Seguridad WordPress. Protege la sección de comentarios

Una de las áreas más vulnerables de tu página WordPress, es la sección de comentarios al pie de cada una de tus publicaciones. Esta sección, al consistir en un formulario, es una invitación a los spammers para utilizar sus Bots (programas que realizan rutinas automáticas) para inundar tu sección de comentarios de Spam. La finalidad suele ser la de beneficiarse de forma ilegítima de cara al SEO dado que  por lo general dejan un enlace a su Web. Otros objetivos pueden ser simplemente el de dejar un comentario con un enlace a una Web fraudulenta donde intenten recoger datos de los usuarios o infectarlos con malware.

Askimet – La base de la lucha contra el spam

Askimet es un plugin que viene preinstalado con WordPress y probablemente el plugin más importante. Es la base de la protección contra el Spam. Para instalarlo, necesitarás antes conseguir una clave de API en la Web siguiendo los siguientes pasos:

  1.  Accede a la Web de Askimet.
  2. Regístrate pinchando en “Sign up for askimet now”.
  3. Introduce un Email para registrarte y después pincha en “personal” para usar la opción gratuita.
  4. Te preguntará cuánto quieres gastar debajo de donde pone “What is Akismet worth to you?” y pones 0.
  5. Introduce la url de la Web que quieras proteger y un nombre de contacto.
  6. Pincha en “CONTINUE WITH PERSONAL SUBSCRIPTION” para finalizar.
  7. Se te devolverá una clave de API en la siguiente pantalla. Ya estás listo para usar Askimet en WordPress.

Una vez consiguas la clave de API, solo necesitas activar el módulo Askimet e introducir la clave.

Otros consejos básicos a tener en cuenta

  • No utilizar plugins para eliminar el atributo nofollow: Por defecto, los links de autor de los comentarios tienen este atributo incluido para no influir en el page rank. No es conveniente cambiarlo dado que puede atraer más comentarios spam.
  • Verificación Captcha: Existen plugins para añadir una verificación captcha en la caja de comentarios (tener que introducir una secuencia de caracteres para validar el comentario). A pesar de su efectividad contra los bots de spam, puede disuadir a un usuario de dejar un comentario. También existen captchas del estilo al botón “no soy un robót” de google, más amigables. Un ejemplo es el plugin reCAPTCHA in WP comments form
  • Quitar el campo URL (sitio Web) de los comentarios: El campo url, salvo casos concretos, no ofrece ningún beneficio en casi ninguna circunstancia al apartado de comentarios de WordPress, sin embargo es un importante aliciente para el spammer dado que es el campo donde puede dejar el enlace a su Web de vuelta, introducir palabras clave, etc.
  • Deshabilitar código html en los comentarios: Otra manera de disuadir a spammers, es no permitiendo que puedan crear enlaces utilizando código html en los comentarios. Puede desactivarse el html en los comentarios mediante la utilización de un plugin o modificando el fichero de funciones functions.php
  • No utilizar los “pingbacks” o “trackbacks”: Esta característica de WordPress que sirve para saber si alguien está enlazando un contenido de tu sitio web en otro sitio web (pingback) o avisar a otro sitio Web que hemos introducido un enlace suyo en nuestra publicación (trackback), no es necesario para la mayoría de Blogs. Los pingbacks y trackbacks suelen servir como herramienta para generar Spam por lo que también es recomendable no utilizarlo y desactivarlo desde “Ajustes” -> “Comentarios” y desmarcando la opción “Permitir avisos de enlaces desde otros sitios (pingbacks y trackbacks) en los artículos nuevos“.