Resumen de la IA
El spam en los formularios de contacto puede hacer perder tiempo a tu equipo, dañar la reputación de envío de tu dominio y exponer tu sitio web a enlaces maliciosos. Bloquearlo no requiere ningún esfuerzo manual.
Esta guía recoge 12 técnicas para evitar el spam en los formularios de contacto de WordPress, desde activar la protección integrada hasta bloquear a los usuarios reincidentes por dirección de correo electrónico o IP.
Por qué es peligroso el spam en los formularios de contacto
Los formularios de contacto suelen ser un objetivo habitual de los programas de spam maliciosos. A continuación se indican algunas formas en que los robots de spam pueden perjudicar a tu sitio web al hacer un uso indebido de los formularios de contacto:
- Envío de enlaces maliciosos: los robots de spam con intenciones maliciosas pueden utilizar tu formulario de contacto para enviar enlaces que puedan contener malware. Si algún miembro de tu equipo hace clic en el enlace, el malware podría infectar a toda tu organización, incluido tu sitio de WordPress.
- Problemas de entrega de correos electrónicos: cada vez que se envía un formulario, se genera un correo electrónico de notificación. Durante un ataque de spam, tu sitio web puede acabar enviando un volumen inusual de correos en poco tiempo. Esto puede provocar errores relacionados con el correo no solicitado o masivo y, dado que Gmail y otros proveedores importantes ahora rechazan de forma permanente los correos de remitentes marcados en lugar de aplazarlos, puede causar un daño duradero a la reputación de envío de tu dominio.
- Ataque de denegación de servicio (DoS): Algunos bots son muy eficaces a la hora de rellenar repetidamente tus formularios hasta su límite. El objetivo de los bots DoS es saturar tu sitio web con un gran volumen de solicitudes en un breve espacio de tiempo. Esto puede ralentizar tu sitio web, afectar al funcionamiento de los formularios para los usuarios reales e incluso provocar una interrupción del servicio.
- Piratería informática: Los programas automatizados de ataques de fuerza bruta pueden atacar sitios web que cuenten con formularios de registro y de inicio de sesión, con el objetivo de piratear las cuentas de los usuarios. Esto resulta extremadamente peligroso, ya que puede dar lugar a la apropiación de cuentas, fugas de información y pérdidas de datos.
- Pérdidas de productividad: si tu equipo de atención al cliente tiene que filtrar montones de mensajes no deseados, esto afecta a su capacidad para responder con rapidez a los usuarios reales. El impacto en la productividad puede dañar la reputación de tu marca y traducirse en la pérdida de numerosas oportunidades de conversión.
Estas son algunas de las formas en que el spam puede causar muchos problemas a su sitio.
Los métodos que se describen a continuación recogen las mejores herramientas y técnicas para eliminar el spam en los formularios de contacto. Los envíos de spam generados por IA han aumentado considerablemente en los últimos años, por lo que los enfoques más eficaces recurren a una detección en varias capas en lugar de a una única solución de CAPTCHA.
Cómo detener el spam de formularios de contacto en WordPress
Para combatir con éxito el spam de formularios de contacto en su sitio de WordPress, le recomendamos lo siguiente:
- 1. Consiga un plugin de formularios de WordPress con protección antispam integrada
- 2. Utilice la moderna protección antispam de WPForms
- 3. Incluir reCAPTCHA
- 4. Utilice hCaptcha en su formulario
- 5. Utilice Cloudflare Turnstile
- 6. Utilizar CAPTCHA personalizados
- 7. Activar filtros de spam por país y palabra clave
- 8. Bloquear URL dentro de campos de texto
- 9. Utilizar plugins WordPress antispam
- 10. Bloquee las direcciones de correo electrónico de los spammers reincidentes
- 11. Exigir verificación de correo electrónico a los nuevos usuarios
- 12. Lista negra de direcciones IP fraudulentas
Sumerjámonos en ello.
1. Consiga un plugin de formularios de WordPress con protección antispam integrada
La medida más importante que puede tomar para evitar el spam en los formularios de contacto de WordPress es utilizar un plugin que incorpore sólidas funciones de protección contra el spam.
