Resumen de IA
Si has empezado a recibir correos electrónicos de restablecimiento de contraseña de WordPress que nunca solicitaste, no estás solo. Estas solicitudes tienden a aparecer de la nada, a veces un par al día y a veces docenas a la vez, y casi siempre provienen de bots automatizados en lugar de una persona real que intenta acceder a tu cuenta.
La parte tranquilizadora es que estos correos electrónicos no significan que tu sitio haya sido hackeado. Cualquiera que conozca o adivine la dirección de correo electrónico de una cuenta puede pedir a WordPress que envíe un enlace de restablecimiento, por lo que las solicitudes son más molestas que peligrosas. Sin embargo, vale la pena detenerlas antes de que el spam empeore.
En mi experiencia, los sitios web más pequeños rara vez piensan en esto hasta que la bandeja de entrada comienza a llenarse. La suposición común es que tienes que ser un sitio grande y conocido para atraer spam, por lo que los sitios más nuevos lo posponen. He visto que esa mentalidad se convierte en mucho trabajo de limpieza evitable que unos minutos de configuración habrían evitado.
Detener estas solicitudes es más sencillo de lo que esperas. Así que en esta guía, te mostraré las formas más fáciles y efectivas de detener los restablecimientos de contraseña no autorizados en tu sitio de WordPress, comenzando por por qué ocurren y luego pasando a la configuración exacta que los bloquea.
Detén el Spam de Formularios de WordPress Ahora
¿Por qué estás recibiendo solicitudes de restablecimiento de contraseña no autorizadas?
La mayoría de las solicitudes de restablecimiento de contraseña no autorizadas provienen de bots de spam que rastrean la web en busca de páginas de inicio de sesión y de "olvidé mi contraseña" de WordPress. Cuando encuentran una, envían solicitudes de restablecimiento utilizando cualquier dirección de correo electrónico que hayan extraído o adivinado, que es por lo que los correos electrónicos se sienten aleatorios y llegan en ráfagas.
WordPress se lo facilita por diseño, porque el flujo de restablecimiento predeterminado en wp-login.php permite a cualquiera enviar un correo electrónico o nombre de usuario y activar un enlace de restablecimiento sin verificación previa. Eso es conveniente para los usuarios reales que están bloqueados, pero también es una puerta abierta para el abuso automatizado.
Si has recibido el mensaje que dice "Alguien ha solicitado un restablecimiento de contraseña para la siguiente cuenta", ese es el correo electrónico del que estoy hablando. Verlo una o dos veces es normal, pero verlo una y otra vez es el patrón de bot revelador.
El enlace de restablecimiento en sí es de un solo uso y caduca, por lo que una solicitud aislada por sí sola no le dará a nadie acceso a tu cuenta. Las solicitudes aún valen la pena detenerlas, tanto para limpiar tu bandeja de entrada como para cerrar un camino que los bots adoran sondear. Incluso puedes personalizar el formulario de restablecimiento de contraseña predeterminado de WordPress para tener más control sobre su funcionamiento.
Cómo evitar restablecimientos de contraseña no autorizados en WordPress
A continuación, comenzaré explicando por qué estas solicitudes siguen llegando a tu bandeja de entrada, luego compartiré mis métodos probados para deshacerme de ellas para siempre.
1. Instala WPForms y Activa el Addon de Registro de Usuarios


Para combatir el spam de forma eficaz en tu formulario de restablecimiento de contraseña, necesitarás un constructor de formularios equipado con sólidas herramientas de prevención de spam.
WPForms es uno de los pocos plugins que se toman el spam muy en serio, por eso ofrece múltiples defensas anti-spam para tus formularios.
Si bien puedes acceder a muchos filtros de spam potentes con WPForms Lite, usaré WPForms Pro para técnicas anti-spam más completas.
Una vez que hayas adquirido la licencia de WPForms Pro, ve a tu cuenta, inicia sesión para acceder a tu página de cuenta de WPForms y navega a la pestaña Descargas. Haz clic en el botón Descargar WPForms .


Importante: mientras estás en esta página, copia tu número de Clave de Licencia. Lo necesitarás en los siguientes pasos.
A continuación, dirígete a tu sitio de WordPress e inicia sesión. En el panel, haz clic en Plugins » Añadir Nuevo. Luego, haz clic en el botón Subir Plugin. Adjunta el archivo .zip de WPForms que descargaste e instálalo.


Una vez que WordPress haya terminado de instalar tu plugin WPForms, haz clic en Activar Plugin.


Ahora que el plugin está instalado y activado, deberías ver WPForms en la barra lateral de navegación izquierda. Haz clic en WPForms » Ajustes, y la pestaña de ajustes General se abrirá por defecto.
Deberías ver los ajustes de Clave de Licencia en la parte superior. Pega la clave de licencia que copiaste de tu página de cuenta. Luego haz clic en Verificar Clave para activar WPForms.


