Cómo detener el spam en formularios de contacto en WordPress

El spam en los formularios de contacto puede hacer perder el tiempo a tu equipo, dañar la reputación de envío de tu dominio y exponer tu sitio a enlaces maliciosos. Bloquearlo no requiere esfuerzo manual.

Esta guía cubre 12 técnicas para detener el spam en los formularios de contacto en WordPress, desde habilitar la protección integrada hasta bloquear a los infractores reincidentes por dirección de correo electrónico o IP.

Por qué el spam en los formularios de contacto es peligroso

Los formularios de contacto son objetivos comunes para los programas de spam maliciosos. Aquí tienes algunas formas en que los spambots pueden dañar tu sitio al abusar de los formularios de contacto:

• Enviar enlaces dañinos: Los spambots con intenciones maliciosas pueden usar tu formulario de contacto para enviar enlaces que pueden contener malware. Si algún usuario de tu equipo hace clic en el enlace, el malware podría infectar a toda tu organización, incluido tu sitio de WordPress.
• Problemas de entregabilidad de correo electrónico: Cada envío de formulario genera un correo electrónico de notificación. Durante un ataque de spam, tu sitio puede terminar enviando volúmenes inusuales de correos en poco tiempo. Esto puede desencadenar errores de correo electrónico no solicitado o masivo y, dado que Gmail y otros proveedores importantes ahora rechazan permanentemente el correo de los remitentes marcados en lugar de aplazarlo, puede dañar de forma duradera la reputación de envío de tu dominio.
• Denegación de Servicio (DoS): Algunos bots son muy eficientes para llenar repetidamente tus formularios hasta su límite. El objetivo de los bots DoS es abrumar tu sitio web con toneladas de solicitudes realizadas en un corto período de tiempo. Esto puede ralentizar tu sitio, afectar la funcionalidad de tu formulario para usuarios reales y, además, provocar una interrupción del sitio.
• Hackeo: Los programas automatizados de ataque de fuerza bruta pueden dirigirse a sitios con formularios de registro e inicio de sesión de usuarios con el objetivo de hackearlos. Esto es extremadamente peligroso porque puede llevar a la apropiación de cuentas, fugas de información y pérdidas de datos.
• Pérdidas de productividad: Si tu personal de soporte tiene que filtrar toneladas de entradas de spam, afecta su capacidad para responder rápidamente a los usuarios reales. El impacto en la productividad puede perjudicar la reputación de tu marca y traducirse en muchas oportunidades perdidas de conversión.

Estas son algunas de las formas en que el spam puede causar muchos problemas a tu sitio.

Los métodos a continuación cubren las mejores herramientas y técnicas para deshacerse del spam en los formularios de contacto. Las presentaciones de spam generadas por IA han aumentado significativamente en los últimos años, por lo que los enfoques más efectivos utilizan una detección en capas en lugar de una única solución CAPTCHA.

Cómo detener el spam en formularios de contacto en WordPress

Para combatir con éxito el spam en los formularios de contacto en tu sitio de WordPress, recomendamos lo siguiente:

Vamos a ello.

1. Obtén un plugin de formularios de WordPress con protección contra spam integrada

El paso más importante que puedes dar para prevenir el spam en formularios de contacto en WordPress es usar un plugin que tenga funciones sólidas de protección contra spam integradas.

Hay muchos plugins de formularios de WordPress disponibles, pero muchos no admiten métodos fiables contra el spam.

Para la prevención automatizada de spam integrada directamente en tu formulario de contacto, recomendamos WPForms.

WPForms es un creador de formularios con herramientas integradas sólidas para bloquear el spam en formularios de contacto, como mostraremos a continuación. También viene con una variedad de otras características útiles sobre las que puedes obtener más información en nuestra reseña de WPForms.

Después de instalar WPForms, procede a añadir un formulario a una página en WordPress. Luego podrás elegir entre varios métodos anti-spam disponibles para ti.

Comenzaremos con la opción más fiable primero.