Existen muchos plugins de formularios para WordPress, pero muchos no admiten métodos antispam fiables.
Si quieres una función de prevención automática de spam integrada directamente en tu formulario de contacto, te recomendamos WPForms.
WPForms es un creador de formularios que cuenta con potentes herramientas integradas para bloquear el spam en los formularios de contacto, como veremos a continuación. Además, incluye otras muchas funciones útiles sobre las que puedes obtener más información en nuestra reseña de WPForms.
Después de instalar WPForms, siga adelante y añada un formulario a una página en WordPress. A continuación, puede elegir entre una serie de métodos anti-spam disponibles para usted.
Empezaremos por la opción más fiable.
2. Utilice la moderna protección antispam de WPForms
WPForms utiliza un sistema integrado de varias capas para detectar y prevenir el spam. Funciona de forma silenciosa de forma predeterminada y es nuestra alternativa a reCAPTCHA más recomendada.
La protección antispam moderna está activada de forma predeterminada en WPForms y funciona de forma silenciosa en segundo plano para combatir el spam. Puedes acceder a su configuración yendo a Ajustes » Protección antispam y seguridad desde la interfaz visual de WPForms.
A continuación, asegúrate de que el botón de activación situado junto a «Habilitar protección antispam moderna » esté activado.
Si esta opción está activada, impedirá que se envíe un formulario cuando un robot de spam active la protección antispam.
También tiene la opción de almacenar las entradas de spam en su base de datos de WordPress para revisar los envíos y recuperar fácilmente cualquier entrada falsa positiva.
La opción «Habilitar tiempo mínimo para enviar» también está activada de forma predeterminada y configurada en 2 segundos. No obstante, puedes cambiar este tiempo mínimo por el valor que desees. Esta configuración ayuda a evitar que los bots envíen tu formulario, ya que impide que se realicen envíos antes del tiempo que normalmente tardaría una persona en rellenarlo.
La protección antispam de WPForms respeta más la privacidad que las alternativas basadas en CAPTCHA y funciona sin alterar la experiencia del usuario.
3. Incluir reCAPTCHA
WPForms también es compatible con herramientas de prevención de spam de terceros, como reCAPTCHA de Google. Se trata de un método eficaz de protección contra el spam, aunque su configuración requiere unos cuantos pasos más que la activación de la protección integrada del método 2.
Puedes ver el vídeo para ver una demostración del proceso o seguir leyendo para ver las instrucciones paso a paso.
Actualmente, existen 3 tipos diferentes de reCAPTCHA:
- Casilla de verificación reCAPTCHA v2: Esta versión de reCAPTCHA incluye una casilla de verificación que el usuario debe marcar para confirmar que no es un bot. Si la actividad del usuario parece sospechosa, es posible que se le pida que realice una pequeña prueba de verificación con imágenes para confirmar que es un usuario real.
- reCAPTCHA invisible v2: Con reCAPTCHA invisible, los usuarios no ven ninguna casilla de verificación. En su lugar, este servicio reCAPTCHA analiza el comportamiento de los usuarios para identificar y bloquear los bots.
- reCAPTCHA v3: Aunque es posible que los dos servicios anteriores muestren ocasionalmente una prueba con imágenes, reCAPTCHA v3 funciona de forma totalmente silenciosa en segundo plano. Se trata de una herramienta avanzada de prevención del spam, pero a veces puede resultar demasiado sensible y bloquear a usuarios humanos.
Para añadir reCAPTCHA a su formulario, abra el área de administración de WordPress y vaya a WPForms " Configuración.
Haga clic en la pestaña CAPTCHA en la barra horizontal debajo del logo de WPForms.
Esta página mostrará las opciones CAPTCHA disponibles en WPForms. Seleccione reCAPTCHA.
Ahora, seleccione la versión de reCAPTCHA que desea configurar. Recomendamos Invisible reCAPTCHA v2 por su facilidad de uso, pero también puedes optar por otras opciones.
Para configurar reCAPTCHA, ahora tendrá que visitar el sitio de reCAPTCHA en una nueva pestaña del navegador y hacer clic en Admin Console.
