Cómo evitar el registro de usuarios spam en WordPress
Cuando trabajas con WordPress, una de las cosas que más dolores de cabeza te puede traer es el registro de usuarios spam. Pero, ¿sabes exactamente en qué consiste?
Quizá si te hablamos del User Registration Spam o, en español, Registro de Usuarios Spam te suene a chino, Pero estoy segura de que te ha ocurrido en más de alguna ocasión, sobre todo si se trata de un membership o una web de suscripción.
Ponte en situación, estás acabando tu jornada laboral y, de repente, le echas un ojo al backend de WordPress Para comprobar que todo está correcto si tienes algún comentario de última hora en tu blog que quieres responder y… ¡sorpresa! Ves que tienes cientos de nuevos registros, todos con nombres o correos “un poco extraños”. Ahora ya sabes a lo que nos referimos, ¿verdad?
Y no hace falta decir que este tipo de usuarios spam puede poner en riesgo la seguridad de tu web y de tus visitas. Así que veamos cómo puedes evitarlo.
Tabla de contenidos:
- ¿Cómo puedo evitar el registro de usuarios spam en mi WordPress?
- 1. Restringe el registro de usuarios en WordPress
- 2. Establece un rol de usuario por defecto
- 3. Verifica el registro de nuevos usuarios a través de email
- 4. Solicita la aprobación del administrador para cada nuevo registro
- 5. Utiliza un formulario de registro seguro
- 6. Utiliza un sistema CAPTCHA
- 7. Utiliza un sistema reCAPTCHA
- 8. Honeypot
- 9. Bloqueo de IP
- 10. Utiliza un plugin de prevención
- Recapitulando…
¿Cómo puedo evitar el registro de usuarios spam en mi WordPress?
Antes de nada, déjame decirte una cosa. No es que tú hayas hecho algo mal, si no que debes tomar algunas medidas de seguridad adicionales para plantar cara a los spammers.
Y no solo cuando tienes en tu web un campo que permite el registro de usuarios. Por defecto, WordPress tiene una dirección en la que permite este tipo de registros. Se trata de esta URL:
- https://tudominio.com/wp-login.php?action=register
Esta dirección permite que cualquier usuario se registre en tu web, así que debes tomar algunas medidas para evitar que los spammers se cuelen en tu sitio echando mano de ella.
Algunas de las cosas que puedes hacer son las que vamos a ver a continuación.
1. Restringe el registro de usuarios en WordPress
¿Realmente necesitas una opción de registro en tu web? Seguramente muchos de los que nos estáis leyendo no tenéis esta opción disponible en vuestra web y, cuando decimos disponible, nos referimos a la vista de cualquier usuario.
Entonces lo mejor es asegurarse de que tienes restringido el registro de nuevos usuarios. ¿Cómo lo hago? Es muy fácil:
1º. Accede al backend de WordPress con tu usuario y contraseña.
2º. Ahora ve a la sección, “Ajustes” -> “Generales” y asegúrate de tener desmarcada la opción “Cualquiera puede registrarse”.
De esta forma evitarás que cualquier usuario malintencionado haga de las suyas utilizando la URL que te mostramos antes.
Pero, ¿y si necesito que mis usuarios puedan registrarse? Entonces te mostramos varias alternativas. ¡Vamos a ellas!
2. Establece un rol de usuario por defecto
Ya vimos cómo evitar que cualquiera se registre en tu web, pero… ¿y si realmente necesito tener esta opción, por ejemplo, para descargar un ebook u obtener una prueba gratuita de mi producto? Entonces, es necesario tomar medidas de seguridad adicionales.
De esta que te vamos a hablar no es una opción que evite el registro de usuarios spam en sí, sino una forma de prevenir que estos accedan al panel de administrador de tu web. Es decir, se trata de una medida que limita las acciones de tus usuarios en WordPress.
Simplemente sigue estos pasos:
1º. Accede al panel de administración de tu web.
2º. En la sección “Ajustes” – “Generales” localiza la opción Perfil predeterminado para nuevos usuarios y, en el desplegable, selecciona la opción de Suscriptor.
De esta manera, cualquier usuario nuevo que se registre no tendrá los privilegios necesarios para acceder al panel de control de tu web. Eso sí, recuerda en este caso tener marcada la opción “Cualquiera puede registrarse”.
Importante: Con esta opción estás aplicando una capa de seguridad, pero no es suficiente para evitar el registro de usuarios spam. Es necesario que tomes alguna otra medida adicional de las que te mostramos a continuación.
3. Verifica el registro de nuevos usuarios a través de email
Una buena opción para asegurarse de que todos los usuarios que se registran en tu web son legítimos, es aplicar una doble confirmación de registro a través de email. Si te fijas, cuando navegas por Internet es una medida que toman muchos administradores de páginas web.
¿Cómo lo hago? En WordPress hay plugins para (casi) todo, así que esta vez no iba a ser menos. Si utilizas un plugin como WPForms puedes hacerlo si tienes habilitada la versión premium. En cambio, si buscas una opción gratuita, User Registration es una buena opción.
4. Solicita la aprobación del administrador para cada nuevo registro
Otra medida de seguridad para evitar el registro de usuarios spam en WordPress es la aprobación manual de cada una de las peticiones por parte del administrador del sitio.
¿Sabes cuando apruebas o rechazas manualmente los comentarios de tu blog? Pues esto es muy parecido.
Al igual que en el caso anterior, User Registration te permite hacerlo de manera gratuita. O bien WP Approve User también puede ser una buena alternativa.
Importante: Solo opta por esta opción cuando revises frecuentemente el backend de tu web y trabajes en ella frecuentemente. En caso contrario, dejar el registro pendiente durante varios días podría afectar a la experiencia de usuario de tu posible cliente. Así que ojo con esto.
5. Utiliza un formulario de registro seguro
Si quieres permitir que los usuarios se registren en tu web, una de las medidas más efectivas es utilizar un formulario de registro seguro. Eso sí, ten en cuenta que para ello es necesario tirar de plugins o extensiones premium como, por ejemplo, WPForms o Gravity Forms.
Sabemos que en este caso tienes que contratar alguno de estos plugins, pero piensa que es un plus de seguridad para tu web. En ellos dispones de cientos de medidas de seguridad para evitar spam y evitar riesgos en tu web. Además, evitas utilizar plugins adicionales para proteger tu formulario de registro. Y ya sabes que mantener tu WordPress ligero siempre es un punto a tu favor 🙂
Por cierto, recuerda que tanto si optas por esta opción o cualquier otra, no incluyas nunca demasiados campos en tu formulario. Solamente lo necesario para no aburrir al usuario y perder una posible conversión.
6. Utiliza un sistema CAPTCHA
Optes o no por un plugin de registro premium, utilizar un sistema CAPTCHA en WordPress siempre es una buena opción.
Como sabes, estos sistemas permiten identificar un humano de un bot a la hora de realizar alguna opción mediante algún acertijo, operación matemática o identificación de imágenes, entre muchas otras opciones.
¿Cómo instalarlo en tu web? Por ejemplo, la opción Really Simple CAPTCHA se integra muy bien con plugins tan conocidos como Contact Form 7 y el desarrollador siempre lo mantiene al día.
7. Utiliza un sistema reCAPTCHA
No, no es lo mismo. Podemos decir que un sistema reCAPTCHA es la evolución del sistema que acabamos de ver en el apartado anterior.
Un sistema de acertijos o preguntas no siempre gusta a todos. Muchos administradores o usuarios prefieren opciones más simples, así que también disponen de una opción para ellos: el sistema reCAPTCHA.
Con esta opción los usuarios tan solo necesitan hacer “check” en una casilla de verificación. Muchos aseguran que este sistema mejora las conversiones y la experiencia de usuario web al hacer el proceso de verificación mucho más rápido.
¿Un plugin para ello? Nosotros te recomendamos los siguientes:
Todos tienen muy buenas valoraciones en el repositorio oficial de WordPress, siempre están actualizados y son compatibles con las versiones de WordPress más recientes. Así que, testéalos en una web de pruebas y quédate con el que más te convenza 🙂
8. Honeypot
Si buscas una opción todavía menos invasiva para el usuario, opta por un sistema de Honeypot. Es decir, una herramienta de seguridad en la que los usuarios reales no tendrán que llevar a cabo ninguna acción, ni tan siquiera un clic. Este sistema es completamente transparente para el usuario. Sí, literalmente transparente,
¿Por qué? Pues se trata de un campo oculto que solo es reconocido por los bots. Al identificar el campo y cubrirlo, automáticamente el sistema detecta que no se trata de un usuario legítimo y rechaza automáticamente el registro.
¿Un plugin para instalarlo? Por ejemplo:
9. Bloqueo de IP
Si el problema de spam es recurrente y a través siempre desde una misma IP, ¿por qué no optas por bloquearla?
Esto puedes hacerlo fácilmente y sin necesidad de instalar ningún plugin adicional en tu web. Simplemente tienes que seguir estos 2 pasos:
1º. Accede al panel de control de tu plan de hosting web, en nuestro caso cPanel. Si tienes dudas sobre cómo acceder, échale un ojo a este post: Cómo entrar al cPanel de mi hosting.
2º. En la sección “Seguridad” haz clic sobre “Bloqueador de IP” e introduce la dirección que te está dando la lata en tu WordPress.
10. Utiliza un plugin de prevención
Más que una alternativa a las opciones anteriores, podríamos decir que es una medida de seguridad adicional para evitar el registro de usuarios spam.
Tal y como utilizas AKISMET (o alguna variante) para gestionar tus comentarios de WordPress, Stop Spammer Registration va a ayudarte a mantener los registros de tu web bajo control y banear automáticamente a los que se trata de puro spam.
Puede interesarte: Cómo evitar comentarios spam WordPress.
Recapitulando…
En este post acabamos de ver 10 formas de evitar los registros de usuarios spam en WordPress o, como se dice en la lengua de Shakespeare, el Spam User Registration. Ahora solo falta que te pongas manos a la obra con tu web 🙂
Adolfo
Posted at 21:33h, 11 febrerocomo saber de que IP se estan registrando?
carol.ramos
Posted at 15:33h, 12 febreroHola Adolfo,
¡Muchas gracias por leernos! 🙂
Desde los comentarios que dejan los usuarios en tu blog, verás debajo del nombre y el email, la IP de estos.
Espero haberte ayudado.
GRAFIPAL - Imprenta Digital
Posted at 05:59h, 26 octubreMuchas gracias, ha sido de gran ayuda y pude realizarlo, ya que muchas personas se registraban y no contento con eso, empezaban a publicar contenidos en las entradas de mi blog sin mi autorización y tenía que estar borrando diario haciéndome perder el tiempo. Si tienes un paypal, enviame para hacerte una donación. Muchas gracias realmente vale oro esta información.
María Acibeiro
Posted at 09:21h, 26 octubreHola 🙂
Nos alegra que te haya sido de ayuda el post. ¡Muchísimas gracias por leernos!
Logopedia en Madrid
Posted at 15:31h, 01 noviembrelo acao de solucionar. y para qué se crean estos perfiles?? yo tengo desactivados los comentarios en todos sitios por lo mismo.
María Acibeiro
Posted at 10:58h, 02 noviembreBásicamente se crean con el objetivo de atacar una web, ya sea insertando enlaces (un backlink o incluso con malware) o cualquier otra actividad malintencionada. De todas formas, me alegro de que hayas podido solucionar el problema 🙂
William
Posted at 18:02h, 08 septiembreGracias, el bot lograba saltarse hasta el recaptcha, me sirvió la opción de usar el honey pot,
María Acibeiro
Posted at 08:37h, 09 septiembre¡Me alegro de que te haya servido, William! Un saludo y muchas gracias por leernos 🙂
Miguel
Posted at 16:07h, 12 abrilExcelente artículo, me ha servido de mucha ayuda porque cada dos días tenía varios usuarios malintencionados y me estaba volviendo loco. Yo me limitaba a borrarlos rápidamente pero gracias a tus consejos ya no me hace falta.
María Acibeiro
Posted at 08:27h, 13 abrilMi alegra ver que te hayan servido los consejos Miguel 🙂 ¡Muchas gracias por tu comentario y por leernos!