2. Usa la protección moderna antispam de WPForms

WPForms utiliza un enfoque multicapa integrado para detectar y prevenir el spam. Se ejecuta de forma silenciosa por defecto y es nuestra alternativa recomendada principal a reCAPTCHA.

La protección moderna contra el spam está activada por defecto en WPForms y se ejecuta de forma silenciosa en segundo plano para combatir el spam. Puedes acceder a la configuración navegando a Ajustes » Protección contra Spam y Seguridad desde tu interfaz visual de WPForms.

Luego, asegúrate de que el botón de alternancia junto a Activar protección moderna contra spam esté activado.

Cuando esta configuración esté activada, evitará que se envíe un formulario cuando un bot de spam active la protección contra spam.

También tienes la opción de almacenar las entradas de spam en tu base de datos de WordPress para revisar los envíos y recuperar fácilmente cualquier entrada de falso positivo.

La opción Activar tiempo mínimo para enviar también está activada por defecto y configurada en 2 segundos. Pero puedes cambiar este tiempo mínimo a cualquier valor que desees. Esta configuración ayuda a evitar que los bots envíen tu formulario, ya que evitará los envíos antes del tiempo habitual que tardaría un humano en completar el formulario.

La protección contra spam de WPForms es más respetuosa con la privacidad que las alternativas basadas en CAPTCHA y funciona sin interrumpir la experiencia del usuario.

3. Incluye reCAPTCHA

WPForms también admite herramientas de prevención de spam de terceros como reCAPTCHA de Google. Este es un método potente de protección contra spam, aunque la configuración requiere unos pocos pasos más que la activación de la protección integrada en el Método 2.

Puedes ver el vídeo para ver una demostración del proceso o seguir leyendo para obtener instrucciones paso a paso.

Actualmente, hay 3 tipos diferentes de reCAPTCHA:

• reCAPTCHA v2 de casilla de verificación: Esta versión de reCAPTCHA tiene una casilla que un usuario debe marcar para verificar que no es un bot. Si la actividad del usuario parece sospechosa, podría pedirte que realices una pequeña prueba de verificación de imágenes para confirmar que eres un usuario real.
• reCAPTCHA v2 invisible: Con reCAPTCHA invisible, los usuarios no ven ninguna casilla de verificación. En cambio, este servicio de reCAPTCHA analiza el comportamiento del usuario para identificar y bloquear bots.
• reCAPTCHA v3: Aunque ambos servicios anteriores pueden mostrar ocasionalmente un desafío de imagen, reCAPTCHA v3 funciona de forma completamente silenciosa en segundo plano. Es una herramienta avanzada de prevención de spam, pero puede ser un poco demasiado sensible y bloquear a usuarios humanos a veces.

Para añadir reCAPTCHA a tu formulario, abre tu área de administración de WordPress y ve a WPForms » Ajustes.

Haz clic en la pestaña CAPTCHA en la barra horizontal debajo del logotipo de WPForms.

Esta página mostrará las opciones de CAPTCHA disponibles en WPForms. Selecciona reCAPTCHA.

Ahora, selecciona la versión de reCAPTCHA que te gustaría configurar. Recomendamos Invisible reCAPTCHA v2 por su facilidad de uso, pero también puedes decidirte por otras opciones.

Para configurar reCAPTCHA, ahora tendrás que visitar el sitio reCAPTCHA en una nueva pestaña del navegador y hacer clic en Consola de administración.

Si se te solicita, inicia sesión en tu cuenta de Google ahora. Después de iniciar sesión, tendrás que proporcionar el nombre de dominio de tu sitio para registrarlo y seleccionar tu reCAPTCHA preferido en la sección Tipo de reCAPTCHA.

A continuación, introduce el nombre de dominio de tu sitio web en Dominios. Asegúrate de escribir solo la parte que viene después de https:// en tu URL.

Luego, acepta los Términos de Servicio de reCAPTCHA y marca las alertas si deseas recibir notificaciones.

Haz clic en Enviar para guardar los ajustes. Ahora verás un mensaje que dice que tu dominio ha sido registrado, con una clave de sitio y una clave secreta debajo.

