WordPress 9 min de lectura

Cómo proteger WordPress del spam

El spam consume recursos, daña la credibilidad y perjudica el SEO. Implementa estas defensas para mantener tu WordPress libre de contenido basura.

Actualizado: 15 de marzo de 2026

El spam es uno de los problemas más persistentes para los propietarios de sitios WordPress. Comentarios llenos de enlaces publicitarios, registros de usuarios falsos, envíos masivos en formularios de contacto y trackbacks fraudulentos son solo algunas de las formas en que los spammers atacan tu sitio a diario.

Más allá de la molestia de tener que limpiar contenido basura manualmente, el spam tiene consecuencias reales: consume recursos del servidor, puede afectar negativamente a tu SEO si Google detecta enlaces spam en tu sitio, y daña la credibilidad si los visitantes ven comentarios no moderados de baja calidad.

En esta guía te mostramos cómo implementar una estrategia anti-spam multicapa que proteja tu WordPress de forma efectiva sin afectar a la experiencia de los usuarios legítimos.

Tipos de spam que afectan a WordPress

El spam de comentarios es el tipo más visible y común. Los bots recorren la web buscando sitios WordPress con comentarios habilitados y publican mensajes genéricos con enlaces a sitios de dudosa reputación. Estos comentarios buscan dos objetivos: conseguir backlinks (aunque sean nofollow) y dirigir tráfico a sus páginas.

El spam de registro ocurre cuando los bots crean cuentas de usuario falsas en tu WordPress. Aunque estas cuentas suelen tener el rol de "suscriptor" con permisos limitados, pueden usarse para publicar contenido spam si tu sitio tiene funcionalidades comunitarias o para intentar escalar privilegios explotando vulnerabilidades.

  • Spam de comentarios: mensajes genéricos con enlaces a sitios externos
  • Spam de registro: creación masiva de cuentas de usuario falsas
  • Spam de formularios: envíos automáticos en formularios de contacto
  • Spam de trackbacks/pingbacks: notificaciones falsas de enlaces entrantes
  • Spam SEO: inyección de enlaces ocultos en contenido o base de datos
  • Spam de XML-RPC: ataques automatizados a través de la API XML-RPC

Akismet: la primera línea de defensa

Akismet es el plugin anti-spam más utilizado en WordPress, desarrollado por Automattic (la empresa detrás de WordPress.com). Viene preinstalado en todas las instalaciones de WordPress y analiza cada comentario contra su base de datos global de spam para determinar si es legítimo o no.

La precisión de Akismet es muy alta gracias a su sistema de aprendizaje colectivo: cada vez que un usuario marca un comentario como spam o como legítimo, esa información mejora el filtro para todos los usuarios. Akismet procesa más de 7,5 millones de comentarios de spam por hora en todo el mundo.

Akismet es gratuito para uso personal y tiene planes de pago para sitios comerciales. Si tu sitio genera ingresos directa o indirectamente, necesitarás un plan de pago. Como alternativa gratuita sin restricciones, Antispam Bee ofrece filtrado local con buenos resultados y cumplimiento total del RGPD.

CAPTCHA y Honeypot: proteger formularios

Los CAPTCHA añaden un desafío que los bots automáticos no pueden resolver (en teoría), como identificar imágenes o resolver un cálculo. Google reCAPTCHA v3 es la versión más moderna y funciona de forma invisible, analizando el comportamiento del usuario en segundo plano sin requerir interacción manual.

Sin embargo, los CAPTCHA tienen inconvenientes: afectan a la experiencia de usuario (especialmente las versiones con imágenes), añaden dependencia de servicios externos y plantean problemas de privacidad al enviar datos del usuario a Google. Para sitios europeos que deben cumplir el RGPD, esta dependencia es particularmente problemática.

Los campos honeypot son una alternativa más elegante: se añade un campo invisible al formulario que los usuarios reales no pueden ver ni rellenar, pero que los bots completan automáticamente. Si el campo está relleno al enviar el formulario, se descarta como spam. Esta técnica es muy efectiva contra bots básicos y no afecta a la experiencia del usuario.

Configurar correctamente los comentarios de WordPress

La configuración por defecto de los comentarios en WordPress es bastante permisiva. Ajustar estos parámetros desde Ajustes → Comentarios puede reducir significativamente el spam sin necesidad de plugins adicionales.

Activa la moderación manual para los comentarios de usuarios que publican por primera vez. Requiere que los comentarios incluyan nombre y correo electrónico. Limita el número de enlaces permitidos en un comentario a uno (los spammers suelen incluir múltiples enlaces). Y desactiva los trackbacks y pingbacks si no los utilizas, ya que son un vector de spam frecuente.

  • Activar moderación manual para el primer comentario de cada usuario
  • Requerir nombre y correo electrónico para comentar
  • Limitar a 1 enlace por comentario antes de moderación
  • Desactivar trackbacks y pingbacks si no se utilizan
  • Cerrar comentarios en entradas antiguas (más de 60 días)
  • Crear lista de palabras prohibidas que envíen el comentario a spam

Proteger el registro de usuarios

Si tu WordPress tiene el registro de usuarios habilitado, necesitas proteger este formulario contra registros automatizados. Los bots pueden crear cientos de cuentas falsas al día si no hay ninguna medida de protección.

El primer paso es verificar si realmente necesitas el registro abierto. Si tu sitio no requiere que los visitantes se registren, desactiva el registro desde Ajustes → General desmarcando la opción "Cualquiera puede registrarse". Si necesitas registros, implementa un CAPTCHA o un campo honeypot en el formulario de registro.

Para WooCommerce y otros plugins que necesitan registro de usuarios, configura la verificación por email obligatoria. Esto asegura que cada registro proviene de un email real y evita que los bots creen cuentas con direcciones de correo falsas o inexistentes.

Puntos clave

  • Akismet es la solución anti-spam más efectiva para comentarios, con una precisión superior al 99%.
  • Los campos honeypot son una alternativa elegante a los CAPTCHA que no afecta a la experiencia del usuario.
  • Configura la moderación manual para el primer comentario de cada usuario y limita los enlaces permitidos.
  • Desactiva los trackbacks, pingbacks y XML-RPC si no los utilizas activamente.
  • Desactiva el registro de usuarios si tu sitio no lo necesita, o protégelo con verificación por email.

¿El spam está invadiendo tu WordPress?

Nuestro servicio de mantenimiento configura una protección anti-spam multicapa que elimina el 99% del spam automáticamente, sin afectar a la experiencia de tus usuarios legítimos.

Solicitar presupuesto
Contratar mantenimiento