Como sabes, el SPAM está en Internet desde sus inicios. Se han hecho hasta documentales sobre el tema. Dicen que el término SPAM nació en el año 1994 en Usenet (¡ha llovido!) pero, desde ese año, han cambiado muchas cosas y ahora hay MUCHO SPAM en Internet. Como contrapunto, también tenemos
técnicas anti-spam que nos protegen de los problemas que este provoca.
En sitios web,
el SPAM puede llegar de muchas formas distintas al correo electrónico: comentarios, formularios de contacto, registros, etc. En WordPress esto es algo común, ya que al ser el CMS más utilizado del mundo también es uno de los más atacados.
Existen distintas formas de
proteger sitios web WordPress del SPAM. Distintas formas de evitar tener el email lleno de basura, los registros llenos de basura y los comentarios llenos de basura (y enlaces).
Precisamente quiero hacer alusión a esto último: en WordPress, si nos dejan
muchos comentarios basura con enlaces, podemos tener problemas con el SEOonPage de nuestro sitio web y
Google nos puede penalizar.
[elementor-template id="80835"]
Tipos de SPAM en WordPress
En WordPress tenemos
dos tipos de spammers: manuales y automáticos.
Contra los
manuales es muy difícil pelear, ya que son precisamente eso: visitantes que acceden a nuestra web con la intención de dejar SPAM. Con los manuales lo único que podemos hacer es
eliminar y bloquear, ya que en la mayoría de los casos utilizan IPs e emails que no tienen mala reputación.
En el caso de los
automáticos, todo es mucho más fácil. El motivo es que son robots que en la mayoría de los casos tienen la dirección IP y los emails utilizados en
listas negras, por lo que podemos utilizar distintas técnicas para bloquear este tipo de SPAM. Además, los bots siempre se comportan de la misma manera y están programados para realizar siempre las mismas acciones, por lo que son
fácilmente detectables con algoritmos y trampas.
Métodos anti-spam para WordPress
Como he dicho, podemos
proteger WordPress del SPAM con distintos métodos (más o menos intrusivos):
- Catpcha: Existen distintos tipos de captcha, más o menos molestos.
- Bloqueo de IPs: Se pueden bloquear IPs de spammers mediante listado o “discriminación” geográfica.
- Listas negras o blacklist: Existen listas de spammers que se actualizan constantemente. Contienen IPs e emails, sobretodo.
- Honeypot: Un método poco intrusivo que bloquea el SPAM de bots.
Existen algunos métodos mixtos más, ya que normalmente la “perfección” se consigue mediante la combinación efectiva de técnicas.
Cada método anti-spam tiene sus pros y sus contras, pero siempre jugamos con la experiencia de usuario. Los métodos anti-spam más agresivos y efectivos también son los que más
dañan la experiencia de usuario. Por eso, los métodos anti-spam suelen combinarse de diferentes formas con el fin de conseguir un
equilibrio entre efectividad y UX.
Personalmente, me gusta
combinar Google Recatpcha V3 con Honeypot. Con este método, consigo que no me llegue NADA de SPAM a ningún blog o web creada con WordPress y que no tenga registro de usuarios.
Existen distintos
plugins para configurar Google Recatpcha V2 y V3 invisible en WordPress, pero no existen muchas soluciones para proteger WordPress del SPAM mediante honeypot.
Honeypot en WordPress para el SPAM
Como he dicho en la sección anterior, no existen demasiadas formas en formato
plugin para proteger WordPress del SPAM con honeypot.
Los
principales plugins de formularios para WordPress, como Gravity Forms o Contact Form 7, incluyen o disponen de métodos para proteger los
formularios de contacto con honeypot, pero… ¿y qué ocurre con los
comentarios de WordPress?
Llegados a este punto, te voy a contar una historia en este post, una historia personal y que os ayudará a entender
el motivo por el que lo he escrito.
Protección con el plugin Anti-Spam by Webvitaly
En un momento clave en 2016, en el que varias instalaciones WordPress que administraba estaban teniendo problemas con el SPAM en comentarios,
tuve que tomar una decisión: buscarme la vida con soluciones alternativas o implementar catpcha (pese a que no quería).
