Los mejores métodos para prevenir registros de spam en WordPress

Los spammers son cada vez más astutos, lo que facilita que su sitio sea superado rápidamente con comentarios falsos y suscripciones falsas.

Intentar superar esta afluencia interminable puede parecer un esfuerzo inútil. Dejarlo hace que su sitio se vea desordenado y desordena su base de datos. Eliminarlo toma partes de su valioso tiempo, de forma repetida.

¿La mejor solucion? Colocar protecciones que eviten que inunden su sitio en primer lugar.

En este artículo, veremos algunas opciones fáciles que puede implementar para evitar registros de spam en WordPress que darán como resultado resultados inmediatos, efectivos y continuos.

Continúe leyendo, o avance usando estos enlaces:

• Posibilidades de complemento
• Capaz de Cloudflare
  • Gestión de reglas de cortafuegos en CF
• Sabiduría WAF
  • Los mejores anfitriones tienen WAF (archivos)
  • Registro WAF
• Tomando el control

Echemos un vistazo a cómo reducir los registros de spam de WordPress.

Posibilidades de complemento

Defender es un complemento de seguridad de WordPress de lujo y gratuito que protege su sitio de una larga lista de actos maliciosos. Los ataques de fuerza bruta, las inyecciones de SQL, las secuencias de comandos entre sitios (XSS) y más no tienen ninguna posibilidad con este arsenal en su lugar.

También es extremadamente eficaz para filtrar el spam. Además de usar Google reCAPTCHA, el bloqueo de IP de geolocalización de Defender le permite cortar registros según la ubicación y el país, lo que es muy útil si existe una fuente regional conocida de spambots.

Para utilizar la función de prohibición de IP en Defender:

1. Primero deberá obtener una cuenta con MaxMind (es gratis), para obtener acceso a la base de datos GeoLite2 (también gratis). Una vez que haya creado y confirmado su cuenta, genere una clave de licencia y luego cópiela para el siguiente paso.
2. Desde el Panel de WordPress, navegue hasta Defender > Firewall > Prohibición de IP , luego desplácese hacia abajo hasta la sección Ubicaciones .
3. Pegue su clave en el campo Clave de licencia , luego haga clic en el botón Descargar . (Espere de 5 a 10 minutos para que su licencia se active por completo, o es probable que reciba un mensaje de error de clave de licencia no válida ).

Ahora puede hacer clic en el campo con el ícono global, debajo de Países prohibidos en la lista de bloqueo o Países permitidos en la lista de permitidos, y seleccionar aquellos de los menús desplegables que desea prohibir o permitir. (Su país de origen se agrega a la lista de permitidos de forma predeterminada).

Hay otra protección contra spam adicional integrada en Defender: User Agent Banning . El encabezado de solicitud del agente de usuario es una cadena que se comparte con un servidor cuando se realiza una solicitud, para identificar el nombre y la versión de la aplicación del navegador de los visitantes, y el sistema operativo y el idioma del host.

Para activar esta función desde el Panel de WP, diríjase a Defender > Cortafuegos > Prohibición de agentes de usuario y haga clic en el botón azul Activar . Desde aquí, puede agregar agentes de usuario a la lista de bloqueo o la lista de permitidos , evitando o permitiéndoles permanentemente el acceso a su sitio. (De forma predeterminada, WPMU DEV incluye varios agentes de usuario maliciosos conocidos en la lista de bloqueo).

Un último truco en Defender , para resultados aún más efectivos. Desplácese hacia abajo hasta Encabezados vacíos y active el botón para Bloquear direcciones IP con encabezados de referencia y agente de usuario vacíos (pasará de gris a azul). Todavía hay muchos bots que utilizan referencias HTTP vacías, y casi siempre son maliciosos, por lo que es una buena idea habilitarlos.

Sus registros de acceso se pueden ver en cualquier momento, aquí: Defender > Firewall > Registros. Un punto de aclaración: si el mismo bot o agente de usuario aparece en las listas de permitidos y bloqueados, Permitir siempre anulará Bloquear .

También hay una versión Pro de este complemento, que agrega más funciones, como: 2FA de marca blanca y el mejor soporte en tiempo real de su clase.

Forminator es un complemento de creación de formularios de WordPress gratuito y fácil de usar que protege sus formularios del correo no deseado en todo momento con su elección de Captcha (ReCAPTCHA o hCaptcha), además de las integraciones de Honeypot y Akismet.

Los spammers saben que la página de registro predeterminada de WordPress es /registrar , por lo que es un objetivo muy utilizado. Forminator lo sabe y pone en marcha herramientas inteligentes para evitar que el spam llegue a las páginas de registro.

Habilitar las protecciones contra correo no deseado en Forminator es muy sencillo; echa un vistazo a este tutorial para un recorrido completo.

Forminator hace mucho más que acabar con el spam de registro. Es un creador de formularios integral (formularios de contacto, formularios de pedido, encuestas y cuestionarios, y opciones de pago) que utiliza un generador visual inteligente de arrastrar y soltar, lo que hace que la configuración en WordPress sea muy fácil.

También hay una versión Pro, que agrega una función de firma electrónica, junto con soporte premium las 24 horas, los 7 días de la semana.

Profile Builder es otro complemento gratuito que le permite restringir el contenido según la función del usuario o el estado de inicio de sesión.

Utiliza soporte invisible para reCAPTCHA de Google para formularios predeterminados de WordPress y restricciones de contenido basadas en roles de usuario actuales o estado de inicio de sesión.

Para personalizar los campos del formulario de registro:

1. Desde el panel de control de WP, navegue hasta Profile Builder > Form Fields .
2. Desde la fila superior de Campo , haga clic en el menú desplegable para Seleccionar una opción ; comience a escribir reCAPTCHA (está en Avanzado), luego selecciónelo.

1. Elija el reCAPTCHA que prefiera del menú desplegable.
2. Ingrese sus claves API : sitio y secreto.
3. Marque las opciones deseadas en Mostrar en formularios PB y Mostrar en formularios WP predeterminados .
4. Copie el código abreviado del menú de la barra lateral derecha que corresponda con su selección.
5. Pegue el código abreviado donde desea que se muestre el formulario personalizado en su sitio.

También hay una versión premium, que ofrece campos de usuario adicionales, redireccionamientos personalizados, complementos avanzados, así como la capacidad de solicitar la aprobación del administrador para nuevos registros.

El complemento de registro de usuario es gratuito, liviano y altamente receptivo. Ofrece protección contra spam con Google reCaptcha y Honeypot.

Cuando instale el complemento de registro de usuario , le dará la opción de crear automáticamente una página de registro personalizada, utilizando esta URL: yoursite.com/registration .

También puede hacer uno de los siguientes:

Requerir aprobación del administrador

1. Vaya a la pestaña General > Opciones generales en el Panel de complementos.
2. En el menú desplegable Inicio de sesión de usuario , seleccione Aprobación del administrador después del registro .

Habilitar reCAPTCHA

1. Navegue a la pestaña Integración en el Panel de complementos.
2. Ingrese sus claves API: clave del sitio y clave secreta.

Para habilitar reCAPTCHA en un formulario de registro específico, deberá editar ese formulario y habilitarlo desde dentro.

También hay una versión premium de Registro de usuario , que le permite integrarse con WooCommerce y agrega la capacidad de importar usuarios.

A continuación, veremos el uso de Cloudflare en la lucha contra el spam de registro.

Capaz de Cloudflare

Cloudflare es mejor conocido como una red de entrega de contenido (CDN). A través de su enorme red de servidores, Cloudflare ayuda a acelerar y proteger los sitios web de ataques maliciosos, mientras almacena en caché más de 165 centros de datos en todo el mundo para potenciar el rendimiento de su sitio web.

Al eliminar los registros basados ​​en la ubicación/país de fuentes conocidas de bots, Cloudflare ofrece protección contra correo no deseado en dos formas: Bloqueo de IP y Reglas de firewall .

Su función de bloqueo de IP solo está disponible en el plan Enterprise, que viene con un precio de nivel Enterprise ($$$).

Pero no te preocupes; Las reglas de firewall se pueden usar en cualquier plan. Las reglas de firewall pueden bloquear por ubicación, dirección IP, agente de usuario y más. Tiene permitido hasta cinco reglas de cortafuegos activas en el plan gratuito, luego progresivamente más a medida que sube en los niveles pagos.

