitudes representado en un gráfico de barras.
La pantalla de analíticas de MyKinsta que muestra un historial de solicitudes representado en un gráfico de barras.

Esto te ayuda a identificar más fácilmente cuándo el tráfico automatizado está consumiendo recursos. Por ejemplo, los picos en los rastreadores agresivos o el tráfico automatizado suelen indicar que hay bots que acceden repetidamente a endpoints no almacenados en caché.

El gráfico de resultados de la protección contra bots también muestra cómo se gestionan las solicitudes tras su clasificación, incluyendo el tráfico que se ha permitido, el que se ha sometido a verificación y el que se ha bloqueado. Esto te da una idea más clara de cómo afectan tus ajustes de protección actuales al tráfico entrante.

La vista de analíticas de tráfico automatizado y de bots en MyKinsta.
La vista de analíticas de tráfico automatizado y de bots en MyKinsta.

El informe Solicitudes más frecuentes por visitas también refleja qué es lo que está generando carga en tu servidor, e incluye todo el tráfico, no solo las visitas facturables. La diferencia entre esas dos cifras es donde se acumulan tus costes sin una explicación clara.

A continuación te explicamos cómo interpretar esa diferencia:

  • En primer lugar, comprueba las Visitas en Sitiosnombre del sitio > Analíticas > Uso del plan. Si las visitas parecen normales, no se trata de un aumento real del tráfico de usuarios.
  • Abre Solicitudes más frecuentes por visitas para ver todo el tráfico, incluidos los bots. Un grupo de solicitudes de gran volumen dirigidas a rutas que no se pueden almacenar en caché (URLs de añadir al carrito, variaciones de cadenas de consulta o pasos del proceso de pago) confirma que los bots están consumiendo recursos a los que tu caché no puede acceder.
  • Echa un vistazo rápido al informe de rendimiento. Aquí, los tiempos de respuesta elevados de PHP o el hecho de que se alcancen los límites de hilos son indicios de que la carga generada por bots está provocando estrés en el servidor.

Si gestionas portfolios de clientes, cada sitio web afectado por el tráfico generado por bots supone un coste difícil de justificar, sobre todo cuando el rendimiento no ha mejorado tras una actualización. El tráfico de bots de IA ha crecido un 300 % en el último año, y una de cada 31 visitas web es de un bot de IA. Este volumen no se resuelve por sí solo.

La seguridad a nivel de plataforma de Kinsta ya bloquea el tráfico entrante clasificado como malicioso antes de que llegue a tu sitio, lo que incluye la mitigación de ataques DDoS y las solicitudes procedentes de direcciones IP asociadas a fuentes de ataque conocidas. Entre esto y el tráfico que te interesa hay una categoría de solicitudes automatizadas no verificadas, de gran volumen y que consumen muchos recursos, que llegan a tu servidor de todos modos. Los controles de protección contra bots de Kinsta ayudan a reducir ese volumen.

Cómo funciona la protección contra bots de Kinsta

Los controles de protección contra bots de MyKinsta funcionan a nivel de infraestructura, y el filtrado se produce incluso antes de que WordPress entre en juego. Por lo tanto, no hay que instalar ningún plugin ni ajustar ninguna configuración de WordPress.

Kinsta clasifica cada solicitud utilizando una combinación de su propio análisis de tráfico y el sistema de aprendizaje automático de Cloudflare, que asigna a cada visitante una puntuación de bot del 1 al 99. Las puntuaciones altas indican que lo más probable es que la solicitud provenga de una persona; las puntuaciones bajas indican que se trata de actividad automatizada.

El tráfico se agrupa en categorías como bots verificados, probablemente bots, rastreadores de IA, rastreadores agresivos, tráfico automatizado y probablemente humanos. El nivel de protección que elijas determina cómo se gestiona cada categoría.

Puedes gestionar la Protección contra bots en MyKinsta, en Sitios > nombre del sitio > Protección contra bots.

La pantalla de Protección contra Bots con opciones para bloquear rastreadores de IA y cambiar el nivel de protección.
La pantalla de Protección contra Bots con opciones para bloquear rastreadores de IA y cambiar el nivel de protección.

