Desactivar registro WooCommerce es una de las medidas de seguridad más directas y efectivas para cualquier tienda online: desde el panel de Ajustes de WooCommerce, en la sección «Cuentas & Privacidad», podés desactivar los formularios de registro en Mi Cuenta y en el checkout con dos clics, sin instalar nada extra.
En 30 segundos
- WooCommerce tiene su propio sistema de registro, independiente del de WordPress. Desactivar uno no desactiva el otro.
- La opción nativa está en WooCommerce > Ajustes > Cuentas & Privacidad: dos checkboxes para deshabilitar el registro en Mi Cuenta y en el checkout.
- WooCommerce 8.8.0 tuvo una vulnerabilidad XSS crítica en formularios de registro, parcheada en 8.8.5 y 8.9.3.
- Podés desactivar el registro y aun así permitir compras como invitado, lo que reduce fricción sin comprometer la seguridad.
- El error más común: creer que desactivar «Cualquiera puede registrarse» en WordPress cierra también el registro de WooCommerce. No lo hace.
Qué es Turn Off Registration en WooCommerce
Turn Off Registration (o «desactivar registro») en WooCommerce es la opción nativa del plugin para deshabilitar la creación de cuentas de clientes, tanto desde la página de Mi Cuenta como durante el proceso de checkout. Es una funcionalidad de configuración, no un plugin adicional, que viene incluida en WooCommerce desde versiones tempranas y se gestiona desde el panel de administración de WordPress.
La confusión más frecuente viene de pensar que WooCommerce hereda la configuración de usuarios de WordPress. No es así. WordPress tiene su propia opción de registro en Ajustes > Generales, y WooCommerce tiene la suya separada. Si solo desactivás una, la otra sigue activa.
Por qué desactivar el registro de usuarios
El formulario de registro es uno de los vectores de spam más explotados en tiendas WooCommerce. Bots crean cuentas masivas para probar credenciales robadas, inflar métricas, o preparar ataques de fuerza bruta posteriores. Una tienda con miles de cuentas zombies en su base de datos tiene un problema real de performance y seguridad.
Hay escenarios concretos donde desactivar el registro tiene todo el sentido: tiendas B2B que solo atienden a clientes autorizados por contrato, tiendas de descarga digital donde la cuenta es irrelevante, o sitios donde el volumen de spam de registro superó cualquier umbral tolerable (y si alguna vez revisaste los logs de una tienda mediana sin protección, sabés a qué me refiero: pueden llegar cientos de registros falsos por día).
Los beneficios son concretos:
- Reducción de cuentas falsas y spam en la base de datos
- Menor superficie de ataque para ataques de credential stuffing
- Menos carga en el servidor por procesos de validación y emails de bienvenida
- Base de datos más limpia y manejable a largo plazo
Vulnerabilidades XSS en formularios de registro
Acá viene lo importante desde el lado de la seguridad. WooCommerce publicó un advisory oficial sobre una vulnerabilidad de tipo XSS (Cross-Site Scripting) en la versión 8.8.0, relacionada con Sourcebuster.js, una librería JavaScript que el plugin usa para rastrear el origen de las visitas.
El problema: el script tomaba parámetros de la URL sin sanitizar correctamente y los inyectaba en el DOM. Un atacante que lograra que un administrador o cliente visitara una URL manipulada podía ejecutar código JavaScript arbitrario en su navegador. En un formulario de registro, eso puede traducirse en robo de datos ingresados: nombres, direcciones, e incluso información de pago si el checkout estaba en la misma sesión.
¿Alguien verificó el alcance de forma independiente antes del parche? El advisory de GitHub Security Advisories confirma la vulnerabilidad sin detallar casos de explotación activa. Las versiones parcheadas son 8.8.5 y 8.9.3. Si tu tienda corre algo entre 8.8.0 y esos números, actualizá antes de hacer cualquier otra cosa.
Esto ilustra el punto de fondo: un formulario de registro activo es código ejecutándose en tu sitio que acepta input de cualquier persona en internet. Cuanto menos código de ese tipo tengás expuesto, mejor. Tema relacionado: diferencias entre WooCommerce y WordPress.
