Guia de seguretat del servidor de Discord 2026: protegeix la teva comunitat

El teu servidor de Discord és valuós. Representa la teva comunitat, converses i relacions, i val la pena protegir-lo.

El 2026, els atacs al servidor de Discord es presenten de diverses formes: atacs (unions massives que envien correu brossa als canals), inundacions de bots, intents de phishing dirigits a comptes d'administrador i atacs coordinats de comunitats externes. Un sol compte d'administrador compromès pot suprimir tot el teu servidor.

La bona notícia: amb la configuració i la consciència adequades, pots prevenir la majoria dels atacs abans que succeeixin.

Les quatre categories d'amenaces

Abans d'endinsar-nos en les defenses, entén contra què et defenses.

Atacs i atacs de membres Els atacs es produeixen quan usuaris coordinats (sovint una comunitat hostil) s'uneixen al teu servidor simultàniament i envien correu brossa, publiquen contingut ofensiu o suprimeixen canals. Discord té aproximadament 19 million servidors actius mensualment, i els atacs afecten milers de comunitats per setmana. Un sol atac pot danyar la confiança i trigar hores a netejar-se.

Correu brossa de bots Els bots maliciosos inunden el teu servidor amb missatges, enllaços de correu brossa o intenten augmentar els privilegis. A diferència dels atacs (usuaris humans), el correu brossa de bots és automatitzat i pot sobrepassar la moderació.

Phishing i estafes Els atacants es fan passar per personal, ofereixen Nitro fals o envien missatges amb enllaços maliciosos que roben tokens de Discord (un token concedeix accés complet al compte). La compromís d'un compte de personal sovint precedeix una presa de possessió completa del servidor.

Compromís del compte d'administrador Si algú obté la teva contrasenya d'administrador o codis 2FA, pot suprimir tot el teu servidor, bloquejar el propietari i robar dades. Aquesta és l'opció nuclear.

Capa 1: Nivells de verificació (la teva primera defensa)

El sistema de verificació integrat de Discord és la teva defensa més barata. No costa res i bloqueja la majoria dels atacs casuals.

Entendre els cinc nivells

• Nivell 0 (Cap): qualsevol pot veure i xatejar. Sense protecció. Utilitza'l només per a servidors d'amics privats.
• Nivell 1 (Baix): requereix correu electrònic verificat. Bloqueja els comptes d'un sol ús, però no els atacs organitzats.
• Nivell 2 (Mitjà): requereix correu electrònic verificat + 5 minuts de membresia. Retarda els atacs. La majoria dels servidors haurien de començar aquí.
• Nivell 3 (Alt): requereix correu electrònic verificat + 10 minuts de membresia. Bo per a servidors més grans. Fricció visible per a nous membres legítims.
• Nivell 4 (Molt alt): requereix membresia + porta manual (els membres han de reaccionar a un missatge). Màxima fricció, només per a comunitats d'alta confiança o després d'atacs actius.

Estableix el teu nivell

Vés a Configuració del servidor → Configuració de seguretat → Nivell de verificació. La recomanació:

• Servidors nous: Nivell 2 (Mitjà). És un bon equilibri: atura el correu brossa casual sense molestar els membres reals.
• 1.000+ membres: Nivell 2 o 3. Necessites la fricció per alentir els atacs organitzats.
• Objectiu d'atac actiu: Nivell 3 (Alt). El retard de 10 minuts atura la majoria dels atacs.
• Després que es produeixi un atac: salta al nivell 4 temporalment. Un cop les coses s'estabilitzin, torna al nivell 2 o 3.

La verificació per si sola no és suficient, però és la teva base.

Capa 2: AutoMod i filtres de paraules clau

El sistema AutoMod de Discord funciona les 24 hores del dia, els 7 dies de la setmana sense intervenció humana. Configura'l a Configuració del servidor → AutoMod.

Regles d'AutoMod per activar

Detecció de correu brossa

• Activa: detecció d'atacs (diversos comptes nous que publiquen simultàniament), correu brossa de mencions, missatges repetits
• Acció: temps d'espera de 10 minuts (bo per a proves) o silencia durant 1 hora (segur per a servidors establerts)
• Per què: atrapa automàticament les inundacions de bots i l'activitat d'atac

Enllaços i invitacions

• Activa: bloqueja els enllaços d'invitació (tret que siguin de rols de confiança)
• Acció: suprimeix en silenci o envia al canal de moderació per a la seva revisió
• Per què: el phishing sovint arriba a través d'escurçadors d'enllaços. Els enllaços d'invitació conviden a atacs.

Filtre de paraules clau

• Afegeix: termes bloquejats específics del servidor (insults, assetjament, llista de dominis de phishing)
• Acció: suprimeix + envia al canal de moderació
• Per què: atrapa contingut problemàtic abans que els humans el vegin. Afegeix dominis que descobreixis en atacs.