Pasé una temporada experimentando soluciones, ya que no me gusta Akismet de Automattic y tampoco soy muy fan de los catpcha, ya que creo que dañan mucho la experiencia de usuario de cualquier sitio web o de cualquier interacción.
Finalmente, conocí el
método honeypot y el
plugin Anti-Spam desarrollado por Webvitalii y ahí cambió todo. Durante 3 años, lo he ido añadiendo a todas las instalaciones que me he encontrado y también lo he ido recomendando en vídeos de
YouTube, clases de
WPO y WordPress, y también en posts y otros contenidos que he publicado.
El
problema es que el plugin Anti-Spam desarrollado por Webvitalii llevaba ya 3 años (casi 4) sin
actualizar. Además, el proyecto del plugin Anti-Spam en el repositorio de WordPress se les asignó a unos desarrolladores con unas intenciones bastante “raras”.
El plugin Anti-Spam desarrollado por Webvitalii era
ligero y simple, sin casi opciones y con 0 consumo de recursos. Lo que hicieron los nuevos desarrolladores fue “robar” las instalaciones activas (que eran más de 200.000) para
forzar la instalación de un plugin bloatware, limitando mucho la eficiencia del plugin y provocando que consuma muchos más recursos.
Este plugin resultante se llama Titan Anti-Spam & Security y ahora
ya no es un plugin anti-spam, sino un bloatware que intenta ser una suite de seguridad pero, en lugar de funcionalidades, tiene carteles de “paga para usar esto”.
Y así fue como
el plugin Anti-Spam "perdió la gracia" y no solo para mí: conozco a más gente piensa exactamente lo mismo que yo.
Pero esto no es todo. Después de actualizar a la versión 7.0.1 del plugin, el plugin
NO se podía desinstalar ni desactivar. Solo era posible desinstalarlo desde FTP:
También había
muchas quejas en los foros de soporte del plugin en el repositorio de WordPress. Pero bueno, ya se encargaron los nuevos desarrolladores de silenciarlas.
Honeypot Anti-Spam para WordPress
Una semana después de la actualización, en Raiola Networks nos pusimos a buscar
soluciones alternativas para evitar el SPAM en los formularios de comentarios de WordPress.
Recordemos que, hasta hace poco tiempo, en nuestro blog utilizábamos
Disqus Comment System. Sin embargo, a raíz de ciertos problemas de indexación y rastreo de los comentarios nos volvimos a los
comentarios por defecto de WordPress.
En este blog recibimos alrededor de 50 – 100 comentarios a la semana. Si sacamos las protecciones anti-spam, nos crujen con más de 10.000 comentarios de bots al día.
Pues bien, en Github nos encontramos el plugin de Webvitalii, pero llevaba sin actualizar unos cuantos años:
https://github.com/webvitalii/anti-spam
Por eso,
decidimos hacer nuestro propio fork y volver a la esencia del plugin Anti-Spam.
Así nació
Honeypot Anti-Spam, un plugin antispam simple que protege los comentarios de WordPress del spam sin usar catpchas ni cosas raras.
¿Qué cambios hicimos en relación al plugin original?
- Eliminamos todas las referencias a la versión de pago, ya que este plugin siempre será gratuito y no habrá ninguna versión de pago.
- Reconstruimos algunas partes del código que estaban desactualizadas ya que, aunque la última actualización en Github era hace 10 meses, ciertas partes del plugin estaban muy anticuadas (más de 5 años sin actualizar) y muchas cosas han cambiado en PHP en ese tiempo.
- Añadimos soporte para internacionalización, incluyendo dos idiomas: español e inglés.
¿Vamos a hacer algún cambio más? Puede ser, pero siempre
manteniendo la simplicidad y ajustando en base a las necesidades o a los puntos débiles que vayamos viendo.
¿Quieres
descargar Honeypot Anti-Spam para WordPress? Pues está disponible de forma totalmente gratuita en el repositorio de plugins de WordPress:
https://es.wordpress.org/plugins/honeypot-antispam/
[elementor-template id="75635"]
Iago Domeka
01/05/2020 a las 18:32Responder a Iago Domeka
Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *