Ofrecer una función de registro de usuarios en tu web puede ser una excelente manera de generar clientes potenciales y fomentar la fidelidad a la marca. Aunque también puede hacer que tu web sea vulnerable a registros de spam.
Por suerte, existen formas de aprovechar los beneficios de los registros sin abrir tu web a usuarios malintencionados. Tomando algunas sencillas precauciones puedes bloquear a bots y hackers para que no creen cuentas y accedan a tu escritorio de WordPress.
En este artículo, hablaremos de por qué el spam de registro de usuarios puede dañar tu web. También incluiremos ocho formas de detener estos registros no deseados.
¿Qué es el spam de registro de usuarios?
El spam de registro de usuarios ocurre cuando usuarios no deseados se registran para hacerse una cuenta con fines distintos a los que tú pretendías. Pueden hacerlo para publicar comentarios maliciosos o incluso para obtener acceso a tu escritorio.
Aunque casi todo el mundo sabe que el spam es un gran problema en casi todas las webs, los registros de usuarios no deseados son un tipo de spam que se suele pasar por alto.
Si permites que las personas creen una cuenta, el formulario de registro predeterminado de WordPress se encuentra en https://example.com/wp‑login.php?action=register. Desde ahí, cualquier persona puede elegir un nombre de usuario, introducir una dirección de correo electrónico y crear una cuenta.
Como puedes ver, terceros de mala fe y bots pueden usarlo para crear cuentas de spam. Solo tienen que añadir la misma URL a cualquier dominio de WordPress, introducir un poco de información y crear una cuenta: así de fácil.
¿Por qué los spammers crean registros falsos?
Una vez registrados en tu web, pueden empezar a difundir más spam. Esto puede incluir publicar comentarios de autopromoción o con enlaces maliciosos, lo que puede hacer que tu sitio parezca menos profesional de la noche a la mañana. Los comentarios basura son conocidos por dañar la experiencia del visitante e incluso pueden afectar negativamente a la optimización para motores de búsqueda (SEO).
Dependiendo de cómo manejes los registros, estas cuentas de spam podrían tener bastantes privilegios: desde moderar los comentarios de tu web hasta crear nuevas entradas o incluso acceder a tu escritorio.
Si un spammer logra llegar al escritorio de WordPress, los efectos podrían ser desastrosos. Los spammers generalmente quieren difundir más spam, pero en el peor de los casos, pueden usar este acceso de alto nivel para lanzar ataques más sofisticados. Esto podría incluir eliminar tu contenido, robar tus datos o incluso instalar software peligroso.
Cómo detener el spam de registro de usuarios en WordPress
Los hackers y los bots están constantemente ideando nuevas técnicas para el spam de registros. Por esta razón recomendamos utilizar múltiples estrategias contra el spam simultáneamente. Así tendrás más oportunidades de detectar spambots y terceros de mala fe. Estas son ocho formas de detener el spam de registro de usuarios en WordPress:
1. Desactivar los registros de usuarios
Los registros de usuarios pueden beneficiar a tu web de muchas maneras diferentes. A veces pueden ser el primer paso para monetizar tu contenido. El registro gratuito también puede ser una excelente manera de generar clientes potenciales o crear una lista de correo.
Sin embargo, no todas las webs necesitan registro de usuarios. Si tienes un blog personal o una web de negocios, a lo mejor no te interesa ofrecer esta función.
Según cuál sea tu objetivo, puede haber formas alternativas y más seguras de conseguir los mismos resultados. Por ejemplo, si planeas utilizar el registro como una herramienta de generación de clientes potenciales, podrías crear una newsletter o un formulario de solicitud de llamada en su lugar. Ambas técnicas pueden generar clientes potenciales sin exponer tu web al spam de registro de usuarios.
También es posible aceptar envíos de invitados sin registrar. Si quieres incluir publicaciones de invitados en tu web, podrías utilizar un plugin como User Submitted Posts.
Desactivar el registro de usuarios no es lo más adecuado para todas las webs. En sitios de suscripciones, foros y comercio electrónico el registro de usuarios es imprescindible y los beneficios superan con creces los aspectos negativos.
Si decides desactivar el registro, ve a Ajustes → Generales en tu escritorio de WordPress. Luego encuentra la opción Miembros y desmarca Cualquiera puede registrarse.
Ahora nadie puede registrarse en tu web de WordPress. ¡Tampoco esos molestos spambots!
2. Cambiar la URL de registro de WordPress
De forma predeterminada, todas las páginas de registro de WordPress se encuentran en /wp‑login.php?action=register. Esto facilita que los scripts automatizados y los bots accedan al formulario de registro de tu web. Desde allí pueden crear cientos o incluso miles de cuentas de spam y llenar tu sitio de contenido no deseado.