Si se te solicita, accede ahora a tu cuenta de Google. Después de acceder, tendrás que proporcionar el nombre de dominio de tu sitio para registrarlo y seleccionar el reCAPTCHA que prefieras en la sección de tipo de reCAPTCHA.
A continuación, introduzca el nombre de dominio de su sitio web en Dominios. Asegúrese de escribir sólo la parte que viene después de https:// en su URL.
A continuación, acepta las Condiciones de servicio de reCAPTCHA y marca las alertas si deseas recibir notificaciones.
Haz clic en «Enviar» para guardar la configuración. A continuación, aparecerá un mensaje indicando que tu dominio se ha registrado, junto con una clave de sitio y una clave secreta.
Cambie a la pestaña del navegador donde tiene abierta la página WPForms " Configuración y copie y pegue el sitio reCAPTCHA y las claves secretas en los campos correspondientes.
Pulse el botón Guardar configuración para finalizar la configuración de reCAPTCHA.
Para añadir el campo reCAPTCHA a su formulario, simplemente utilice la interfaz de arrastrar y soltar de WPForms para colocar el campo en su formulario.
Su formulario mostrará ahora una insignia reCAPTCHA en el frontend, indicando que ha añadido correctamente la prevención de spam reCAPTCHA a su formulario.
A continuación, examinaremos otro popular servicio de prevención de spam.
4. Utilice hCaptcha en su formulario
hCaptcha es muy similar a reCAPTCHA de Google, pero es un servicio de bloqueo de spam más respetuoso con la privacidad. Puedes ver el vídeo que te guiará a través del proceso o continuar con las instrucciones escritas a continuación.
Para conectar el servicio hCaptcha con WPForms, ve a WPForms » Ajustes desde tu panel de control de WordPress.
En la página de configuración, haz clic en la pestaña «CAPTCHA» situada en la barra horizontal.
Seleccione hCaptcha entre las opciones disponibles.
Como antes, cambia a una nueva pestaña del navegador y visita hCaptcha para registrarte en el servicio.
En la siguiente pantalla, elige un plan de hCaptcha. El plan gratuito funciona perfectamente para sitios web pequeños, así que lo utilizaremos para este tutorial.
Una vez que haya seleccionado su plan, siga adelante y rellene el formulario para crear su cuenta hCaptcha.
Cuando hayas completado el proceso de registro y hayas iniciado sesión en tu panel de control, haz clic en el botón «Nuevo sitio » para continuar.
En la parte superior, puedes introducir un nombre para tu clave de sitio de hCaptcha. A continuación, desplázate hacia abajo hasta la sección «Información general» e introduce el nombre de tu dominio. Pulsa «Añadir nuevo dominio» cuando hayas terminado.
Desplázate hacia abajo para ver los modos de funcionamiento de hCaptcha. Puedes elegir entre diferentes modos, dependiendo de si quieres que a los usuarios se les presente siempre un desafío o que tu captcha sea más pasivo.
A continuación, desplácese de nuevo hacia abajo hasta la sección Umbral de aprobación. Aquí puedes establecer el nivel de dificultad de los retos captcha.
En la mayoría de los casos, el nivel de dificultad Moderado es razonablemente eficaz para prevenir el spam sin comprometer la experiencia del usuario (siempre puede cambiarlo más adelante si es necesario).
Ahora, vuelve al principio de la página y pulsa «Guardar».
Accederás a la página siguiente, donde encontrarás una lista de los sitios añadidos. Haz clic en el botón Configuración situado junto al dominio que acabas de añadir.
Dentro de la configuración, desplácese hasta la clave del sitio y cópiela.
Pega tu Sitekey en un editor de texto como Notepad por ahora. Lo necesitaremos pronto.
Una vez hecho esto, haz clic en el icono de tu perfil en la parte superior derecha y selecciona Configuración.
Aquí encontrarás tu Clave Secreta. Haga clic en el botón Copiar clave secreta.
Ahora que ya tienes tanto la clave del sitio como la clave secreta, vuelve a la página de configuración de hCaptcha en WPForms y pega las claves en los campos correspondientes.
A continuación, haz clic en «Guardar» para completar la configuración de hCaptcha para WPForms.
Ahora, puede usar el campo hCaptcha cuando construya su formulario usando WPForms.
