Aunque tengas los comentarios desactivados y no muestres ningún formulario de registro en tu web, WordPress mantiene activa por defecto la página estándar de registro en la URL /wp-login.php?action=register. Los bots la conocen bien y aprovechan para crear cuentas de suscriptor de forma automática.
La buena noticia es que existen varias formas de bloquear este tipo de registros no deseados. A continuación, repasamos las principales opciones, con sus pros y contras.
1. Desactivar el registro de usuarios desde ajustes
La forma más sencilla de cortar el problema de raíz es ir a Ajustes > Generales y desmarcar la opción “Cualquiera puede registrarse”.
- Ventajas: No requiere plugins ni código. Solución inmediata y nativa de WordPress.
- Inconvenientes: Si en algún momento necesitas que los usuarios puedan registrarse (por ejemplo, en una tienda online o comunidad), tendrás que volver a activarlo.
2. Bloquear la URL de registro
Aunque desactives el registro, algunos bots seguirán intentando acceder a la URL /wp-login.php?action=register. Para bloquearla puedes hacerlo de dos maneras:
Vía .htaccess (servidores Apache):
<Files "wp-login.php">
<If "%{QUERY_STRING} =~ /action=register/">
Require all denied
</If>
</Files>
Vía functions.php o un mu-plugin:
add_action('login_form_register', function() {
wp_die('Registro deshabilitado.');
});
- Ventajas: Bloqueo total de la URL de registro. Mayor seguridad incluso con registro activado.
- Inconvenientes: Requiere tocar código o archivos del servidor. Puede ser demasiado restrictivo si en el futuro quieres habilitar el registro.
3. Usar un plugin de seguridad o anti-spam
Existen plugins que bloquean registros falsos de forma automática:
- Stop Spammers
- Disable User Registration
- Wordfence o iThemes Security
- Ventajas: No necesitas tocar código. Suelen incluir más funciones de seguridad adicionales. Útiles si planeas permitir registro de usuarios reales.
- Inconvenientes: Añaden carga extra al sitio. Dependencia de un plugin externo para algo que se puede resolver de forma más ligera.
4. Añadir un CAPTCHA
Si realmente necesitas que los usuarios se registren, añadir un CAPTCHA o reCAPTCHA en el formulario es la mejor forma de evitar registros automáticos.
- Ventajas: Mantienes abierto el registro a personas reales. Dificulta casi por completo el registro de bots.
- Inconvenientes: Añade fricción al proceso de registro. Puede afectar a la experiencia del usuario.
Conclusión
La mejor opción depende del uso que tenga tu web:
- Si no necesitas ningún registro: desactiva la opción de “Cualquiera puede registrarse” y bloquea la URL de registro para mayor seguridad.
- Si necesitas registros reales: activa el registro pero añade un plugin anti-spam o un CAPTCHA para filtrar a los bots.
Con estas medidas, tu WordPress estará protegido contra registros falsos y evitarás llenar tu base de datos de cuentas basura.