Elegir un nivel de protección

La pantalla Nivel de protección en MyKinsta, donde se muestran los cuatro niveles de protección disponibles.
La pantalla Nivel de protección en MyKinsta, donde se muestran los cuatro niveles de protección disponibles.

Hay cuatro niveles entre los que elegir en el panel Nivel de protección de la pantalla Protección contra Bots:

  • Bloquear el tráfico malicioso es la configuración predeterminada, que se encarga de mitigar los ataques DDoS y bloquea el tráfico procedente de direcciones IP y endpoints asociados a fuentes de ataque conocidas.
  • Bloquear automatizaciones amplía la configuración predeterminada para bloquear también el tráfico automatizado confirmado, al tiempo que deja pasar a los bots verificados y a los visitantes reales.
  • Desafiar a los bots bloquea el tráfico automatizado y malicioso y añade un paso de verificación para los posibles bots. A los visitantes que superen la verificación no se les volverá a pedir que la superen durante diez días si utilizan el mismo navegador y la misma dirección IP.
  • Desafiar a todos aplica los desafíos también a los usuarios que parecen humanos. Este nivel es ideal para un uso a corto plazo durante picos de tráfico.

Para cambiar el nivel, ve a Sitios > nombre del sitio > Protección contra bots y haz clic en Cambiar. A través de Sitios, puedes seleccionar los sitios correspondientes y usar Acciones > Cambiar protección contra bots.

Sin embargo, al subir el nivel a Challenge bots o superior, cualquier herramienta que se conecte a tu sitio de forma programada y que no figure en el directorio de bots verificados de Cloudflare quedará bloqueada o será sometida a verificación. Esto incluye integraciones personalizadas, scripts de despliegue y monitores de disponibilidad autohospedados. Si utilizas alguno de ellos, te conviene comprobar que aparecen en la lista antes de subir el nivel de protección.

Bloqueo de rastreadores de IA

El botón de activación Bloquear rastreadores de IA se centra específicamente en los rastreadores de IA. Se trata de bots que recopilan contenido para el entrenamiento de modelos, la generación aumentada por recuperación y las funcionalidades de búsqueda basadas en IA. Esto no afecta a los rastreadores de los motores de búsqueda, pero sí incluye a rastreadores específicos como GPTBot. Googlebot y Bingbot siguen indexando tu sitio tanto si el botón está activado como desactivado.

En general, el 80 % de toda la actividad de rastreo de IA se destina al entrenamiento de modelos, en lugar de a consultas iniciadas por los usuarios. Esto no genera tráfico de referencia hacia tu sitio. Por eso, es buena idea activar esta opción. Para activarla, ve a Sitios > nombre del sitio > Protección contra bots y haz clic en el control deslizante junto a Bloquear rastreadores de IA. Si tienes varios sitios, usa Acciones > Cambiar bloqueo de rastreadores de IA desde la vista Sitios.

La pantalla Protección contra Bots de MyKinsta, donde se ve el interruptor Bloquear rastreadores de IA.
La pantalla Protección contra Bots de MyKinsta, donde se ve el interruptor Bloquear rastreadores de IA.

Sin embargo, la contrapartida es una menor visibilidad en las vistas generales y los resúmenes de contenido generados por IA. Si esta visibilidad es importante para tu estrategia de contenido, vale la pena que compruebes el impacto antes de dejar la opción activada de forma permanente.

Si tu prioridad es gestionar la carga del servidor, es una opción más sencilla que modificar el archivo robots.txt o crear reglas para cada bot. A diferencia de esos métodos, funciona en la capa de infraestructura, antes incluso de que la solicitud llegue a WordPress.

Gestión de la protección en todo el portfolio de clientes

Cada sitio web requiere distintos niveles de protección, por lo que una tienda de WooCommerce con páginas de productos filtradas no será igual que una plataforma de contenido. Es más, cada sitio del portfolio de clientes tiene un perfil de tráfico diferente, un conjunto de integraciones distinto y una tolerancia diferente a los pasos de verificación. Esto significa que aplicar una única política a toda el portfolio restringirá en exceso algunos sitios o dejará a otros sin la protección necesaria.