Debería ver la insignia hCaptcha en la parte superior de su formulario cuando se haya añadido correctamente.
Tu formulario ya está protegido contra el spam gracias a hCaptcha. Si deseas obtener instrucciones más detalladas, consulta nuestra guía sobre cómo añadir un CAPTCHA a tu formulario de contacto utilizando hCaptcha.
5. Utilice Cloudflare Turnstile
Cloudflare Turnstile es una alternativa gratuita a Google reCAPTCHA y hCaptcha que da prioridad a la privacidad. Funciona de forma totalmente invisible, por lo que tus visitantes nunca tendrán que resolver un rompecabezas.
Vea el video o siga los pasos a continuación para agregarlo a cualquier formulario WPForms:
Para empezar, ve en tu panel de control de WordPress a WPForms » Ajustes » CAPTCHA y selecciona Turnstile en la lista de proveedores.
Aparecerán dos campos de texto vacíos. Ahora, abre una nueva pestaña, inicia sesión en tu cuenta de Cloudflare y selecciona Turnstile » Añadir sitio.
Introduzca un nombre y el dominio de su sitio en los campos correspondientes.
A continuación, elige un tipo de widget (la opción«Gestionado» suele funcionar bien en la mayoría de los sitios web).
Ahora, haz clic en «Crear» para ver tu clave de sitio y tu clave secreta.
Copia la clave del sitio y la clave secreta de Cloudflare en los campos correspondientes de la configuración de WPForms.
Si lo desea, puede cambiar el mensaje de error que se muestra cuando un usuario intenta enviar el formulario sin completar el desafío de verificación de Cloudflare Turnstile. También puede elegir el estilo del widget (elija un tema Claro / Oscuro / Automático ) y, opcionalmente, habilitar el Modo Sin Conflicto si otro plugin o tema también carga Turnstile. Haga clic en Guardar configuración.
Ahora puedes activar Cloudflare Turnstile en cualquier formulario. Abre cualquier formulario en el editor. Arrastra el campo «Turnstile» al formulario o ve a «Configuración» » «Protección contra el spam y seguridad » y activa la opción «Habilitar Cloudflare Turnstile».
Un pequeño distintivo Turnstile en la esquina confirma que está activo.
6. Utilizar CAPTCHA personalizados
Somos grandes fans de los CAPTCHA personalizados porque son muy eficaces y no requieren desafíos basados en imágenes que a veces pueden resultar un poco complicados para los usuarios reales.
Los usuarios de WPForms Pro pueden obtener el addon Custom CAPTCHA para incluir simples cuestionarios basados en matemáticas o una pregunta y respuesta personalizada en sus formularios para la prevención de spam.
Para configurar un CAPTCHA personalizado, inicie la interfaz de creación de formularios.
A continuación, busque el campo Custom CAPTCHA en la sección Fancy Fields. Si aún no tienes el complemento Custom CAPTCHA, este campo será semitransparente. Haz clic en él y se te pedirá que instales el complemento.
Cuando aparezca una ventana emergente, haz clic en «Sí, instalar y activar» para continuar.
La instalación tardará sólo 2-5 segundos en completarse. La ventana emergente mostrará un mensaje de éxito una vez que el addon CAPTCHA personalizado esté activo. Haga clic en Sí, Guardar y Actualizar para continuar.
Ahora, arrastre y suelte el campo CAPTCHA personalizado en su formulario. Haz clic en el campo una vez añadido al formulario para acceder a su configuración.
Aquí puede seleccionar el tipo de CAPTCHA (matemático o pregunta y respuesta personalizada) y añadir una descripción.
Si eliges «Matemáticas», WPForms generará automáticamente una pregunta aritmética sencilla que los usuarios deberán responder correctamente. Los robots de spam no pueden responder a estas preguntas matemáticas, por lo que este CAPTCHA personalizado es una técnica muy eficaz para prevenir el spam en los formularios de contacto.
Alternativamente, puede elegir Pregunta y Respuesta como tipo de CAPTCHA. Esto le permite crear una pregunta y establecer su respuesta correcta.
Puede añadir varias preguntas utilizando el icono azul (+) situado junto al campo de la pregunta en la configuración.
