¿Por qué entran de Singapur?
Singapur es uno de los mayores hubs de tráfico bot y spam del mundo por razones concretas:
Infraestructura barata y permisiva. Singapur tiene centros de datos masivos (AWS ap-southeast-1, Google, Alibaba) con IPs de salida que los bots usan como proxy. Es legal operar servidores allí con muy poca regulación sobre el tráfico saliente.
Redes de scraping y crawlers comerciales. Empresas como Semrush, Ahrefs, Majestic y cientos de scrapers menores ruteán su tráfico por Singapur, Hong Kong y Tokio.
Botnets. Dispositivos infectados en Asia-Pacífico usan Singapur como nodo de salida porque la latencia hacia servidores mexicanos es similar a otros países y las IPs no están bloqueadas en la mayoría de firewalls básicos.
Países que generan más tráfico basura
Además de los que ya tienes bloqueados, estos son los principales generadores documentados:
| País | Código | Razón principal |
|---|---|---|
| Países Bajos | NL |
Hosting de botnets, VPNs, proxies |
| Estados Unidos | US |
AWS, DigitalOcean, Vultr — muchos scrapers |
| Alemania | DE |
Servidores Hetzner muy baratos, bots SEO |
| Francia | FR |
OVH hosting, crawlers masivos |
| Hong Kong | HK |
Similar a Singapur, hub Asia-Pacífico |
| Ucrania | UA |
Spam y credential stuffing |
| Brasil | BR |
Botnets de dispositivos infectados |
| Vietnam | VN |
Click fraud, scraping barato |
| Indonesia | ID |
Botnets móviles, click farms |
| Tailandia | TH |
Proxies residenciales |
Aquí están los mejores plugins gratuitos, con sus ventajas y limitaciones claras:
🥇 IP Location Block
El más recomendado para tu caso
Bloquea visitantes por país, estado o proveedor ISP. También protege contra spam, intentos de login, exploits de día cero y acceso malicioso. WordPress.org Lo más importante para ti: es compatible con plugins de caché a diferencia de otras opciones, y bloquea tanto el frontend como el wp-admin y xmlrpc.php.
Búscalo en WordPress como: IP Location Block
🥈 IP2Location Country Blocker
Permite bloquear acceso desde múltiples países, por agrupación regional (APAC, EU, etc.), desde proxies anónimos, y por rango de IP. Tiene lista blanca para robots de buscadores como Google y Bing, y muestra reporte estadístico del tráfico bloqueado. WordPress.org
⚠️ Advertencia importante: este plugin NO funciona si tienes algún plugin de caché activado. WordPress.com Si usas WP Rocket, LiteSpeed Cache o similar, este no es tu opción.
🥉 CloudGuard (si usas Cloudflare)
Creas una lista blanca de países permitidos para acceder al wp-admin y bloquea a todos los demás. Usa el servicio de geolocalización de Cloudflare directamente, por lo que tu servidor no consume recursos en la detección. También muestra un mapa del mundo con los intentos de login no autorizados. WPBeginner
Solo funciona si ya tienes Cloudflare activado en tu dominio (tú ya lo usas según tu código con HTTP_CF_CONNECTING_IP).
Wordfence Security
Incluye firewall avanzado, permite bloquear IPs y países, y limitar el número máximo de intentos de acceso al panel. Sergio Canales Pero el bloqueo por países es solo en la versión Premium (~$119/año). La versión gratis solo bloquea IPs individuales.