Puedes reducir el tráfico de bots cambiando la URL de tu página de registro. Los atacantes humanos aún podrán acceder a este formulario, pero una URL poco conocida puede hacer que sea virtualmente imposible que los bots de spam ataquen tu sitio.
En realidad, el formulario de registro de usuarios es parte de la página de inicio de sesión de WordPress. Esto significa que puedes usar cualquier plugin que altere la URL de inicio de sesión, como WPS Hide Login.
Después de instalar y activar este plugin, ve a Ajustes → WPS Hide Login. Ya puedes introducir la nueva URL. Para dificultar aún más las cosas a los bots, intenta elegir una dirección que no sea fácil de adivinar.
Según cómo esté configurada tu web, es posible que tengas que actualizar algún enlace, menú u otro contenido que apunte a la antigua URL de tu página de registro.
3. Realizar verificación por correo electrónico
Cada vez que alguien intente registrarse en tu sitio, puedes enviar un correo electrónico a la dirección que han proporcionado. El usuario puede abrir este correo electrónico y realizar una tarea de verificación, como hacer clic en un enlace. De esta forma, la verificación por correo electrónico puede evitar el spam de bots e incluso detendrá a los spammers humanos que intenten registrarse utilizando información de contacto falsa.
La desventaja es que la verificación por correo electrónico añade un paso más al proceso de registro. Para impulsar las conversiones, te interesa que el proceso de registro sea lo más sencillo posible, y la verificación por correo electrónico puede causar molestias.
La buena noticia es que la verificación por correo electrónico se utiliza ampliamente en muchas webs. La mayoría de los usuarios de Internet están familiarizados con el proceso y lo aceptan como parte necesaria de crear una cuenta.
De forma predeterminada, WordPress no admite la verificación por correo electrónico. Pero puedes incluir esta funcionalidad utilizando el plugin User Verification.
Después de instalar y activar este plugin, ve a Usuarios → User Verification. Luego puedes establecer la opción Habilitar verificación por correo electrónico en Sí.
También puedes configurar algunas opciones más, como elegir la página a la que se redirigirá a los usuarios después de una verificación correcta.
Este plugin también viene con plantillas integradas que puedes utilizar para los correos electrónicos de verificación. Para verlas en detalle, haz clic en la pestaña Plantillas de correo electrónico.
Ahora puedes echar un vistazo a las diferentes plantillas y hacer los cambios que quieras. Una vez que hayas terminado, desplázate hasta la parte inferior de la pantalla y haz clic en Guardar cambios.
4. Requerir la aprobación del administrador para nuevos registros
Una de las mejores formas de detener a los spammers es revisar cada registro. Este es un proceso manual, por lo que si tu web recibe una gran cantidad de registros, esto puede convertirse rápidamente en una tarea que consume mucho tiempo y resultar frustrante para tu equipo de administradores de WordPress. Por esta razón, la aprobación manual solo procede en webs que reciben un pequeño número de registros.
También puedes optar por este método si eres muy selectivo sobre quién puede registrarse en tu web. Por ejemplo, si estás ejecutando un portal privado de la empresa solo para empleados, puede tener sentido revisar cada registro manualmente.
Si has evaluado los pros y los contras y has decidido que la aprobación manual es la mejor forma de gestionar los registros de los usuarios, puedes añadir esta funcionalidad utilizando el plugin New User Approve.
El plugin entra en funcionamiento inmediamente, por lo que no hay ajustes que configurar. Tan pronto como actives este plugin, aparecerá una notificación en tu formulario de registro avisando de que el administrador debe aprobarlo.
Cada vez que un usuario envíe el formulario de registro, recibirás una notificación por correo electrónico. Luego puedes revisar la solicitud desde Aprobar nuevos usuarios → Nuevos usuarios pendientes.
5. Añadir un campo CAPTCHA
Un CAPTCHA es un acertijo o desafío que los visitantes deben resolver para registrarse en tu web. Pueden servir para diferenciar entre los registros legítimos y los de bots de forma sencilla.
Los CAPTCHA pueden ser efectivos, pero no son muy queridos entre los usuarios de Internet. Incluso hay evidencia que sugiere que los CAPTCHA pueden reducir las tasas de conversión en hasta un 40 por ciento.
Si añades un CAPTCHA a tu página de registro, debes asegurarte de que la pregunta sea fácil de resolver. Quizá te interese revisar el proceso de registro para asegurarte de que sea lo más sencillo posible, incluso al añadir un CAPTCHA.
Debes tener en cuenta que los usuarios con discapacidades visuales pueden encontrar más difícil completar ciertos CAPTCHA. En particular, recomendamos evitar acertijos que se basan en imágenes y elegir los que son de texto siempre que sea posible.
Si estás utilizando el plugin Contact Form 7 para tu formulario de registro, puedes añadir un CAPTCHA con el plugin Really Simple CAPTCHA.
