En el episodio 533 de WordPress Semanal te cuento por qué los bots de inteligencia artificial están afectando al rendimiento de las tiendas WooCommerce, qué está pasando en segundo plano cuando rastrean tu web y qué puedes hacer para protegerte sin romper nada.
1. Qué está pasando con los bots de IA
En el último año, los bots de IA (GPTBot de OpenAI, ClaudeBot de Anthropic, el rastreador de Meta AI y otros) han empezado a rastrear webs a una velocidad que antes solo veías en Google.
Para un blog esto no suele ser un problema. Las páginas se sirven desde caché y el servidor apenas trabaja.
Para una tienda WooCommerce es otra historia. Y muchos propietarios de tiendas no saben que les está pasando.
2. Por qué WooCommerce sufre más que un blog
En un blog, la mayoría de páginas son estáticas. El servidor las guarda en caché y cuando alguien (o un bot) las pide, las entrega sin procesarlas de nuevo.
WooCommerce no puede funcionar así. Muchas de sus páginas dependen del usuario: el carrito tiene productos diferentes según quién lo mire, el checkout necesita datos de sesión, las búsquedas y los filtros generan resultados distintos cada vez.
Cada una de esas peticiones tiene que:
- Ejecutar PHP para procesar la lógica.
- Consultar la base de datos para obtener productos, precios o datos de sesión.
- Construir la respuesta desde cero.
PHP funciona con hilos. Tu servidor tiene un número limitado de ellos. Cuando todos están ocupados, las nuevas peticiones esperan. Si hay muchos bots haciendo peticiones a la vez, los hilos se agotan y tu tienda se ralentiza para todo el mundo. También para tus clientes reales.
3. Dónde hacen más daño los bots
No todas las páginas cuestan lo mismo. Los bots hacen más daño cuando acceden a:
- Carrito y checkout (/cart, /checkout, ?add-to-cart=): cada petición activa lógica de sesión, valida el carrito y consulta productos. Según un informe reciente de Kinsta, se registraron más de 7 millones de peticiones de bots a URLs de «añadir al carrito» en solo 24 horas en su infraestructura.
- Búsquedas y filtros: cada combinación de filtros (precio, categoría, talla, color) genera una URL diferente. Los bots las tratan como páginas distintas y las rastrean todas. Si tienes 50 productos con 5 filtros, las combinaciones se multiplican.
- Páginas con parámetros dinámicos: calendarios, comparadores de productos, paginaciones con variantes. Los bots se quedan en bucle explorando variaciones que para ellos son páginas nuevas pero para ti son la misma información.
4. Por qué no parece un ataque (pero se comporta como uno)
Un ataque malicioso se nota: picos de tráfico desde una sola IP, peticiones sospechosas, payloads extraños.
El tráfico de bots de IA no se ve así. Son rastreadores que siguen la estructura de tu web, acceden a URLs válidas y reciben respuestas válidas. Desde fuera parecen visitas normales.
Pero al servidor le da igual la intención. Procesa todas las peticiones igual. Si un bot envía una petición cada 23 milisegundos durante todo el día (dato real de ClaudeBot según el informe de Kinsta), el efecto en tu servidor es el mismo que un ataque de carga. Solo que nadie te avisa porque no parece uno.
5. Cómo saber si te está pasando
Google Analytics no te va a ayudar aquí. Los bots no ejecutan JavaScript, así que no aparecen en tu analítica web.
Para ver el tráfico de bots necesitas mirar en otro sitio:
- Logs de acceso del servidor: tu hosting los tiene. Busca peticiones repetidas a /cart, /checkout o ?add-to-cart= desde user agents como GPTBot, ClaudeBot, Bytespider, meta-externalagent.
- Panel de tu hosting: muchos hostings (Kinsta, Cloudways, SiteGround) muestran el uso de hilos PHP y peticiones al servidor. Si ves picos que no coinciden con tu tráfico real, probablemente son bots.
- Query Monitor: el plugin que ya conoces. Te muestra las consultas a la base de datos y el tiempo de ejecución de PHP por página. Si ves tiempos altos en páginas que deberían ser rápidas, investiga.
6. Soluciones desde WordPress
Actualiza tu robots.txt. Es lo primero y lo más sencillo. El robots.txt le dice a los bots qué pueden rastrear y qué no. La mayoría de bots de IA lo respetan (aunque no están obligados).
