En el último año, el tráfico de bots ha pasado de ser algo que los propietarios de sitios web podían ignorar a convertirse en un factor que afecta directamente al funcionamiento de la infraestructura. El cambio no se limita solo al volumen. Se trata de cómo el tráfico automatizado interactúa con los sitios web modernos, especialmente con las tiendas WooCommerce.
A primera vista, podría parecer que una solicitud es solo una solicitud. Pero no todas las solicitudes son iguales, y WooCommerce deja esa diferencia aún más clara.
En este artículo descubrirás por qué los sitios de WooCommerce son más vulnerables al tráfico de bots, qué ocurre en segundo plano cuando los bots acceden a puntos clave, y por qué las ideas preconcebidas sobre el tráfico y el rendimiento no se sostienen en el contexto del comercio electrónico.
Por qué WooCommerce convierte el tráfico en carga de trabajo
En un sitio típico de WordPress, la mayoría de las páginas se almacenan en caché en una CDN como Cloudflare, por lo que las solicitudes se atienden sin necesidad de recurrir al servidor de origen. Incluso con un mayor volumen de tráfico, el coste sigue siendo relativamente bajo, ya que el sistema está optimizado para reutilizar el contenido almacenado en caché.
WooCommerce funciona de forma diferente. Una gran parte de las solicitudes dependen de datos en tiempo real y del contexto específico del usuario, y no pueden servirse desde la caché. Cada solicitud tiene que procesarse en el servidor de origen desde cero. Esto incluye:
- Ejecutar PHP para gestionar la lógica de la solicitud
- Consultar la base de datos para obtener datos de productos, precios o sesiones
- Construir la respuesta dinámicamente antes de devolverla
Ejecutar PHP para cada solicitud ocupa un hilo PHP durante la duración del proceso, y el número de hilos disponibles para cada sitio es limitado. Una vez que todos están en uso, las nuevas peticiones tienen que esperar. También es posible que veas que tu sitio supera constantemente el límite de hilos PHP.
Al mismo tiempo, se está consultando la base de datos para obtener datos e información de la sesión. También se está gestionando la sesión en segundo plano.
Incluso sin tener en cuenta el comportamiento de los bots, está claro que las solicitudes de WooCommerce son intrínsecamente costosas. Cuando se suma el tráfico automatizado, ese coste se multiplica.
Dónde causan más daño los bots en los sitios de WooCommerce
El impacto del tráfico de bots en los sitios de WooCommerce suele concentrarse en un pequeño conjunto de endpoints diseñados para las interacciones de usuarios reales.
Estas son las partes del sitio donde las solicitudes son más costosas y menos aptas para el almacenamiento en caché:
- Endpoints del carrito y proceso de pago (
/cart,/checkout,?add-to-cart=) - Consultas de búsqueda
- Páginas de productos filtradas y basadas en parámetros
- Interacciones basadas en AJAX y componentes dinámicos
Cada una de ellas se comporta de forma diferente, pero cada solicitud desencadena un procesamiento real en el servidor.
Los endpoints del carrito y del proceso de pago son los ejemplos más evidentes. Una solicitud a /cart o cualquier otra que incluya ?add-to-cart= activa la lógica de la aplicación para validar la sesión, actualizar el estado del carrito, consultar los datos del producto y preparar una respuesta específica. Cuando esto ocurre repetidamente a gran escala, consume rápidamente los recursos del servidor.
En nuestro informe publicado recientemente, «La realidad del tráfico generado por IA y bots», nuestro equipo de ingeniería descubrió que, en 24 horas, se registraron más de siete millones de solicitudes de bots en las URLs de «Añadir al carrito» de la infraestructura de Kinsta.
Para poner las cifras en perspectiva, las 3,75 millones de solicitudes en 24 horas de ClaudeBot equivalen aproximadamente a una solicitud cada 23 milisegundos (sin parar, día y noche), y cada una de ellas se trata como una solicitud nueva.
Además de los endpoints del carrito y el proceso de pago, la búsqueda y el filtrado también suponen un tipo diferente de carga. Las tiendas de WooCommerce suelen permitir a los usuarios filtrar productos por atributos como el precio, la categoría, la talla o la disponibilidad. Cada combinación genera una URL ligeramente diferente y, desde el punto de vista de un rastreador, vale la pena explorar cada variante.
En nuestro informe, descubrimos que el meta-externalagent (el rastreador de Facebook/Meta AI) se había quedado atascado en las páginas de comparación de WooCommerce y llevaba días dando vueltas en un bucle con variaciones sin sentido en las páginas del calendario.
Esto ocurre porque los rastreadores no entienden el contexto. El rastreador sigue la primera variación, luego descubre otra versión ligeramente diferente, luego otra, y sigue ampliando su camino. En ningún momento reconoce que está visitando la misma página una y otra vez.
En los sitios de WooCommerce, esto resulta especialmente problemático porque muchas de estas variaciones están vinculadas a funcionalidades dinámicas.
