¿Cómo evitar el SPAM en tu WordPress?

Ya hemos hablado recientemente en nuestro blog sobre qué es el SPAM, los tipos de SPAM que existen o incluso sobre varias formas y buenas prácticas que debes de tomar para intentar reducirlo o eliminarlo completamente, si os habéis perdido este post, os recomendamos echarle un vistazo ya que estamos seguros de que os será de mucha utilidad y os ayudará a entender de mejor forma cómo funciona: https://raiolanetworks.com/blog/spam

Nosotros en este post nos centraremos exclusivamente en el SPAM que puede llegarte a través de tu sitio web creado con WordPress, que cómo bien sabréis, es el CMS en el que estamos especializados y el más utilizado del mundo con gran diferencia, lo que implica que también es uno de los más atacados y en dónde se producen más problemas de este tipo.

¡Recibe nuestros contenidos en tu correo!

• Recibirás nuestra newsletter de forma totalmente gratuita. ¡Prometemos no enviarte spam!

• Información básica sobre protección de datos:

  Responsable:

  RAIOLA NETWORKS, S.L.

  CIF: B27453489

  Avda de Magoi, 66, Semisótano, Dcha., 27002 Lugo (Lugo)

  Telefono: +34 982776081

  e-mail: info@raiolanetworks.es

  Finalidad:

  Atender solicitudes de información, ejecución de la contratación de servicios y remisión de comunicaciones comerciales.

  Legitimación:

  Consentimiento del interesado y contratación de productos y/o servicios del Responsable.

  Destinatarios:

  No se ceden datos a terceros, salvo obligación legal.

  Personas físicas o jurídicas directamente relacionadas con el Responsable

  Encargados de Tratamiento adheridos al Privacy Shield.

  Derechos:

  Acceder, rectificar y suprimir los datos, portabilidad de los datos, limitación u oposición a su tratamiento, derecho a no ser objeto de decisiones automatizadas, así como a obtener información clara y transparente sobre el tratamiento de sus datos.

  Información adiccional:

  Se puede consultar la política de privacidad de forma más detallada aquí.

• He leido y acepto la política de privacidad *
• Quiero suscribirme

Tipos de SPAM en WordPress

El SPAM en WordPress puede presentarse de muchas maneras, y es importante conocerlas para poder actuar contra las mismas y prevenirlas antes incluso de que se presenten los problemas de SPAM. De esta forma, te ahorras complicaciones en el futuro. En este caso, los tipos de SPAM más comunes en WordPress serían:

• A través de formularios de contacto de tu web: los formularios de contacto suelen ser atacados por bots que envían mensajes automatizados de forma masiva, la mayoría de ocasiones con contenido malicioso o publicitando alguna cosa.
• SPAM en comentarios de un blog: este es otro de los tipos de SPAM más frecuentes. Los bots o ciertos usuarios malintencionados suelen atacar estos formularios si no tienen ninguna medida de protección que impida su vulneración de forma masiva.
• SPAM en registros de usuarios: Si tu sitio web permite el registro de usuarios para comentar o acceder a contenidos exclusivos, puedes comenzar a recibir registros automáticos y nuevos usuarios maliciosos que intentan crear cuentas "no legítimas" para poder seguir enviando SPAM.
• A través de newsletter o suscripciones: está muy normalizado el uso de popups para recibir por ejemplo un regalo que requiere de una suscripción al sitio web, y este tipo de suscripciones pueden ser un foro de SPAM si solicitamos únicamente un correo electrónico y ningún tipo de medida de seguridad.

Existen más tipos y formas en las que puedes recibir SPAM desde tu sitio web, no obstante, las más comunes son las indicadas anteriormente, para las cuales tendremos que realizar ciertas configuraciones antispam en nuestra web para prevenirlas e intentar reducirlas lo máximo posible.

Además, hay que tener en cuenta que solo existen 2 tipos de spammers, los manuales, sobre los que es extremadamente difícil hacer algo (aparte de eliminar y bloquearlos posteriormente), ya que son básicamente visitantes que acceden con dicha intención y no suelen tener emails o IP con mala reputación, y luego están los automáticos, que son robots fáciles de detectar en su mayoría y contra los que existen muchas maneras de protegerse, ya que siempre realizan las mismas acciones y casi todos trabajan de la misma manera, por lo que son previsibles y fácilmente detectables.

Métodos anti-spam para WordPress

Existen varios métodos y configuraciones antispam para WordPress, entre los cuales podríamos destacar:

• reCaptcha: es sin duda uno de los métodos más conocidos para evitar SPAM, y altamente recomendable en todo tipo de webs que tengan algún tipo de formulario.
  Además, actualmente puedes configurar ya el reCaptcha v3, que no es nada intrusivo para los visitantes a la web (al contrario que las versiones previas, que implican algún tipo de intervención por parte del visitante).
  Si te interesa implementar esta opción, tenemos un post bastante reciente en el que explicamos paso a paso cómo configurarlo: https://raiolanetworks.com/blog/captcha-wordpress-tutorial/
• Bloqueo de IPs: otro de los métodos antispam más conocidos es el bloqueo directo de las IPs desde las que se realiza ese SPAM.
  Aunque puede ser una buena medida temporal, realmente no es una protección total a este problema, ya que siempre podrán enviarte SPAM desde otra IP distinta, o incluso el mismo bot podría modificar su IP cada X tiempo.
• Honeypot: es un método de protección contra SPAM que incluye un campo de formulario oculto para todos los usuarios que sean humanos pero visible para los bots de SPAM.
  Si se marca o rellena este campo, el envío se clasifica directamente como SPAM y no llega a procesarse en ningún momento.
  Sin duda, es una de las medidas menos intrusivas para la protección contra SPAM, y nosotros solemos juntarla con reCaptcha para una protección casi definitiva contra este tipo de situaciones.

