Cómo detener el spam de registro de WordPress - Guía completa

Publicado: 2023-04-19

Imagina esto:

Quieres hacer crecer tu sitio web. Quiere más clientes e ingresos.

Así que diseñas un plan para mejorar tu contenido y refinar tu diseño.

¡Usted agrega más CTA y permite que sus usuarios se suscriban y se registren en su sitio!

Pero de repente descubre que su sitio está siendo bombardeado con registros de usuarios de spam con direcciones de correo electrónico que contienen inbox.imailfree.cc, mail.imailfree.cc.

En lugar de hacer crecer su negocio, dedica tiempo a limpiar una avalancha de spam todos los días.

En lugar de hacer esto, está atascado limpiando el registro de usuarios de spam todas las mañanas.

Eso debe ser frustrante.

Durante la última década, hemos tenido la oportunidad de ayudar a los clientes que manejaban una avalancha de registros de spam de WordPress todos los días.

Así que no te preocupes, por muy mala que sea la situación, te ayudaremos a recuperar tu tiempo. Puede volver a concentrarse en hacer crecer su negocio y generar más ingresos después de leer este artículo.

TL; DR: para detener los spams de registro de WordPress, debe implementar algunas medidas. Primero, instale un firewall , implemente el bloqueo geográfico y luego habilite reCAPTCHA. Si estas medidas no detienen por completo los spam de registro, intente implementar todas las medidas que se enumeran a continuación.

Antes de profundizar en los métodos de prevención, si desea comprender por qué los piratas informáticos realizan spam de registro en primer lugar, acceda a esta sección.

Y si desea obtener información sobre cómo el spam de registro puede afectar su sitio , vaya a esta sección.

¿Cómo bloquear el spam de registro de WordPress?

Aquí hay un pensamiento:

En lugar de evitar el spam de registro, ¿por qué no deshabilitar los registros?

No necesita habilitar el registro público si desea permitir que solo una pequeña cantidad de personas acceda a su sitio.

Simplemente cree cuentas de usuario manualmente. Asegúrese de que no tengan acceso de administrador.

> Desactivar registro de usuario

Para deshabilitar el registro de correo no deseado, vaya a su panel de control de WordPress, luego navegue a Configuración> General .

En la página Configuración general , desplácese hacia abajo hasta la opción Membresía y desmarque la casilla "Cualquiera puede registrarse" .

Deshabilite el registro de usuario para evitar que alguien se registre

WordPress tiene una URL de página de registro predeterminada que se ve así: https://example.com/wp-login.php?action=register

Después de desactivar el spam de registro, al intentar abrir la página de registro aparece el siguiente mensaje:

"Actualmente no se permite el registro de usuarios."

La pantalla de inicio de sesión diría "Registro de usuario no permitido"

Consejo profesional: no olvide eliminar los usuarios falsos que ya están registrados en su sitio web. Verifique sus correos electrónicos de usuario con la ayuda de las siguientes herramientas: Hunter , VerifyEmailAddress y Email-Checker . Compruebe también si las direcciones de correo electrónico contienen términos como inbox.imailfree.cc , mail.imailfree.cc . Si alguna de las direcciones de correo electrónico es falsa, elimínela de su sitio.

Dicho esto, si deshabilitar el registro público no es una opción, considere limitar lo que los usuarios pueden hacer en su sitio web.

> Establecer roles de usuario adecuados

Cuando los piratas informáticos obtienen acceso de usuario a su sitio web, pueden hacer muy poco si están limitados por sus roles de usuario.

En un sitio web de WordPress, hay 6 roles de usuario. Cada uno viene con diferentes capacidades. Los administradores tienen control total sobre el sitio. Los editores pueden publicar publicaciones y realizar algunas funciones en el sitio web. Los colaboradores y autores solo pueden modificar o crear publicaciones. Los suscriptores solo pueden administrar sus perfiles y leer todas las publicaciones y páginas. Nada más.

Siempre que los usuarios que se registren en su sitio web no sean administradores (o superadministradores en una instalación multisitio) ni editores, no podrán publicar contenido dañino ni iniciar funciones maliciosas en su sitio web.

Puede leer más sobre las funciones de los usuarios aquí: funciones y capacidades de los usuarios de WordPress.

Para establecer roles de usuario para colaboradores, autores o suscriptores, vaya a su panel de control de WordPress.

