Anti-Spam para WordPress

Como sabes, el SPAM está en Internet desde sus inicios. Se han hecho hasta documentales sobre el tema. Dicen que el término SPAM nació en el año 1994 en Usenet (¡ha llovido!) pero, desde ese año, han cambiado muchas cosas y ahora hay MUCHO SPAM en Internet. Como contrapunto, también tenemos técnicas anti-spam que nos protegen de los problemas que este provoca.

En sitios web, el SPAM puede llegar de muchas formas distintas al correo electrónico: comentarios, formularios de contacto, registros, etc. En WordPress esto es algo común, ya que al ser el CMS más utilizado del mundo también es uno de los más atacados.

anti spamExisten distintas formas de proteger sitios web WordPress del SPAM. Distintas formas de evitar tener el email lleno de basura, los registros llenos de basura y los comentarios llenos de basura (y enlaces).

Precisamente quiero hacer alusión a esto último: en WordPress, si nos dejan muchos comentarios basura con enlaces, podemos tener problemas con el SEOonPage de nuestro sitio web y Google nos puede penalizar.

Índice del artículo
  • Tipos de SPAM en WordPress
  • Métodos anti-spam para WordPress
  • Honeypot en WordPress para el SPAM
  • Protección con el plugin Anti-Spam by Webvitaly
  • Honeypot Anti-Spam para WordPress

Tipos de SPAM en WordPress


En WordPress tenemos dos tipos de spammers: manuales y automáticos.

Contra los manuales es muy difícil pelear, ya que son precisamente eso: visitantes que acceden a nuestra web con la intención de dejar SPAM. Con los manuales lo único que podemos hacer es eliminar y bloquear, ya que en la mayoría de los casos utilizan IPs e emails que no tienen mala reputación.

tipos de spam

En el caso de los automáticos, todo es mucho más fácil. El motivo es que son robots que en la mayoría de los casos tienen la dirección IP y los emails utilizados en listas negras, por lo que podemos utilizar distintas técnicas para bloquear este tipo de SPAM. Además, los bots siempre se comportan de la misma manera y están programados para realizar siempre las mismas acciones, por lo que son fácilmente detectables con algoritmos y trampas.

Métodos anti-spam para WordPress


Como he dicho, podemos proteger WordPress del SPAM con distintos métodos (más o menos intrusivos):

  • Catpcha: Existen distintos tipos de captcha, más o menos molestos.

  • Bloqueo de IPs: Se pueden bloquear IPs de spammers mediante listado o “discriminación” geográfica.

  • Listas negras o blacklist: Existen listas de spammers que se actualizan constantemente. Contienen IPs e emails, sobretodo.

  • Honeypot: Un método poco intrusivo que bloquea el SPAM de bots.


Existen algunos métodos mixtos más, ya que normalmente la “perfección” se consigue mediante la combinación efectiva de técnicas.

Cada método anti-spam tiene sus pros y sus contras, pero siempre jugamos con la experiencia de usuario. Los métodos anti-spam más agresivos y efectivos también son los que más dañan la experiencia de usuario. Por eso, los métodos anti-spam suelen combinarse de diferentes formas con el fin de conseguir un equilibrio entre efectividad y UX.

metodos anti spam

Personalmente, me gusta combinar Google Recatpcha V3 con Honeypot. Con este método, consigo que no me llegue NADA de SPAM a ningún blog o web creada con WordPress y que no tenga registro de usuarios.

Existen distintos plugins para configurar Google Recatpcha V2 y V3 invisible en WordPress, pero no existen muchas soluciones para proteger WordPress del SPAM mediante honeypot.

Honeypot en WordPress para el SPAM


Como he dicho en la sección anterior, no existen demasiadas formas en formato plugin para proteger WordPress del SPAM con honeypot.

Los principales plugins de formularios para WordPress, como Gravity Forms o Contact Form 7, incluyen o disponen de métodos para proteger los formularios de contacto con honeypot, pero… ¿y qué ocurre con los comentarios de WordPress?

Honeypot anti spam

Llegados a este punto, te voy a contar una historia en este post, una historia personal y que os ayudará a entender el motivo por el que lo he escrito.

Protección con el plugin Anti-Spam by Webvitaly


En un momento clave en 2016, en el que varias instalaciones WordPress que administraba estaban teniendo problemas con el SPAM en comentarios, tuve que tomar una decisión: buscarme la vida con soluciones alternativas o implementar catpcha (pese a que no quería).

