Cómo detener los bots malos: una guía para usuarios de WordPress

Publicado: 2023-04-05

La mitad de todo el tráfico de Internet no es actividad humana, son bots. Los bots de spam, los bots de búsqueda, los bots de Twitter y los bots DDoS son solo algunos tipos comunes de robots web. Están en todas partes en el mundo en línea, y no todos son malos. Pero algunos de ellos son malos, y los bots malos pueden ser más que una molestia. Pueden interrumpir la funcionalidad de su sitio de WordPress, ralentizar su flujo de trabajo y alejar a sus usuarios o clientes.

Cuando llega el momento de evitar que los bots maliciosos se entrometan en su sitio de WordPress, algunos enfoques funcionan mejor que otros. Afortunadamente, WordPress nos brinda varias soluciones prácticas para lidiar con los bots.

En esta guía, discutiremos qué son los bots, por qué algunos son buenos, cómo puede bloquear los malos y cómo evitar que dañen su sitio de WordPress. Para bloquear los bots que atraen los sitios de WordPress vulnerables, tómese unos minutos ahora para leer esta guía. Al final, tendrá las respuestas que necesita para bloquear los bots malos en WordPress. Vamos a ver.

¿Qué es un robot?

Como probablemente ya haya descubierto, el término "bot" es la abreviatura de "robot". A veces, las personas se refieren a los bots que estamos discutiendo aquí como "bots de Internet" o "bots web". En pocas palabras, un bot es un software que funciona como un agente de usuario independiente para una persona o un programa de comando y control más grande que dirige las acciones de muchos bots.

Por buenas y malas razones, las personas a menudo usan bots para simular la actividad de humanos reales que navegan por la web y realizan tareas repetitivas. Los bots son un poco más rápidos que las personas para realizar tareas mundanas, por lo que las personas usan bots para hacer muchas cosas simples de forma rápida y a escala. En términos generales, entre el 40 y el 50 % de todo el tráfico de Internet son bots que interactúan con páginas web, se comunican directamente con las personas, buscan contenido específico o realizan otras tareas básicas.

A menudo, no se beneficia de estas tareas impulsadas por bots. No los quieres, y no te ayudan. Son un desperdicio de recursos de servidor y energía. Peor aún, algunos son maliciosos y esos bots representan una amenaza constante.

detener los bots malos

¿Cómo funcionan exactamente los bots?

En la mayoría de los casos, un bot opera a través de una red. Cuando los bots se comunican entre sí, utilizarán diferentes servicios como IRC (Internet Relay Chat) o incluso sistemas de mensajería directa en plataformas de redes sociales.

Siguiendo diferentes conjuntos de algoritmos que definen las tareas que sus diseñadores programan para hacer, los bots pueden hacer cualquier cosa, desde hablar con personas y extraer contenido de sitios web de Internet. Los bots más sofisticados intentan imitar el verdadero comportamiento humano, como Google Duplex.

Gestión de bots

Las personas y organizaciones que usan bots suelen usar software de administración de bots que forma parte de una plataforma de seguridad de aplicaciones web. Los administradores de bots permiten que los bots buenos funcionen correctamente mientras bloquean los bots malos que pueden causar daño.

Cuando el administrador de bots ve un bot sospechoso o conocido, lo redirige fuera del sitio web que está protegiendo. Funciona como un firewall de aplicaciones web.

Algunas de las características más básicas del software de administración de bots incluyen CAPTCHA (para detectar humanos versus bots) y limitación de velocidad de IP, que limita la cantidad de solicitudes que pueden provenir de una dirección IP.

Como parte de sus funciones, iThemes Security detecta y bloquea el tráfico de bots mediante CAPTCHA y otros métodos.

Ocho tipos comunes de bots

Hay muchos tipos diferentes de bots, cada uno con sus propias tareas y agendas únicas.

