Anti-Spam para WordPress
Categoría:
WordPress, Plugins para WordPress, Seguridad web, Seguridad para WordPress
Fecha:
29/04/2020
Como sabes, el SPAM está en Internet desde sus inicios. Se han hecho hasta documentales sobre el tema. Dicen que el término SPAM nació en el año 1994 en Usenet (¡ha llovido!) pero, desde ese año, han cambiado muchas cosas y ahora hay MUCHO SPAM en Internet. Como contrapunto, también tenemos técnicas anti-spam que nos protegen de los problemas que este provoca.
En sitios web, el SPAM puede llegar de muchas formas distintas al correo electrónico: comentarios, formularios de contacto, registros, etc. En WordPress esto es algo común, ya que al ser el CMS más utilizado del mundo también es uno de los más atacados.
Existen distintas formas de proteger sitios web WordPress del SPAM. Distintas formas de evitar tener el email lleno de basura, los registros llenos de basura y los comentarios llenos de basura (y enlaces).
Precisamente quiero hacer alusión a esto último: en WordPress, si nos dejan muchos comentarios basura con enlaces, podemos tener problemas con el SEOonPage de nuestro sitio web y Google nos puede penalizar.
En WordPress tenemos dos tipos de spammers: manuales y automáticos.
Contra los manuales es muy difícil pelear, ya que son precisamente eso: visitantes que acceden a nuestra web con la intención de dejar SPAM. Con los manuales lo único que podemos hacer es eliminar y bloquear, ya que en la mayoría de los casos utilizan IPs e emails que no tienen mala reputación.
En el caso de los automáticos, todo es mucho más fácil. El motivo es que son robots que en la mayoría de los casos tienen la dirección IP y los emails utilizados en listas negras, por lo que podemos utilizar distintas técnicas para bloquear este tipo de SPAM. Además, los bots siempre se comportan de la misma manera y están programados para realizar siempre las mismas acciones, por lo que son fácilmente detectables con algoritmos y trampas.
Como he dicho, podemos proteger WordPress del SPAM con distintos métodos (más o menos intrusivos):
Existen algunos métodos mixtos más, ya que normalmente la “perfección” se consigue mediante la combinación efectiva de técnicas.
Cada método anti-spam tiene sus pros y sus contras, pero siempre jugamos con la experiencia de usuario. Los métodos anti-spam más agresivos y efectivos también son los que más dañan la experiencia de usuario. Por eso, los métodos anti-spam suelen combinarse de diferentes formas con el fin de conseguir un equilibrio entre efectividad y UX.
Personalmente, me gusta combinar Google Recatpcha V3 con Honeypot. Con este método, consigo que no me llegue NADA de SPAM a ningún blog o web creada con WordPress y que no tenga registro de usuarios.
Existen distintos plugins para configurar Google Recatpcha V2 y V3 invisible en WordPress, pero no existen muchas soluciones para proteger WordPress del SPAM mediante honeypot.
Como he dicho en la sección anterior, no existen demasiadas formas en formato plugin para proteger WordPress del SPAM con honeypot.
Los principales plugins de formularios para WordPress, como Gravity Forms o Contact Form 7, incluyen o disponen de métodos para proteger los formularios de contacto con honeypot, pero… ¿y qué ocurre con los comentarios de WordPress?
Llegados a este punto, te voy a contar una historia en este post, una historia personal y que os ayudará a entender el motivo por el que lo he escrito.
En un momento clave en 2016, en el que varias instalaciones WordPress que administraba estaban teniendo problemas con el SPAM en comentarios, tuve que tomar una decisión: buscarme la vida con soluciones alternativas o implementar catpcha (pese a que no quería).
Pasé una temporada experimentando soluciones, ya que no me gusta Akismet de Automattic y tampoco soy muy fan de los catpcha, ya que creo que dañan mucho la experiencia de usuario de cualquier sitio web o de cualquier interacción.
Finalmente, conocí el método honeypot y el plugin Anti-Spam desarrollado por Webvitalii y ahí cambió todo. Durante 3 años, lo he ido añadiendo a todas las instalaciones que me he encontrado y también lo he ido recomendando en vídeos de YouTube, clases de WPO y WordPress, y también en posts y otros contenidos que he publicado.
El problema es que el plugin Anti-Spam desarrollado por Webvitalii llevaba ya 3 años (casi 4) sin actualizar. Además, el proyecto del plugin Anti-Spam en el repositorio de WordPress se les asignó a unos desarrolladores con unas intenciones bastante “raras”.
El plugin Anti-Spam desarrollado por Webvitalii era ligero y simple, sin casi opciones y con 0 consumo de recursos. Lo que hicieron los nuevos desarrolladores fue “robar” las instalaciones activas (que eran más de 200.000) para forzar la instalación de un plugin bloatware, limitando mucho la eficiencia del plugin y provocando que consuma muchos más recursos.
Este plugin resultante se llama Titan Anti-Spam & Security y ahora ya no es un plugin anti-spam, sino un bloatware que intenta ser una suite de seguridad pero, en lugar de funcionalidades, tiene carteles de “paga para usar esto”.
Y así fue como el plugin Anti-Spam "perdió la gracia" y no solo para mí: conozco a más gente piensa exactamente lo mismo que yo.
Pero esto no es todo. Después de actualizar a la versión 7.0.1 del plugin, el plugin NO se podía desinstalar ni desactivar. Solo era posible desinstalarlo desde FTP:
También había muchas quejas en los foros de soporte del plugin en el repositorio de WordPress. Pero bueno, ya se encargaron los nuevos desarrolladores de silenciarlas.
Una semana después de la actualización, en Raiola Networks nos pusimos a buscar soluciones alternativas para evitar el SPAM en los formularios de comentarios de WordPress.
Recordemos que, hasta hace poco tiempo, en nuestro blog utilizábamos Disqus Comment System. Sin embargo, a raíz de ciertos problemas de indexación y rastreo de los comentarios nos volvimos a los comentarios por defecto de WordPress.
Pues bien, en Github nos encontramos el plugin de Webvitalii, pero llevaba sin actualizar unos cuantos años: https://github.com/webvitalii/anti-spam
Por eso, decidimos hacer nuestro propio fork y volver a la esencia del plugin Anti-Spam.
Así nació Honeypot Anti-Spam, un plugin antispam simple que protege los comentarios de WordPress del spam sin usar catpchas ni cosas raras.
¿Qué cambios hicimos en relación al plugin original?
¿Vamos a hacer algún cambio más? Puede ser, pero siempre manteniendo la simplicidad y ajustando en base a las necesidades o a los puntos débiles que vayamos viendo.
¿Quieres descargar Honeypot Anti-Spam para WordPress? Pues está disponible de forma totalmente gratuita en el repositorio de plugins de WordPress: https://es.wordpress.org/plugins/honeypot-antispam/
En sitios web, el SPAM puede llegar de muchas formas distintas al correo electrónico: comentarios, formularios de contacto, registros, etc. En WordPress esto es algo común, ya que al ser el CMS más utilizado del mundo también es uno de los más atacados.
Existen distintas formas de proteger sitios web WordPress del SPAM. Distintas formas de evitar tener el email lleno de basura, los registros llenos de basura y los comentarios llenos de basura (y enlaces).
Precisamente quiero hacer alusión a esto último: en WordPress, si nos dejan muchos comentarios basura con enlaces, podemos tener problemas con el SEOonPage de nuestro sitio web y Google nos puede penalizar.
Índice del artículo
- Tipos de SPAM en WordPress
- Métodos anti-spam para WordPress
- Honeypot en WordPress para el SPAM
- Protección con el plugin Anti-Spam by Webvitaly
- Honeypot Anti-Spam para WordPress
Tipos de SPAM en WordPress
En WordPress tenemos dos tipos de spammers: manuales y automáticos.
Contra los manuales es muy difícil pelear, ya que son precisamente eso: visitantes que acceden a nuestra web con la intención de dejar SPAM. Con los manuales lo único que podemos hacer es eliminar y bloquear, ya que en la mayoría de los casos utilizan IPs e emails que no tienen mala reputación.
En el caso de los automáticos, todo es mucho más fácil. El motivo es que son robots que en la mayoría de los casos tienen la dirección IP y los emails utilizados en listas negras, por lo que podemos utilizar distintas técnicas para bloquear este tipo de SPAM. Además, los bots siempre se comportan de la misma manera y están programados para realizar siempre las mismas acciones, por lo que son fácilmente detectables con algoritmos y trampas.
Métodos anti-spam para WordPress
Como he dicho, podemos proteger WordPress del SPAM con distintos métodos (más o menos intrusivos):
- Catpcha: Existen distintos tipos de captcha, más o menos molestos.
- Bloqueo de IPs: Se pueden bloquear IPs de spammers mediante listado o “discriminación” geográfica.
- Listas negras o blacklist: Existen listas de spammers que se actualizan constantemente. Contienen IPs e emails, sobretodo.
- Honeypot: Un método poco intrusivo que bloquea el SPAM de bots.
Existen algunos métodos mixtos más, ya que normalmente la “perfección” se consigue mediante la combinación efectiva de técnicas.
Cada método anti-spam tiene sus pros y sus contras, pero siempre jugamos con la experiencia de usuario. Los métodos anti-spam más agresivos y efectivos también son los que más dañan la experiencia de usuario. Por eso, los métodos anti-spam suelen combinarse de diferentes formas con el fin de conseguir un equilibrio entre efectividad y UX.
Personalmente, me gusta combinar Google Recatpcha V3 con Honeypot. Con este método, consigo que no me llegue NADA de SPAM a ningún blog o web creada con WordPress y que no tenga registro de usuarios.
Existen distintos plugins para configurar Google Recatpcha V2 y V3 invisible en WordPress, pero no existen muchas soluciones para proteger WordPress del SPAM mediante honeypot.