Pasé una temporada experimentando soluciones, ya que no me gusta Akismet de Automattic y tampoco soy muy fan de los catpcha, ya que creo que dañan mucho la experiencia de usuario de cualquier sitio web o de cualquier interacción.

plugin anti spam

Finalmente, conocí el método honeypot y el plugin Anti-Spam desarrollado por Webvitalii y ahí cambió todo. Durante 3 años, lo he ido añadiendo a todas las instalaciones que me he encontrado y también lo he ido recomendando en vídeos de YouTube, clases de WPO y WordPress, y también en posts y otros contenidos que he publicado.

El problema es que el plugin Anti-Spam desarrollado por Webvitalii llevaba ya 3 años (casi 4) sin actualizar. Además, el proyecto del plugin Anti-Spam en el repositorio de WordPress se les asignó a unos desarrolladores con unas intenciones bastante “raras”.

El plugin Anti-Spam desarrollado por Webvitalii era ligero y simple, sin casi opciones y con 0 consumo de recursos. Lo que hicieron los nuevos desarrolladores fue “robar” las instalaciones activas (que eran más de 200.000) para forzar la instalación de un plugin bloatware, limitando mucho la eficiencia del plugin y provocando que consuma muchos más recursos.

Este plugin resultante se llama Titan Anti-Spam & Security y ahora ya no es un plugin anti-spam, sino un bloatware que intenta ser una suite de seguridad pero, en lugar de funcionalidades, tiene carteles de “paga para usar esto”.

Y así fue como el plugin Anti-Spam "perdió la gracia" y no solo para mí: conozco a más gente piensa exactamente lo mismo que yo.

  • Justo una semana después del cambio, en las reseñas del repositorio de WordPress las opiniones negativas no paraban de llegar:opiniones anti spam

  • En Twitter y otras redes sociales, muchos profesionales que trabajan con WordPress también se quejaban: https://twitter.com/d7anace/status/1253067399756165120?s=20


Pero esto no es todo. Después de actualizar a la versión 7.0.1 del plugin, el plugin NO se podía desinstalar ni desactivar. Solo era posible desinstalarlo desde FTP:

anti spam FTP

También había muchas quejas en los foros de soporte del plugin en el repositorio de WordPress. Pero bueno, ya se encargaron los nuevos desarrolladores de silenciarlas.

Honeypot Anti-Spam para WordPress


Una semana después de la actualización, en Raiola Networks nos pusimos a buscar soluciones alternativas para evitar el SPAM en los formularios de comentarios de WordPress.

Recordemos que, hasta hace poco tiempo, en nuestro blog utilizábamos Disqus Comment System. Sin embargo, a raíz de ciertos problemas de indexación y rastreo de los comentarios nos volvimos a los comentarios por defecto de WordPress.
En este blog recibimos alrededor de 50 – 100 comentarios a la semana. Si sacamos las protecciones anti-spam, nos crujen con más de 10.000 comentarios de bots al día.

Pues bien, en Github nos encontramos el plugin de Webvitalii, pero llevaba sin actualizar unos cuantos años: https://github.com/webvitalii/anti-spam

Por eso, decidimos hacer nuestro propio fork y volver a la esencia del plugin Anti-Spam.

Así nació Honeypot Anti-Spam, un plugin antispam simple que protege los comentarios de WordPress del spam sin usar catpchas ni cosas raras.

¿Qué cambios hicimos en relación al plugin original?

  • Eliminamos todas las referencias a la versión de pago, ya que este plugin siempre será gratuito y no habrá ninguna versión de pago.

  • Reconstruimos algunas partes del código que estaban desactualizadas ya que, aunque la última actualización en Github era hace 10 meses, ciertas partes del plugin estaban muy anticuadas (más de 5 años sin actualizar) y muchas cosas han cambiado en PHP en ese tiempo.

  • Añadimos soporte para internacionalización, incluyendo dos idiomas: español e inglés.


¿Vamos a hacer algún cambio más? Puede ser, pero siempre manteniendo la simplicidad y ajustando en base a las necesidades o a los puntos débiles que vayamos viendo.

¿Quieres descargar Honeypot Anti-Spam para WordPress? Pues está disponible de forma totalmente gratuita en el repositorio de plugins de WordPress: https://es.wordpress.org/plugins/honeypot-antispam/
Álvaro Fontela
Álvaro Fontela

Alvaro Fontela es consultor WordPress especializado en WPO y rendimiento web, además de co-fundador y CEO de Raiola Networks.

Artículos relacionados

Si te ha gustado este post, aquí tienes otros que pueden ser de tu interés. ¡No dejes de aprender!

