fbpx

Anti-Spam para WordPress

Como sabes, el SPAM está en Internet desde sus inicios. Se han hecho hasta documentales sobre el tema. Dicen que el término SPAM nació en el año 1994 en Usenet (¡ha llovido!) pero, desde ese año, han cambiado muchas cosas y ahora hay MUCHO SPAM en Internet. Como contrapunto, también tenemos técnicas anti-spam que nos protegen de los problemas que este provoca.

En sitios web, el SPAM puede llegar de muchas formas distintas al correo electrónico: comentarios, formularios de contacto, registros, etc. En WordPress esto es algo común, ya que al ser el CMS más utilizado del mundo también es uno de los más atacados.

anti spamExisten distintas formas de proteger sitios web WordPress del SPAM. Distintas formas de evitar tener el email lleno de basura, los registros llenos de basura y los comentarios llenos de basura (y enlaces).

Precisamente quiero hacer alusión a esto último: en WordPress, si nos dejan muchos comentarios basura con enlaces, podemos tener problemas con el SEOonPage de nuestro sitio web y Google nos puede penalizar.

Tipos de SPAM en WordPress

En WordPress tenemos dos tipos de spammers: manuales y automáticos.

Contra los manuales es muy difícil pelear, ya que son precisamente eso: visitantes que acceden a nuestra web con la intención de dejar SPAM. Con los manuales lo único que podemos hacer es eliminar y bloquear, ya que en la mayoría de los casos utilizan IPs e emails que no tienen mala reputación.

tipos de spam

En el caso de los automáticos, todo es mucho más fácil. El motivo es que son robots que en la mayoría de los casos tienen la dirección IP y los emails utilizados en listas negras, por lo que podemos utilizar distintas técnicas para bloquear este tipo de SPAM. Además, los bots siempre se comportan de la misma manera y están programados para realizar siempre las mismas acciones, por lo que son fácilmente detectables con algoritmos y trampas.

Métodos anti-spam para WordPress

Como he dicho, podemos proteger WordPress del SPAM con distintos métodos (más o menos intrusivos):

  • Catpcha: Existen distintos tipos de captcha, más o menos molestos.
  • Bloqueo de IPs: Se pueden bloquear IPs de spammers mediante listado o “discriminación” geográfica.
  • Listas negras o blacklist: Existen listas de spammers que se actualizan constantemente. Contienen IPs e emails, sobretodo.
  • Honeypot: Un método poco intrusivo que bloquea el SPAM de bots.

Existen algunos métodos mixtos más, ya que normalmente la “perfección” se consigue mediante la combinación efectiva de técnicas.

Cada método anti-spam tiene sus pros y sus contras, pero siempre jugamos con la experiencia de usuario. Los métodos anti-spam más agresivos y efectivos también son los que más dañan la experiencia de usuario. Por eso, los métodos anti-spam suelen combinarse de diferentes formas con el fin de conseguir un equilibrio entre efectividad y UX.

metodos anti spam

Personalmente, me gusta combinar Google Recatpcha V3 con Honeypot. Con este método, consigo que no me llegue NADA de SPAM a ningún blog o web creada con WordPress y que no tenga registro de usuarios.

Existen distintos plugins para configurar Google Recatpcha V2 y V3 invisible en WordPress, pero no existen muchas soluciones para proteger WordPress del SPAM mediante honeypot.

Honeypot en WordPress para el SPAM

Como he dicho en la sección anterior, no existen demasiadas formas en formato plugin para proteger WordPress del SPAM con honeypot.

Los principales plugins de formularios para WordPress, como Gravity Forms o Contact Form 7, incluyen o disponen de métodos para proteger los formularios de contacto con honeypot, pero… ¿y qué ocurre con los comentarios de WordPress?

Honeypot anti spam

Llegados a este punto, te voy a contar una historia en este post, una historia personal y que os ayudará a entender el motivo por el que lo he escrito.

Protección con el plugin Anti-Spam by Webvitaly

En un momento clave en 2016, en el que varias instalaciones WordPress que administraba estaban teniendo problemas con el SPAM en comentarios, tuve que tomar una decisión: buscarme la vida con soluciones alternativas o implementar catpcha (pese a que no quería).

Pasé una temporada experimentando soluciones, ya que no me gusta Akismet de Automattic y tampoco soy muy fan de los catpcha, ya que creo que dañan mucho la experiencia de usuario de cualquier sitio web o de cualquier interacción.

plugin anti spam

Finalmente, conocí el método honeypot y el plugin Anti-Spam desarrollado por Webvitalii y ahí cambió todo. Durante 3 años, lo he ido añadiendo a todas las instalaciones que me he encontrado y también lo he ido recomendando en vídeos de YouTube, clases de WPO y WordPress, y también en posts y otros contenidos que he publicado.

El problema es que el plugin Anti-Spam desarrollado por Webvitalii llevaba ya 3 años (casi 4) sin actualizar. Además, el proyecto del plugin Anti-Spam en el repositorio de WordPress se les asignó a unos desarrolladores con unas intenciones bastante “raras”.

El plugin Anti-Spam desarrollado por Webvitalii era ligero y simple, sin casi opciones y con 0 consumo de recursos. Lo que hicieron los nuevos desarrolladores fue “robar” las instalaciones activas (que eran más de 200.000) para forzar la instalación de un plugin bloatware, limitando mucho la eficiencia del plugin y provocando que consuma muchos más recursos.

Este plugin resultante se llama Titan Anti-Spam & Security y ahora ya no es un plugin anti-spam, sino un bloatware que intenta ser una suite de seguridad pero, en lugar de funcionalidades, tiene carteles de “paga para usar esto”.

Y así fue como el plugin Anti-Spam «perdió la gracia» y no solo para mí: conozco a más gente piensa exactamente lo mismo que yo.

  • Justo una semana después del cambio, en las reseñas del repositorio de WordPress las opiniones negativas no paraban de llegar: opiniones anti spam
  • En Twitter y otras redes sociales, muchos profesionales que trabajan con WordPress también se quejaban: https://twitter.com/d7anace/status/1253067399756165120?s=20

Pero esto no es todo. Después de actualizar a la versión 7.0.1 del plugin, el plugin NO se podía desinstalar ni desactivar. Solo era posible desinstalarlo desde FTP:

anti spam FTP

También había muchas quejas en los foros de soporte del plugin en el repositorio de WordPress. Pero bueno, ya se encargaron los nuevos desarrolladores de silenciarlas.

Honeypot Anti-Spam para WordPress

Una semana después de la actualización, en Raiola Networks nos pusimos a buscar soluciones alternativas para evitar el SPAM en los formularios de comentarios de WordPress.

Recordemos que, hasta hace poco tiempo, en nuestro blog utilizábamos Disqus Comment System. Sin embargo, a raíz de ciertos problemas de indexación y rastreo de los comentarios nos volvimos a los comentarios por defecto de WordPress.

En este blog recibimos alrededor de 50 – 100 comentarios a la semana. Si sacamos las protecciones anti-spam, nos crujen con más de 10.000 comentarios de bots al día.

Pues bien, en Github nos encontramos el plugin de Webvitalii, pero llevaba sin actualizar unos cuantos años: https://github.com/webvitalii/anti-spam

Por eso, decidimos hacer nuestro propio fork y volver a la esencia del plugin Anti-Spam.

Así nació Honeypot Anti-Spam, un plugin antispam simple que protege los comentarios de WordPress del spam sin usar catpchas ni cosas raras.

¿Qué cambios hicimos en relación al plugin original?

  • Eliminamos todas las referencias a la versión de pago, ya que este plugin siempre será gratuito y no habrá ninguna versión de pago.
  • Reconstruimos algunas partes del código que estaban desactualizadas ya que, aunque la última actualización en Github era hace 10 meses, ciertas partes del plugin estaban muy anticuadas (más de 5 años sin actualizar) y muchas cosas han cambiado en PHP en ese tiempo.
  • Añadimos soporte para internacionalización, incluyendo dos idiomas: español e inglés.

¿Vamos a hacer algún cambio más? Puede ser, pero siempre manteniendo la simplicidad y ajustando en base a las necesidades o a los puntos débiles que vayamos viendo.

¿Quieres descargar Honeypot Anti-Spam para WordPress? Pues está disponible de forma totalmente gratuita en el repositorio de plugins de WordPress: https://es.wordpress.org/plugins/honeypot-antispam/

Checklist de mantenimiento GRATIS

¡Mejora la salud de tu WordPress!