Luego navegue a Configuración > General . En la página de configuración general, busque la opción Nuevo rol predeterminado de usuario .

Convierta al suscriptor en el rol predeterminado del nuevo usuario.

En el menú desplegable, elija colaboradores, autores o suscriptores.

Dicho esto, limitar las funciones de los usuarios no evitará los registros de spam.

Para detener los spams de registro por completo, debe:

  • instalar un cortafuegos
  • Implementar bloqueo geográfico
  • Implementar la protección reCAPTCHA
  • Hacer cumplir la activación por correo electrónico
  • Cambiar la URL de registro de WordPress
  • Hacer cumplir el registro multifactor
  • Habilitar la protección del tarro de miel
  • Habilitar la aprobación manual

Probablemente te estés preguntando si necesitas implementar todas las medidas. Si habilitó todas las medidas, los usuarios tendrán que pasar por varios aros. Así que eso no es recomendable.

Dependiendo de la gravedad del ataque a su sitio web, deberá implementar las medidas que acabamos de enumerar.

Digamos que desea instalar un CAPTCHA en su página de registro. Pero si recibe cientos de registros de spam en el breve lapso de una semana, CAPTCHA solo será inadecuado. También tendrá que implementar algunas de las otras medidas de seguridad de WordPress.

1. Instalar un cortafuegos

El cortafuegos es su primera línea de defensa contra el spam.

Cuando está habilitado, cualquier tráfico que llegue a su sitio web pasa primero por el firewall.

Verificará el tráfico contra su repositorio de direcciones IP maliciosas. Si el cortafuegos identifica alguna dirección IP como maliciosa, se bloquea de inmediato.

El cortafuegos ayuda a prevenir ataques de spam de registro antes de que pueda llegar a su sitio web.

Ventajas:

  • Está automatizado y no requiere operaciones manuales.
  • Ofrece protección las 24 horas.
  • Puede ofrecer detalles de tráfico que son útiles para proteger aún más su sitio.

Contras:

  • Puede fallar al reconocer y bloquear algo de tráfico malicioso.
  • Puede bloquear accidentalmente el tráfico legítimo.

Cómo implementar

Puede usar un firewall como MalCare. Todo lo que necesita hacer es registrarse e instalar el complemento en su sitio. El cortafuegos se habilitará automáticamente.

Instale el complemento de seguridad de MalCare para evitar el spam de registro de usuario

MalCare ofrece más que protección las 24 horas. Puede encontrar información sobre el tráfico que se bloqueó, que incluye el país de origen, la URL a la que intentaban acceder los piratas informáticos, su dirección IP, etc.

Registro de tráfico en MalCare

Dicha información es útil para reforzar aún más la seguridad de su sitio web. Por ejemplo, si recibe demasiadas solicitudes de tráfico malo de un país específico, puede bloquear todo el país.

2. Implementar bloqueo geográfico

El bloqueo geográfico se refiere a bloquear el acceso de todo el país a su sitio web.

Esto evitará tanto el tráfico malicioso como el legítimo del país que bloqueó.

Por lo tanto, debe asegurarse de que el tráfico de ese país en particular no sea valioso para usted.

Ventajas:

  • Reduce significativamente el spam de registro malicioso.

Contras:

  • Bloquea el tráfico legítimo.
  • Los piratas informáticos aún pueden usar una VPN y acceder a su sitio.

Cómo implementar

Existen complementos que pueden ayudarlo a implementar el bloqueo geográfico, pero si está utilizando el firewall de MalCare, puede consultar el registro de tráfico para averiguar dónde se origina la mayor parte del tráfico bloqueado.

Implemente el bloqueo geográfico para evitar el registro de usuarios de un país.

Luego, también puede utilizar el bloqueo geográfico de MalCare para bloquear ese país. Aquí hay una guía que lo ayudará a lograrlo: ¿Cómo implementar el bloqueo geográfico?

3. Implementar la protección reCAPTCHA

Los piratas informáticos diseñan bots para realizar registros de usuarios no deseados.

reCAPTCHA es una prueba que se utiliza para diferenciar a los humanos de los bots.

Implementar protección Captcha

Al principio, estas pruebas se basaban en texto. Los bots evolucionaron y pronto pudieron resolverlos. Ahora es común ver un reCAPTCHA en el que debe marcar una casilla para confirmar que no es humano. Luego se le sirven algunas imágenes para elegir.

protección captcha

Los bots no pueden ver imágenes y, por lo tanto, no pueden resolver reCAPTCHA.