Tenemos 14 comentarios en Anti-Spam para WordPress

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Avatar del autor del comentario

Iago Domeka

01/05/2020 a las 18:32
Hola Álvaro,
Muchas gracias por el aporte y toda la experiencia que cuentas en torno a estos plugins Anti-spam y Honeypot. La verdad que es una inquietud que nosotros también hemos tenido durante mucho tiempo. En IdeandoAzul también hemos estado haciendo pruebas y coincidimos casi de pleno contigo en los que has ido descartando. Además, tampoco nos acaba de encantar el re-Captcha "invisible" de Google.
Diseñamos la mayoría de webs con Elementor Pro, es nuestro maquetador preferido para WordPress, y hace poco hemos encontrado que han añadido una nueva funcionalidad "Honeypot" para sus formularios, y nos hemos puesto a evaluar su funcionamiento.
¿Lo habéis probado? ¿Nos podrías dar feedback?
Ah, y mil gracias por este plugin gratuito que os habéis currado. Lo probaremos enseguida.
Un abrazo,

Iago Domeka
Responder
Avatar del autor del comentario

Alvaro Fontela

03/05/2020 a las 17:39
Hola Iago, la verdad es que lo he probado poco, pero debería ir bien.

La razón por la que lo he probado poco es que siempre utilizo Gravity Forms (que también lleva honeypot) para los formularios...solo utilizo los formularios de Elementor Pro en dos sitios web y la verdad es que tampoco he notado problemas de spam.

Un saludo.
Responder
Avatar del autor del comentario

iago domeka

06/05/2020 a las 06:36
Gracias Alvaro. La verdad que si antes te consulto sobre el Honeypot de Elementor antes nos entra spam a través de un formulario :)
¡Probaremos el vuestro! Alguna contraindicación con el reCaptcha "invisible" de Google? Todavía lo tenemos activo.
Por cierto, parece que Cloudflare a inaugurado "hCaptcha", por si lo ves de interés para ampliar el post en el futuro.

¡Un abrazo!
Responder
Avatar del autor del comentario

petaqui

02/05/2020 a las 14:20
Super interesante. ¿Y que motivos fueron los de dejar Disqus? Si puede saberse. Lo uso en casi todas mis páginas y ahora tengo miedo :(
Responder
Avatar del autor del comentario

Alvaro Fontela

03/05/2020 a las 18:07
En este post lo explico todo: https://alvarofontela.com/exportar-importar-disqus-wordpress/
Responder
Avatar del autor del comentario

marcos

03/05/2020 a las 15:08
hola alvaro es compatible con contact from7???
Responder
Avatar del autor del comentario

Alvaro Fontela

03/05/2020 a las 18:16
Hola Marcos, para Contact Form 7 mejor usa esto: https://es.wordpress.org/plugins/contact-form-7-honeypot/
Responder
Avatar del autor del comentario

marcos

04/05/2020 a las 13:44
era para evitarme plugins de pago pero creo que me quedo con cleantalk
Responder
Avatar del autor del comentario

marc

10/05/2020 a las 14:47
Hola Alvaro,
el plugin tambien funciona para formularios de registro,de inicio y de perdida de contraseña? o solo para comentarios?
Un saludo
Responder
Avatar del autor del comentario

Alvaro Fontela

18/05/2020 a las 12:19
Hola Marc, por el momento en los comentarios nativos de WordPress, aunque estamos extendiendo para que sirva para mas cosas.
Responder
Avatar del autor del comentario

Lucca

20/05/2020 a las 21:49
Muy buen post Alvaro
Por otro lado. Cómo protegerse de bad bots crawlers o spamers u otros?
Responder
Avatar del autor del comentario

Alvaro Fontela

22/05/2020 a las 12:19
Hola Lucca, para protegernos de bots y crawlers, el autor de BBQ: Block Bad Queries tiene bastantes cosas: https://plugin-planet.com/

En cuanto al SPAM, puedes ampliar información aquí: https://alvarofontela.com/proteger-wordpress-anti-spam-guia-completa/
Responder
Avatar del autor del comentario

Dina

08/06/2022 a las 11:20
Hola Álvaro
¿Qué tal?

Tengo una duda. Nuestra página web tiene bastantes formularios de Elementor, y por ellos está entrando últimamente mucho spam.

He instalado vuestro plugin, pero de momento , no he visto que esté funcionando. He mirado en la carpeta de comentarios, y todavía no veo que haya puesto comentarios en spam

¿Tarda un tiempo en empezar a funcionar?

Gracias

Un saludo
Dina
Responder
Avatar del autor del comentario

Alvaro Fontela

19/07/2022 a las 16:16
Hola Dina, nuestro plugin no es compatible con Elementor Forms.

Para Elementor Forms debes usar el honeypot que tiene implementado el propio Elementor, es un campo más del formulario, en algunos casos le llaman "Señuelo".
Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *