Afrontémoslo: Internet no siempre es un lugar seguro y los ataques maliciosos pueden venir de cualquier parte. Pero una buena solución para proteger tu web de hackers y spam es bloquear direcciones IP maliciosas.
Afortunadamente, no tienes que ser un genio de la tecnología para proteger tu web. Solo tienes que entender cómo funcionan las direcciones IP y aprender a gestionarlas en tu web de WordPress para ayudar a prevenir el spam y asegurar tus datos.
En este artículo te presentaremos las direcciones IP y te explicaremos por qué podrías querer bloquear algunas de ellas. También te mostraremos cómo encontrar y eliminar las que sean problemáticas. Por último, compartiremos tres formas más de prevenir el spam en WordPress.
Una introducción a las direcciones IP
Cada uno de tus usuarios tiene una dirección IP. Las direcciones IP son números únicos que identifican qué conexión a Internet está utilizando un visitante. Esto significa que la dirección siempre es la misma, incluso si la persona utiliza una cuenta diferente.
Las direcciones IP aparecen como cuatro conjuntos de números separados por puntos. Para que tengas una referencia, así es como se ve la estructura básica, aunque también puede ser más larga y complicada:
123.45.678.9
WordPress recopila este número y lo guarda en un archivo de acceso cada vez que alguien se conecta a tu web. Pero algunos visitantes pueden estar utilizando una red privada virtual (VPN) para evitar el almacenamiento de estos datos. Ante esta posibilidad, es aún más importante bloquear cualquier dirección IP maliciosa que puedas identificar.
Por qué bloquear una dirección IP específica de un usuario o de un país en WordPress
La mayoría de las veces, las direcciones IP que acceden a tu web serán perfectamente inofensivas. Sin embargo, siempre existe la posibilidad de que quieras excluir algunas. Estas son algunas razones por las que podrías necesitar bloquear una dirección IP en tu web de WordPress:
1. Detener los comentarios de spam
La sección de comentarios puede ser una parte vital de la comunidad de cualquier web. Esto se debe a que ofrece conexión: tus visitantes pueden unirse a la conversación e interactuar con tu contenido y entre ellos.
Los comentarios orgánicos suelen ser relevantes y comprensibles, como en el siguiente ejemplo:
Es muy probable que estos comentarios sean escritos por visitantes reales y bien intencionados. Pero este no será siempre el caso. Algunas personas o bots utilizarán los comentarios como una oportunidad para hacer spam.
Un comentario de spam puede ser simplemente un comentario completamente irrelevante. También puede ser confuso, incomprensible o sin sentido. Estos tipos de spam pueden opacar los comentarios reales y hacer que la experiencia en tu web sea menos agradable.
Además, el spam puede hacer que los motores de búsqueda consideren tu web como no segura. Por lo tanto, bloquear las direcciones IP de las que procede el spam puede ayudar a que tus esfuerzos de optimización para motores de búsqueda (SEO) no caigan en saco roto.
2. Mantener alejados a los posibles hackers
Los comentarios sin sentido no son la única preocupación. Los hackers pueden utilizar los comentarios para promocionar enlaces maliciosos. Estas URL pueden llevar a webs diseñadas para robar información tuya y de tu audiencia.
Por desgracias, este peligro no se limita a los comentarios. Los hackers pueden intentar obtener acceso a tu web mediante intentos repetidos de inicio de sesión. Esto se conoce comúnmente como ataques de fuerza bruta. Por lo general, provienen de una sola dirección IP, lo que significa que bloquear esa dirección puede resolver el problema.
Por último, también existe una técnica más avanzada en la que los malhechores intentan inyectar código malicioso en tu web. Utilizando puntos de entrada como la sección de comentarios o los formularios de registro, pueden intentar engañar a tu web para que les dé acceso. Una vez dentro, pueden causar mucho daño en tu web.