Algunos de los bots más comunes incluyen:

  1. Los chatbots simulan conversaciones humanas e interactúan contigo como lo haría otra persona. Uno de los primeros chatbots es anterior a la red mundial: Eliza. Eliza es un programa que actúa como un psicoterapeuta rogeriano que responde preguntas con más preguntas.
    • Los chatbots basados ​​en reglas interactúan con las personas proporcionando indicaciones predefinidas para que elijan. Los chatbots que son intelectualmente independientes utilizan el aprendizaje automático para aprender y comprender la entrada humana y responder a palabras clave conocidas.
    • Los chatbots de IA (inteligencia artificial) combinan las características de los bots intelectualmente independientes y los bots basados ​​en reglas. Estos sofisticados bots de IA utilizan herramientas de procesamiento de lenguaje natural, coincidencia de patrones y generación de lenguaje natural para replicar la interacción humana de formas muy realistas.
  2. Shopbots escanean Internet en nombre de un usuario. El trabajo de un Shopbot es localizar el costo más bajo para cualquier producto, artículo o servicio que esté buscando un usuario. Los bots como OpenSesame observan los patrones de navegación del sitio web del usuario y personalizan el sitio para cada usuario.
  3. Los bots sociales operan en Facebook, Twitter y otras plataformas de redes sociales.
  4. Los Knowbots recopilan información específica sobre temas definidos por la persona que los controla.
  5. Los rastreadores y arañas , también conocidos como rastreadores web o arañas web, son los bots más comunes con los que puede encontrarse. Los motores de búsqueda los utilizan para mapear e indexar la estructura y el contenido de los sitios web.
  6. Los rastreadores de raspado web recopilan datos y extraen otro contenido que alguien los ha programado para encontrar.
  7. Los bots transaccionales completan transacciones en nombre de un humano que los controla.
  8. Los bots de monitoreo observan el estado general de una red o sitio web.

Los bots en cada una de estas categorías tienen propósitos legítimos, como probar, monitorear y proteger sistemas. Por supuesto, cada categoría también puede incluir bots maliciosos.

buenos robots

Un bot de servicio al cliente puede estar disponible las 24 horas del día, los siete días de la semana. Para responder preguntas comunes y brindar asistencia básica, esta es una buena manera de usar un bot. Ayuda a liberar al personal de servicio al cliente para que pueda concentrarse en problemas más complejos que requieren interacción humana.

Probablemente haya tenido algunas conversaciones con bots de servicio al cliente, también conocidos como agentes virtuales o representantes virtuales. Hace más de dos décadas, “Andrette” y “Shallow Red” fueron pioneros entre los bots de atención al cliente. Estaban en la primera generación de bots que podían responder preguntas detalladas sobre un producto o servicio.

Hoy en día, muchos servicios con los que probablemente esté familiarizado usan bots:

  • Aplicaciones de mensajería instantánea como WhatsApp, Slack y Facebook Messenger.
  • Aplicaciones de noticias como The New York Times .
  • Aplicaciones de viajes compartidos como Lyft.
  • Asistentes de programación que usan IA, como Clara y Trevor.

Estos ejemplos ni siquiera comienzan a rascar la superficie de las muchas aplicaciones que tienen los bots en tecnología y negocios. Desafortunadamente, hay muchos roles ilegítimos que juegan los bots en el cibercrimen.

Robots malos

Si bien hay bots que tienen propósitos muy positivos para las personas y las empresas, también hay bots maliciosos que respaldan la piratería y el ciberdelito. Estos bots maliciosos son muy diferentes de los chatbots útiles. Por un lado, los Chatbots no vagan libremente por la web en busca de problemas. Los bots malos sí.

Algunos de los bots maliciosos o "malos" más comunes incluyen:

  • Los bots DDoS o DoS trabajan juntos en una "red de bots" o "enjambre" para sobrecargar los recursos de un servidor objetivo, lo que lleva a una denegación de servicio (DoS) para los usuarios legítimos. La mayoría de las botnets se distribuyen a través de muchas redes y dispositivos, por lo que su vector de ataque se define mejor como una "denegación de servicio distribuida".
  • Los spambots inyectan contenido comercial no deseado en sitios específicos con la intención de llevar a sus visitantes a un sitio web diferente.
  • Los hackers atacan la infraestructura de un sitio web y distribuyen malware.