Cambia a la pestaña del navegador donde tienes abierta la página WPForms » Ajustes y copia y pega las claves de sitio y secreta de reCAPTCHA en los campos correspondientes.

Pulsa el botón Guardar Ajustes para finalizar la configuración de reCAPTCHA.

Para añadir el campo reCAPTCHA a tu formulario, simplemente utiliza la interfaz de arrastrar y soltar de WPForms para colocar el campo en tu formulario.

Tu formulario mostrará ahora una insignia de reCAPTCHA en el frontend, indicando que has añadido correctamente la prevención de spam reCAPTCHA a tu formulario.

A continuación, veremos otro servicio popular de prevención de spam.

4. Usa hCaptcha en tu formulario

hCaptcha es muy similar al reCAPTCHA de Google, pero es un servicio de bloqueo de spam más respetuoso con la privacidad. Puedes ver el vídeo que te guiará a través del proceso o continuar con las instrucciones escritas a continuación.

Para conectar el servicio hCaptcha con WPForms, dirígete a WPForms » Ajustes desde tu panel de WordPress.

En la página de ajustes, haz clic en la pestaña CAPTCHA ubicada en la barra horizontal.

Selecciona hCaptcha entre las opciones disponibles.

Como antes, cambia a una nueva pestaña del navegador y visita hCaptcha para registrarte en el servicio.

En la siguiente pantalla, elige un plan de hCaptcha. El plan gratuito funciona perfectamente para sitios pequeños, así que vamos a usar ese para este tutorial.

Después de haber seleccionado tu plan, procede a rellenar el formulario para crear tu cuenta de hCaptcha.

Cuando hayas terminado el proceso de registro y hayas iniciado sesión en tu panel, haz clic en el botón Nuevo sitio para continuar.

En la parte superior, puedes introducir un nombre para tu clave de sitio hCaptcha. Luego, desplázate hacia abajo hasta la sección Información general e introduce el nombre de tu dominio. Pulsa Añadir nuevo dominio cuando hayas terminado.

Desplázate hacia abajo para encontrar los modos de comportamiento de hCaptcha. Puedes elegir entre diferentes modos dependiendo de si quieres que a los usuarios se les presente siempre un desafío o mantener tu captcha más pasivo.

A continuación, desplázate de nuevo hacia abajo hasta la sección Umbral de aprobación. Aquí, puedes establecer el nivel de dificultad de los desafíos del captcha.

En la mayoría de los casos, el nivel de dificultad Moderado es razonablemente eficaz para la prevención de spam sin comprometer la experiencia del usuario (siempre puedes cambiarlo más adelante si es necesario).

Ahora, vuelve a la parte superior y pulsa Guardar.

Ahora serás llevado a la siguiente página, donde encontrarás tus sitios añadidos listados. Haz clic en el botón Configuración junto al dominio que acabas de añadir.

Dentro de la configuración, desplázate hacia abajo hasta la Clave de sitio y cópiala.

Pega tu Clave de sitio en un editor de texto como el Bloc de notas por ahora. La necesitaremos pronto.

Cuando hayas hecho eso, haz clic en el icono de tu perfil en la parte superior derecha y selecciona Configuración.

Aquí encontrarás tu Clave secreta. Haz clic en el botón Copiar clave secreta.

Ahora que tienes tanto tu Clave de sitio como tu Clave secreta, regresa a la página de configuración de hCaptcha de WPForms y pega tus claves en los campos correspondientes.

Luego, haz clic en Guardar para completar la configuración de hCaptcha para WPForms.

Ahora, puedes usar el campo hCaptcha al crear tu formulario usando WPForms.

Deberías ver la insignia de hCaptcha en la parte superior de tu formulario cuando se haya añadido correctamente.

Tu formulario ahora está protegido contra spam por hCaptcha. Si deseas instrucciones más detalladas, consulta nuestra guía para añadir CAPTCHA a tu formulario de contacto usando hCaptcha.

5. Usa Cloudflare Turnstile

Cloudflare Turnstile es una alternativa gratuita y centrada en la privacidad a Google reCAPTCHA y hCaptcha. Puede funcionar de forma completamente invisible, por lo que tus visitantes nunca tendrán que resolver un rompecabezas.

