Cuando se construyen formularios, los nuevos sitios de WordPress a menudo ignoran las consideraciones de seguridad. Esto es un grave error.
Lo sé porque lo aprendí por las malas cuando el formulario de registro de mi sitio web fue atacado por un bot de spam que intentó registrarse 60.000 veces de la noche a la mañana...
Aún arrastro el trauma de aquel suceso. Puede que me olvide de comer, pero ya no me olvido de añadir antispam a los formularios importantes de ninguno de mis proyectos en línea.
La buena noticia es que las estrategias para contrarrestar el spam y las amenazas a la seguridad han mejorado considerablemente con los años. Así que, aunque veas spam y actividad sospechosa en tus formularios, puedes combatirlos eficazmente.
Y si no tiene motivos para creer que su sitio es objetivo de robots de spam, debe tomar medidas preventivas para mantener sus formularios a salvo de futuras amenazas.
En este artículo, compartiré algunos consejos efectivos para crear un formulario de WordPress seguro que han ayudado a muchos clientes de WPForms y a mí también a reducir los envíos de spam y las amenazas a la seguridad.
Crea formularios seguros para WordPress ahora 🔒.
Cómo aumentar la seguridad de los formularios de WordPress
1. Activar CAPTCHA
Los servicios CAPTCHA son una de las herramientas más populares para bloquear el spam de formularios. Deben su popularidad al hecho de que son potentes a la hora de evitar que los spambots ataquen tus formularios.
Para añadir un CAPTCHA a un formulario de WordPress, necesitarás un plugin que soporte los servicios CAPTCHA. Por ejemplo, WPForms te permite añadir los siguientes servicios CAPTCHA a cualquier formulario:
- CAPTCHA personalizado
- Google reCAPTCHA
- hCaptcha
- Torniquete Cloudflare

Todos estos servicios CAPTCHA pueden ser muy eficaces para reducir el envío de formularios spam.
Sin embargo, si sigues viendo spam a pesar de utilizar uno de estos servicios CAPTCHA, te recomiendo que pruebes otra opción.

Por ejemplo, si ya está utilizando reCAPTCHA y sigue recibiendo un gran volumen de spam, puede probar a utilizar hCaptcha en su lugar.
Si sigues sin estar contento, merece la pena probar Cloudflare Turnstile.
Todos estos servicios CAPTCHA están automatizados y utilizan algoritmos complejos para comprobar actividades sospechosas mientras se rellena un formulario.
Pero si necesita un CAPTCHA más simple con la posibilidad de diseñar sus propias preguntas, puede usar el Captcha Personalizado de WPForms.
Esto le permite hacer preguntas matemáticas o preguntas generales de trivialidades que son fáciles de responder para los usuarios reales, pero que pueden suponer todo un reto para los spambots.
Por último, también puede utilizar Akismet para bloquear el spam. Akismet es diferente de otros servicios CAPTCHA porque es completamente invisible y detecta el spam contra una enorme base de datos de patrones de spam conocidos.
Así que si desea mejorar la seguridad de su formulario de WordPress sin comprometer la experiencia del usuario con CAPTCHA basado en rompecabezas, Akismet es una gran opción para probar.
2. Configurar la verificación del correo electrónico
Aunque los servicios CAPTCHA son excelentes para bloquear la mayoría de los tipos de spam, no son perfectos. Hay situaciones en las que puede que necesites tomar medidas adicionales para mantener tu formulario a salvo de bots y estafadores.
Por ejemplo, si permite a los visitantes crear una cuenta en su sitio con un formulario de registro, una simple verificación por correo electrónico puede ayudar mucho a evitar registros falsos.
El complemento WPForms User Registration no sólo le permite crear sus propios formularios de registro personalizados, sino que también le permite añadir la verificación de correo electrónico.