Algunos tipos adicionales de bots maliciosos incluyen recolectores de correo electrónico, rastreadores web maliciosos, crackers de contraseñas de fuerza bruta y bots de relleno de credenciales o contraseñas.

Las ventajas y desventajas de los bots

Al igual que con otras áreas de la tecnología, el uso de bots puede ofrecer algunas ventajas positivas para las personas con objetivos comerciales legítimos:

  • Realizan tareas repetitivas más rápido que las personas, ¡y sin utilizar a las personas!
  • Los bots ahorran tiempo humano para las interacciones directas de cliente y cliente de persona a persona.
  • Están disponibles en todo momento del día y de la noche.
  • Puede llegar a mucha gente muy rápidamente con bots.
  • La UX (experiencia de usuario) del servicio de atención al cliente mejora drásticamente con los bots.
  • Las empresas pueden utilizar la automatización de procesos robóticos (RPA) para optimizar los flujos de trabajo.

Por otro lado,

  • Los bots basados ​​en reglas están limitados a las tareas y capacidades de su programación. Palidecen en comparación con la fluidez y la inteligencia de los chatbots impulsados ​​por IA.
  • Incluso los AI Chatbots a menudo "malinterpretan" la intención del usuario y frustran a las personas.
  • Los delincuentes usan constantemente bots para spam y fraude.
  • Los bots pueden ser maliciosos si están programados para hacer daño.
  • Es difícil lograr que las personas "confíen" en los bots, por lo que tienen un uso limitado cuando se requiere una experiencia relacional en lugar de meramente transaccional.

¿Cómo bloqueo los bots malos en WordPress?

Es importante aprender cómo detener el tráfico de bots dañinos que WordPress no puede detener por sí solo. Los bots malos representan amenazas reales y causan daños considerables todos los días. Su sitio de WordPress es uno de sus objetivos, y debe bloquearlos.

Aprender a detener el tráfico de bots en WordPress comienza con la comprensión de que un bot malo es simplemente uno que golpea su sitio de WordPress sin ningún beneficio para usted como propietario del sitio.

Los bots malos consumen muchos recursos del servidor. Esto es especialmente cierto si visitan continuamente su página wp-login u otras áreas de su sitio, buscando una forma de entrar.

Al bloquearlos, no tendrá que lidiar con tanto estrés del servidor. Podrá ahorrar en costes de alojamiento y ancho de banda. Esto acelerará su sitio y evitará ataques DDoS.

Aquí le mostramos cómo comenzar a mantener alejados a los bots dañinos:

1. Obtenga el complemento de seguridad iThemes gratuito

Lo primero que debe hacer es obtener el complemento gratuito iThemes Security. iThemes Security es un complemento de seguridad de WordPress que agrega seguridad adicional a su sitio de WordPress.

Al usar el complemento iThemes Security, obtiene un registro de seguridad de WordPress en tiempo real que recopila eventos de seguridad en su sitio web, incluida la actividad de bots.

Descarga iThemes Seguridad ahora

Usar un complemento como iThemes Security para generar registros de seguridad de WordPress es útil en muchos niveles. Los registros de seguridad tienen varios beneficios en la estrategia general de seguridad de su sitio web.

Los registros lo equipan para:

  1. Identifique y detenga el comportamiento malicioso.
  2. Detecte actividad que pueda alertarlo de una brecha de seguridad.
  3. Evaluar cuánto daño se hizo en caso de incumplimiento.
  4. Ayudarlo en la reparación de un sitio pirateado.

Si su sitio es pirateado, querrá la mejor información para respaldar una investigación y recuperación rápidas. Esa información es su registro de acceso al servidor.

2. Obtenga iThemes Security Pro y elija un CAPTCHA para el registro de usuario, restablecimiento de contraseña, inicio de sesión y comentarios

Por mucho, la mejor función para combatir bots en el complemento iThemes Security Pro son sus opciones de CAPTCHA.

Los sitios de WordPress son atacados constantemente por bots que intentan ingresar a los formularios de inicio de sesión con contraseñas robadas o adivinadas, enviarle formularios de spam y comentarios de spam, o raspar y robar su contenido.