¿Por qué el tráfico de bots no parece un ataque (pero se comporta como tal)?
Una de las razones por las que este problema pasa fácilmente desapercibido es que no parece un ataque malicioso.
Cuando se produce un ataque malicioso, notas picos procedentes de una única fuente con claros signos de abuso y payloads posiblemente maliciosas, pero con el tráfico de bots, las peticiones parecen normales porque siguen la estructura del sitio, acceden a URLs válidas y reciben respuestas válidas.
Desde fuera, a menudo parece una actividad de rastreo legítima, pero el sistema no evalúa la intención. Sólo procesa las solicitudes.
Si los rastreadores ineficaces o mal configurados operan a gran escala, generan patrones que parecen un abuso, aunque ese no fuera el objetivo inicial. Las solicitudes repetidas, los bucles y el acceso frecuente a endpoints dinámicos se traducen en una carga de trabajo constante para el servidor.
Por eso, la distinción entre bots «buenos» y «malos» resulta menos útil en la práctica.
Un rastreador puede ser legítimo y aun así generar patrones de tráfico que degraden el rendimiento. La cuestión no es sólo quién hace la petición, sino lo que esa petición obliga a hacer al sistema.
Qué significa esto para el rendimiento de WooCommerce
Cuando este tipo de tráfico aumenta, los efectos se notan de formas que es fácil malinterpretar.
- Las páginas empiezan a cargarse más lentamente, especialmente durante los picos de actividad
- Los flujos de pago parecen retrasados o incoherentes
- En algunos casos, las solicitudes empiezan a acumularse en la cola porque los workers de PHP están ocupados gestionando interacciones automáticas repetidas
A simple vista, parece un problema de rendimiento, pero la causa subyacente suele ser la presión constante que ejerce el tráfico automatizado sobre los endpoints que no están almacenados en caché.
Esto también influye en cómo se interpreta el tráfico. Un gran volumen de solicitudes automatizadas puede inflar el recuento de visitas sin que ello se traduzca en una actividad real de los usuarios. Un pico de tráfico puede no corresponder a un aumento de la interacción, las conversiones o los ingresos. Sin saber qué es lo que genera ese tráfico, resulta difícil distinguir la demanda real de la carga automatizada.
A gran escala, esto se convierte tanto en un problema de rendimiento como en uno de toma de decisiones.
Por qué bloquear bots no es una solución completa
Si aún no estás familiarizado con el tráfico de bots, tu reacción natural ante este tipo de comportamiento es bloquearlo. En algunos casos, eso funciona. Pero en la mayoría de los casos, crea nuevos problemas.
La verdad es que no todo el tráfico automatizado es perjudicial. Los rastreadores de los motores de búsqueda son esenciales para la visibilidad. Los rastreadores de IA desempeñan un papel en la forma en que el contenido sale a la superficie a través de los agentes de IA, lo que ahora se conoce como prácticas GEO y AEO.
Bloquearlo todo elimina el problema del tráfico, pero también los beneficios. Permitirlo todo evita interrupciones, pero deja el sistema expuesto a una carga innecesaria.
El reto es que los sitios de WooCommerce no necesitan una única regla para todo el tráfico. Necesitan un comportamiento diferente en función de adónde se dirija la solicitud y del origen del tráfico.
Una forma más práctica de enfocar el tráfico de bots
En lugar de preguntarnos si se debe permitir o bloquear el uso de bots, la pregunta más útil es: ¿A qué tipos de tráfico se les debe permitir acceder a qué partes del sitio?
No es necesario que los rastreadores accedan a los endpoints del carrito y del proceso de pago. Se puede restringir el acceso a las páginas de búsqueda y filtrado sin que ello afecte a la funcionalidad básica. Al mismo tiempo, las páginas de productos y categorías deben seguir siendo accesibles para los motores de búsqueda.
Este tipo de separación es lo que permite gestionar el tráfico de bots.
En nuestro análisis de más de 10.000 millones de solicitudes en la infraestructura administrada por Kinsta, estos patrones se manifiestan como comportamientos recurrentes en sitios web reales de WooCommerce. Si quieres explorar el conjunto de datos completo y ver cómo evolucionan estos patrones en diferentes tipos de sitios web, el informe de tráfico de bots de IA ofrece más detalles.
Al mismo tiempo, gestionar esto manualmente rara vez resulta práctico. Requiere ajustes de vez en cuando, una visión clara de los patrones de tráfico y una forma de aplicar las decisiones sin afectar al uso legítimo. Esta es precisamente la carencia que la herramienta de protección contra bots de Kinsta está diseñada para resolver, ofreciendo a los propietarios de sitios web la posibilidad de controlar cómo se gestionan los diferentes tipos de tráfico sin tener que recurrir a reglas genéricas.
No dudes en echar un vistazo a nuestra documentación y ponerte en contacto con el servicio de soporte si necesitas más aclaraciones sobre cómo puede funcionar esto para tu sitio o agencia.