Cuando detectes indicios de que el tráfico de bots está inflando los costes en el sitio de un cliente, aquí tienes un flujo de trabajo práctico:

  • Empieza por la sección de analíticas Tráfico de bots y automatizado en MyKinsta. Si el tráfico humano se mantiene estable mientras que el tráfico automatizado, los rastreadores agresivos o la actividad de los rastreadores de IA aumentan, lo más probable es que la causa sea la carga generada por los bots.
  • A continuación, abre Solicitudes principales por vistas en Analíticas y busca grandes volúmenes de solicitudes en rutas no almacenables en caché. Una concentración de actividad en las URLs de añadir al carrito, las páginas de productos filtrados, los pasos del proceso de pago, las consultas de búsqueda o las variaciones de las cadenas de consulta es un claro indicador de que el uso de los recursos está impulsado por bots.
  • El informe de Rendimiento ayuda a confirmar el impacto. El aumento de los tiempos de respuesta de PHP, el incremento del rendimiento o el hecho de que se alcancen los límites de hilos son indicios de que el tráfico automatizado empieza a notarse como una carga para el servidor.
  • A partir de ahí, aplica el nivel de protección adecuado para el sitio. Bloquear automatizaciones suele ser el punto de partida adecuado, mientras que Desafiar a los bots añade otra capa de verificación para el tráfico que parece proceder de bots y que sigue llegando al origen.
  • Para los sitios que dependen de integraciones, APIs o funcionalidades automatizadas de WordPress, ajustes como Permitir automatizaciones típicas de WordPress y Permitir siempre las excepciones ayudan a reducir el riesgo de que se bloqueen servicios legítimos.
  • Los cambios se aplican sin ningún tiempo de inactividad y puedes revertirlos de inmediato si una configuración resulta ser más restrictiva de lo que las integraciones del sitio pueden soportar. Como los controles están fuera de WordPress, no hay riesgo para el propio sitio mientras evalúas la situación.

Para las agencias que gestionan grandes portfolios a través del Alojamiento para WordPress, esto se convierte en una tarea más que en un proyecto. Cuando la configuración de seguridad se adapta al perfil de tráfico real de cada sitio web, el uso de recursos puede reflejar la actividad real de los usuarios. Las métricas de rendimiento se corresponden con lo que experimentan los visitantes reales:

«El error es pensar que el tráfico de bots es un simple problema de “bloquear o permitir”. En realidad, se trata de políticas, visibilidad y control económico». – Cristian López, editor jefe de HostingAdvice

La explicación que le des a un cliente sobre los costes debería estar relacionada con las decisiones que hayas tomado sobre su tráfico, no con la capacidad que hayas añadido en respuesta a una carga que no puedes identificar.

Deja de ampliar la infraestructura para solucionar un problema que puedes controlar

Ampliar tu infraestructura aumenta la cantidad de carga que tu servidor puede absorber. La Protección contra Bots reduce la cantidad de carga que llega a él. No son respuestas equivalentes al mismo problema: una añade capacidad, mientras que la otra elimina la presión que hizo que pareciera necesaria más capacidad en primer lugar.

Con las analíticas de MyKinsta, puedes identificar cuándo el tráfico automatizado está contribuyendo al aumento del uso de recursos, incluso cuando el tráfico humano se mantiene estable. A partir de ahí, la Protección contra Bots te ofrece los controles para clasificar, verificar y bloquear el tráfico no deseado antes de que llegue a WordPress, PHP o la base de datos.

Para los sitios que se enfrentan a una actividad excesiva de rastreadores, la opción Bloquear rastreadores de IA también reduce el tráfico generado por IA sin afectar a los rastreadores tradicionales de los motores de búsqueda, como Googlebot o Bingbot.

Si quieres tener más control sobre cómo llega el tráfico automatizado a tu infraestructura, la Protección contra Bots de Kinsta te ofrece la visibilidad y las herramientas de filtrado necesarias para reducir la carga innecesaria directamente desde MyKinsta.

Joel Olawanle Kinsta

Joel es un desarrollador Frontend que trabaja en Kinsta como Editor Técnico. Es un formador apasionado enamorado del código abierto y ha escrito más de 200 artículos técnicos, principalmente sobre JavaScript y sus frameworks.