Introducción
Cualquier WordPress con formularios de registro abiertos (especialmente tiendas WooCommerce) acaba acumulando cientos o miles de cuentas falsas: registros automáticos de bots, spam SEO, granjas de cuentas que apuntan a un mismo buzón, etc. Revisarlas y borrarlas una a una es inviable.
Core-Admin incorpora en el módulo WordPress Management una herramienta de selección de usuarios por filtros de calidad que puntúa cada cuenta (0-100) según su probabilidad de ser falsa/spam/autogenerada y permite seleccionar y borrar en bloque las que superen un umbral elegido, revisando antes el resultado.
Esta característica es muy útil para realizar un mantenimiento rápido de cuentas fake y bots: en lugar de auditar miles de usuarios, el operador fija un umbral, revisa la lista ordenada de peor a mejor y elimina las que no le encajen.
Requisitos previos
- Core-Admin instalado con el módulo WordPress Management activo
- Acceso de administrador al panel de Core-Admin
- Un WordPress dado de alta y accesible (con su base de datos operativa)
Cómo funciona la puntuación
A cada usuario se le calcula una puntuación de 0 a 100 que estima la probabilidad de que sea una cuenta autogenerada o de spam, en lugar de una persona real. La puntuación es aditiva: se suman los puntos de cada indicador que se dispara y el total se limita a 100. Junto a la puntuación se devuelve la lista de indicadores (flags) que han contribuido, de forma que siempre se puede entender por qué una cuenta ha puntuado alto.
Cuanto más alta es la puntuación, más probable es que la cuenta sea falsa.
Gestión desde la interfaz web
Acceder a la herramienta
- Inicia sesión en el panel web de Core-Admin
- Navega hasta el módulo WordPress Management
- Abre el WordPress que quieras revisar
- Entra en la pestaña Wordpress users
- En la barra de herramientas, pulsa el botón Select and remove by quality filter
Nota: Esta acción es destructiva (borra usuarios de la base de datos). Los usuarios administradores nunca se ofrecen para borrado ni pueden eliminarse con esta herramienta, como medida de seguridad.
Elegir el umbral
Al pulsar el botón aparece un diálogo de confirmación que solicita una puntuación mínima (0-100). Solo se listarán para borrado los usuarios no administradores cuya puntuación sea igual o superior a ese valor.
Revisar y seleccionar
Tras introducir el umbral, se abre el panel de selección con los usuarios que cumplen el criterio, ordenados de mayor a menor puntuación (los peores arriba). Cada línea muestra los campos relevantes, las clasificaciones y la puntuación, por ejemplo:
id=839 | gyelthwzbpr | gyelthwzbPr@boxxxr.store | role=customer | active=yes | posts=0 | comments=0 | last_login=6000-03-30 19:05:53 | score=94 | flags=rnd-login,rnd-mail,bad-domain,future-date,no-activity,dn=login
id=1330 | m.at.ttenl.y.sh.l.ube.l.y. | m.xx.ttenl.y.xx.xx.ube.l.y.@gmail.com | role=customer | active=yes | posts=0 | comments=0 | last_login=5200-03-30 19:01:47 | score=87 | flags=inbox-dup,dot-abuse,future-date,no-activity,dn=login
Marca las casillas de los usuarios que quieras eliminar (puedes usar el buscador del panel y la opción de invertir selección) y pulsa Accept selection. Se mostrará un resumen de los usuarios borrados y la lista se refrescará automáticamente.
Estrategia recomendada para encontrar el umbral
No existe un umbral universal: depende del tipo de WordPress y del perfil de sus usuarios reales. La forma recomendada de usar la herramienta es iterativa:
-
Empieza con un umbral del 40% (
min_score = 40). A partir de 40 ya suelen aparecer cuentas claramente sospechosas. - Revisa el resultado ordenado de peor a mejor. Los de arriba (90+) son casi con certeza bots; según bajas, la confianza disminuye.
-
Ajusta a la baja o al alza hasta encontrar el punto donde se separan bien las cuentas falsas de las reales:
- Si ves falsos positivos (clientes reales colándose en la lista), sube el umbral.
- Si se te cuelan bots por debajo del corte, baja el umbral.
- Cuando el corte separe limpiamente fake de real, borra ese bloque.
De este modo, partiendo del 40% y reajustando, se llega a un umbral fiable para ese WordPress concreto.
Ajuste fino: ver todos los usuarios
Si pones un umbral del 0% (min_score = 0), la herramienta mostrará todos los usuarios (no administradores), independientemente de su puntuación. Esto es útil para hacer un ajuste fino: revisar el espectro completo, ver dónde caen las cuentas dudosas y calibrar con calma el umbral antes de borrar nada.