Agregar la protección reCAPTCHA al formulario de registro evitará que los bots intenten registrarse en su sitio.

Ventajas:

  • Los registros de usuario no se crean en la base de datos a menos que se supere el desafío.

Contras:

  • Necesita la ayuda de Google para configurar reCAPTCHA. Si Google decide detener el servicio, deberá buscar nuevas formas de evitar el spam de registro.

Cómo implementar

1. Descargue e instale Invisible reCaptcha para WordPress en su sitio web.

2. Luego abra esta URL: https://www.google.com/recaptcha/intro/invisible.html?ref=producthunt e inicie sesión en su cuenta de Google.

3. Registre su sitio.

usa google recaptcha

4. Google le dará una clave de sitio y una clave secreta. Cópialos.

Obtener la clave del sitio captcha de Google

5. Vaya a su tablero de WordPress y navegue a Configuración> ReCAPTCHA invisible e ingrese las claves.

recaptcha invisible

6. A continuación, desde la misma página, vaya a WordPress y seleccione Activar registro desde protección .

configuración de recaptcha invisible

Eso es todo, amigos.

4. Habilite la protección Honey Pot

Honey Pot es una forma ingeniosa de proteger el formulario de registro.

Los bots están diseñados para llenar todos los campos de un formulario.

En este método, algunos campos del formulario no se pueden completar porque son invisibles para el usuario.

A diferencia de los humanos, los bots llenan los campos leyendo el código fuente de la página. Entonces terminan llenando los campos invisibles.

Con el método de protección Honey Pot, puede identificar fácilmente los bots y bloquearlos rápidamente.

Ventajas:

  • La forma más efectiva de identificar y bloquear spambots.

Contras:

  • No se puede detener a los piratas informáticos que se registran manualmente en su sitio.
  • Bloquea el software de lectura de pantalla que autocompleta formularios.
  • Bloquea a los usuarios con problemas de visión.

Cómo implementar

Algunos formularios personalizados como Formidable Forms y creadores de sitios web como Elementor vienen con opciones integradas para Honeypot. Pero debe ser un suscriptor premium para acceder a ellos. Sin embargo, existen complementos dedicados como Clean Login que lo ayudarán a habilitar honeypot.

1. Descargue e instale Clean Login en su sitio web de WordPress. La protección Honeypot estará habilitada de forma predeterminada.

Instale Clean Login para habilitar la protección antispam de honeypot

5. Hacer cumplir la activación por correo electrónico

Después de saltar tantos aros, si alguien logra llegar tan lejos para registrarse, entonces es una buena señal. Lo más probable es que el usuario no sea un bot. Pero todavía puede ser un hacker.

El método de verificación por correo electrónico consiste en enviar a los usuarios un enlace en la dirección de correo electrónico que utilizaron para registrarse. Al abrir el enlace se activará la cuenta de usuario.

Si es una dirección de correo electrónico falsa, no pueden activar la cuenta. La cuenta se colocará en modo pendiente, que puede eliminar manualmente.

Ventajas:

  • Verifica si la dirección de correo electrónico existe.

Contras:

  • Los correos electrónicos pueden llegar a la carpeta de spam y pasar desapercibidos.
  • Los registros de usuarios se almacenan en la base de datos incluso si no están activados.

Cómo implementar

Hay muchos complementos que le permitirán hacer cumplir las verificaciones de correo electrónico. Algunos son complementos de formularios dedicados como Gravity Forms y Formidable Forms, pero generalmente admiten funciones de registro en la versión premium.

Si ya está utilizando un complemento de formulario personalizado, probablemente ofrezca verificaciones por correo electrónico.

Alternativamente, puede usar complementos diseñados específicamente para verificaciones de correo electrónico como Verificación de usuario.

1. Descargue y active el complemento de verificación de usuario.

2. En su tablero de WordPress, vaya a Usuario > Verificación de usuario .

3. En la página Configuración de verificación de usuario, hay una opción llamada Habilitar verificación de correo electrónico . Seleccione para aplicar la verificación de correo electrónico.

Habilite la verificación de correo electrónico para usuarios recién registrados

También puede usar el complemento de Verificación de usuario para aplicar reCAPTCHA.

configuración de verificación de usuario

6. Cambiar la URL de registro de WordPress

Otra medida de seguridad que puedes tomar es cambiar la URL de tu página de registro.