Mira el vídeo o sigue los pasos a continuación para añadirlo a cualquier formulario de WPForms:

Para empezar, en tu panel de WordPress ve a WPForms » Configuración » CAPTCHA y elige Turnstile de la lista de proveedores.

Aparecerá un par de campos de clave vacíos. Ahora, abre una nueva pestaña, inicia sesión en tu cuenta de Cloudflare y selecciona Turnstile » Añadir sitio.

Introduce un nombre y el dominio de tu sitio en los campos correspondientes.

A continuación, elige un tipo de widget (Gestionado funciona para la mayoría de los sitios).

Ahora, haz clic en Crear para revelar tu Clave de sitio y Clave secreta.

Copia la Clave de sitio y la Clave secreta de Cloudflare en los campos correspondientes de vuelta en Configuración de WPForms.

Si lo deseas, puedes cambiar el mensaje de error que se muestra cuando un usuario intenta enviar el formulario sin completar el desafío de verificación de Cloudflare Turnstile. También puedes elegir el estilo del widget (selecciona un tema Claro / Oscuro / Automático) y, opcionalmente, habilitar el Modo Sin Conflictos si otro plugin o tema también carga Turnstile. Haz clic en Guardar Ajustes.

Ahora puedes habilitar Cloudflare Turnstile en cualquier formulario. Abre cualquier formulario en el constructor. Arrastra el campo Turnstile a tu formulario o ve a Ajustes » Protección contra Spam y Seguridad y activa Habilitar Cloudflare Turnstile.

Una pequeña insignia de Turnstile en una esquina confirma que está activo.

6. Usa CAPTCHA personalizado

Somos grandes fans del CAPTCHA personalizado porque es muy efectivo y no requiere desafíos basados en imágenes que a veces pueden ser un poco complicados para los usuarios reales.

Los usuarios de WPForms Pro pueden obtener el complemento CAPTCHA Personalizado para incluir cuestionarios simples basados en matemáticas o una pregunta y respuesta personalizadas en tus formularios para la prevención de spam.

Para configurar el CAPTCHA Personalizado, inicia la interfaz del constructor de formularios.

Luego, busca el campo CAPTCHA Personalizado en la sección Campos Elegantes. Si aún no tienes el complemento CAPTCHA Personalizado, este campo estará semitransparente. Haz clic en él y se te pedirá que instales el complemento.

Cuando aparezca una ventana emergente, haz clic en Sí, Instalar y Activar para continuar.

La instalación solo tardará entre 2 y 5 segundos en completarse. La ventana emergente mostrará un mensaje de éxito una vez que el complemento CAPTCHA Personalizado esté activo. Haz clic en Sí, Guardar y Actualizar para continuar.

Ahora, arrastra y suelta el campo CAPTCHA Personalizado en tu formulario. Haz clic en el campo una vez que se haya agregado a tu formulario para acceder a su configuración.

Aquí, puedes seleccionar el tipo de CAPTCHA (matemáticas o pregunta y respuesta personalizadas) y agregar una descripción.

Si eliges Matemáticas, WPForms generará automáticamente una pregunta aritmética simple que los usuarios deberán responder correctamente. Los spambots no pueden responder a estas preguntas de matemáticas, por lo que este CAPTCHA Personalizado es una técnica muy efectiva de prevención de spam en formularios de contacto.

Alternativamente, puedes elegir Pregunta y Respuesta como tu tipo de CAPTCHA. Esto te permite crear una pregunta y establecer su respuesta correcta.

Puedes agregar múltiples preguntas usando el icono azul (+) junto al campo de pregunta en la configuración.

Asegúrate de Guardar tu formulario después de haber realizado los cambios.

7. Habilita filtros de spam por país y palabra clave

WPForms te permite bloquear envíos de países específicos o rechazar cualquier entrada que contenga palabras que sepas que son spam.

Para activar estos filtros en cualquier formulario, abre tu formulario en el constructor y haz clic en Ajustes » Protección contra Spam y Seguridad.

