Resumen de la IA
Cuando se construyen formularios, los nuevos sitios de WordPress a menudo ignoran las consideraciones de seguridad. Esto es un grave error.
Lo sé porque lo aprendí por las malas cuando el formulario de registro de mi sitio web fue atacado por un bot de spam que intentó registrarse 60.000 veces de la noche a la mañana...
Aún arrastro el trauma de aquel suceso. Puede que me olvide de comer, pero ya no me olvido de añadir antispam a los formularios importantes de ninguno de mis proyectos en línea.
La buena noticia es que las estrategias para contrarrestar el spam y las amenazas a la seguridad han mejorado considerablemente con los años. Así que, aunque veas spam y actividad sospechosa en tus formularios, puedes combatirlos eficazmente.
Y si no tiene motivos para creer que su sitio es objetivo de robots de spam, debe tomar medidas preventivas para mantener sus formularios a salvo de futuras amenazas.
En este artículo, compartiré algunos consejos efectivos para crear un formulario de WordPress seguro que han ayudado a muchos clientes de WPForms y a mí también a reducir los envíos de spam y las amenazas a la seguridad.
Crea formularios seguros para WordPress ahora 🔒.
Cómo aumentar la seguridad de los formularios de WordPress
1. Activar CAPTCHA
Los servicios CAPTCHA son una de las herramientas más populares para bloquear el spam de formularios. Deben su popularidad al hecho de que son potentes a la hora de evitar que los spambots ataquen tus formularios.
Para añadir un CAPTCHA a un formulario de WordPress, necesitarás un plugin que soporte los servicios CAPTCHA. Por ejemplo, WPForms te permite añadir los siguientes servicios CAPTCHA a cualquier formulario:
- CAPTCHA personalizado
- Google reCAPTCHA
- hCaptcha
- Torniquete Cloudflare
Todos estos servicios CAPTCHA pueden ser muy eficaces para reducir el envío de formularios spam.
Sin embargo, si sigues viendo spam a pesar de utilizar uno de estos servicios CAPTCHA, te recomiendo que pruebes otra opción.
Por ejemplo, si ya está utilizando reCAPTCHA y sigue recibiendo un gran volumen de spam, puede probar a utilizar hCaptcha en su lugar.
Si sigues sin estar contento, merece la pena probar Cloudflare Turnstile.
Todos estos servicios CAPTCHA están automatizados y utilizan algoritmos complejos para comprobar actividades sospechosas mientras se rellena un formulario.
Pero si necesita un CAPTCHA más simple con la posibilidad de diseñar sus propias preguntas, puede usar el Captcha Personalizado de WPForms.
Esto le permite hacer preguntas matemáticas o preguntas generales de trivialidades que son fáciles de responder para los usuarios reales, pero que pueden suponer todo un reto para los spambots.
Por último, también puede utilizar Akismet para bloquear el spam. Akismet es diferente de otros servicios CAPTCHA porque es completamente invisible y detecta el spam contra una enorme base de datos de patrones de spam conocidos.
Así que si desea mejorar la seguridad de su formulario de WordPress sin comprometer la experiencia del usuario con CAPTCHA basado en rompecabezas, Akismet es una gran opción para probar.
2. Configurar la verificación del correo electrónico
Aunque los servicios CAPTCHA son excelentes para bloquear la mayoría de los tipos de spam, no son perfectos. Hay situaciones en las que puede que necesites tomar medidas adicionales para mantener tu formulario a salvo de bots y estafadores.
Por ejemplo, si permite a los visitantes crear una cuenta en su sitio con un formulario de registro, una simple verificación por correo electrónico puede ayudar mucho a evitar registros falsos.
El complemento WPForms User Registration no sólo le permite crear sus propios formularios de registro personalizados, sino que también le permite añadir la verificación de correo electrónico.
Puede activar manualmente cada registro de usuario usted mismo o permitir que los usuarios lo hagan por su cuenta con un correo electrónico enviado directamente a la dirección de correo electrónico proporcionada.