Ahora que WPForms está instalado en tu sitio, todo lo que tienes que hacer es tomarte un segundo para instalar el complemento de Registro de Usuarios.
Desde tu panel de WordPress, haz clic en WPForms » Complementos. Recuerda que debes tener una licencia Pro o superior para acceder a este complemento.
Localiza el complemento de Registro de Usuarios y haz clic en el botón Instalar Complemento.
Después de instalar el complemento, verás un interruptor que puedes usar para activarlo y desactivarlo a tu gusto.


Si tienes algún problema, lee nuestras instrucciones detalladas sobre cómo instalar y activar complementos de WPForms. También puedes consultar esta guía completa para instalar plugins de WordPress.
2. Crea un Formulario de Restablecimiento de Contraseña
Con instalado y activado, ¡así que ahora estamos listos para crear un formulario! Primero, desde tu panel de WordPress, haz clic en WPForms » Nuevo.


Después de eso, busca la barra de plantillas de búsqueda, introduce Formulario de restablecimiento de contraseña de usuario. Pasa el ratón sobre la opción y luego haz clic en Usar plantilla.


La plantilla se cargará en el constructor de formularios y verás que es muy sencilla. Puedes hacer las personalizaciones que desees, como añadir uno o más filtros de spam para mantener a raya a los bots.
3. Habilita la Prevención de Spam en el Formulario de Restablecimiento de Contraseña
Por defecto, WPForms tiene protección moderna contra spam para todos los formularios. Pero puedes aumentar aún más tu seguridad activando medidas adicionales de prevención de spam además del filtro predeterminado.
Exploremos algunas de estas opciones. Primero, deberás ir a Ajustes » Protección contra Spam y Seguridad, donde encontrarás todas las funciones relacionadas con el spam en un solo lugar.


También puedes consultar nuestra guía completa de prevención de spam en formularios de contacto para obtener más información sobre los diferentes tipos de técnicas anti-spam que puedes usar para tus formularios.
Akismet para el Formulario de Restablecimiento de Contraseña
Akismet es, posiblemente, la solución anti-spam más fiable en el mundo de WordPress. Y se integra perfectamente con WPForms sin necesidad de configuración adicional.
Todo lo que necesitas es que Akismet esté instalado y activado en tu sitio, y luego podrás activarlo fácilmente en tu formulario presionando el botón de activación Activar protección anti-spam de Akismet.


Akismet funciona de forma inteligente para detectar spam analizando los patrones en la entrada del formulario proporcionada.
Si Akismet detecta algo sospechoso, bloqueará el envío. Así es como se ve en el frontend para el usuario.


Puedes seguir este tutorial completo sobre cómo filtrar spam con Akismet para usar esta potente herramienta contra los spambots.
Alternativamente, puedes usar diferentes servicios de captcha e incluso Cloudflare Turnstile.
Cloudflare Turnstile para Prevenir el Abuso de Restablecimiento de Contraseña
Para configurar Turnstile con WPForms, puedes ir al menú principal de Ajustes en el menú de administración de WordPress y hacer clic en la pestaña CAPTCHA. Aquí encontrarás opciones para integrar hCaptcha, Google reCAPTCHA y Cloudflare Turnstile.


Puede encontrar el tutorial completo sobre cómo configurar Cloudflare Turnstile para sus formularios aquí. He visto algunos resultados excelentes con Turnstile, y el número de envíos de spam se redujo significativamente en el sitio web de una startup de un amigo en cuyo desarrollo ayudé.
Cuando haya habilitado Turnstile en su sitio, verá una insignia de verificación aparecer en la parte superior derecha de su creador de formularios.


Tiempo Mínimo para Enviar
El ajuste de tiempo mínimo para enviar es mi arma secreta contra el spam. Esta es una de las técnicas de prevención de spam más sencillas. Y, sin embargo, sigue siendo una de las más impactantes.
Eso se debe a que los bots de spam son programas automatizados diseñados para operar rápidamente, enviando toneladas de formularios repetidamente en un corto período de tiempo. Al agregar un simple límite de tiempo mínimo, puede vencer a muchos tipos de spambots en su propio juego.
Para usar este filtro de spam, simplemente haga clic en el botón de alternancia Habilitar tiempo mínimo para enviar e inserte un valor en segundos.