Desplázate hasta Filtrado y activa Habilitar Filtro de País o Habilitar Filtro de Palabras Clave.

Usa el menú desplegable para elegir Permitir o Denegar para países seleccionados o agrega palabras clave bloqueadas línea por línea.

Cualquier intento bloqueado se detiene antes de que llegue a tu bandeja de entrada, por lo que los usuarios legítimos nunca ven un mensaje de error.

8. Bloquea URL dentro de campos de texto

Muchos spambots están diseñados para distribuir enlaces de phishing a través de formularios de contacto. A veces, incluso puede haber una persona real enviando enlaces maliciosos usando tus formularios. Como sabes, CAPTCHA y los tokens de formulario no pueden detener a un spambot humano real.

Por lo tanto, si estás recibiendo enlaces sospechosos a través de tu formulario, es posible que desees bloquear completamente el envío de URL en los campos de tu formulario.

Puedes bloquear URL en los campos de tu formulario añadiendo un script PHP. Si deseas obtener información sobre cómo añadir fragmentos de código a tus formularios, consulta este tutorial sobre cómo añadir PHP personalizado para WPForms.

Utiliza el fragmento de código a continuación para bloquear URL dentro de los campos de Texto de línea única y Texto de párrafo de tu formulario.

Cuando hayas añadido el código anterior a tu formulario, WPForms mostrará un error "No se permiten URL" si un usuario intenta enviar un enlace en tus campos de texto.

9. Usa plugins antispam de WordPress

Hay varios plugins antispam potentes disponibles para WordPress. La mayoría de estos plugins funcionan escaneando bases de datos de contenido de spam conocido, incluyendo patrones de palabras que aparecen repetidamente en el spam, enlaces comunes, direcciones de correo electrónico e incluso direcciones IP de usuarios y bots.

Algunas herramientas populares de antispam para WordPress son Akismet y Jetpack. Recuerda que estos plugins operan en todo tu sitio, por lo que no solo limitarán el spam en los formularios de contacto, sino que también reducirán los comentarios de spam en tu blog.

Recomendaríamos especialmente Akismet, ya que WPForms viene con una integración nativa de Akismet. Cuando está habilitada, esta integración es una excelente manera de filtrar el spam de formularios de contacto en WordPress. Ten en cuenta que el plan gratuito de Akismet cubre solo el uso personal y no comercial. Los sitios comerciales y de negocios necesitan un plan de Akismet de pago. El filtrado de spam de Jetpack también es una función de pago, disponible como un complemento independiente o como parte de un plan de pago de Jetpack.

El uso de estos plugins de WordPress para la prevención de spam junto con las otras técnicas mostradas anteriormente fortalece la seguridad general de tu sitio.

10. Bloquea direcciones de correo electrónico de spammers reincidentes

El campo de dirección de correo electrónico puede ser muy útil a la hora de filtrar spambots humanos. Dado que los spambots humanos pueden eludir fácilmente CAPTCHA y tokens de formulario, necesitas salvaguardias adicionales para bloquearlos.

En los casos en que un sitio web recibe frecuentemente spam de direcciones de correo electrónico similares, bloquear las direcciones de correo electrónico sospechosas es la solución.

Para bloquear una dirección de correo electrónico, haz clic en el campo Email en WPForms. Luego, selecciona la pestaña Avanzado en el panel izquierdo.

Desplázate hacia abajo y haz clic en el menú desplegable Lista blanca / Lista negra, luego selecciona Lista negra.

Ahora puedes añadir las direcciones de correo electrónico desde las que deseas bloquear envíos en el cuadro debajo de la opción Lista negra. Puedes introducir varias direcciones de correo electrónico separadas por comas.

Puedes usar un asterisco * para bloquear direcciones de correo electrónico con una coincidencia parcial.

Por ejemplo, usar un asterisco antes de un dominio de correo electrónico (como *@dominio.com) restringirá que todas las direcciones de correo electrónico de ese dominio envíen entradas.