La página de registro predeterminada de WordPress se encuentra en https://example.com/wp-login.php?action=register

Los hackers programan bots para buscar este enlace. Entonces, una forma efectiva de evitar que los bots se registren es mover la página a una URL personalizada.

La página de registro forma parte de su página de inicio de sesión. Cambiar la URL de inicio de sesión le permitirá cambiar la página de registro.

Ventajas:

  • Evita que los piratas informáticos y los bots encuentren la página de registro.

Contras:

  • Los visitantes legítimos no podrán encontrar la página de registro si intentaron abrir la URL directamente. Los disuadirá de registrarse.

Cómo implementar

1. Descargue y active la página Ocultar inicio de sesión de WPS.

2. Vaya a su registro de WordPress y navegue a Configuración > Ocultar inicio de sesión de WPS .

3. En la opción URL de inicio de sesión , ingrese la nueva URL. Asegúrate de que sea algo único que nadie pueda adivinar.

wps ocultar inicio de sesión

Di si tu nueva URL es https://example.com/nowornever

La nueva página de registro se ubicará en https://example.com/nowornever?action=register

4. En la URL de redirección , ingrese un error como 404 o 503.

Cualquiera que intente acceder a la página de inicio de sesión utilizando la URL de inicio de sesión predeterminada (https://example.com/wp-login.php) será redirigido a esta URL (https://example.com/404).

7. Hacer cumplir el registro de múltiples factores

La implementación del registro multifactor ofrece una segunda capa de protección. Por ejemplo, si tiene CAPTCHA instalado en el formulario, también puede hacer que el usuario lo valide a través de un SMS o una aplicación.

Esto significa que los usuarios tendrán que usar sus teléfonos inteligentes para registrarse.

Detendrá a los bots en seco. Y si los piratas informáticos intentan registrarse manualmente, solo pueden registrar una cuenta con un número de teléfono. Esto ralentizará sus actividades de registro de spam.

Pro:

  • Los registros de usuario no se crean en la base de datos a menos que se registren.

Contras:

  • Demasiados pasos para registrarse.
  • Los usuarios pueden ser escépticos acerca de compartir números de teléfono.

Cómo implementar

1. Descargue y active el complemento de verificación MiniOrange OTP en su sitio web.

2. En su tablero de WordPress, navegue hasta Verificación OTP .

3. Regístrese en MiniOrange.

registrar mininaranja

4. Vaya a Formularios y seleccione Formularios de registro predeterminados de WordPress .

formulario de registro tml

5. A continuación, marque la casilla junto a Formulario de registro predeterminado / TML de WordPress. Aparecerá un menú desplegable. Seleccione Activar verificaciones telefónicas > No permitir que los usuarios utilicen el mismo número de teléfono para varias cuentas .

No olvides seleccionar Guardar configuración .

habilitar verificación telefónica

Eso es todo. Los usuarios tendrán que utilizar su número de teléfono para registrarse.

8. Habilitar la aprobación manual

Puede aprobar manualmente a los usuarios que se registran en su sitio web de WordPress. No hay una opción predeterminada que le permita hacer esto. Pero con la ayuda de un complemento, puede habilitar la aprobación del administrador.

Cuando alguien se registre en su sitio, se le mostrará un mensaje que indica que debe esperar la aprobación del administrador.

Luego se notifica al administrador sobre el nuevo registro.

El administrador verifica la dirección de correo electrónico con herramientas como Hunter, VerifyEmailAddress y Email-Checker para ver si es una identificación de correo electrónico falsa. Aprueban o deniegan al nuevo usuario el acceso al sitio web.

Ventajas:

  • Los usuarios que lograron superar otras medidas pueden bloquearse con aprobación manual.

Contras:

  • Es un trabajo lento y tedioso.
  • Para los sitios web que reciben docenas de registros semanalmente, es imposible aprobar manualmente tantos registros.

Cómo implementar

1. Descargue y active el complemento de aprobación de nuevo usuario. El complemento comenzará a funcionar de inmediato. Cualquiera que se registre en su sitio web tendrá que esperar la aprobación manual.

2. Para aprobar manualmente nuevos usuarios, debe ir a Usuarios > No aprobados .

Habilitar la aprobación manual de usuarios recién registrados

¿Qué ganan los piratas informáticos con los spams de registro de WordPress?