Un formulario de restablecimiento de contraseña es muy corto, por lo que puede esperar que las personas reales tarden al menos 2 segundos en completarlo. Sin embargo, los bots lo completarán en milisegundos, lo que significa que esos envíos falsos y no autorizados nunca podrán pasar.
Filtros de Palabras Clave y País
Los filtros de palabras clave y países son bastante versátiles porque no se usan necesariamente para bloquear spam. Pero si está prestando atención, a veces puede encontrar el mismo tipo de patrones de palabras clave repetidos por los spambots.
Por ejemplo, pueden ser caracteres en otro idioma, ciertos nombres de sitios web utilizados por spammers o algo similar. El filtro de palabras clave puede bloquear eficazmente tales instancias de spam si ha identificado el uso frecuente de palabras clave que no espera que sus visitantes reales utilicen.


Del mismo modo, el filtro de país es muy útil para situaciones en las que el spam se origina en un país específico. Si bien bloquear a un país entero de acceder a sus formularios puede no ser una buena opción si tiene clientes o visitantes reales ubicados en ese país, esta función funciona muy bien para negocios locales con una clara separación entre la ubicación de su audiencia real y los spammers.
Pero necesita tener información clara sobre de dónde proviene el spam. La forma fácil de obtener esta información es utilizando las funciones de Geolocalización de WPForms o inferir la ubicación basándose en la dirección IP del usuario.
Añade un Captcha Personalizado
El Captcha Personalizado es otro antídoto simple pero efectivo contra el spam. Para usarlo, abra su creador de formularios y desplácese hacia abajo por los Campos Elegantes y arrastre o haga clic en la opción Captcha Personalizado para agregarlo a su formulario.


Hay 2 tipos de preguntas de Captcha personalizadas que puede agregar: matemáticas y pregunta y respuesta.
Captchas Matemáticos
El Captcha Personalizado predeterminado es una pregunta matemática. Haga clic en él en el creador de formularios para abrir las opciones del campo.


Si decides conservar el problema matemático, generará automáticamente una nueva pregunta cada vez que se cargue la página y podría ser de suma, resta o multiplicación.
Si deseas personalizar el Captcha de Matemáticas, puedes hacerlo con algo de código personalizado. Consulta nuestro tutorial sobre cómo cambiar el Captcha de Matemáticas para más detalles.
Captchas de Pregunta y Respuesta
También puedes cambiarlo a una pregunta y respuesta personalizadas. Esta opción te permite crear tus propias preguntas a las que los usuarios deben responder. Ten cuidado de que estas preguntas sean de conocimiento general y fáciles de escribir.


Por defecto, solo hay una pregunta, pero puedes añadir más. Tu formulario las recorrerá, mostrando una diferente cada vez que la página se cargue o se actualice.
¡Y eso es todo lo que hay que hacer para añadir un campo de Captcha Personalizado a tu formulario!
Para ver todas las opciones de personalización, consulta nuestra documentación sobre cómo instalar y usar el complemento Captcha Personalizado.
4. Guardar y publicar tu formulario
En un corto período de tiempo, has instalado WPForms y creado tu propio formulario de restablecimiento de contraseña de usuario para ayudar a detener las solicitudes de restablecimiento de contraseña no autorizadas en WordPress.
¿Bastante fácil, verdad?
Todo lo que queda por hacer ahora es guardar y publicar tu formulario. Esta parte debería ser pan comido.
Primero, busca ese botón naranja Guardar en la esquina superior derecha y haz clic en él. ¡No querrás perder tu trabajo!


Una vez que tu formulario esté guardado, muévete hacia la izquierda y haz clic en el botón Incrustar.
Tienes 2 opciones para incrustar tu formulario en tu sitio web. Puedes incrustarlo en una página existente o puedes crear una nueva.
Si eliges una página existente, aparecerá una lista de las páginas de tu sitio web en un menú desplegable para que selecciones la página que deseas usar.
Para nuestro ejemplo, incrustemos este formulario en una página nueva. Después de seleccionar esa opción, verás un aviso para darle un nombre a tu página. Una vez que nombres la nueva página, haz clic en ¡Vamos! Tu nueva página se abrirá con el formulario incrustado, y podrás hacer actualizaciones adicionales desde allí.