Indicadores de calidad utilizados
La puntuación combina los siguientes indicadores. El peso es la cantidad máxima de puntos que aporta cada uno. Algunos son fijos (se disparan al máximo cuando se cumple la condición) y otros son proporcionales (aportan entre 0 y su peso máximo según la intensidad de la señal).
| Indicador (flag) | Qué detecta | Peso |
|---|---|---|
inbox-dup |
Dos o más cuentas que apuntan al mismo buzón canónico (abuso de alias de Gmail con puntos o +etiqueta). Indicio casi seguro de registro masivo automatizado. |
+40 |
bad-domain |
El dominio del email es basura, typo-squat o un TLD frecuentemente abusado (p. ej. .ru, .store, dominios conocidos de spam). |
+0–35 (proporcional) |
no-login |
La cuenta no tiene ninguna sesión ni marca de última actividad: nunca se ha conectado realmente. | +30 |
dot-abuse |
La parte local del email abusa de los puntos (truco de alias de Gmail: j.u.a.n@gmail.com). |
+0–30 (proporcional) |
rnd-login |
El nombre de usuario (login) parece autogenerado / aleatorio (p. ej. gyelthwzbpr). |
+0–25 (proporcional) |
bio |
La biografía del perfil está rellena: relleno clásico de spam SEO en cuentas de bot. | +20 |
future-date |
La fecha de último acceso está absurdamente en el futuro (p. ej. 6000-03-30), un valor forjado por el bot. Cuando se dispara, es casi definitivo. |
+15 |
url |
El perfil tiene una URL de web configurada: relleno clásico de spam. | +15 |
rnd-mail |
La parte local del email parece aleatoria / autogenerada. | +0–15 (proporcional) |
no-activity |
La cuenta no tiene ni entradas ni comentarios. Señal débil: muchos clientes legítimos de tienda tampoco los tienen. | +5 |
dn=login |
El nombre visible (display name) coincide con el login o con la parte local del email. Señal muy débil (WooCommerce lo hace por defecto); solo sirve como desempate. | +3 |
Nota: como la puntuación se limita a 100, una cuenta que dispara varios indicadores fuertes (por ejemplo
inbox-dup+bad-domain+no-login) llega rápidamente al tope.
Interpretación rápida
- 90–100: casi con certeza bots/fake (combinan login+email aleatorios, dominio malo, sin actividad, fechas forjadas, alias duplicados…).
- 60–89: cuentas muy probablemente de baja calidad.
- 40–59: zona de revisión; mezcla de sospechosas y algún posible falso positivo.
- 0–39: mayoritariamente cuentas plausibles (aunque conviene revisar el contexto).
Uso desde la línea de comandos
La misma lógica de puntuación está disponible en la CLI crad-wordpress-mgr.pyc, lo que permite tantear umbrales sin tocar la interfaz web. Para listar los usuarios por encima de un umbral, ordenados por puntuación:
crad-wordpress-mgr.pyc -u /ruta/al/wp-config.php --min-score 40 --sort-score
Para eliminar de forma permanente todos los usuarios no administradores con puntuación igual o superior a un umbral (pide confirmación salvo que se añada --yes):
crad-wordpress-mgr.pyc -u /ruta/al/wp-config.php --remove-min-score 70
Recomendación: usa primero
--min-score(solo listado) para validar el corte y, cuando estés conforme, aplica--remove-min-score. Los administradores quedan siempre protegidos.
Buenas prácticas
- Revisa siempre antes de borrar: la herramienta muestra la lista para que confirmes la selección; no borra nada sin tu confirmación.
- Empieza en 40% y reajusta hasta separar limpiamente fake de real para ese WordPress concreto.
- Usa el umbral 0% cuando quieras inspeccionar todo el padrón de usuarios y calibrar con calma.
- Mira los flags, no solo la puntuación: un mismo score puede deberse a señales muy distintas; los flags te dicen por qué.
- Los administradores nunca se tocan: aunque puntuaran alto, quedan excluidos del listado y del borrado por seguridad.
Conclusión
La selección de usuarios por filtros de calidad convierte una tarea tediosa y propensa a errores (revisar miles de cuentas) en un mantenimiento rápido y reversible en la decisión: fijar un umbral, revisar la lista ordenada y borrar el bloque de cuentas fake. Combinada con el ajuste iterativo del umbral (empezando en 40% y afinando) y la posibilidad de ver todos los usuarios con umbral 0%, permite limpiar de forma segura y eficiente los registros de bots y spam que afectan a cualquier WordPress expuesto a registros públicos.