Puede activar manualmente cada registro de usuario usted mismo o permitir que los usuarios lo hagan por su cuenta con un correo electrónico enviado directamente a la dirección de correo electrónico proporcionada.
Los spammers suelen utilizar direcciones de correo electrónico falsas, por lo que puede eliminar una gran cantidad de spam de su formulario de registro simplemente añadiendo un correo electrónico de verificación en WPForms.
También puede habilitar la verificación de correo electrónico para cualquier formulario general utilizando el complemento WPForms Form Locker. Cuando se activa, WPForms requerirá un visitante para insertar primero una dirección de correo electrónico válida antes de que puedan acceder al formulario.
El usuario recibirá entonces un correo electrónico con un enlace único para desbloquear el formulario, impidiendo que cualquier usuario con un correo electrónico falso pueda acceder a él.

Nota: Añadir un paso adicional para acceder al formulario también puede causar cierta molestia a los usuarios reales. Es una buena idea tener en cuenta la sensibilidad de tu audiencia antes de incorporar la verificación de correo electrónico.
Crear formulario con verificación de correo electrónico
3. Bloquear envíos por país
Si usted es una empresa local que sólo opera en un único país (o en unos pocos), puede considerar la posibilidad de bloquear el envío de formularios desde otros países.
WPForms tiene un filtro de país muy útil que puede utilizar para permitir o bloquear entradas de países específicos.

Se trata de una estrategia poderosa, ya que elimina una gran parte de los spammers y hackers potenciales procedentes de regiones ajenas a su mercado objetivo.
4. Restringir la visibilidad del formulario a los usuarios registrados
Si desea aceptar entradas de formularios sólo de usuarios registrados, las posibilidades de recibir spam son, naturalmente, bastante bajas.
Esto se debe a que es una gran inversión de tiempo para un spammer registrarse primero y luego rellenar su formulario para dirigirse a usted con spam. Los usuarios maliciosos, ya sean reales o bots, siempre prefieren objetivos fácilmente accesibles.
Con el complemento WPForms Form Locker, puede restringir el acceso a su formulario sólo a los usuarios registrados.