Comptes nous

• Marca: comptes de menys de 24 hores en categories propenses a atacs
• Acció: temps d'espera o porta de rol automàtica
• Per què: els atacs organitzats utilitzen comptes d'un sol ús

Correu brossa de mencions

• Límit: màxim 5 @mencions per missatge
• Acció: temps d'espera
• Per què: atura el correu brossa @everyone/@here i l'assetjament dirigit

Estratègia avançada de paraules clau

Comença amb una llista general de paraules clau (directrius de la comunitat, insults prohibits). Amb el temps, afegeix termes específics del servidor que senyalitzin correu brossa o atacs (frases d'atacs anteriors, enllaços d'estafes coneguts, patrons de suplantació d'identitat). Revisa els informes de moderació setmanalment per detectar nous patrons.

Capa 3: Bot de moderació amb mode d'atac

AutoMod atrapa patrons, però necessites un bot de moderació per a una resposta avançada a les amenaces. Les millors opcions el 2026:

Dyno

• Mode d'atac: expulsa automàticament els comptes nous si X s'uneix en Y segons
• Registre: seguiment d'auditoria complet d'unions, sortides, supressions, canvis de rol
• Automod: redundància a l'AutoMod de Discord
• Estableix: mode d'atac per expulsar 5+ comptes en 5 segons

MEE6

• Detecció i registre d'atacs similars
• Millor registre de temps d'activitat històricament
• Estableix: protecció contra atacs + registre activat per defecte

Carl-bot

• Més petit però fiable
• Fort suport de comandes personalitzades
• Estableix: detecció bàsica d'atacs

Configura la detecció d'atacs

Al tauler de control del teu bot:

1. Activa el mode d'atac
2. Estableix la sensibilitat: marca 5+ unions en 10 segons
3. Acció: expulsa automàticament + notifica el canal de moderació
4. Revisa els registres al teu canal de moderació

Quan s'activa el mode d'atac, veuràs notificacions instantànies. Això dóna als moderadors 30 segons per reaccionar abans que els danys s'agreugin.

Capa 4: Seguretat del compte d'administrador (crític)

Un compte d'administrador compromès és un compromís complet del servidor.

Seguretat necessària

Autenticació de dos factors (2FA)

1. Vés a Configuració d'usuari → Compte
2. Activa l'autenticació de dos factors
3. Guarda els teus codis de recuperació en un gestor de contrasenyes (no una nota)
4. Requereix 2FA per a tots els usuaris de nivell d'administrador: Configuració del servidor → Administrador
5. Fes-ho una regla de personal: "Tots els administradors han d'activar 2FA"

Aquest sol pas bloqueja el 99% de les preses de possessió de comptes.

Seguretat de la contrasenya

• Utilitza una contrasenya única (no reutilitzada en diversos comptes)
• Utilitza un gestor de contrasenyes (Bitwarden, 1Password, KeePass)
• Si sospites que hi ha un compromís, canvia-la immediatament
• Comprova les teves sessions actives setmanalment: Configuració → Sessions actives → tanca la sessió de les sessions desconegudes

Seguretat del compte de correu electrònic El correu electrònic del teu compte de Discord és la porta del darrere de recuperació. Si algú obté el teu correu electrònic, pot restablir la teva contrasenya de Discord.

• Activa 2FA també al teu compte de correu electrònic
• Utilitza una contrasenya forta i única
• Comprova l'activitat d'inici de sessió regularment

Compte amb l'exposició de tokens Els tokens de Discord són la "clau mestra". Mai:

• Enganxa el teu token a Discord, GitHub o fòrums
• Comparteix-lo amb bots o llocs web de "verificació"
• Fes clic a enllaços que afirmen mostrar el teu token

Si accidentalment filtres un token:

1. Gira-ho immediatament: Configuració d'usuari → Avançat → Regenera el token (o simplement canvia la teva contrasenya)
2. Comprova les teves sessions actives i tanca la sessió de les desconegudes
3. Informa de l'incident a Discord Trust & Safety si implica malícia

Capa 5: Seguretat del canal i portes de rol

Les defenses estructurals fan que sigui més difícil per als atacants fer danys.

Jerarquia de rols

1. Rol d'administrador: situat per sobre de tots els altres rols. Només el propietari i 1-2 coadministradors de confiança.
2. Rol de moderador: pot suprimir missatges, silenciar, expulsar, però NO suprimir canals ni gestionar rols.
3. Membre de confiança: per als líders actius de la comunitat. Només pot gestionar canals específics.
4. @everyone: denega permisos perillosos (gestionar canals, gestionar rols, prohibir membres, expulsar membres, suprimir missatges)

Mai donis permís d'administrador a la lleugera. "Un gran poder comporta una gran responsabilitat" i una gran responsabilitat si aquest compte és piratejat.