Elija entre muchos proveedores de CAPTCHA diferentes

El torniquete noCAPTCHA de Cloudflare, el hCaptcha de Intuition Machines y el reCAPTCHA de Google son todas las opciones que tiene en iThemes Security Pro para mantener a los bots maliciosos fuera de su sitio web. Cada uno de estos CAPTCHA identificará a sus visitantes legítimos y les permitirá iniciar sesión, realizar compras, ver páginas o crear cuentas. Todos estos servicios de CAPTCHA utilizan técnicas avanzadas de análisis de riesgos para diferenciar a los humanos de los bots, a veces sin siquiera desafiar a los humanos para demostrar que no son un bot. (El torniquete generalmente funciona de manera bastante invisible).

Para comenzar a usar el servicio CAPTCHA de su elección, habilite la función CAPTCHA en la página Funciones › Bloqueos en Seguridad › Configuración .

Tus claves CAPTCHA

El siguiente paso es seleccionar qué tipo de CAPTCHA desea usar y generar sus claves para ello; deberá configurar una cuenta gratuita con su proveedor de CAPTCHA elegido para obtener sus claves.

Nota: Turnstile de Cloudflare es actualmente la solución CAPTCHA menos intrusiva y más sofisticada. Si usa Google reCAPTCHA, le recomendamos que use su opción Invisible reCAPTCHA.

La conveniencia de noCAPTCHA

Lo bueno de Turnstile de Cloudflare y el reCAPTCHA invisible de Google es que, por lo general, pueden detectar el tráfico de bots en su sitio web sin ninguna interacción del usuario. En lugar de mostrar un desafío CAPTCHA visible, monitorean el comportamiento del agente del navegador para determinar si es un humano o un bot completamente detrás de escena.

Ahora habilite su CAPTCHA elegido en su registro de usuario de WordPress, restablecimiento de contraseña, inicio de sesión y pantallas de comentarios.

Finalmente, configure la cantidad de CAPTCHA fallidos necesarios para activar un bloqueo con el Umbral de error de bloqueo cuando se usa una prueba manual de CAPTCHA. Los bots que prueban su pantalla de inicio de sesión y otros formularios tienen más probabilidades de fallar las pruebas repetidamente, por lo que bloquearlos automáticamente es una buena manera de fortalecer su lista de bloqueo.

Después de la activación, la insignia de la plataforma CAPTCHA se muestra en la esquina inferior derecha de cada página en la que está activa, lo que le permite saber que está protegido contra los bots maliciosos.

3. Identifique y bloquee automáticamente los bots maliciosos con la protección de fuerza bruta local de iThemes Security

Tanto la edición gratuita como la profesional de iThemes Security pueden prohibir automáticamente los bots y usuarios maliciosos que fallan repetidamente en los intentos de inicio de sesión o usan el nombre de usuario "Administrador". Este es el comportamiento típico de los bots que realizan intentos de inicio de sesión de fuerza bruta. Para comenzar a usar la función de protección de fuerza bruta local , habilítela en la página principal de la página de configuración de iThemes Security Pro. Puede modificar la configuración que determina cómo se manejan estos bots en la pantalla Configurar › Bloqueos › Fuerza bruta local .

Al reducir la cantidad de intentos de inicio de sesión que permite a los usuarios de su sitio, bloqueará inmediatamente a los usuarios y bots que hayan ingresado repetidamente criterios de inicio de sesión no válidos en la página wp-login .

La función de protección de fuerza bruta local de iThemes Security Pro realiza un seguimiento de los intentos de inicio de sesión no válidos realizados por un host o dirección IP y un nombre de usuario. Una vez que una IP o un nombre de usuario haya realizado demasiados intentos consecutivos de inicio de sesión no válidos, se bloquearán y se les impedirá realizar más intentos durante un período de tiempo determinado.