Añade reglas para bloquear los rastreadores de IA más comunes:
User-agent: GPTBot
Disallow: /
User-agent: ClaudeBot
Disallow: /
User-agent: Bytespider
Disallow: /
User-agent: meta-externalagent
Disallow: /
Si prefieres no bloquearlos de tu web completa sino solo de las zonas sensibles:
User-agent: GPTBot
Disallow: /cart/
Disallow: /checkout/
Disallow: /?add-to-cart=
Disallow: /?s=
User-agent: ClaudeBot
Disallow: /cart/
Disallow: /checkout/
Disallow: /?add-to-cart=
Disallow: /?s=
Puedes editar el robots.txt desde tu plugin de SEO (SEOPress, Yoast, Rank Math) o con un plugin dedicado como Block AI Crawlers, que bloquea más de 75 bots de IA con un solo clic.
Plugins de seguridad. Wordfence y Solid Security permiten crear reglas de firewall para bloquear user agents específicos o limitar la velocidad de acceso (rate limiting). Si ya usas uno de estos plugins, revisa su configuración de bots.
7. Soluciones desde el hosting
Tu hosting puede hacer más que WordPress a nivel de bloqueo, porque actúa antes de que la petición llegue a PHP.
- Cloudflare: tiene una opción gratuita llamada «AI Scrapers and Crawlers» que bloquea bots de IA con un solo toggle. Si tu web pasa por Cloudflare (y muchos hostings lo incluyen), actívalo.
- Rate limiting: limita el número de peticiones por IP por minuto. Si un bot hace 100 peticiones por segundo, se le frena. Cloudflare lo ofrece en el plan gratuito con reglas básicas.
- Bloqueo por user agent a nivel de servidor: más efectivo que robots.txt porque no depende de que el bot lo respete. Tu hosting puede configurar reglas en Nginx o Apache que directamente rechazan la petición.
Habla con tu hosting. Muchos ya tienen protección contra bots activada por defecto o disponible con un clic. Si tu hosting no te ofrece nada de esto, puede ser un buen momento para evaluar alternativas.
8. Soluciones específicas para WooCommerce
- API REST de WooCommerce: si no la usas (la mayoría de tiendas no la usan directamente), desactívala o limita su acceso. Los bots la descubren y la rastrean.
- Bloquear ?add-to-cart= para bots: un snippet que detecta el user agent y devuelve un 403 antes de ejecutar la lógica del carrito. Así el bot no consume recursos.
- Limitar la indexación de filtros y variantes: añade noindex a las páginas de resultados de filtros y búsquedas. Esto no bloquea a los bots, pero les dice que no vale la pena indexar esas páginas, y muchos dejan de rastrearlas.
- Desactivar AJAX en páginas que no lo necesitan: WooCommerce carga scripts de AJAX en todas las páginas por defecto (para actualizar el carrito). Si solo necesitas AJAX en las páginas de tienda y carrito, puedes limitar dónde se carga.
9. Lo que no deberías hacer
- Bloquear todos los bots. Google, Bing y otros motores de búsqueda también son bots. Si bloqueas todo, desapareces de los resultados de búsqueda.
- Instalar 5 plugins de seguridad a la vez. Se pisan entre sí, generan conflictos y pueden ralentizar tu web más que los propios bots.
- Entrar en pánico. No todos los bots son un problema. Los de Google indexan tu tienda y te traen clientes. Los de IA rastrean tu contenido pero también pueden citarte como fuente. La clave es controlar el acceso, no cerrarlo.
El objetivo es reducir la carga innecesaria sin perjudicar tu visibilidad. Bloquea lo que no te aporta nada, limita la velocidad de acceso y protege los endpoints que más recursos consumen.
Plugin de la semana
El plugin de la semana es Block AI Crawlers. Lo instalas, lo activas y bloquea automáticamente más de 75 bots de IA conocidos añadiendo las reglas a tu robots.txt. Sin configuración, sin complicaciones. También añade la meta etiqueta noai a tu web. Gratuito, ligero y de código abierto.
Contenidos recomendados
La entrada 533 | Los bots de IA ralentizan tu WooCommerce (la solución) es una artículo de Gonzalo Navarro.