  • RESPONSABLE: RAIOLA NETWORKS, S.L. C.I.F.: B27453489 Avda de Magoi, 66, Semisótano, Dcha., 27002 Lugo (Lugo) Telefono: +34 982776081 e-mail: info@raiolanetworks.es
    FINALIDAD: Atender solicitudes de información, ejecución de la contratación de servicios y remisión de comunicaciones comerciales.
    LEGITIMACIÓN: Consentimiento del interesado y contratación de productos y/o servicios del Responsable
    DESTINATARIOS: No se ceden datos a terceros, salvo obligación legal. Personas físicas o jurídicas directamente relacionadas con el Responsable Encargados de Tratamiento adheridos al Privacy Shield
    DERECHOS: Acceder, rectificar y suprimir los datos, portabilidad de los datos, limitación u oposición a su tratamiento, derecho a no ser objeto de decisiones automatizadas, así como a obtener información clara y transparente sobre el tratamiento de sus datos.
    INFORMACIÓN ADICIONAL: Se puede consultar la política de privacidad de forma más detallada aquí.
  • Este campo es un campo de validación y debe quedar sin cambios.
Imagen de suscripción
Share on twitter
Compartir en Twitter
Share on facebook
Compartir en Facebook
Share on pinterest
Compartir en Pinterest

¿Te gusta el blog?

Apúntate al boletín y te enviaremos los mejores artículos una vez al mes.

¿Te ayudamos?

Escríbenos si tienes dudas o necesitas una solución específica. Nuestros expertos te ayudarán en todo lo posible.

Sé el primero en enterarte de ofertas, sorteos y novedades.

Tenemos 12 comentarios en

"Anti-Spam para WordPress"

12 respuestas

  1. Hola Álvaro,
    Muchas gracias por el aporte y toda la experiencia que cuentas en torno a estos plugins Anti-spam y Honeypot. La verdad que es una inquietud que nosotros también hemos tenido durante mucho tiempo. En IdeandoAzul también hemos estado haciendo pruebas y coincidimos casi de pleno contigo en los que has ido descartando. Además, tampoco nos acaba de encantar el re-Captcha «invisible» de Google.
    Diseñamos la mayoría de webs con Elementor Pro, es nuestro maquetador preferido para WordPress, y hace poco hemos encontrado que han añadido una nueva funcionalidad «Honeypot» para sus formularios, y nos hemos puesto a evaluar su funcionamiento.
    ¿Lo habéis probado? ¿Nos podrías dar feedback?
    Ah, y mil gracias por este plugin gratuito que os habéis currado. Lo probaremos enseguida.
    Un abrazo,

    Iago Domeka

    1. Hola Iago, la verdad es que lo he probado poco, pero debería ir bien.

      La razón por la que lo he probado poco es que siempre utilizo Gravity Forms (que también lleva honeypot) para los formularios…solo utilizo los formularios de Elementor Pro en dos sitios web y la verdad es que tampoco he notado problemas de spam.

      Un saludo.

      1. Gracias Alvaro. La verdad que si antes te consulto sobre el Honeypot de Elementor antes nos entra spam a través de un formulario 🙂
        ¡Probaremos el vuestro! Alguna contraindicación con el reCaptcha «invisible» de Google? Todavía lo tenemos activo.
        Por cierto, parece que Cloudflare a inaugurado «hCaptcha», por si lo ves de interés para ampliar el post en el futuro.

        ¡Un abrazo!

  2. Super interesante. ¿Y que motivos fueron los de dejar Disqus? Si puede saberse. Lo uso en casi todas mis páginas y ahora tengo miedo 🙁

  3. Hola Alvaro,
    el plugin tambien funciona para formularios de registro,de inicio y de perdida de contraseña? o solo para comentarios?
    Un saludo

    1. Hola Marc, por el momento en los comentarios nativos de WordPress, aunque estamos extendiendo para que sirva para mas cosas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Utilizamos cookies propias y de terceros para obtener información estadística, mostrar publicidad personalizada a través del análisis de tu navegación, así como para interactuar en redes sociales. Si continúas navegando, consideramos que aceptas nuestra Política de cookies. ACEPTAR

Aviso de cookies