Bloquejos de canal

Crea un canal #només-administradors amb:

• Visibilitat: rol de moderador + només superior
• Propòsit: discussió del personal, resposta a incidents, decisions de seguretat
• Còpia de seguretat: si el caos s'apodera, el personal pot coordinar-se aquí

Per als teus canals més importants (#regles, #anuncis):

• Denega l'enviament de missatges per a @everyone
• Permet l'enviament de missatges només per al rol de personal
• Estableix-ho com a només lectura per a la comunitat

Capa 6: Pla de resposta a incidents

Malgrat els teus millors esforços, pot produir-se un atac. Aquí tens com respondre.

Quan comença un atac

1. Immediat: bloqueja tots els canals: Configuració del servidor → Permisos → @everyone → Denega l'enviament de missatges
2. Contacta amb els moderadors: deixa un missatge al teu canal de moderació privat (si en tens un) i posa't en contacte a través de Discord/trucades al servidor de Discord
3. Recull proves: captures de pantalla de missatges d'atac, temps d'unió, noms d'usuari (per informar)
4. Expulsa automàticament els invasors: si el teu bot encara funciona, activa el mode d'atac manualment
5. Suprimeix el correu brossa: treballa a través dels canals i suprimeix el contingut ofensiu/correu brossa. Els bots poden accelerar això.

Després de l'atac

1. Prohibeix i informa: prohibeix tots els comptes d'atac. Informa dels més greus a Discord Trust & Safety si implica amenaces.
2. Revisa els registres: comprova què es va dir i suprimir. Fes una captura de pantalla de qualsevol cosa important.
3. Notifica a la teva comunitat: publica un breu missatge a #general: "Hem experimentat un incident de seguretat. Tots els atacants han estat eliminats. Estem revisant les nostres mesures de seguretat."
4. Informa amb el personal: què va funcionar? Què va fallar? AutoMod ho va atrapar? El mode d'atac va expulsar usuaris? Millora en funció del que has après.
5. Reforça la verificació: augmenta el teu nivell de verificació durant 48 hores, després decideix si vols mantenir-lo més alt.

Informa a Discord

Si l'atac va implicar amenaces, assetjament o discurs d'odi dirigit:

1. Vés al contacte de Trust & Safety de Discord: discord.com/safety
2. Proporciona: ID del servidor, període d'atac, captures de pantalla, atacants principals
3. Discord pot investigar i prendre mesures contra els comptes dels atacants

Capa 7: Formació del personal i cultura de la comunitat

La teva millor defensa és una comunitat conscient i un personal format.

Forma els teus moderadors

• Reconeix els indicadors d'atac: comptes nous coordinats, patrons de correu brossa, missatges similars
• Sap com és el phishing: "Fes clic aquí per verificar el teu compte", Nitro fals, "impulsos gratuïts"
• Entén l'escalada: mai donis administrador a ningú que no hagis conegut personalment
• Documenta els incidents: guarda captures de pantalla, registra els temps d'unió, anota quins usuaris es van unir junts

Comunica't amb la teva comunitat

Publica a #regles o #anuncis:

Mantén-te segur al nostre servidor

Valorem la seguretat. Això és el que has de saber:

• El personal MAI et farà DM no sol·licitat demanant la teva contrasenya o verificació
• No facis clic a enllaços d'usuaris desconeguts
• Informa d'activitats sospitoses a @mods
• Mai comparteixis el teu token de Discord (les claus del teu compte)

Aquest senzill missatge evita la majoria de les estafes. Quan la teva comunitat sap que els atacs són possibles, són menys vulnerables.

Supervisió i seguretat contínua

La seguretat no és una configuració única. Supervisa activament:

• Setmanalment: comprova les sessions actives a Discord (Configuració → Sessions actives). Tanca la sessió de les desconegudes.
• Mensualment: revisa les teves regles d'AutoMod. Afegeix noves paraules clau bloquejades si veus patrons.
• Trimestralment: audita els comptes d'administrador. Elimina els administradors inactius. Revisa els permisos de rol.
• Després de qualsevol incident: augmenta la verificació, executa un simulacre de seguretat, actualitza el teu pla de resposta a incidents.

Rally també ajuda: enumera el teu servidor a Rally per arribar a comunitats compromeses i reduir la dependència del descobriment públic de Discord (que atrau més atacs aleatoris). El rànquing basat en l'activitat de Rally significa que la teva comunitat és visible per a persones que realment busquen unir-se i participar, no per a atacants ocasionals.

Protegir el teu servidor significa pensar com un defensor: capes d'advertències primerenques barates, procediments d'escalada clars i una comunitat que coneix les amenaces. Fes això i els atacs es convertiran en molèsties, no en desastres.