3. Limitar el acceso a usuarios autorizados
Las suscripciones son una forma habitual de gestionar una web. Suele resultar interesante valorar los beneficios de tener usuarios más comprometidos y modelos de suscripción rentables. Pero siempre existe la posibilidad de que alguien intente acceder a un área por la que no ha pagado.
Las webs de suscripciones no son las únicas que tienen que lidiar con esto. Cualquier web con roles de usuario debe estar alerta.
Por ejemplo, un hacker podría intentar acceder a un área exclusiva para administradores. Una vez dentro, tendría acceso completo a tu web.
En ambos casos, bloquear la dirección IP del visitante es fácil. Con solo un de par de minutos puedes evitar más intentos en el futuro. En general, recomendamos aprender a hacerlo sea cual sea el tipo de tu web.
Cómo encontrar la dirección IP de un usuario en WordPress
Si quieres bloquear una dirección IP, el primer paso es identificarla. Aquí tienes dos formas de descubrir la dirección IP de alguien en WordPress:
1. Utiliza la sección de comentarios
Como mencionamos antes, WordPress almacena automáticamente la dirección IP de cada visitante. Afortunadamente, descubrir una dirección IP es bastante fácil, especialmente si el spam proviene de la sección de comentarios.
Comienza en tu escritorio de WordPress. Luego, ve a Comentarios y busca en la columna Autor.
Aquí puedes ver la dirección IP de quien dejó el comentario en tu web de WordPress. Deberías poder ver estos datos en cualquier entrada.
2. Comprueba los registros de acceso de cPanel
Si puedes acceder a los registros de acceso de tu web, puedes utilizarlos para comprobar las direcciones IP.
Comienza yendo a la cuenta de tu alojamiento. En el escritorio de cPanel, busca el área etiquetada como Registros y haz clic en Raw Access.
Aquí podrás hacer clic en el nombre de tu dominio y descargar los registros de acceso. Después de extraer los registros, deberías poder ver las direcciones IP que han intentado interactuar con tu web.
Recomendamos revisar estos registros para encontrar cualquier dirección que haya realizado muchas solicitudes. Si encuentras una, es muy probable que sea maliciosa y quizá te interese bloquearla.
Cómo bloquear direcciones IP específicas para que no accedan a tu web de WordPress
Una vez que hayas descubierto las direcciones IP que quieres bloquear, tienes varias opciones para hacerlo. Aquí tienes cuatro formas diferentes:
1. Utiliza la función de bloquear elementos en los comentarios
La primera opción es, sin duda, la más fácil: utilizar las funcionalidades integradas de WordPress. Empieza recopilando las direcciones IP que quieres bloquear en tu web de WordPress. Puedes seleccionar una o compilar tantas como necesites, tú decides.
Luego solo tienes que cambiar algunos ajustes. Ve a tu escritorio de WordPress, Ajustes → Comentarios. Desplázate hacia abajo hasta encontrar el cuadro Palabras no permitidas en comentarios.
Aquí puedes copiar la lista de direcciones que hiciste anteriormente y pegarla en el cuadro. Asegúrate de incluir solo una dirección IP por línea. Ahora, cada vez que alguien con esa dirección IP intente dejar un comentario, este se enviará directamente a la papelera. Ten en cuenta que este método aún permite que la persona o el bot acceda a tu web, pero no podrá publicar comentarios.
Esta opción sirve para dos propósitos principales. Por un lado, reduce tu carga de trabajo. No tendrás que preocuparte por tener que revisar una gran cantidad de comentarios que ya sabes que son spam. Además, también te ayuda a proteger a tus visitantes, porque no importa qué tipo de spam intente dejar esa dirección IP (ya sea un mensaje sin sentido o uno con enlaces maliciosos), todos los mensajes serán bloqueados.
2. Usa un plugin para bloquear países enteros
Si ves que la mayoría de las direcciones IP provienen de un país específico, el método anterior puede que no te funcione tan bien, ya que tendrías que comprobar constantemente los comentarios y añadir las direcciones IP a una lista de usuarios bloqueados que parece no tener fin.