Asegúrate de guardar el formulario cuando hayas terminado de hacer cambios.
7. Activar filtros de spam por país y palabra clave
WPForms te permite bloquear envíos de países específicos o rechazar cualquier entrada que contenga palabras que sepas que son spam.
Para activar estos filtros en cualquier formulario, abre el formulario en el generador y haz clic en «Configuración» » «Protección contra el spam y seguridad».
Desplácese hasta Filtrado y active Filtro por país o Filtro por palabra clave.
Utilice el menú desplegable para elegir Permitir o Denegar para los países seleccionados o añadir las palabras clave bloqueadas línea por línea.
Cualquier intento bloqueado se detiene antes de que llegue a su bandeja de entrada, por lo que los usuarios legítimos nunca ven un mensaje de error.
8. Bloquear URL dentro de campos de texto
Muchos spambots están diseñados para distribuir enlaces de phishing a través de formularios de contacto. A veces, incluso puede haber una persona real enviando enlaces maliciosos a través de sus formularios. Como sabes, CAPTCHA y los tokens de formulario no pueden detener a un spammer humano real.
Por lo tanto, si recibe enlaces sospechosos a través de su formulario, es posible que desee bloquear por completo el envío de URL en los campos del formulario.
Puede bloquear URLs en los campos de sus formularios añadiendo un script PHP. Si quieres aprender a añadir fragmentos de código a tus formularios, consulta este tutorial sobre cómo añadir PHP personalizado para WPForms.
Utilice el siguiente fragmento de código para bloquear las URL en los campos Texto de una línea y Texto de párrafo de su formulario.
Cuando haya añadido el código anterior a su formulario, WPForms mostrará un error "No se permiten URLs" si un usuario intenta enviar un enlace en sus campos de texto.
9. Utilizar plugins WordPress antispam
Existen varios plugins antispam potentes para WordPress. La mayoría de estos plugins funcionan escaneando bases de datos de contenido spam conocido, incluidos patrones de palabras que aparecen repetidamente en el spam, enlaces comunes, direcciones de correo electrónico e incluso direcciones IP de usuarios y bots.
Algunas herramientas antispam populares para WordPress son Akismet y Jetpack. Recuerda que estos plugins actúan en todo tu sitio web, por lo que no solo limitarán el spam en los formularios de contacto, sino que también reducirán los comentarios spam en tu blog.
Recomendamos especialmente Akismet, ya que WPForms incluye una integración nativa con Akismet. Una vez activada, esta integración es una forma excelente de filtrar el spam de los formularios de contacto en WordPress. Ten en cuenta que el plan gratuito de Akismet solo cubre el uso personal y no comercial. Los sitios web empresariales y comerciales necesitan un plan de pago de Akismet. El filtrado de spam de Jetpack también es una función de pago, disponible como complemento independiente o como parte de un plan de pago de Jetpack.
El uso de estos plugins de WordPress para prevenir el spam, junto con las demás técnicas mencionadas anteriormente, refuerza la seguridad general de tu sitio web.
10. Bloquee las direcciones de correo electrónico de los spammers reincidentes
El campo de dirección de correo electrónico puede ser muy útil para filtrar a los spammers humanos. Dado que los spammers humanos pueden saltarse fácilmente los CAPTCHA y los tokens de formulario, necesitas salvaguardas adicionales para bloquearlos.
En los casos en los que un sitio web recibe con frecuencia spam de direcciones de correo electrónico similares, lo mejor es bloquear las direcciones sospechosas.
Para bloquear una dirección de correo electrónico, haga clic en el campo Correo electrónico en WPForms. A continuación, seleccione la pestaña Avanzado en el panel izquierdo.
Desplázate hacia abajo y haz clic en el menú desplegable «Lista de permitidos/Lista de bloqueados »; a continuación, selecciona «Lista de bloqueados».
Ahora puede añadir las direcciones de correo electrónico de las que desea bloquear los envíos en la casilla situada bajo la opción Denylist. Puede introducir varias direcciones de correo electrónico separadas por comas.
Puede utilizar un asterisco * para bloquear direcciones de correo electrónico con una coincidencia parcial.