Los spammers suelen utilizar direcciones de correo electrónico falsas, por lo que puede eliminar una gran cantidad de spam de su formulario de registro simplemente añadiendo un correo electrónico de verificación en WPForms.
También puede habilitar la verificación de correo electrónico para cualquier formulario general utilizando el complemento WPForms Form Locker. Cuando se activa, WPForms requerirá un visitante para insertar primero una dirección de correo electrónico válida antes de que puedan acceder al formulario.
El usuario recibirá entonces un correo electrónico con un enlace único para desbloquear el formulario, impidiendo que cualquier usuario con un correo electrónico falso pueda acceder a él.
Nota: Añadir un paso adicional para acceder al formulario también puede causar cierta molestia a los usuarios reales. Es una buena idea tener en cuenta la sensibilidad de tu audiencia antes de incorporar la verificación de correo electrónico.
Crear formulario con verificación de correo electrónico
3. Bloquear envíos por país
Si usted es una empresa local que sólo opera en un único país (o en unos pocos), puede considerar la posibilidad de bloquear el envío de formularios desde otros países.
WPForms tiene un filtro de país muy útil que puede utilizar para permitir o bloquear entradas de países específicos.
Se trata de una estrategia poderosa, ya que elimina una gran parte de los spammers y hackers potenciales procedentes de regiones ajenas a su mercado objetivo.
4. Restringir la visibilidad del formulario a los usuarios registrados
Si desea aceptar entradas de formularios sólo de usuarios registrados, las posibilidades de recibir spam son, naturalmente, bastante bajas.
Esto se debe a que es una gran inversión de tiempo para un spammer registrarse primero y luego rellenar su formulario para dirigirse a usted con spam. Los usuarios maliciosos, ya sean reales o bots, siempre prefieren objetivos fácilmente accesibles.
Con el complemento WPForms Form Locker, puede restringir el acceso a su formulario sólo a los usuarios registrados.
Sin embargo, es importante considerar caso por caso si añadir esta restricción a su formulario es una buena idea.
Por ejemplo, no tendría mucho sentido utilizar estas restricciones en un formulario para clientes potenciales. Pero sería bastante relevante en un formulario de opinión del cliente.
5. Funciones de seguridad de los formularios Layer Up
Me he encontrado con situaciones en las que los sitios web siguen registrando altos índices de spam a pesar de haber implementado una u otra solución de seguridad o de prevención de spam para un formulario web.
A veces, los spambots más avanzados no pueden atajarse fácilmente con una sola técnica de bloqueo del spam, sino que es necesario emplear varias tácticas a la vez.
He aquí un ejemplo de combinación de elementos de protección para reforzar la seguridad de los formularios:
- Active CAPTCHA: Su primera línea de defensa debe ser algún tipo de CAPTCHA o un servicio como Akismet para detener la mayor parte del spam que ataca su sitio.
- Imponga un tiempo mínimo de envío: Los spambots están programados para ser muy rápidos. Este hecho puede ser usado en su contra para prevenir envíos de formularios que ocurran antes de que haya pasado un tiempo mínimo. La configuración del tiempo mínimo de envío en WPForms puede añadir otra importante capa extra de seguridad al formulario.
- Active la verificación del correo electrónico para el registro: Cuando tenga sentido, utiliza la verificación del correo electrónico para evitar que se registren usuarios con correos electrónicos falsos.
- Utilice un filtro por país: Para las empresas locales, siempre es más seguro bloquear a los visitantes procedentes de países en los que no se presta servicio.
- Mantenga una lista de bloqueo de correos electrónicos: Si ves infractores reincidentes en tu sitio, puedes crear una lista de bloqueo de correo electrónico para evitar que se acepten envíos con direcciones de correo electrónico específicas.
Con una estrategia múltiple, tendrá muchas más posibilidades de evitar el spam y mejorar la seguridad de sus formularios.
Preguntas frecuentes sobre los formularios seguros de WordPress
Aquí encontrará respuestas a las preguntas más frecuentes sobre la creación y el mantenimiento de formularios seguros en WordPress.
¿Cómo puedo crear formularios en línea seguros para mi sitio web?
Utilice un complemento de formularios de confianza como WPForms, que incluye funciones de seguridad integradas como la protección CAPTCHA, el filtrado de spam honeypot y el envío de datos cifrados.
Active SSL en su sitio web (el icono del candado en los navegadores), que cifra todos los datos transmitidos a través de sus formularios. Configura también protecciones específicas para los formularios, como límites de entrada por IP y filtrado de palabras clave para bloquear envíos maliciosos.
¿Qué hace que un formulario de WordPress sea seguro?
Un formulario de WordPress seguro debe tener varias capas de protección, como cifrado SSL para los datos en tránsito, CAPTCHA para evitar bots, filtro de spam para bloquear envíos maliciosos, validación de datos adecuada para evitar ataques de inyección de código y almacenamiento seguro de las entradas del formulario en la base de datos de WordPress. Además, el propio plugin de formularios debe recibir actualizaciones de seguridad periódicas de sus desarrolladores.
¿Cómo puedo proteger mis formularios de WordPress contra el spam y los ataques?
Habilite varios métodos de protección contra el spam simultáneamente. Utilice reCAPTCHA o hCaptcha para la protección contra bots, active el método honeypot para atrapar bots de spam automatizados, establezca límites de entrada por dirección IP para evitar ataques de inundación, añada filtrado de palabras clave para bloquear envíos que contengan frases de spam y exija CAPTCHA solo después de un cierto número de envíos fallidos para equilibrar la seguridad con la experiencia del usuario.
¿Son seguros los formularios en línea?
El envío de formularios en línea sólo es seguro si su sitio web utiliza HTTPS (certificado SSL) y su plugin de formularios sigue las mejores prácticas de seguridad. HTTPS encripta los datos mientras viajan desde el navegador del usuario a su servidor, evitando que sean interceptados.
Sin embargo, también debe asegurarse de que el plugin de formularios almacena los datos de forma segura, incluye protección CAPTCHA y recibe actualizaciones de seguridad periódicas.
¿Cuál es el creador de formularios más seguro para WordPress?
WPForms es uno de los creadores de formularios más seguros porque incluye funciones de seguridad de nivel empresarial en todos los planes, como múltiples opciones de CAPTCHA (reCAPTCHA, hCaptcha, Turnstile), protección contra spam honeypot, envío de datos cifrados cuando se utiliza con HTTPS, auditorías y actualizaciones de seguridad periódicas, procesamiento de pagos compatible con PCI y protección integrada contra ataques de inyección SQL y XSS.
¿Cómo protejo los datos de los formularios una vez enviados?
Tras el envío, la seguridad de los datos del formulario depende de los permisos adecuados de la base de datos, las actualizaciones periódicas de WordPress y de los plugins, el almacenamiento seguro de las copias de seguridad (preferiblemente cifradas y fuera del sitio), el acceso limitado de los usuarios a las entradas del formulario (solo dé acceso a los miembros del equipo que lo necesiten) y la eliminación automática de las entradas antiguas que ya no necesite. WPForms le permite exportar y eliminar entradas para minimizar los riesgos de retención de datos.
¿Necesito HTTPS para tener formularios de WordPress seguros?
Sí, HTTPS (certificado SSL) es obligatorio para los formularios seguros. Sin él, los datos enviados a través de sus formularios se envían como texto sin formato que puede ser interceptado. La mayoría de los navegadores advierten ahora a los usuarios cuando intentan enviar un formulario en un sitio sin HTTPS, lo que destruye la confianza y reduce el número de envíos de formularios. Los certificados SSL suelen ser gratuitos a través de proveedores de alojamiento o servicios como Let's Encrypt.
¿Cómo puedo hacer que mis formularios web sean más seguros?
Además de SSL y CAPTCHA básicos, aplique estas protecciones avanzadas: active fechas de caducidad para los formularios sensibles al tiempo, utilice lógica condicional para ocultar campos confidenciales hasta que sea necesario, limite los tipos y tamaños de archivos que se suben para evitar que se carguen archivos maliciosos, active la opción de doble inclusión para los envíos de correo electrónico con el fin de verificar la legitimidad, añada preguntas CAPTCHA personalizadas específicas para su empresa y audite periódicamente las entradas de formularios para detectar patrones sospechosos.
A continuación, pruebe algunas alternativas a reCAPTCHA
Google reCAPTCHA es el servicio CAPTCHA más popular para formularios de contacto. Pero hay algunas alternativas que también ofrecen una mayor privacidad al usuario. Nuestra guía sobre alternativas a reCAPTCHA analiza otras opciones que puedes utilizar para mantener la seguridad de tus formularios.
Además, si buscas una forma segura de enviar tus correos electrónicos de notificación de formularios de WordPress utilizando Gmail, consulta esta guía para utilizar Gmail SMTP con WP Mail SMTP.
Crea formularios seguros para WordPress ahora 🔒.
¿A qué está esperando? Empieza hoy mismo con el plugin de formularios para WordPress más potente.
Y no lo olvide, si le gusta este artículo, síganos en Facebook y Twitter.
¿Los datos enviados a través de WPForms están encriptados o protegidos de algún otro modo mientras están en tránsito?
Cuando recopilamos información personal, queremos garantizar a nuestros usuarios que cuando envían sus datos, lo hacen de forma segura. Soy consciente de que almacenar los datos es diferente, y por eso he formulado la pregunta de una manera particular.
Hola - ¡Gran pregunta! La opción más utilizada para la transferencia segura de datos es el uso de SSL en su sitio. Puede encontrar más detalles en este artículo sobre cómo SSL ayuda a hacer una transferencia de datos segura. Cualquier dato transferido por WPForms también será seguro si el sitio está usando SSL.
Espero que esta información sea de ayuda.
Hola, ¿hay alguna forma de crear formularios seguros pero anónimos en Wordpress? Me he dado cuenta de que muchos tienen 'Direcciones de correo electrónico' como un campo obligatorio que no se puede borrar. Muchas gracias.
Hola Ruby- No tenemos una función incorporada para crear formularios anónimos. Sin embargo, puede lograrlo con usuarios registrados y, a continuación, añadir este código personalizado le ayudará a lograr lo que ha mencionado.
Espero que te sirva de ayuda 🙂 .
¿Se encriptan los datos y luego se envían a la base de datos? ¿Qué alojamiento ofrece bases de datos cifradas?
¡Hola Richie!
Nuestro plugin no ofrece ninguna función de cifrado de datos. Si los datos son o no "seguros" desde el punto de vista del usuario mientras se dirigen al servidor de su sitio es una cuestión un poco complicada, pero en términos generales si su sitio tiene un certificado SSL activo, puede considerarse seguro. Hay un gran número de factores que intervienen cuando se trata de la seguridad del sitio. Estos artículos pueden ayudarle a empezar con esa cuestión:
1 - https://wpforms.com/docs/a-complete-guide-to-wpforms-security/
2 - https://www.wpbeginner.com/wordpress-security/
Espero que esto ayude a aclararlo 🙂 Si tienes más dudas al respecto, ponte en contacto con nosotros.
Gracias.
¿Cómo puedo proteger los archivos de la carpeta wpforms upload en mi servidor web? ¿Puede un hacker acceder a esos archivos escaneando el sitio web?
Hola Simo - WPForms debe manejar la mayor parte de la seguridad de carga de archivos para usted - no permitimos que ningún archivo no aprobado o no autorizado para ser cargado. Así que siempre y cuando usted está utilizando un host web de buena reputación, no debería haber ningún problema.
Si no estás seguro de qué métodos utiliza tu proveedor de alojamiento web para proteger sus servidores, te sugiero que consultes con su servicio de atención al cliente qué medidas de seguridad aplican, cómo protegen tu sitio y qué medidas toman en el caso improbable de que tu sitio web se vea comprometido. ¡Siempre es mejor saber!
Además, añadimos un hash único al final del archivo (por ejemplo: mi-logo-570543445db74.png) para que un usuario malintencionado no pueda abrir fácilmente un montón de archivos que se han subido a su sitio.