Existen muchos plugins que permiten configurar reCaptcha en nuestro WordPress y proteger todo tipo de formularios, no obstante, en el caso de querer implementar Honeypot como método antispam en WordPress, nunca existieron muchas opciones (los plugins de formularios de contacto sí que suelen incluir una opción para integrar Honeypot en los mismos, por ejemplo Gravity Forms o Elementor, nos referimos más bien a plugins que permitan integrarlo en los comentarios de WordPress, que suelen ser un foco de SPAM bastante frecuente).

Honeypot Antispam

Por este motivo, desde Raiola Networks decidimos crear hace unos años un plugin que permita configurar este tipo de protección en el sitio web para no tener que preocuparnos del SPAM en los comentarios de WordPress, y todo sin utilizar ningún tipo de reCaptcha ni funciones adicionales más intrusivas.

Este plugin se llama "Honeypot Anti-Spam", y básicamente es un nuevo fork (una copia independiente) de un antiguo plugin muy conocido que realizaba la misma función y que acabó por dar excesivos problemas, añadiendo nuevos contenidos de pago, y generando incluso incompatibilidades en todos los sitios webs que lo tenían instalado (el plugin en cuestión era "Anti-Spam by Webvitaly").

¿Y qué cambios se realizaron entonces en relación al antiguo plugin? Pues básicamente, podemos resumirlos en los siguientes:

• Se eliminaron todas las referencias a una versión de pago, ya que este plugin será siempre gratuito y no incluiremos en él ninguna funcionalidad adicional de pago.
• Se reconfiguraron algunas partes del código que se encontraban desactualizadas, y en principio se seguirán actualizando cada X tiempo para que siga siendo compatible con versiones de PHP futuras.
• Se añadió soporte para internacionalización, para inglés y español.

En principio, el plugin se intentará seguir actualizando con el tiempo, pero siempre manteniendo la simplicidad que tiene actualmente, en la que únicamente es necesario activar el plugin para que empiece a funcionar, y solamente permite activar una opción, que sería la de "Guardar los comentarios de spam" en vez de eliminarlos.

Si te interesa este plugin, puedes obtenerlo de forma gratuita desde el propio repositorio de WordPress: https://es.wordpress.org/plugins/honeypot-antispam/

Plugins antispam adicionales

Si alguna vez has instalado un WordPress desde cero, seguro que te suena el plugin “Akismet”, creado por los desarrolladores del propio WordPress y que ya viene instalado por defecto en el mismo.

Nuestra recomendación en este caso es prescindir de este plugin, ya que existen alternativas mucho más potentes, y además, Akismet es un plugin que consume una cantidad excesiva de recursos para lo que finalmente ofrece (también es un poco intrusivo el hecho de que nos solicite suscribirnos y meternos una key antes de su configuración).

Como alternativa a este plugin, podrías valorar alguno de los que te indicamos a continuación.

Antispam Bee

Es un plugin gratuito de antispam para WordPress bastante completo que te permite gestionar ciertos parámetros y configuraciones bastante interesantes.

• Puedes permitir de forma automática a usuarios a los que ya se les ha aprobado un comentario o una imagen de Gravatar.
• Te permite bloquear comentarios de países concretos o IPs específicas.
• Puedes bloquear comentarios en algunos idiomas, bastante útil si recibes comentarios en un idioma que no es el de tu web.
• Puedes conservar o eliminar el SPAM automáticamente (o pasados X días).

Antispam Bee es sin duda uno de los mejores plugins antispam para WordPress, y además, es completamente gratuito y no dispone de ninguna opción de pago.

Puedes descargarlo fácilmente desde el propio repositorio de WordPress: https://wordpress.org/plugins/antispam-bee/

CleanTalk Spam Protection

Otra opción que puedes valorar para proteger de SPAM tu WordPress sería "CleanTalk Spam Protection", el cual ofrece protección para todos los formularios de registro, contacto, comentarios, páginas de inicio de sesión, etc.

Para poder habilitarlo correctamente, es necesario obtener una API Key de forma previa, aunque en este caso simplemente tenemos que dirigirnos a los ajustes del plugin y generarla desde ahí.

El plugin en este caso nos permite realizar exclusiones y nos permite modificar multitud de parámetros y ajustes, por lo que se trata de un plugin muy completo de antispam.

Existe una versión de pago que incluye ciertas características adicionales, aunque no son realmente necesarias, y en este post queremos centrarnos más en elementos que sean totalmente gratuitos.

Recuerda que puedes descargar este plugin fácilmente también desde el repositorio de WordPress: https://es.wordpress.org/plugins/cleantalk-spam-protect/

WP Armour - Honeypot Anti Spam

Wp Armour es otro plugin gratuito antispam muy sencillo que funciona en segundo plano y no requiere prácticamente ninguna configuración adicional.

Utiliza la técnica deHoneypot, sin captcha ni campos adicionales que necesiten algún tipo de interacción por parte del usuario.

Este plugin es compatible con multitud de plugins de formularios, incluyendo Contact Form 7, WPForms, Gravity Forms, Elementor Forms, etc.

El plugin es bastante ligero y no realiza ninguna llamada a APIs externas, además de que no requiere configuración de tu lado para comenzar a funcionar, simplemente es necesario activarlo.

Si te interesa esta opción, puedes descargar el plugin desde el repositorio de WordPress: https://es.wordpress.org/plugins/honeypot/