#7 Seguridad y bots no deseados – Logs en SEO

Identificación de bots dañinos y cómo bloquearlos.
Filtrado de tráfico falso o ataques de spam.
Cómo usar logs para mejorar la seguridad de un sitio web.

Contenido de la lección

(Recordar que este contenido es la escaleta)

1. Introducción: No Todos los Visitantes son Bienvenidos
   • El tráfico de tu web no se limita a usuarios y a los bots buenos como Google. Existe un «tráfico oscuro» de bots automatizados con intenciones muy diversas:
   • Scrapers: Bots dedicados a robar tu contenido, precios y datos para usarlos en otras webs.
   • Hackers: Bots que escanean tu web buscando vulnerabilidades, intentando acceder a wp-admin o a archivos sensibles.
   • Spammers: Bots que buscan formularios y secciones de comentarios para inyectar spam.
   • Bots de bajo valor: Rastreadores de herramientas desconocidas que simplemente consumen los recursos de tu servidor, ralentizando la web para tus usuarios y para Google.
2. Identificando a los Sospechosos en tus Logs
   • Nos ponemos de nuevo el gorro de detective para identificar a estos intrusos.
   • Método 1: Los Falsos Googlebots (Unverified Bots)
     • Volvemos a la pestaña Unverified Bots en Screaming Frog. Es la primera y más clara señal de alerta de bots que mienten sobre su identidad.
   • Método 2: Análisis por User-Agent
     • Iremos a la pestaña User Agents y la ordenaremos por «Total Hits». Aquí veremos una lista de todos los bots que visitan la web.
     • Te enseñaré a diferenciar los «buenos» (Googlebot, Bingbot, AhrefsBot, etc.) de los «sospechosos» o desconocidos (ej. PetalBot, DotBot, MJ12bot).
   • Método 3: Análisis por Comportamiento Anómalo
     • Un bot que intenta acceder 500 veces en un minuto a tu página de login (/wp-admin/ o xmlrpc.php) no viene con buenas intenciones. Te enseñaré a detectar estos patrones de ataque.
3. El Plan de Acción: Cómo Proteger tu Servidor
   • Una vez identificado un bot no deseado, tienes varias formas de actuar.
   • Solución 1: El Método Educado (robots.txt)
     • Para bots legítimos pero que no te interesan (por ejemplo, de herramientas SEO que no usas), puedes «pedirles amablemente» que no entren usando el archivo robots.txt. Los bots maliciosos ignorarán esta petición.
   • Solución 2: El Método Contundente (.htaccess)
     • Para los bots claramente maliciosos, usaremos el archivo .htaccess para bloquearlos por su «User-Agent» o su dirección IP. Es como poner un guardia de seguridad en la puerta que les prohíbe la entrada. Te proporcionaré el código listo para copiar y pegar.
   • Solución 3: El Escudo Definitivo (Cloudflare / WAF)
     • Te presentaré los Firewalls de Aplicaciones Web (WAF) como Cloudflare. Estos servicios (muchos con planes gratuitos) actúan como un escudo, bloqueando automáticamente la mayoría de bots maliciosos y ataques antes de que lleguen a tu servidor.

Objetivo de la lección

El objetivo es que entiendas que los logs son una herramienta de seguridad fundamental. Al finalizar, serás capaz de identificar patrones de rastreo de bots no deseados, diferenciar entre bots legítimos e ilegítimos, y conocer las diferentes estrategias (robots.txt, .htaccess, WAF) para bloquearlos, protegiendo así los recursos y el contenido de tu sitio web.

Recursos

• Base de datos de user agents: https://useragents.io/
• Guía para bloquear bots (Inglés): Un tutorial detallado con ejemplos de código para usar en tu .htaccess.
  • How to Block Bad Bots in WordPress and Protect Your Site
• Introducción a los WAF: Para entender cómo funcionan los escudos de seguridad como Cloudflare.
  • ¿Qué es un WAF (firewall de aplicaciones web)?