Honeypot en WordPress para el SPAM
Como he dicho en la sección anterior, no existen demasiadas formas en formato plugin para proteger WordPress del SPAM con honeypot.
Los principales plugins de formularios para WordPress, como Gravity Forms o Contact Form 7, incluyen o disponen de métodos para proteger los formularios de contacto con honeypot, pero… ¿y qué ocurre con los comentarios de WordPress?
Llegados a este punto, te voy a contar una historia en este post, una historia personal y que os ayudará a entender el motivo por el que lo he escrito.
Protección con el plugin Anti-Spam by Webvitaly
En un momento clave en 2016, en el que varias instalaciones WordPress que administraba estaban teniendo problemas con el SPAM en comentarios, tuve que tomar una decisión: buscarme la vida con soluciones alternativas o implementar catpcha (pese a que no quería).
Pasé una temporada experimentando soluciones, ya que no me gusta Akismet de Automattic y tampoco soy muy fan de los catpcha, ya que creo que dañan mucho la experiencia de usuario de cualquier sitio web o de cualquier interacción.
Finalmente, conocí el método honeypot y el plugin Anti-Spam desarrollado por Webvitalii y ahí cambió todo. Durante 3 años, lo he ido añadiendo a todas las instalaciones que me he encontrado y también lo he ido recomendando en vídeos de YouTube, clases de WPO y WordPress, y también en posts y otros contenidos que he publicado.
El problema es que el plugin Anti-Spam desarrollado por Webvitalii llevaba ya 3 años (casi 4) sin actualizar. Además, el proyecto del plugin Anti-Spam en el repositorio de WordPress se les asignó a unos desarrolladores con unas intenciones bastante “raras”.
El plugin Anti-Spam desarrollado por Webvitalii era ligero y simple, sin casi opciones y con 0 consumo de recursos. Lo que hicieron los nuevos desarrolladores fue “robar” las instalaciones activas (que eran más de 200.000) para forzar la instalación de un plugin bloatware, limitando mucho la eficiencia del plugin y provocando que consuma muchos más recursos.
Este plugin resultante se llama Titan Anti-Spam & Security y ahora ya no es un plugin anti-spam, sino un bloatware que intenta ser una suite de seguridad pero, en lugar de funcionalidades, tiene carteles de “paga para usar esto”.
Y así fue como el plugin Anti-Spam "perdió la gracia" y no solo para mí: conozco a más gente piensa exactamente lo mismo que yo.
- Justo una semana después del cambio, en las reseñas del repositorio de WordPress las opiniones negativas no paraban de llegar:
- En Twitter y otras redes sociales, muchos profesionales que trabajan con WordPress también se quejaban: https://twitter.com/d7anace/status/1253067399756165120?s=20
Pero esto no es todo. Después de actualizar a la versión 7.0.1 del plugin, el plugin NO se podía desinstalar ni desactivar. Solo era posible desinstalarlo desde FTP:
También había muchas quejas en los foros de soporte del plugin en el repositorio de WordPress. Pero bueno, ya se encargaron los nuevos desarrolladores de silenciarlas.
Honeypot Anti-Spam para WordPress
Una semana después de la actualización, en Raiola Networks nos pusimos a buscar soluciones alternativas para evitar el SPAM en los formularios de comentarios de WordPress.
Recordemos que, hasta hace poco tiempo, en nuestro blog utilizábamos Disqus Comment System. Sin embargo, a raíz de ciertos problemas de indexación y rastreo de los comentarios nos volvimos a los comentarios por defecto de WordPress.
En este blog recibimos alrededor de 50 – 100 comentarios a la semana. Si sacamos las protecciones anti-spam, nos crujen con más de 10.000 comentarios de bots al día.
Pues bien, en Github nos encontramos el plugin de Webvitalii, pero llevaba sin actualizar unos cuantos años: https://github.com/webvitalii/anti-spam
Por eso, decidimos hacer nuestro propio fork y volver a la esencia del plugin Anti-Spam.
Así nació Honeypot Anti-Spam, un plugin antispam simple que protege los comentarios de WordPress del spam sin usar catpchas ni cosas raras.
¿Qué cambios hicimos en relación al plugin original?
- Eliminamos todas las referencias a la versión de pago, ya que este plugin siempre será gratuito y no habrá ninguna versión de pago.
- Reconstruimos algunas partes del código que estaban desactualizadas ya que, aunque la última actualización en Github era hace 10 meses, ciertas partes del plugin estaban muy anticuadas (más de 5 años sin actualizar) y muchas cosas han cambiado en PHP en ese tiempo.
- Añadimos soporte para internacionalización, incluyendo dos idiomas: español e inglés.
¿Vamos a hacer algún cambio más? Puede ser, pero siempre manteniendo la simplicidad y ajustando en base a las necesidades o a los puntos débiles que vayamos viendo.
¿Quieres descargar Honeypot Anti-Spam para WordPress? Pues está disponible de forma totalmente gratuita en el repositorio de plugins de WordPress: https://es.wordpress.org/plugins/honeypot-antispam/
Deja una respuesta
Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *