blog webempresa

Poner CAPTCHA en WordPress a todos los formularios

por | Abr 22, 2023 | Seguridad WordPress

Poner CAPTCHA en WordPress a todos los formularios

Es evidente que hay que protegerse contra el spam, una lacra que a fecha de hoy sigue estando lejos de acabar, si bien que en los últimos años ha disminuido de forma global y la protección de formularios de comentarios, registro, acceso hace necesario el uso de CAPTCHA en WordPress mediante plugins que añadan medidas de seguridad.

Por eso te voy a explicar cómo Poner CAPTCHA en WordPress a todos los formularios para combatir el correo basura en tu sitio web.

Si ya tienes un sitio en producción en WordPress, seguramente en algún momento puedes empezar a recibir «correo no deseado», esos mensajes con enlaces que te llevan a páginas de dudosa reputación y con texto que no tiene nada que ver con tu sitio o tus intenciones de búsqueda.

Si Akismet es el cortafuegos del spam que intermedia entre los comentarios de tu web, los bots y malos del spam, que deberías tener como primera línea de defensa, el CAPTCHA es la barrera que impide alcanzar el objetivo a los spammers.

Pero Akismet se queda ahí, en supervisar que no entre spam en tus comentarios, nada más, para el resto de controles a tener en cuenta existen otras soluciones que pasan por habilitar CAPTCHA para evitar que los bots spam se cuelen en tu blog.

El spam puede ser perjudicial para el SEO y la presencia de tu sitio, y una de las razones de que el «correo basura» alcance sus objetivos es la falta de protección a la hora de crear formularios en WordPress (comentarios, registro, etc.).

En este artículo te explico cómo implementar reCAPTCHA utilizando un plugin para WordPress que te ayudará a proteger los principales formularios de tu sitio web de manera sencilla y eficiente.

  ¿Qué es Google reCAPTCHA?

 

El sistema reCAPTCHA de Google es una evolución del CAPTCHA.

Y, ¿qué es CAPTCHA?, pues se trata de un tipo de medida de seguridad conocida como autenticación pregunta-respuesta.

Un CAPTCHA te ayuda a proteger del spam y del descifrado de contraseñas tus formularios pidiéndote que completes una simple prueba que demuestre que eres humano y no un ordenador o bot.

Ejemplo de CAPTCHA básico en un formulario de acceso de WordPress

Ejemplo de CAPTCHA básico en un formulario de acceso de WordPress

La prueba más común es la que te muestra una imagen con una serie de letras y números distorsionados que debes introducir correctamente.

Google tiene dos versiones principales de CAPTCHA.

  reCAPTCHA v2

 

Es un elemento visual que te obliga a marcar a través de un tickbox que no eres un robot; sin embargo, en algunos casos, pese a pasar esta primera validación, podría solicitar validaciones adicionales mostrando imágenes que debes seleccionar de acuerdo a lo que se te solicite.

Google reCAPTCHA v2

  reCAPTCHA v3 (Invisible CAPTCHA)

 

En este caso ya no hace falta que señales el tickbox, ya que en su lugar Google reCAPTCHA analiza el comportamiento del usuario que está navegando por la web para detectar si es un humano o no.

Con reCAPTCHA v3 no se muestra una imagen ni se solicita que el usuario introduzca algún texto. En lugar de eso, el sistema analiza el comportamiento del usuario en el sitio web para determinar si es humano o no.

Por ejemplo, si el usuario se mueve de manera errática, hace clic en botones de manera rápida y constante, o realiza alguna otra acción sospechosa, es más probable que el sistema lo identifique como un robot.

Con el tiempo va generando un perfil de usuario y según su historia y le asigna una puntuación. Esta puntuación decidirá al final si eres un humano o un bot con el fin de agilizar tu acceso o envío de contenido desde un formulario, o si te pide pruebas de habilidad adicionales.

Google reCAPTCHA v3
Las diferencias entre reCAPTCHA v2 y v3 radican en la forma en que se realiza la prueba para determinar si un usuario es un robot o no. La versión v2 tiene la opción de mostrar una imagen con letras y números distorsionados, mientras que la versión v3 se basa en el análisis del comportamiento del usuario en el sitio web.

  ¿Es necesario utilizar medidas de CAPTCHA?

 

Es evidente que hay que utilizar CAPTCHA o reCAPTCHA, o lo más nuevo que es CAPTCHA Invisible V3, ¿por qué?, sencillo, porque son los bots el medio que los spammers utilizan para hacer SEO off-page y colarte enlaces de otros sitios en tu web.

Claro que un humano también puede hacerlo de forma directa y manual, pero le lleva más tiempo y el procedimiento es más perezoso y con menor alcance.

Al final la solución pasa necesariamente por implementar medidas en los formularios, justo antes del envío de los mismos, que garanticen que el envío es legítimo, lo hace un humano y no un script o bot.

  Obtener claves de reCAPTCHA

 

Para usar reCAPTCHA en tu sitio web necesitarás antes dar de alta tu sitio en Google reCAPTCHA.

Con alguna cuenta de Google puedes acceder al sitio oficial de Google reCAPTCHA, en la parte superior verás un enlace para acceder a la Consola de Administración.

Consola de Administración de Google reCAPTCHA

Una vez dentro de la Consola de Administración, si ya tienes un sitio web con reCAPTCHA, entonces puedes añadir sitios adicionales, usando el ícono de “+”, dentro de las limitaciones de sitios que permite este servicio, en el modelo gratuito.

Si no tienes sitios añadidos entonces te aparecerá directamente la siguiente pantalla:

Consola de Administración de Google reCAPTCHA - Añadir sitio

Campos a tener en cuenta para dar de alta un dominio en Google reCAPTCHA:

  • Etiqueta: añades un nombre para identificarlo, siendo una buena opción añadir el nombre del dominio. El motivo de añadir un nombre de etiqueta es porque te permite tener más de un dominio en la misma consola y añadiendo un nombre podrás posteriormente identificar a qué instalación pertenece cada clave.
  • Tipo de reCAPTCHA: utiliza la versión v3 que es compatible con las versiones superiores a la 5.1 del plugin Contact Form 7.
  • Dominios: aquí le indicas el dominio en el que utilizaras el reCAPTCHA. Aparte del dominio también puedes añadir un subdominio, por ejemplo, si tienes una tienda con el mismo dominio tienda.tu-dominio.com.

Desde esta pantalla puedes seleccionar la versión de reCAPTCHA. Te recomiendo seleccionar la versión V3 que es la actual, pues la v2 acabará desapareciendo.

También tienes que escribir el dominio que hará uso del reCAPTCHA y aceptar las condiciones del servicio.

Consola de Administración de Google reCAPTCHA - Añadir sitio y dominio

Una vez cumplimentes los campos indicados, haces clic en Enviar, y si todo está correcto pasarás a la siguiente pantalla, lugar donde encontrarás una opción desplegable con las claves pública y privada de reCAPTCHA para el dominio solicitado.

Consola de Administración de Google reCAPTCHA - Claves sitio

Copia dichas claves y guárdalas en lugar seguro. Por ejemplo, puedes crear una nota en CiberProtector y guardarlas para tenerlas a mano cuando las necesites.

  Configurar Google reCAPTCHA en WordPress

 

Para poner CAPTCHA en WordPress puedes usar un plugin, de los varios que existen en el directorio oficial de plugins para WordPress.

Para documentar el proceso en este artículo he optado por el plugin reCAPTCHA by BestWebSoft.

Plugin reCaptcha by BestWebSoft
Gratuito
Comercial

Este plugin se encarga de añadir una capa adicional de seguridad a tu sitio web WordPress mediante la incorporación de reCAPTCHA, el sistema de verificación de Google que ayuda a prevenir el «correo no deseado» y los ataques de inyección de spam por parte de bots.

Algunas características destacables del plugin:

  • Es fácil de instalar y configurar, sin necesidad de conocimientos técnicos, ni tener que editar código.
  • Admite diferentes tipos de reCAPTCHA, incluyendo la versión 2 y 3.
  • Tiene una personalización de la apariencia del formulario de verificación aceptable.
  • Dispone de compatibilidad con varios formularios y plugins de WordPress conocidos.
  • Gestiona un registro de los intentos de verificación, lo que ayuda a detectar posibles ataques de bots.
  • El plugin reCaptcha by BestWebSoft cumple totalmente con el RGPD.
  • Puedes configurar restricciones de acceso basadas en la dirección IP, país y otros parámetros.

Desde la administración de WordPress, en Plugins ➜ Añadir nuevo, puedes buscar por reCAPTCHA y localizar, entre otros, el plugin reCAPTCHA by BestWebSoft.

Instalar y activar el plugin reCaptcha by BestWebSoft

Tras instalar y activar el plugin verás una nueva opción de menú llamada reCAPTCHA y dentro de ella Ajustes lugar desde el que debes configurar los parámetros necesarios para que se active el servicio para tu sitio web.

Configurar parámetros del plugin reCaptcha by BestWebSoft

En las opciones, al final de la primera pestaña de ajustes, verás que puedes deshabilitar la presentación de reCAPTCHA para determinados perfiles de usuarios, por ejemplo administrador y así evitar que para quienes trabajan constantemente en el sitio, de forma interna, tengan que estar validando cada dos por tres.

La versión de pago del plugin permite la integración con otros plugins como WooCommerce y Contact Forms 7.

Una vez configuras todos los aspectos del plugin y guardas los cambios, comprueba que los diferentes formularios donde lo hayas activado, lo muestren y funcionen con normalidad.

Formulario de comentarios con el reCAPTCHA activado

Formulario de comentarios mostrando aviso de que el reCAPTCHA está activado

Formulario de login con el reCAPTCHA activado

Formulario de login mostrando aviso de que el reCAPTCHA está activado

A pesar de su simplicidad, es una forma muy popular de añadir una capa extra de seguridad contra spam bots automatizados que por lo general no son capaces de descifrar la imagen CAPTCHA.

  Conclusiones

 

Usar la validación de Google reCAPTCHA en los formularios de tu sitio web, te protegerá contra el spam en comentarios, así como evitará el registro de usuarios creados por bots.

La puesta en marcha de reCAPTCHA con el plugin citado es muy sencilla y te aporta un plus de seguridad en tu sitio que agradecerás cuando veas cómo se reduce de forma importante el spam en tus diferentes formularios, principalmente en el de contacto y en los comentarios, dos habituales de este tipo de ataques.

Como ves, es posible aplicar reCAPTCHA utilizando plugins como reCAPTCHA by BestWebSof para redoblar la seguridad de los formularios, evitando el spam y que se cuelen en tu casa digital.

¿Te ha resultado útil este artículo?

Promo hosting marzo webempresa