O también puedes bloquear una dirección de correo electrónico que comience con un nombre de usuario particular, poniendo un asterisco después (como ejemplo*).

Estas reglas son geniales cuando recibes spam de direcciones de correo electrónico del mismo dominio o nombre de usuario.

Asegúrate de Guardar tu formulario después de crear tu lista de bloqueo.

11. Requiere verificación de correo electrónico para nuevos usuarios

Exigir la verificación del correo electrónico disuade a los spammers de registrarse con direcciones falsas. Cualquier usuario que no pueda acceder al enlace de verificación no podrá completar el registro.

WPForms te permite configurar la verificación del correo electrónico antes de que un nuevo usuario pueda registrar su cuenta.

Para añadir la verificación del correo electrónico, haz clic en Ajustes » Registro de Usuarios en el panel izquierdo de la interfaz de WPForms.

Nota: Necesitarás el complemento de Registro de Usuarios para WPForms para acceder a estos ajustes. Si no lo tienes, consulta cómo crear un formulario de registro de usuarios.

Luego, haz clic en Activar Registro de Usuarios.

Activa el botón de alternancia Activar Activación de Usuario.

Esto expandirá un nuevo menú donde puedes seleccionar tu tipo de activación como Correo Electrónico del Usuario.

Ahora, cada vez que un usuario intente registrar su cuenta en su sitio, tendrá que proporcionar una dirección de correo electrónico válida para recibir un enlace de registro. ¡Es decir, no más spam de usuarios con correos electrónicos falsos!

12. Crea una lista negra de direcciones IP de spam

Bloquear las direcciones IP de los spammers no es tan eficiente como otros métodos de esta lista porque es fácil falsificar una dirección IP utilizando proxies y servicios VPN.

Pero si notas un patrón de spammers que regresan repetidamente a tu sitio, puedes bloquear su dirección IP para negarles el acceso a todo tu sitio de WordPress.

Para restringir usuarios por dirección IP, ve a Ajustes » Discusión desde tu panel de WordPress, e introduce las direcciones IP que deseas bloquear en el cuadro Claves de Comentarios No Permitidos. Si tienes varias direcciones IP que bloquear, asegúrate de añadir cada dirección IP en una nueva línea.

Pero, ¿cómo vas a encontrar las direcciones IP de los spammers en primer lugar? Para ello, necesitarás añadir la etiqueta inteligente {user_ip} en el contenido de las notificaciones por correo electrónico de WPForms.

Ahora, cuando recibas una notificación por correo electrónico de un envío de formulario, incluirá su dirección IP dentro del contenido del correo electrónico.

Si notas que las entradas de spam provienen de direcciones IP similares, simplemente anótalas y añádelas a la lista de bloqueo de IP de WordPress como se muestra arriba.

En caso de que WPForms no esté enviando correos electrónicos, tenemos una guía dedicada con pasos para solucionar problemas.

Esperamos que esta guía te haya ayudado a encontrar el enfoque correcto para detener el spam en los formularios de contacto de tu sitio.

A continuación, Aplica las Mejores Prácticas para Correos Electrónicos de Restablecimiento de Contraseña

Si tienes un formulario de restablecimiento de contraseña en tu sitio, necesitarás configurar un correo electrónico de restablecimiento de contraseña claro y seguro con él. Echa un vistazo a nuestro artículo sobre mejores prácticas para correos electrónicos de restablecimiento de contraseña para aprender consejos importantes.

Y si deseas mejorar la entregabilidad de tu correo electrónico, consulta nuestra publicación sobre subdominios de correo electrónico y por qué deberías usar uno.

Soluciona tus correos de WordPress ahora

¿Listo para arreglar tus correos electrónicos? Empieza hoy mismo con el mejor plugin SMTP de WordPress. Si no tienes tiempo para arreglar tus correos electrónicos, puedes obtener asistencia completa de configuración White Glove como compra adicional, y hay una garantía de devolución de dinero de 14 días para todos los planes de pago.

Si este artículo te ha sido útil, síguenos en Facebook y Twitter para obtener más consejos y tutoriales de WordPress.