A menudo hablamos de lo importante que es tener un sitio web, especialmente si es un negocio próximo que necesita la mayor visibilidad posible. Gracias a WordPress, hoy tienes una forma realmente fácil de crear un sitio web brillante. Combinado con los servicios de alojamiento web de Henmalura, está a solo unos pasos del éxito. Desafortunadamente, no todos estarán tan emocionados con su éxito como lo estaríamos nosotros, y muchos intentarán obstaculizar su progreso de varias maneras maliciosas. Uno de los más frustrantes son los ataques de spam, especialmente el spam de registro de WordPress.
¿Qué es el spam de registro y por qué es dañino?
El spam de registro de WordPress es un tipo de registro realizado por un robot (bot) con el único propósito de dañar su sitio web de una forma u otra. La peor parte es que si su sitio web de WordPress permite registros, es muy vulnerable a tales actos maliciosos de terceros. La popularidad de WordPress y su sistema de código abierto lo convierten en un objetivo lucrativo para todo tipo de ataques de spam. El spam de registro de WordPress se detecta fácilmente, ya que la mayoría de las veces lo realiza un sistema automatizado, que realiza el registro a intervalos regulares.
Hay tres razones principales por las que alguien inundaría su sitio web con cuentas de spam.
- Vulnerabilidades: por lo general, los atacantes buscarán brechas en sus defensas, y poder registrarse es una grieta en su fortaleza. A partir de ese momento, si retrasa la actualización de un complemento esencial, el atacante puede ingresar y robar información sobre su negocio, productos o, peor aún, sus clientes.
- Propagación de spam: el atacante puede inundar su foro, sección de comentarios o correo electrónico con correo no deseado, enlaces de spam o estafas.
- Inundar su sitio web: al publicar comentarios de spam, es posible que se pierda los comentarios legítimos o incluso elimine los comentarios o el contenido legítimos de usuarios reales.
Afortunadamente, hay varias formas de detener todo registro malicioso en su sitio web. Veamos las prácticas más comunes que garantizan que no sufrirá una infracción.
Deshabilitar su registro en su totalidad
WordPress se ha hecho para que sea lo más simple posible, por lo que incluso los principiantes pueden sentirse como en casa usándolo. Aun así, eso significa que su configuración de registro predeterminada no es particularmente segura cuando se trata de spam de registro de WordPress. No tiene protección contra los bots, y un simple script puede hacer un nuevo registro cada 30 segundos más o menos.
La forma más sencilla de detenerlos es cortar cualquier registro si no es obligatorio. Por ejemplo, si su sitio web es informativo, ya sea un medio, un sitio web personal o un sitio web de marca, los registros públicos son innecesarios. Incluso si necesita algunos roles adicionales para las personas que trabajan en el sitio web, puede crear sus cuentas manualmente.
Para deshabilitar el registro público, debe ingresar al Panel de WP. Una vez allí, ve a Configuración > General y desmarca la opción “Cualquiera puede registrarse” en la sección “Membresía”.
Si desea crear un nuevo rol para sus compañeros de equipo y colaboradores, una vez más, debe estar en el panel de WP de su sitio web. Luego, vaya a Usuarios > Agregar nuevo > Ingrese los campos, y no olvide asignar un rol. Asegúrate de no dar demasiado acceso a personas en las que no confías completamente.
Hacer un formulario de registro de usuario personalizado
Si el bloqueo del registro público está fuera de discusión, todavía hay una gran cantidad de soluciones que evitarán cualquier registro de spam. Una de ellas es crear un nuevo formulario de registro de usuario personalizado. De esta manera, los scripts que se dirigen al formulario de registro de WordPress predeterminado simple no podrán finalizar su acción predeterminada. Además, hará que su página se vea un poco más elegante, lo cual es una buena idea de todos modos. Para esto, puede usar varios complementos, pero le sugerimos usar uno de WP Forms. Una vez que instale el complemento, debe agregar un nuevo formulario, hacer clic en crear un formulario en blanco y usar el generador de arrastrar y soltar para crear su nueva página de registro.
Puede obtener más información sobre cómo crear una página de registro personalizada aquí.
Agrega CAPTCHA a tu registro
Por supuesto, una de las mejores maneras de lidiar con el spam de registro es obtener un complemento antispam. La base detrás de esto es el sistema CAPTCHA, que está diseñado para distinguir a los humanos de los bots. Esto se hace agregando una pequeña prueba que va desde un simple cuadro de «No soy un robot» hasta rompecabezas más complejos. Existen varios CAPTCHA, pero la mayoría de la gente confía en el reCAPTCHA de Google. Entre otras cosas, esa es la más fácil de usar, principalmente porque permanece invisible para los usuarios confiables mientras sigue apareciendo para aquellos que considera sospechosos.
Para configurar reCAPTCHA, deberá obtener una clave de API gratuita de Google. Allí deberá elegir qué tipo de reCAPTCHA utilizará. Después de eso, debe inicializar el sistema según su complemento.
Sin embargo, aunque existen pequeñas diferencias en cómo se hace, debe ingresar su clave API, ajustar la versión que usará y configurar a qué formularios se debe agregar el reCAPTCHA. Esa es la forma más fácil y rápida de deshacerse del spam no solo en su formulario de registro sino en todo su sitio web. El único inconveniente es que algunos usuarios se frustran porque necesitan confirmar que no son robots.
Activar la activación por correo electrónico
Agregar pasos adicionales al registro puede ser frustrante para algunos usuarios, pero en última instancia agrega una capa adicional a su seguridad. Además, recibir un correo electrónico de confirmación de registro es bastante estándar, por lo que los usuarios ya deberían estar acostumbrados a este paso adicional. Recomendamos aprovechar esta opción en combinación con la opción captcha. Esto se debe a que si solo tiene activada la aprobación por correo electrónico y su formulario de registro está expuesto sin protección captcha adicional, su sitio web también podría usarse como una fuente de spam.
Desafortunadamente, WordPress no ofrece esto de fábrica, y deberá agregar un complemento si prefiere permanecer con el formulario de registro predeterminado. Sin embargo, si decide construir uno nuevo, la mayoría de los constructores ofrecen esta opción como un componente básico, por lo que todo lo que necesita hacer es marcar una casilla o botón adicional. Es bastante fácil de agregar, y realmente puede ayudar mucho. Además, los clientes suelen considerar que los sitios web que solicitan confirmación por correo electrónico durante el registro son más seguros.
Agregar aprobación del administrador
Los spammers no son necesariamente bots y scripts, pero a veces son una oficina completa de personas en algún lugar del mundo, dedicadas a enviar enlaces, infiltrarse en sitios web y, en general, convencer al público de su punto de vista. Ahora, con la guerra en Ucrania, ese es un riesgo considerable con respecto a los sitios web de los medios. Por lo tanto, si sospecha que podría estar bajo ataque o realmente espera menos suscriptores, es mejor aprobarlos usted mismo. Naturalmente, esto no funcionará si espera miles de suscriptores diariamente. Además, le gustaría usar esta táctica en combinación con CAPTCHA, ya que llenar su caja de aplicaciones con aplicaciones bot hará que su vida sea un infierno.
Varios complementos pueden ayudarlo a agregar la opción de aprobación del administrador, pero los usuarios de aprobación de WP son los más fáciles de usar. Todo lo que necesita hacer es instalarlo y activarlo, y tendrá la oportunidad de decidir qué usuario se queda y cuál se va. Para evitar complicaciones, los usuarios anteriores serán aprobados automáticamente y se le pedirá que dé acceso solo a los nuevos.
Cambiar URL de registro
Los bots sofisticados son difíciles de detener y necesitará CAPTCHA para ellos. Sin embargo, los scripts más comunes son simples y no muy complejos. ¿Solo tienen una tarea, llegar a example.com/wp-login.php?action=register y registrarse. Un simple cambio de URL de registro puede descartar fácilmente este tipo de molestos bots.
Esto se puede hacer con cualquier complemento que le permita cambiar la URL de su página de inicio de sesión, ya que el registro es parte de esta página. Hay muchos, y es bastante simple configurarlos. Por lo general, debe ir a la configuración del complemento y solo agregar la nueva ruta del archivo. La mayoría de ellos te permiten redirigir la URL predeterminada a una página diferente, por ejemplo, una página 404 o la página de inicio.
Bloquear las IP de los spammers
Incluso si usa todas estas tácticas, algunos spammers seguirán violando sus defensas y tendrá que lidiar con ellos. La mejor solución es bloquear su dirección IP. Hay dos formas de hacer esto: usando un complemento o hacerlo manualmente.
Naturalmente, usar complementos es más fácil, pero, por otro lado, agrega un complemento adicional a su sitio web, lo que lo hace más pesado y lento. Entonces, en este caso, parece una mejor idea hacerlo manualmente a través del cPanel. Por supuesto, todo el patrón depende de tu hosting, pero si eres cliente de Henmalura.
Luchar activamente contra los spammers es la única manera de deshacerse de ellos.
El spam de registro de WordPress es una de esas vulnerabilidades que no se pueden parchear al 100%. Crear un sistema que pueda evaluar automáticamente los registros de usuarios y categorizar correctamente cada uno como spam o legítimo no es algo fácil. Es por eso que es importante que, como administrador de un sitio web de WordPress, considere y cree un procedimiento para manejar los registros de spam. Creemos que la mejor manera de lidiar con el registro de spam es combinar todas las tácticas que compartimos hoy. Por supuesto, todo eso afectará la experiencia general del usuario, por lo que depende de usted evaluar qué es más esencial para usted y su sitio web.