Por ejemplo, el uso de un asterisco antes de un dominio de correo electrónico (como *@domain.com) impedirá que las direcciones de correo electrónico de ese dominio puedan enviar inscripciones.
También puede bloquear una dirección de correo electrónico que empiece por un nombre de usuario concreto poniendo un asterisco después (por ejemplo example*).
Estas reglas son muy útiles cuando recibes spam de direcciones de correo electrónico del mismo dominio o nombre de usuario.
Asegúrate de guardar el formulario después de crear tu lista de bloqueados.
11. Exigir verificación de correo electrónico a los nuevos usuarios
Exigir la verificación por correo electrónico disuade a los spammers de registrarse con direcciones falsas. Cualquier usuario que no pueda acceder al enlace de verificación no podrá completar el registro.
WPForms le permite configurar la verificación de correo electrónico antes de que un nuevo usuario pueda registrar su cuenta.
Para añadir la verificación por correo electrónico, haz clic en «Configuración» » «Registro de usuarios» en el panel de la izquierda de la interfaz de WPForms.
Nota: Necesitarás el complemento de registro de usuarios para WPForms para acceder a esta configuración. Si no lo tienes, consulta cómo crear un formulario de registro de usuarios.
A continuación, haz clic en «Habilitar el registro de usuarios».
Active el botón Activar activación de usuario.
Esto desplegará un nuevo menú en el que podrá seleccionar su tipo de activación como Correo electrónico de usuario.
A partir de ahora, cada vez que un usuario intente registrarse en la página web, tendrá que facilitar una dirección de correo electrónico válida para recibir el enlace de registro. ¡Así se evita el spam de usuarios con direcciones de correo falsas!
12. Lista negra de direcciones IP fraudulentas
Bloquear las direcciones IP de los spammers no es tan eficaz como otros métodos de esta lista porque es fácil falsificar una dirección IP utilizando proxies y servicios VPN.
Pero si observa un patrón de repetición de spammers que vuelven a su sitio, puede bloquear su dirección IP para denegarles el acceso a todo su sitio WordPress.
Para restringir el acceso de los usuarios por dirección IP, ve a Ajustes » Debate desde el panel de control de WordPress e introduce las direcciones IP que quieras bloquear en el cuadro «Claves de comentarios no permitidas ». Si tienes varias direcciones IP que bloquear, asegúrate de añadir cada una de ellas en una nueva línea.
Pero, en primer lugar, ¿cómo vas a encontrar las direcciones IP de los spammers? Para ello, tendrás que añadir la función {user_ip} en el contenido de las notificaciones por correo electrónico de WPForms.
Ahora, cuando reciba una notificación por correo electrónico del envío de un formulario, se incluirá su dirección IP en el contenido del correo electrónico.
Si observa que las entradas de spam proceden de direcciones IP similares, simplemente anótelas y añádalas a la lista de bloqueo de IP de WordPress como se muestra arriba.
En caso de que WPForms no le envíe correos electrónicos, tenemos una guía dedicada con pasos para solucionar problemas.
Esperamos que esta guía te haya ayudado a encontrar la mejor forma de evitar el spam en los formularios de contacto de tu sitio web.
A continuación, aplique las mejores prácticas de restablecimiento de contraseña por correo electrónico
Si tienes un formulario de restablecimiento de contraseña en tu sitio, tendrás que configurar con él un correo electrónico de restablecimiento de contraseña claro y seguro. Echa un vistazo a nuestro artículo sobre las mejores prácticas de correo electrónico de restablecimiento de contraseña para aprender consejos importantes.
Y si desea mejorar la entregabilidad de su correo electrónico, consulte nuestro post sobre el subdominio de correo electrónico y por qué debería utilizar uno.
Arregle sus correos electrónicos de WordPress ahora
¿Listo para arreglar tus correos electrónicos? Empieza hoy mismo con el mejor plugin SMTP para WordPress. Si no tienes tiempo para arreglar tus correos electrónicos, puedes obtener asistencia completa de White Glove Setup como compra adicional, y hay una garantía de devolución de dinero de 14 días para todos los planes de pago.
Si este artículo te ha ayudado, síguenos en Facebook y Twitter para más consejos y tutoriales sobre WordPress.