También puedes incluir un CAPTCHA de texto fácil en el formulario de inicio de sesión utilizando Simple Login Captcha. Esto quizá no evite que los spammers se registren en tu web, pero evitará que los bots y los scripts automatizados puedan acceder a sus nuevas cuentas. De esta manera, Simple Login Captcha minimiza el daño que los spammers pueden causar en tu web.
6. Optar por reCAPTCHA de Google
Cuando se trata de eliminar a los bots, un CAPTCHA no es tu única opción. En 2014, Google lanzó No CAPTCHA reCAPTCHA, que simplemente requiere que los visitantes hagan clic en la casilla de verificación No soy un robot.
Esto es mucho más rápido y sencillo, comparado con los acertijos de imágenes de los CAPTCHA. También es más accesible para una gama más amplia de usuarios, especialmente personas con discapacidades visuales que acceden a tu web utilizando un lector de pantalla.
Es importante saber que existen problemas de privacidad en torno a reCAPTCHA de Google. En particular, algunos investigadores han teorizado que Google puede estar utilizando cookies para determinar si eres un humano o un bot.
Puedes añadir una casilla de reCAPTCHA en tu web utilizando un plugin como reCaptcha de BestWebSoft. Este plugin tiene otras funcionalidades que pueden hacer que la autenticación de reCAPTCHA sea menos intrusiva, como la ocultación del campo de reCAPTCHA para direcciones IP previamente aprobadas en una lista blanca.
Después de instalar y activar este plugin, ve a reCaptcha → Ajustes. En la sección General puedes elegir qué versión de reCaptcha quieres utilizar:
La versión 2 solo requiere que los visitantes hagan clic en una casilla de verificación. Después Google determina si son un bot utilizando un análisis de riesgo avanzado.
Con la versión 3, puedes usar una casilla de verificación u optar por un CAPTCHA invisible. Esta opción distingue entre usuarios legítimos y bots ejecutando un script en segundo plano. Como el visitante no tiene que seleccionar manualmente una casilla de verificación, puedes estar protegido de los spammers sin afectar la experiencia del visitante.
El CAPTCHA invisible, como su nombre indica, evalúa al visitante ejecutando un script invisible. Una vez más, esto sirve para minimizar los registros de spam sin añadir elementos molestos a la experiencia de registro. Después de elegir la opción que más te interese, tendrás que generar una clave del sitio y una clave secreta y seguir las instrucciones de Google para configurar tu reCAPTCHA.
7. Utilizar un plugin de geolocalización
Algunas webs tienen una fuerte conexión con una ubicación específica. Esto incluye tiendas online que solo envían a países concretos o webs dedicadas a noticias locales. En este supuesto, es poco probable que alguien fuera de estas áreas necesite registrarse.
Si este es el caso, quizá te interese detectar la ubicación de cada visitante utilizando un plugin de geolocalización para después conceder o denegar el acceso a tu formulario de registro de WordPress según su ubicación actual.
Esto puede minimizar los registros de spam de usuarios en tu web de WordPress. Pero al mismo tiempo también puede evitar que algunos usuarios legítimos se registren en tu sitio. Siempre habrá casos especiales en los que alguien pueda querer crear una cuenta desde una ubicación inesperada. Por ejemplo, alguien puede intentar registrarse en tu tienda online con sede en Europa mientras está de vacaciones en América.
Antes de habilitar la geolocalización, examina el tráfico que recibes utilizando una herramienta como Google Analytics. Al evaluar de dónde provienen tus visitantes, puedes identificar áreas que puedes bloquear sin perder conversiones.
Puedes restringir el acceso a tu página de registro utilizando el plugin IP2Location Redirection. A diferencia de otros plugins de geolocalización, IP2Location te permite redirigir a los visitantes a una página web alternativa según su ubicación.
Esto puede mejorar la experiencia para cualquier visitante legítimo que intente registrarse desde un país bloqueado. Al activar este plugin, selecciona Redirección en el menú de la izquierda. Tendrás que completar un proceso de registro para generar una clave de descarga. Introduce esta clave en el panel de control de WordPress y ve a Redirección → Reglas.
En el campo Desde puedes bloquear el acceso a tu página de registro o a tu web entera. También puedes especificar todas las ubicaciones que quieres bloquear.
Protege tus formularios de registro de usuarios falsos
Muchas webs utilizan los registros para monetizar su contenido, generar clientes potenciales y crear relaciones con sus visitantes. ¡Pero también hay un lado negativo! El spam de registro de usuarios de WordPress pueden inundar tu base de datos con basura e incluso poner en riesgo tu web.
Aunque podrías desactivar los registros de usuarios, esto no es lo que más le interesa a todos los tipos de webs. Afortunadamente, hay muchos plugins que puedes utilizar para ofrecer esta funcionalidad de forma segura. Esto incluye realizar la verificación por correo electrónico con el plugin User Verification y añadir un reCAPTCHA visible o invisible utilizando reCaptcha by BestWebSoft.
Akismet 