Si no estás listo para incrustar tu formulario ahora mismo, no te preocupes. Hay otras formas de hacerlo más tarde cuando estés listo. Tenemos más información sobre formas de incrustar tus formularios en tu sitio web, ¡así que échale un vistazo cuando estés listo!
Formas adicionales de bloquear los restablecimientos de contraseña de WordPress
El formulario de restablecimiento de contraseña que acabas de crear es tu línea de defensa más sólida, pero algunos hábitos a nivel de WordPress hacen que sea aún más difícil para los bots causar problemas. Yo los considero la base en cada sitio en el que trabajo.
Lo primero que activo es la autenticación de dos factores, ya que detiene un inicio de sesión incluso cuando un bot ha conseguido una contraseña pidiendo un segundo código de una aplicación, mensaje de texto o correo electrónico. La mayoría de los buenos plugins de seguridad lo incluyen, junto con los siguientes elementos de esta lista.
La siguiente capa es limitar los intentos de inicio de sesión, lo que limita cuántos intentos tiene una IP antes de un bloqueo temporal y desactiva los scripts de fuerza bruta que a menudo aparecen junto con el spam de restablecimiento. Un plugin de seguridad dedicado para WordPress se encarga de esto por usted y registra los intentos, para que pueda ver exactamente qué está atacando su sitio.
Finalmente, use contraseñas seguras y únicas para cada cuenta de administrador y cámbielas de vez en cuando. Nada de esto reemplaza el formulario protegido contra spam anterior, pero combinados, estos pasos cierran las brechas en las que se basan los ataques automatizados.
Preguntas frecuentes sobre restablecimientos de contraseña no autorizados de WordPress
Los restablecimientos de contraseña no autorizados de WordPress surgen con frecuencia una vez que los propietarios de sitios comienzan a ver esos correos electrónicos de restablecimiento. Aquí hay respuestas a las preguntas que escucho con más frecuencia sobre el spam de restablecimiento de contraseñas y cómo mantener seguro su inicio de sesión.
¿Es una solicitud de restablecimiento de contraseña de WordPress una señal de que mi sitio ha sido hackeado?
Por sí sola no. Una solicitud de restablecimiento solo significa que alguien, o más a menudo un bot, introdujo un correo electrónico o nombre de usuario en su página de inicio de sesión y solicitó un enlace de restablecimiento.
Dado que ese enlace es de un solo uso y caduca, recibir el correo electrónico no significa que alguien haya accedido a su cuenta. Si las solicitudes continúan llegando, trátelo como un recordatorio para agregar el formulario anti-spam y los pasos de seguridad de esta guía en lugar de una señal de una brecha.
¿Cómo puedo saber si alguien más está intentando restablecer mi contraseña de WordPress?
Si alguien más está intentando restablecer tu contraseña de WordPress, probablemente recibirás correos electrónicos que te informarán de que se realizó una solicitud. También puedes revisar los registros de tu sitio web para ver los intentos de inicio de sesión. Si este es el caso, cambia tu contraseña.
Al crear un formulario de restablecimiento de contraseña con anti-spam habilitado en WPForms, estás añadiendo una capa adicional de seguridad que ayudará a eliminar los intentos de bots.
¿Puedo deshabilitar la función de restablecimiento de contraseña de WordPress por completo?
Puede hacerlo, aunque requiere un poco de código personalizado o un pequeño plugin que elimine el enlace de "contraseña olvidada" y bloquee el punto final de restablecimiento. Eso funciona para un sitio de un solo autor donde nadie más necesita recuperar un inicio de sesión.
Sin embargo, para la mayoría de los sitios, deshabilitar completamente los restablecimientos también bloquea a los usuarios legítimos, por lo que un formulario de restablecimiento protegido contra spam es el punto intermedio más seguro. Mantiene la función funcionando para personas reales mientras filtra los bots.
¿Qué pasos adicionales puedo tomar para mantener mi sitio seguro contra restablecimientos de contraseña no autorizados de WordPress?
Crea siempre una contraseña segura que sea única para el sitio. Muchos navegadores web o herramientas como 1Password incluso te ayudarán a hacer sugerencias. Cambia tu contraseña de forma regular también.
También es aconsejable activar la 2FA (autenticación de dos factores). Agrega un paso a su proceso de inicio de sesión, pero crea otra capa de seguridad de WordPress en el proceso.
Por ejemplo, es posible que deba ingresar su contraseña y luego también ingresar un código de autenticación que obtenga por correo electrónico, mensaje de texto o una aplicación de autenticación.
¿Qué tipo de seguridad del sitio debo considerar para mi sitio de WordPress?
Además de lo que ya se ha sugerido, utiliza cifrado SSL en tu sitio para proteger los datos. También puedes implementar límites de tasa, lo que ayudará a prevenir ataques de fuerza bruta que suelen provenir de bots.
Si otros usuarios tienen cuentas en tu sitio, también es una buena idea tener algún tipo de proceso de verificación de usuarios.
A continuación, prueba a personalizar tus páginas protegidas con contraseña
Ahora tienes los pasos necesarios para eliminar finalmente los restablecimientos de contraseña no autorizados en WordPress. Ahora lee sobre cómo personalizar una página protegida con contraseña en WordPress.
Detenga el spam de restablecimiento de contraseñas ahora
¿Listo para crear tu formulario? Empieza hoy mismo con el plugin de creación de formularios de WordPress más fácil. WPForms Pro incluye muchas plantillas gratuitas y ofrece una garantía de devolución de dinero de 14 días.
Si este artículo te ha sido útil, síguenos en Facebook y Twitter para obtener más tutoriales y guías gratuitas de WordPress.