Sin embargo, es importante considerar caso por caso si añadir esta restricción a su formulario es una buena idea.
Por ejemplo, no tendría mucho sentido utilizar estas restricciones en un formulario para clientes potenciales. Pero sería bastante relevante en un formulario de opinión del cliente.
5. Funciones de seguridad de los formularios Layer Up
Me he encontrado con situaciones en las que los sitios web siguen registrando altos índices de spam a pesar de haber implementado una u otra solución de seguridad o de prevención de spam para un formulario web.
A veces, los spambots más avanzados no pueden atajarse fácilmente con una sola técnica de bloqueo del spam, sino que es necesario emplear varias tácticas a la vez.
He aquí un ejemplo de combinación de elementos de protección para reforzar la seguridad de los formularios:
- Active CAPTCHA: Su primera línea de defensa debe ser algún tipo de CAPTCHA o un servicio como Akismet para detener la mayor parte del spam que ataca su sitio.
- Imponga un tiempo mínimo de envío: Los spambots están programados para ser muy rápidos. Este hecho puede ser usado en su contra para prevenir envíos de formularios que ocurran antes de que haya pasado un tiempo mínimo. La configuración del tiempo mínimo de envío en WPForms puede añadir otra importante capa extra de seguridad al formulario.
- Active la verificación del correo electrónico para el registro: Cuando tenga sentido, utiliza la verificación del correo electrónico para evitar que se registren usuarios con correos electrónicos falsos.
- Utilice un filtro por país: Para las empresas locales, siempre es más seguro bloquear a los visitantes procedentes de países en los que no se presta servicio.
- Mantenga una lista de bloqueo de correos electrónicos: Si ves infractores reincidentes en tu sitio, puedes crear una lista de bloqueo de correo electrónico para evitar que se acepten envíos con direcciones de correo electrónico específicas.
Con una estrategia múltiple, tendrá muchas más posibilidades de evitar el spam y mejorar la seguridad de sus formularios.
A continuación, pruebe algunas alternativas a reCAPTCHA
Google reCAPTCHA es el servicio CAPTCHA más popular para formularios de contacto. Pero hay algunas alternativas que también ofrecen una mayor privacidad al usuario. Nuestra guía sobre alternativas a reCAPTCHA analiza otras opciones que puedes utilizar para mantener la seguridad de tus formularios.
Además, si buscas una forma segura de enviar tus correos electrónicos de notificación de formularios de WordPress utilizando Gmail, consulta esta guía para utilizar Gmail SMTP con WP Mail SMTP.
Crea formularios seguros para WordPress ahora 🔒.
¿A qué está esperando? Empieza hoy mismo con el plugin de formularios para WordPress más potente.
Y no lo olvide, si le gusta este artículo, síganos en Facebook y Twitter.
¿Los datos enviados a través de WPForms están encriptados o protegidos de algún otro modo mientras están en tránsito?
Cuando recopilamos información personal, queremos garantizar a nuestros usuarios que cuando envían sus datos, lo hacen de forma segura. Soy consciente de que almacenar los datos es diferente, y por eso he formulado la pregunta de una manera particular.
Hola - ¡Gran pregunta! La opción más utilizada para la transferencia segura de datos es el uso de SSL en su sitio. Puede encontrar más detalles en este artículo sobre cómo SSL ayuda a hacer una transferencia de datos segura. Cualquier dato transferido por WPForms también será seguro si el sitio está usando SSL.
Espero que esta información sea de ayuda.
Hola, ¿hay alguna forma de crear formularios seguros pero anónimos en Wordpress? Me he dado cuenta de que muchos tienen 'Direcciones de correo electrónico' como un campo obligatorio que no se puede borrar. Muchas gracias.
Hola Ruby- No tenemos una función incorporada para crear formularios anónimos. Sin embargo, puede lograrlo con usuarios registrados y, a continuación, añadir este código personalizado le ayudará a lograr lo que ha mencionado.
Espero que te sirva de ayuda 🙂 .
¿Se encriptan los datos y luego se envían a la base de datos? ¿Qué alojamiento ofrece bases de datos cifradas?
¡Hola Richie!
Nuestro plugin no ofrece ninguna función de cifrado de datos. Si los datos son o no "seguros" desde el punto de vista del usuario mientras se dirigen al servidor de su sitio es una cuestión un poco complicada, pero en términos generales si su sitio tiene un certificado SSL activo, puede considerarse seguro. Hay un gran número de factores que intervienen cuando se trata de la seguridad del sitio. Estos artículos pueden ayudarle a empezar con esa cuestión:
1 - https://wpforms.com/docs/a-complete-guide-to-wpforms-security/
2 - https://www.wpbeginner.com/wordpress-security/
Espero que esto ayude a aclararlo 🙂 Si tienes más dudas al respecto, ponte en contacto con nosotros.
Gracias.
¿Cómo puedo proteger los archivos de la carpeta wpforms upload en mi servidor web? ¿Puede un hacker acceder a esos archivos escaneando el sitio web?
Hola Simo - WPForms debe manejar la mayor parte de la seguridad de carga de archivos para usted - no permitimos que ningún archivo no aprobado o no autorizado para ser cargado. Así que siempre y cuando usted está utilizando un host web de buena reputación, no debería haber ningún problema.
Si no estás seguro de qué métodos utiliza tu proveedor de alojamiento web para proteger sus servidores, te sugiero que consultes con su servicio de atención al cliente qué medidas de seguridad aplican, cómo protegen tu sitio y qué medidas toman en el caso improbable de que tu sitio web se vea comprometido. ¡Siempre es mejor saber!
Además, añadimos un hash único al final del archivo (por ejemplo: mi-logo-570543445db74.png) para que un usuario malintencionado no pueda abrir fácilmente un montón de archivos que se han subido a su sitio.