Si de repente su sitio web se ve inundado por un gran número de registros de afiliados falsos, puede ser una experiencia alarmante.

Esta guía le mostrará cómo verificar el origen del problema, limpiar los usuarios de spam en masa y, lo que es más importante, cómo bloquear el ataque para evitar que se repita.

Primera parte: Primeros pasos: Comprobar si los Registros son de Afiliados al Cupón

Cuando ves muchos usuarios nuevos, es natural sospechar del plugin Coupon Affiliates como posible causa.

He aquí cómo puede verificar rápida y definitivamente el origen de los registros.

1. Compruebe la pestaña "Inscripciones" de nuestro plugin Ir a la "Inscripciones" en la sección Cupones Afiliados de su panel de control de WordPress. Esta página sólo muestra los usuarios que se han registrado correctamente a través de un formulario de Afiliados de cupones.
   • Si los usuarios de spam NO aparecen en esta listalo más probable es que estén siendo creados por otro método que elude nuestro plugin.
   • Si aparecen aquíAsegúrese de tener protección antispam activada como Google reCAPTCHA o Cloudflare Turnstile en la configuración del plugin.
2. Realice la prueba de desactivación (el método más fiable) La prueba más concluyente es desactivar temporalmente el plugin Coupon Affiliates.
   • Ir a Plugins > Plugins instalados y desactivar Coupon Affiliates.
   • Espere un par de horas (o el intervalo típico entre registros de spam).
   • Compruebe su lista principal de usuarios de WordPress en Usuarios > Todos los usuarios.
   • Si aparece un nuevo usuario spam mientras nuestro plugin está inactivo, proporciona 100% confirmación de que los registros provienen de una fuente externa, no de nuestro plugin. A continuación, puede reactivar Coupon Affiliates.

Si estas comprobaciones confirman que los registros se están produciendo fuera de nuestro plugin, continúe con la siguiente guía para encontrar y bloquear el verdadero origen del ataque.

Parte 2: Encontrar la verdadera causa de los registros spam

Si ha confirmado que el spam se produce incluso con nuestro plugin desactivado, significa que los atacantes son no utilizando los formularios frontales de su sitio web.

En su lugar, están creando usuarios de forma programática a través de una "puerta trasera" en WordPress, más comúnmente el API REST de WordPress.

La API REST es una función básica de WordPress que permite a las aplicaciones interactuar con los datos de su sitio. Los spambots pueden enviar peticiones directas al punto final de registro de usuarios (/wp-json/wp/v2/users) para crear nuevos usuarios. Este método elude por completo el tema de su sitio web, las páginas, los formularios y cualquier protección antispam como CAPTCHA que tenga instalada.

Los atacantes también pueden especificar un papel en su solicitud de API. Este podría ser el motivo por el que a los usuarios de spam se les asigna la función "Afiliado", aunque la solicitud no provenga de los formularios del complemento Coupon Affiliates.

Parte 4: Cómo bloquear permanentemente los ataques de registro de spam

He aquí las medidas más eficaces para proteger su sitio web. Es muy recomendable aplicar al menos una de las siguientes medidas. Para estos pasos, es posible que desee ponerse en contacto con su soporte de alojamiento web o desarrollador para obtener ayuda.

Opción 1: Desactivar el registro abierto (método más sencillo)

Si no requiere el registro público de usuarios fuera de su formulario de afiliación dedicado, esta es la solución más rápida.

1. En la administración de WordPress, vaya a Ajustes > General.
2. Busque la opción "Afiliación".
3. Asegúrese de que la casilla para "Cualquiera puede registrarse" es UNCHECKED.
4. Guarde los cambios. Esto cierra el punto final de registro público en la API REST.

Opción 2: Utilizar un cortafuegos de aplicaciones web (WAF) (recomendado)

Un WAF es la mejor solución de seguridad a largo plazo. Actúa como un escudo para bloquear automáticamente las solicitudes maliciosas, incluidos los ataques de spambots dirigidos a la API REST.

Entre las soluciones de seguridad más populares y eficaces figuran:

• Wordfence: La versión gratuita incluye un sólido cortafuegos que puede bloquear las solicitudes de API maliciosas.
• Seguridad Sucuri: Un completo complemento de seguridad con excelentes funciones de cortafuegos y supervisión.
• Cloudflare: Un servicio que opera a nivel de DNS; su cortafuegos puede bloquear el tráfico malicioso antes incluso de que llegue a su servidor.

Opción 3: Desactivar selectivamente el punto final de usuario de la API REST

Si debe mantener abierto el registro público, puede instalar un plugin para bloquear sólo el punto final de creación de usuarios.

1. Instale un plugin como Desactivar WP REST API.
2. En su configuración, puede desactivar selectivamente los puntos finales relacionados con la creación de usuarios (wp/v2/usuarios) manteniendo el resto de la API funcional.

Parte 3: Cómo eliminar usuarios falsos de forma masiva

Ahora, vamos a limpiar las cuentas de spam existentes.

Importante: Antes de empezar, cree una copia de seguridad completa de su sitio web y de la base de datos.

Eliminar manualmente cientos o miles de usuarios no es práctico, pero puedes hacerlo simplemente yendo a la página de administración "Usuarios", y eliminarlos masivamente en lotes por página.

También puedes utilizar un plugin:

1. Instale y active un plugin como WP Bulk Delete del repositorio de plugins de WordPress.
2. Vaya a WP Bulk Delete > Página Eliminar Usuarios.
3. Desde esta pantalla, rellene el formulario para eliminar usuarios de forma masiva dentro de un intervalo de tiempo determinado.