Guía definitiva para eliminar spam en WordPress paso a paso
Aprendé a bloquear spam en formularios de contacto, comentarios y registros de usuarios con métodos probados y gratuitos. Guía actualizada con las mejores prácticas para mantener tu sitio limpio sin plugins innecesarios.
El spam en WordPress es uno de esos dolores de cabeza que aparece desde el día uno. Ya sea en los comentarios, los formularios de contacto o los registros de usuarios, los bots y los spammers siempre encuentran la forma de llegar. La buena noticia es que con una combinación de herramientas gratuitas y ajustes simples podés eliminar el 99 % del spam sin complicarte la vida.
Antes de instalar cualquier cosa, lo primero es entender por dónde entra el spam. Los comentarios son el blanco más común, pero los formularios hechos con Contact Form 7, WPForms o Gravity Forms también reciben su buena dosis. Los registros falsos en sitios de membresía son otro problema que crece año a año.
1. Bloqueá los comentarios spam de raíz
Empezá por lo básico. Andá a Ajustes > Discusión y desmarcá la opción “Permitir que cualquiera publique comentarios”. Luego, activá “El autor del comentario debe tener un comentario aprobado previamente”.
Activá también el filtro de moderación automática: agregá palabras comunes de spam como “viagra”, “casino”, “buy now” y dominios sospechosos en el cuadro de “Comentarios moderados”. Esto ya filtra un montón antes de que llegue a tu bandeja.
2. Instalá Akismet (sí, el de siempre)
Akismet sigue siendo la herramienta más efectiva y mantenida para WordPress. Si tenés Jetpack activado, ya viene incluido. Solo tenés que ir a Plugins > Añadir nuevo, buscar “Akismet Anti-Spam”, instalarlo y conectar tu cuenta de WordPress.com (la clave API es gratuita para uso personal).
Una vez activado, Akismet analiza automáticamente cada comentario y lo mueve a spam o lo aprueba. Revisá la carpeta de spam una vez por semana para evitar falsos positivos.
3. Agregá protección invisible a los formularios
Para formularios de contacto, la mejor opción actual es reCAPTCHA v3 de Google o hCaptcha. Ambos funcionan en segundo plano sin obligar al usuario a hacer clic en imágenes.
Si usás WPForms, tenés integración nativa: andá al constructor del formulario > Ajustes > Spam Protection y activá reCAPTCHA v3. Lo mismo con Contact Form 7: instalá el addon “Contact Form 7 reCAPTCHA” y pegá tus claves.
4. Frená los registros falsos de usuarios
Si tu sitio permite que la gente se registre, activá Limit Login Attempts Reloaded. Este plugin bloquea la IP después de varios intentos fallidos y también ayuda contra registros automatizados.
Otra opción excelente y ligera es WPBruiser. Detecta bots por comportamiento y no requiere CAPTCHA visible. Es ideal si querés evitar sumar peso al sitio.
5. Limpieza automática y mantenimiento
Instalá WP-Optimize o Advanced Database Cleaner para eliminar comentarios spam antiguos de forma automática. Podés programar que borre todo lo que esté marcado como spam por más de 30 días.
Además, revisá regularmente los plugins y temas inactivos. Muchos spammers aprovechan instalaciones abandonadas para inyectar enlaces.
6. Medí el resultado vos mismo
Después de aplicar estos cambios, andá a Herramientas > Salud del sitio > Rendimiento y fijate la carga del servidor. También podés usar el informe de Akismet para ver cuántos comentarios bloqueó en la última semana.
Si querés una métrica más precisa, instalá Query Monitor y mirá cuántas consultas de la base de datos se ahorran al no procesar spam.
Con esta combinación —ajustes nativos de WordPress, Akismet, protección en formularios y un plugin de limitación de intentos— la mayoría de los sitios chicos y medianos quedan prácticamente libres de spam. No hace falta pagar herramientas premium ni instalar cinco plugins distintos. Solo constancia en la configuración inicial y una revisión mensual.
¿Tenés un sitio que sigue recibiendo mucho spam incluso después de aplicar estos pasos? Contame en los comentarios (los revisamos a mano) qué tipo de spam te llega y te ayudo a ajustar la estrategia.