Cómo desactivar registro desde WooCommerce
El camino nativo, sin plugins adicionales. Entrá a tu panel de WordPress y navegá a:
WooCommerce > Ajustes > Cuentas & Privacidad
En la sección «Opciones de registro» vas a encontrar dos checkboxes:
- Permitir que los clientes creen una cuenta en la página Mi Cuenta: desactivalo para cerrar el formulario de registro standalone.
- Permitir que los clientes creen una cuenta durante el proceso de checkout: desactivalo para que el checkout no ofrezca la opción de crear cuenta al comprar.
Guardá los cambios. Eso es todo. Según la documentación oficial de WooCommerce, estas opciones controlan exclusivamente la creación de nuevas cuentas; los usuarios ya registrados no se ven afectados y siguen pudiendo iniciar sesión normalmente.
Cómo desactivar registro desde WordPress
La segunda capa. Aunque desactivés el registro en WooCommerce, WordPress puede seguir permitiendo el registro general de usuarios (por ejemplo, si alguien va directamente a /wp-login.php?action=register).
Para cerrarlo desde WordPress: Ajustes > Generales > desmarcar «Cualquiera puede registrarse».
Hacé las dos cosas. No una sola. El escenario donde solo desactivás en WordPress pero dejás activo el de WooCommerce es el más común y deja la puerta entreabierta.
Compra como invitado (Guest Checkout)
Desactivar el registro no implica que tus clientes deban crear una cuenta para comprar. WooCommerce tiene una opción separada para guest checkout que funciona de forma independiente.
Para habilitarla: WooCommerce > Ajustes > Avanzado > Checkout > marcar «Habilitar compras sin registro» (en versiones anteriores aparece directamente en la pestaña Checkout).
Con esto, un cliente puede completar una compra completa sin crear cuenta: ingresa su email, sus datos de envío, paga, y listo. No hay usuario en tu base de datos, no hay contraseña que gestionar, no hay vector de ataque por credenciales débiles. Para muchas tiendas de volumen medio, este es el flujo óptimo. Cubrimos ese tema en detalle en crear un plugin personalizado para WordPress.
Tabla comparativa: opciones de configuración de registro
| Configuración | Ubicación | Qué controla | Afecta usuarios existentes |
|---|---|---|---|
| Registro en Mi Cuenta | WooCommerce > Cuentas & Privacidad | Formulario en /mi-cuenta/ | No |
| Registro en Checkout | WooCommerce > Cuentas & Privacidad | Opción de cuenta durante compra | No |
| Registro general WordPress | Ajustes > Generales | Registro via wp-login.php | No |
| Guest Checkout | WooCommerce > Avanzado > Checkout | Compra sin cuenta | No aplica |
Errores comunes al desactivar registro
El más costoso: desactivar solo la opción de WordPress y asumir que WooCommerce hereda esa configuración. No la hereda. El formulario de Mi Cuenta sigue activo hasta que vas específicamente a la configuración de WooCommerce y lo desactivás.
Otro error frecuente: desactivar el registro pero dejar visible el campo en el checkout porque «igual no funciona». Ese campo vacío confunde a los clientes, parece un bug, y en algunos templates mal implementados puede seguir enviando datos al servidor aunque la opción esté desactivada. Verificá que el formulario realmente desaparece después del cambio, no solo que la funcionalidad está bloqueada.
El tercer error que veo seguido: confundir «desactivar registro» con «borrar cuentas existentes». Son dos cosas completamente distintas. Desactivar el registro solo impide que se creen nuevas cuentas. Las existentes siguen ahí, activas, con sus datos, pedidos y contraseñas. Si necesitás depurar cuentas antiguas, eso es otro proceso.
Por último: no comunicar el cambio a clientes frecuentes. Si tu tienda tenía registro activo y de un día para el otro desaparece el formulario, los clientes que quieran crear una cuenta van a asumir que algo está roto. Un mensaje claro en la página de Mi Cuenta que explique que las compras se realizan como invitado evita tickets de soporte innecesarios.
Métodos avanzados: plugins y código personalizado
Las opciones nativas cubren el 95% de los casos. Si necesitás control más fino, hay algunas alternativas.
Hook woocommerce_allow_registration
WooCommerce expone este filtro para controlar el registro de forma programática. Podés agregarlo en el functions.php de tu tema hijo:
add_filter( 'woocommerce_allow_registration', '__return_false' );
Útil si necesitás activar o desactivar el registro según condiciones dinámicas (por ejemplo, solo durante ciertos horarios, o para usuarios de ciertos países). Sobre eso hablamos en si ya usas WooCommerce para vender.
Whitelist de dominios de email
Si tu caso es una tienda B2B donde solo deben registrarse empleados de ciertas empresas, algunos plugins de seguridad permiten limitar el registro a dominios específicos (solo @empresa.com, por ejemplo). Es más granular que desactivar todo el registro.
Eso sí: cualquier modificación en functions.php se pierde si actualizás el tema principal sin usar un tema hijo. Básico, pero es el tipo de cosa que te explota en producción un lunes a las 9 de la mañana (spoiler: siempre pasa a esa hora).
Qué está confirmado / Qué no
| Afirmación | Estado |
|---|---|
| Las opciones de registro de WooCommerce y WordPress son independientes | Confirmado por documentación oficial |
| WooCommerce 8.8.0 tuvo vulnerabilidad XSS en formularios de registro | Confirmado por advisory oficial y GitHub Security |
| Las versiones 8.8.5 y 8.9.3 parchean la vulnerabilidad | Confirmado |
| Desactivar registro afecta a usuarios ya registrados | Falso — no tiene efecto retroactivo |
| Guest checkout reduce significativamente el spam de cuentas | Confirmado en práctica; sin métricas oficiales publicadas |
Preguntas Frecuentes
¿Cómo desactivar el registro de usuarios en WooCommerce?
Desde WooCommerce > Ajustes > Cuentas & Privacidad, desactivando los dos checkboxes de la sección «Opciones de registro»: el de Mi Cuenta y el de Checkout. Complementalo desactivando también la opción de registro general en Ajustes > Generales de WordPress.
¿Qué vulnerabilidades tiene el registro en WooCommerce?
La más documentada es una XSS en WooCommerce 8.8.0 a través de Sourcebuster.js, una librería de rastreo de origen de tráfico que no sanitizaba correctamente parámetros de URL. Quedó parcheada en las versiones 8.8.5 y 8.9.3. Cualquier instalación que corra entre 8.8.0 y esas versiones sin actualizar está expuesta.
¿Cómo evitar spam de registros en mi tienda online?
La opción más directa es desactivar el registro completamente y habilitar guest checkout. Si necesitás mantener el registro activo, combiná un plugin anti-spam (como CleanTalk o ReCaptcha) con rate limiting en el formulario. Las opciones nativas de WooCommerce no incluyen protección anti-spam en el formulario de registro por defecto.
¿Puedo permitir compra sin crear cuenta en WooCommerce?
Sí. Guest checkout es una opción independiente del registro. Desde WooCommerce > Ajustes > Avanzado > Checkout, activando «Habilitar compras sin registro», los clientes pueden completar una compra completa sin crear ningún usuario en el sistema.
¿Qué diferencia hay entre desactivar registro en WordPress y en WooCommerce?
Son dos sistemas separados. La opción de WordPress (Ajustes > Generales) controla el registro general de usuarios a través de wp-login.php. La de WooCommerce controla los formularios específicos de la tienda: la página de Mi Cuenta y el proceso de checkout. Desactivar solo uno deja el otro activo.
Conclusión
Desactivar registro WooCommerce es una de esas configuraciones que muchas tiendas ignoran hasta que tienen un problema: miles de cuentas spam, una brecha por XSS no parcheada, o un servidor lento por el volumen de emails de bienvenida que nadie lee. La vulnerabilidad de la versión 8.8.0 es el ejemplo más reciente de por qué un formulario de registro activo sin necesidad real es superficie de ataque innecesaria.
El flujo recomendado para 2026 en la mayoría de las tiendas medianas: desactivar registro en WooCommerce, desactivar registro en WordPress, y habilitar guest checkout. Si el hosting de tu tienda está en un servidor con recursos ajustados, este cambio solo ya reduce la carga de base de datos y el volumen de emails transaccionales de forma medible. Para tiendas con más requisitos de control de acceso, los hooks de WooCommerce permiten lógica granular sin depender de plugins adicionales.