Escuchas sobre grupos terroristas que piratean sitios web del gobierno de EE. UU. y teléfonos de celebridades que son invadidos.

Es difícil pensar en lo que los piratas informáticos pueden ganar al piratear su sitio.

Hay una serie de razones por las que los piratas informáticos atacarán su sitio web incluso si no saben nada sobre usted ni sobre lo que representa.

No es personal, es negocio.

Los piratas informáticos están interesados ​​en obtener el acceso de los usuarios a su sitio web para llevar a cabo las siguientes operaciones:

  • Vende píldoras falsas, pornografía, estafas y malware para obtener ingresos.
  • Cree vínculos de retroceso a sus propios sitios web o sitios de clientes.
  • Arruina tus esfuerzos de SEO.
  • Robar información de usuarios como direcciones de correo electrónico, información de tarjetas de crédito y registros médicos.
  • Almacene películas, programas de televisión y software piratas ilegales.

Dicho esto, obtener acceso de usuario a su sitio web por sí solo no permitirá que los piratas informáticos realicen estas operaciones.

Necesitan tener acceso de administrador para llevar a cabo algunas de las operaciones, como el almacenamiento de archivos. Para otras operaciones maliciosas como arruinar su esfuerzo de SEO, solo necesitan acceso de editor.

El acceso a nuestro sitio web, junto con las vulnerabilidades en el complemento y los temas, puede dar lugar a importantes brechas de seguridad. Por ejemplo, en el pasado, la vulnerabilidad Contact Form 7 permitía a los suscriptores obtener acceso de administrador.

  • Una vez que obtienen un mayor acceso, pueden redirigir a sus visitantes a sitios web maliciosos.
  • Pueden publicar una publicación con palabras clave japonesas no deseadas para ejecutar su SEO.
  • Pueden enviar spam a sus páginas con nombres de drogas ilegales en lo que llamamos piratería farmacéutica.

truco de palabras clave japonesas

Incluso los usuarios con acceso limitado, como un editor, pueden moderar los comentarios. Pueden aprobar comentarios maliciosos que comprometerán su base de datos. Para obtener más información, consulte esta publicación de inyección SQL de WordPress que hemos preparado.

No hace falta decir que el impacto de tal pirateo en su sitio web será feo.

Impacto de los spams de registro de WordPress en su sitio web

Los piratas informáticos intentan acceder a su sitio web para utilizar sus recursos o provocar el caos. Así es como dañan su sitio web:

  • Los registros de usuario se almacenan en la base de datos. Cientos de correos no deseados de registro pueden aumentar su base de datos, lo que hará que su sitio web sea lento .
  • Su clasificación en los motores de búsqueda puede verse afectada si los usuarios publican contenido fraudulento y redirigen a los visitantes a diferentes sitios.
  • Hablando de redirección, sus visitantes son enviados a sitios web que venden drogas ilegales y sitios para adultos. En algunos casos, se ven obligados a descargar software en su computadora local. Esto es malo para su reputación .
  • Si obtienen acceso a información de otros usuarios, como detalles de tarjetas de crédito y registros médicos, pueden venderla en línea y usted será responsable de una violación de datos .

lista negra de google

  • Cuando los servicios de alojamiento y los motores de búsqueda descubren que su sitio ha sido pirateado, lo suspenden, lo marcan como engañoso y lo ponen en la lista negra, respectivamente.
  • Limpiar un sitio web pirateado será un asunto costoso.

Claramente, los spams de registro de nuevos usuarios de WordPress no deben tomarse a la ligera.

¿Qué sigue?

Con la ayuda de nuestra guía, estamos seguros de que podrá evitar los spams de registro de usuarios de WordPress.

Pero el bloqueo de registros no deseados por sí solo no evitará que los piratas informáticos intenten ingresar a su sitio web.

Para garantizar la seguridad completa de su sitio web, debe instalar un complemento de seguridad de WordPress como MalCare. Colocará un cortafuegos entre su sitio web y el tráfico entrante. Protegerá su página de inicio de sesión de ataques de fuerza bruta.

Escaneará su sitio web diariamente y lo ayudará a limpiar su sitio web al instante si es pirateado.

Puede tomar medidas de fortalecimiento del sitio y copias de seguridad para los sitios web de WordPress.

¡ Pruebe nuestro complemento de seguridad de MalCare !