4. Identifique y bloquee automáticamente los bots maliciosos con la protección de fuerza bruta de red de iThemes Security

Una forma muy eficaz de proteger su sitio de los bots maliciosos es optar por la red de usuarios de iThemes que comparten sus listas de bloqueo. Los bots maliciosos que bloquee su sitio serán compartidos y bloqueados por otros en la red, y usted también se beneficiará de recibir sus listas de bloqueo. Solo tiene que registrarse, y no es necesaria ninguna otra acción de su parte.

5. Identificar y bloquear listas de bots malos manualmente

Su panel de seguridad de iThemes le brinda una visualización de información importante actualizada al momento, incluida la cantidad de intentos de ataques de fuerza bruta y la cantidad de bots y usuarios que han sido bloqueados. Esta es una muestra visual de la información recopilada en el registro mantenido por iThemes Security.

Familiarícese con sus registros de seguridad

Tómese unos minutos para observar su registro de seguridad en Seguridad › Registros . Probablemente verá muchos bloqueos (intentos de inicio de sesión incorrectos) e intentos de inicio de sesión de fuerza bruta detectados.

iThemes Security busca solicitudes sospechosas o maliciosas que se destaquen. Los bots que visitan su sitio de forma repetitiva no se parecen a las solicitudes normales de navegador operadas por humanos. Tienden a ser repetitivos. Si una IP está haciendo más que el número promedio de solicitudes, o las solicitudes se repiten desde la misma IP regularmente (como cada hora en punto), lo más probable es que sea un bot. Puede buscar en Google sus nombres de host y buscar sus IP para obtener más información sobre ellos y confirmar si son benignos o dañinos.

Aumente el tiempo de bloqueo y prohíba a los infractores reincidentes

Muchas de las IP de host bloqueadas y prohibidas aparecerán repetidamente. Es posible que desee prohibirlos durante períodos de tiempo más prolongados en la configuración del umbral de bloqueo y prohibición.

Prohibición permanente de grandes listas de malas direcciones IP

También puede prohibir permanentemente muchas IP con el widget Usuarios prohibidos en su panel de seguridad de iThemes. Solo tenga cuidado: una lista muy grande puede ralentizar su servidor.

Prohibición permanente de grandes listas de agentes de usuario maliciosos

El bloqueo de los agentes de usuario maliciosos es una forma efectiva de incluir en la lista negra a los bots conocidos. Esto también es parte de las funciones de prohibición de usuarios de iThemes Security.

Puede ahorrarse mucho tiempo basando su lista de bots defectuosos en una fuente común actualizada periódicamente. La lista de prohibición de Jim Walker ya está integrada en iThemes Security. Puede agregar otros, como la lista negra de bots malos 4G de Jeff Starr, que actualmente tiene 1200 entradas para agentes de usuarios malos.
Tenga en cuenta que los bots como Googlebot son legítimos y no necesitan ser bloqueados; de hecho, puede incluirlos en la lista blanca utilizando una lista actual de bots beneficiosos.

Nuevo con iThemes Security: Bloqueo de bots con cero fricción y mejor privacidad: vea la repetición del seminario web:

Bloquear bots malos en WordPress hará tu vida más fácil

Si ha sido propietario de un sitio de WordPress durante algún período de tiempo, es casi seguro que ha lidiado con bots maliciosos que atacan su sitio. En este libro electrónico, encontrará algunos consejos simples para prepararse para un futuro más seguro. Aprenda a bloquear bots maliciosos y otras técnicas de seguridad para que su sitio web sea un objetivo más difícil.

Obtenga el contenido adicional: una guía para la seguridad de WordPress
Descarga el PDF

El mejor complemento de seguridad de WordPress para asegurar y proteger WordPress

Actualmente, WordPress funciona en más del 40% de todos los sitios web, por lo que se ha convertido en un objetivo fácil para los piratas informáticos con intenciones maliciosas. El complemento iThemes Security Pro elimina las conjeturas de la seguridad de WordPress para que sea más fácil asegurar y proteger su sitio web de WordPress. Es como tener un experto en seguridad a tiempo completo en el personal que supervisa y protege constantemente su sitio de WordPress por usted.

Obtenga iThemes Security Pro