En vez de eso, puedes bloquear un país entero. Esta configuración puede resultar menos trabajo, especialmente cuando usas un plugin como iQ Block Country.
Para empezar, añade el plugin a tu web. Después de activarlo, deberías recibir un aviso pidiéndote que subas un archivo de base de datos. Para acceder a este archivo, tendrás que registrar una cuenta en la web de MaxMind. No te preocupes, es completamente gratuito.
Una vez hayas iniciado sesión, ve a Productos y suscripciones de la base de datos → Descargar bases de datos. Busca la Base de datos de países y descárgala. Luego, extrae el archivo y súbelo usando un cliente de protocolo de transferencia de archivos (FTP).
Cuando hayas subido el archivo, vuelve al plugin iQ Block Country. Elige si quieres bloquear direcciones del front o del back end de tu web. También puedes seleccionar ambos.
Navega hasta la pestaña del área que quieres restringir. Luego, selecciona el país que quieres excluir. Si vas a elegir varios, mantén presionada la tecla «ctrl» mientras seleccionas los que quieras. Para terminar, guarda los cambios. Tu web ahora debería bloquear cualquier dirección IP de los países seleccionados.
Este método solo es recomendable si tienes la certeza de que todo el tráfico de un país específico intentará influir negativamente en tu web. Si tienes tráfico legítimo de esos países, sería buena idea utilizar un método alternativo para bloquear el spam.
3. Edita el archivo .htaccess
Otra opción es editar directamente el archivo .htaccess. Si no quieres meterte demasiado en el código de tu web, quizá te interese elegir otra opción. Cualquier error o modificación podría romper tu sitio.
Si tienes confianza en tu capacidad para editar archivos, este método es una forma rápida de bloquear direcciones IP. En cualquier caso, siempre recomendamos hacer una copia de seguridad de tu web antes de realizar cualquier cambio.
Reúne las direcciones IP que quieres bloquear. Después, accede a tu web utilizando tu cliente de FTP preferido. Una vez dentro, busca la carpeta raíz de tu web. Es probable que se llame como tu dominio o public_html.
Abre esa carpeta y busca el archivo llamado .htaccess. Ten en cuenta que el archivo .htaccess podría estar oculto y, según el cliente de FTP que utilices, tendrás que activar una opción para mostrar archivos ocultos. Usa un editor de texto para abrirlo y desplázate hasta la parte inferior del archivo.
Una vez allí, pega el siguiente código:
Order Allow,Deny
Allow from all
Deny from 111.222.333.444 No te olvides de sustituir la dirección IP de ejemplo con la que quieres bloquear.
Si quieres bloquear más de una dirección, repite la última línea con la nueva dirección IP. No te olvides de guardar los cambios antes de salir del archivo. Ahora, esas direcciones IP específicas deberían tener denegado el acceso a tu web.
Existe la posibilidad de que un error en el proceso rompa tu sitio. Asegúrate de que funciona correctamente y, si hay algún problema, restaura una copia de seguridad anterior antes de continuar.
4. Usa cPanel
Este método te puede resultar más práctico si ya usas cPanel para encontrar las direcciones IP que quieres bloquear.
Ve al panel de control de cPanel de la cuenta de tu alojamiento. Después, desplázate hacia abajo hasta la sección Seguridad y selecciona IP Blocker.
Rellena los campos con las direcciones IP que quieres evitar. Después de guardar los cambios, tu proveedor de alojamiento debería bloquear a esos visitantes en tu web de WordPress.
Cómo eliminar direcciones IP bloqueadas
Todos cometemos errores. Tanto si has te has equivocado al introducir una dirección IP como si la has considerado erróneamente como spam, es posible que necesites deshacer tu trabajo. Afortunadamente, es un proceso bastante sencillo.