Independientemente del tipo de plan, se requiere crear una cuenta para participar en cualquiera de las funciones de Cloudflare. También deberá apuntar sus servidores DNS existentes (también conocidos como servidores de nombres) a los proporcionados por Cloudflare. Esto proporciona una mejor experiencia de navegación para sus usuarios, por lo que hay un valor adicional.

Una vez hecho esto, puede comenzar a crear sus reglas de Firewall, de la siguiente manera.

1. Inicie sesión en su cuenta de Cloudflare.
2. Seleccione uno de sus sitios web.
3. En el menú de la barra lateral izquierda, seleccione Reglas de firewall .
4. Desde la página principal, haga clic en el botón azul Crear una regla de Firewall .

1. Introduzca un nombre en el campo de texto Nombre de la regla .
2. Debajo de Cuando las solicitudes entrantes coincidan... , seleccione las opciones deseadas de los menús desplegables correspondientes para Campo , Operador y Valor . Opcional : agregue parámetros adicionales a esta regla haciendo clic en los botones Y / O ; luego seleccione las opciones correspondientes en la fila resultante.
3. La siguiente fila muestra la vista previa de la expresión, que se puede editar haciendo clic en el enlace Editar expresión sobre el campo de texto abierto. (Acción no requerida).
4. En el menú desplegable en Entonces... , elija una opción.
5. Haga clic en el botón Implementar para guardar la regla.

IMPORTANTE : Su regla aún no está activa. Para que así sea, debe volver a la lista de Reglas de firewall y activar el botón (pasa de gris con una X a verde con una marca de verificación).

Gestión de reglas de cortafuegos en CF

En cualquier momento, puede editar una regla (haga clic en el botón de llave inglesa), eliminarla (haga clic en el botón X) o hacerla inactiva (alternar el botón verde con una marca de verificación y convertirlo en gris). con-una-X).

También puede cambiar el orden de las reglas haciendo clic y arrastrando las flechas hacia arriba y hacia abajo en el extremo izquierdo de cada fila de reglas, o haciendo clic en el botón Ordenar .

¿Curioso qué tipo de actividad ha tenido alguna regla? Simplemente mire la columna Actividad de las últimas 24 horas en la página de reglas de Firewall .

Para agregar más reglas de Firewall, repita el proceso anterior. O haga clic aquí para obtener más detalles sobre las reglas de firewall en Cloudflare.

Una barra lateral rápida sobre CDN... WPMU DEV también ofrece CDN en nuestro alojamiento administrado, que se integra sin problemas con Cloudflare (así como con nuestros complementos de optimización: Smush y Hummingbird).

Es importante tener en cuenta que es mejor no entregar contenido de dos CDN diferentes, ya que seguramente causará problemas.

Con Cloudflare envuelto, eso nos deja con una solución más en la guerra contra los registros de spam... el todopoderoso WAF.

Sabiduría WAF

Un firewall de aplicaciones web (WAF) es una capa de seguridad entre los usuarios finales y las aplicaciones. Inspecciona el tráfico que proviene y regresa a las aplicaciones web, filtrando todo el acceso entre ellas.

Esto difiere de un firewall estándar, que proporciona una barrera entre el tráfico de red externo e interno. Un firewall de red protege una red segura del acceso no autorizado para evitar el riesgo de ataques y bots maliciosos. Su objetivo principal es separar una zona segura de una zona menos segura y controlar las comunicaciones entre las dos.

En general, un firewall se implementa cerca del borde de una red, lo que lo convierte en una barrera eficaz entre las redes conocidas y confiables y las desconocidas, posiblemente inseguras. Los cortafuegos estándar están diseñados para denegar o permitir el acceso a las redes, o denegar el acceso a áreas específicas (carpetas, sitios web, etc.) sin las credenciales adecuadas.

Los WAF complementan los firewalls de red estándar al proteger la infraestructura de la aplicación y sus usuarios, centrándose en las aplicaciones y servidores HTTP/HTTPS para evitar amenazas como SQL Injection, ataques DDOS y ataques de secuencias de comandos entre sitios (XSS).

Los WAF no solo monitorean pasivamente la actividad, sino que también apuntalan de manera proactiva las debilidades en las aplicaciones web. Debido a que escanean constantemente las vulnerabilidades, los WAF a menudo observan las debilidades en la red y las reparan, mucho antes de que el usuario se dé cuenta. El parche es una resolución a corto plazo que brinda tiempo para solucionar el problema y evitar posibles infracciones en la red.

Consulte este artículo para profundizar en los WAF.

Baste decir que cuando se trata de filtrar registros de spam, los WAF brillan.

Los mejores anfitriones tienen WAF (archivos)

Si tiene un host de WordPress de calidad, es muy probable que hayan incorporado WAF en su ecosistema.

Aquí en WPMUDEV, los WAF están incluidos en todos nuestros planes de alojamiento. Lo que significa que con unos pocos clics, puede poner los problemas de registro de spam en su espejo retrovisor.

Uno de nuestros miembros dijo lo siguiente sobre el uso de nuestro WAF para reducir sus registros de spam:

“Después de consultar con el soporte de wpmudev, cambié la página a través de la cual se realizaron los registros de spam en mi sitio para que fuera bloqueada por WAF y, para mi sorpresa, ¡los bots maliciosos ahora se han tomado los talones! No más emoción al ver "200 nuevas visitas", "200 nuevos clientes potenciales" solo para descubrir que eran registros de spam".

Para mostrarle lo fácil que es bloquear y cargar esta función, haremos un recorrido rápido por la configuración de WAF a través de nuestro tablero todo en uno, The Hub.

Vaya a The Hub y haga clic en el sitio web que desea administrar.

Haga clic en la pestaña del encabezado Seguridad , luego, en Firewall , haga clic en el ícono de ajustes para WAF alojado .

Cambie el botón Proteger sitio a ON (pasará de gris a azul).

Aparecerá una selección de Listas permitidas y Listas bloqueadas para IP , Agentes de usuario , URL e ID de reglas deshabilitadas .

Puede establecer tantas configuraciones específicas como desee aquí, luego haga clic en Guardar , o simplemente presione el botón gris Cerrar para aplicar nuestras reglas predefinidas.

Una vez hecho esto, puede ver en la vista de resumen que el firewall está activado y protege su sitio.

Registro WAF

Tenemos una función integrada inteligente en nuestro WAF que registra los errores y las identificaciones de las reglas, llamada (con bastante propiedad) el registro de WAF.

Para ver el registro, seleccione un sitio, luego vaya a The Hub > Alojamiento > Registros > Registro WAF .

De dónde provienen los ataques, qué solicitudes se bloquearon y qué reglas activaron esas solicitudes, todo se registra aquí, proporcionando fácilmente la información necesaria para minimizar las falsas alarmas.

Si se desplaza hasta el final de las listas Permitir y bloquear, verá Deshabilitar ID de regla . Ingrese cualquier ID de regla (del registro) que esté causando problemas, y boom: se deshabilita de inmediato.

Cuando está activo, WPMU DEV WAF activa un campo de fuerza (un conjunto personalizado de reglas) para que los ataques y el tráfico malicioso sean repelidos antes de que puedan llegar.

Tomando el control

El spam de registro en su sitio de WordPress puede convertirse en una molestia abrumadora. Pero puede disminuir o incluso deshacerse por completo de su sitio con unas pocas maniobras simples.

Una posibilidad es agregar un complemento de registro de WordPress dedicado que requiera pasos adicionales (como CAPTCHA) o la aprobación del administrador para nuevos usuarios. Estos pueden ayudar, pero no siempre son los más eficientes, ya que parecen permitir que se filtren con el tiempo. Si su tráfico es ligero, podría ser suficiente para usted.

Otra opción es usar Cloudflare y crear reglas de Firewall específicas para cada tipo de registro de spam (IP o país de origen). El problema aquí será si tiene un plan pago, ya que la membresía gratuita limita la cantidad de estos que puede tener activos a la vez.

Por último, pero no menos importante, está la opción de usar un WAF fuerte y confiable. Si hospeda con nosotros, entonces ya tiene esta poderosa herramienta en su cobertizo de WordPress. (Si no lo hace, registrarse es rápido y fácil, y puede probarnos durante 30 días, ¡satisfacción garantizada incondicionalmente!)

Un agradecimiento a nuestro miembro, Chris Chukwunyere de Gzi, quien contribuyó con la semilla que germinó en este artículo.

Nota: No aceptamos artículos de fuentes externas. Sin embargo, los miembros de WPMU DEV pueden aportar ideas y sugerencias para tutoriales y artículos en nuestro blog a través de Blog XChange.