Los pasos exactos varían según el método de bloqueo que hayas elegido. Pero el proceso consiste fundamentalmente en revertir los pasos:
- Deshacer el método de los elementos bloqueados: vuelve a tu escritorio de WordPress y elimina las direcciones IP que quieres desbloquear.
- Deshacer el método de iQ Block Country: vuelve a la configuración del plugin y elimina los países seleccionados o desactiva el plugin.
- Deshacer el método del archivo .htaccess: vuelve a abrir el archivo .htaccess y elimina el código que añadiste.
- Deshacer el método de cPanel: vuelve a la herramienta de bloqueo de IP en el panel de control de tu alojamiento y elimina las direcciones que quieras de la lista.
Como puedes ver, solo se necesitan un par de pasos para deshacer los cambios. Pero el tiempo que le tengas que dedicar puede acumularse si tienes muchas direcciones IP bloqueadas. Por esta razón, siempre recomendamos elegir cuidadosamente las que quieres excluir antes de realizar el proceso.
Dos consejos más para prevenir el spam en tu web de WordPress
Bloquear direcciones IP es una potente manera de prevenir el spam. Pero no es la única opción. Hay dos formas más de prevenir el spam:
1. Filtrar el spam de los formularios de contacto
El spam puede provenir de otros lugares además de los comentarios. Si tienes un formulario de contacto en tu web, es probable que ya hayas notado algunos mensajes maliciosos. Por eso también recomendamos dedicar un tiempo a esta área de tu web.
Una forma de filtrar este spam es añadiendo una casilla de verificación de reCAPTCHA. Google ofrece esta herramienta de forma gratuita. Es una prueba de Turing: los humanos pueden completarla, pero los bots no.
Añadir una casilla de verificación de reCAPTCHA a tu formulario de contacto es una forma sencilla de eliminar una gran cantidad de entradas basura.
Si tienes una web de suscripciones con diferentes roles de acceso de usuario, también puedes optar por mostrar el formulario de contacto solo a ciertos miembros. Incluso restringir el acceso a usuarios que hayan iniciado sesión puede disminuir la cantidad de spam con la que tienes que lidiar.
Pero una forma aún más efectiva de prevenir el spam de los formularios de contacto es usar Akismet. Bloquea automáticamente los mensajes de spam de los formularios para que nunca tengas que lidiar con ellos. Y, gracias a una lista avanzada de direcciones IP y de características del spam, sabe exactamente qué buscar. Y funciona sin un reCAPTCHA, una cosa menos con la que los visitantes de verdad tienen que lidiar.
2. Detectar enlaces engañosos
Otra opción es vigilar de cerca los enlaces que aparecen en tu web. Por desgracia, seguramente no puedas revisar cada URL. Por eso recomendamos usar Akismet.
Akismet monitoriza todos los comentarios en busca de señales y características del spam, como pueden ser los enlaces sospechosos. Puede detectar automáticamente URL maliciosas y bloquear esos comentarios para que no aparezcan en tu web.
Y, si quieres llegar aún más lejos, puedes bloquear automáticamente todos los comentarios que incluyen un enlace (o cierto número de ellos) de tu web desde los ajustes predeterminados de WordPress. Solo tienes que ir a Ajustes → Comentarios en el escritorio de WordPress y, en la sección Moderación de comentarios, cambiar la frase que dice «Mantener un comentario en espera si contiene más de 2 enlaces» a un único enlace.
Bloquea direcciones IP y elimina el spam
El spam puede ralentizar cualquier web. A más malhechores intenten acceder a la tuya, te puedes encontrar con un grave problema. Por suerte, bloquear direcciones IP es una forma rápida y sencilla de mantener tu web a salvo de spammers conocidos.
En este artículo, hemos hablado de las direcciones IP y de algunas razones por las que podrías querer bloquear una. También te enseñamos cuatro formas de hacerlo. Por último, te ofrecemos un par de métodos más para mantener tu web libre de spam.
Akismet 