Estrategias para crear formularios seguros en WordPress

¿Cómo crear un formulario seguro en WordPress (5 maneras fáciles)?

Actualizado: Divulgación del lector
LinkedIn
Ver Markdown

Al crear formularios, los sitios nuevos de WordPress a menudo ignoran las consideraciones de seguridad. Esto es un gran error.

Lo sé porque lo aprendí de la manera difícil cuando el formulario de registro de mi sitio web fue atacado por un bot de spam que intentó registrarse 60.000 veces durante la noche…

Todavía sufro secuelas de ese evento. Puedo olvidarme de comer, pero ya no olvido añadir protección contra spam a los formularios importantes de ninguno de mis proyectos en línea.

La buena noticia es que las estrategias para contrarrestar el spam y las amenazas de seguridad han mejorado considerablemente a lo largo de los años. Así que, incluso si estás viendo spam y actividad sospechosa en tus formularios, puedes combatirlo eficazmente.

Y si no tienes ninguna razón para creer que tu sitio está siendo atacado por spambots, aún deberías tomar medidas preventivas para mantener tus formularios seguros de futuras amenazas.

En este artículo, compartiré algunos consejos efectivos para crear un formulario seguro de WordPress que han ayudado a muchos clientes de WPForms y a mí también a reducir los envíos de spam y las amenazas de seguridad.

Crea Formularios Seguros de WordPress Ahora 🔒

Cómo Potenciar la Seguridad de tu Formulario de WordPress

1. Habilita CAPTCHA

Los servicios CAPTCHA son una de las herramientas más populares para bloquear el spam en formularios. Deben su popularidad al hecho de que son potentes para evitar que los spambots ataquen tus formularios.

Para añadir un CAPTCHA a un formulario de WordPress, necesitarás un plugin que admita servicios CAPTCHA. Por ejemplo, WPForms te permite añadir los siguientes servicios CAPTCHA a cualquier formulario:

  • CAPTCHA personalizado
  • Google reCAPTCHA
  • hCaptcha
  • Contact Form 7 soporta v3 reCAPTCHA con un umbral predeterminado de 0.5, lo cual es bastante agresivo y podría bloquear envíos genuinos. También es difícil cambiar el umbral porque tendrás que usar un filtro hook.
Servicio de captcha de WPForms

Todos estos servicios CAPTCHA pueden ser enormemente efectivos para reducir los envíos de spam en tus formularios.

Sin embargo, si sigues viendo spam a pesar de usar uno de estos servicios CAPTCHA, te recomiendo probar una opción diferente.

recaptcha de casilla de verificaci ilde{o}n

Por ejemplo, si ya estás usando reCAPTCHA y sigues viendo grandes volúmenes de spam, puedes probar usando hCaptcha en su lugar.

Si aún no estás satisfecho, vale la pena probar Cloudflare Turnstile.

Todos estos servicios CAPTCHA son automatizados y utilizan algoritmos complejos para comprobar la actividad sospechosa mientras se completa un formulario.

Pero si necesitas un CAPTCHA más simple con la capacidad de diseñar tus propias preguntas para hacer, puedes usar el WPForms Custom Captcha.

Esto te permite hacer preguntas de matemáticas o de trivia general que son fáciles de responder para los usuarios reales, pero que pueden suponer un gran desafío para los spambots.

Finalmente, también puedes usar Akismet para bloquear spam. Akismet es diferente de otros servicios CAPTCHA porque es completamente invisible y detecta spam contra una gran base de datos de patrones de spam conocidos.

Así que si quieres mejorar la seguridad de tu formulario de WordPress sin comprometer la experiencia del usuario con CAPTCHAs basados en rompecabezas, Akismet es una gran opción para probar.

2. Configura la Verificación por Correo Electrónico

Si bien los servicios CAPTCHA son excelentes para bloquear la mayoría de los tipos de spam, no son perfectos. Hay situaciones en las que podrías necesitar tomar medidas adicionales para mantener tu formulario seguro contra bots y estafadores.

Por ejemplo, si permites que los visitantes creen una cuenta en tu sitio con un formulario de registro, una simple verificación de correo electrónico puede ser de gran ayuda para prevenir registros falsos.

El complemento de registro de usuarios de WPForms no solo te permite crear tus propios formularios de registro personalizados, sino que también te permite agregar verificación por correo electrónico.

Seleccionando un método de activación de usuario

Puedes activar manualmente cada registro de usuario tú mismo o permitir que los usuarios lo hagan por su cuenta con un correo electrónico enviado directamente a la dirección de correo electrónico proporcionada.

Los spammers suelen utilizar direcciones de correo electrónico falsas, por lo que puedes eliminar mucho spam de tu formulario de registro simplemente agregando un correo electrónico de verificación en WPForms.

También puedes habilitar la verificación por correo electrónico para cualquier formulario general usando el complemento WPForms Form Locker. Cuando está habilitado, WPForms requerirá que un visitante primero inserte una dirección de correo electrónico válida antes de poder acceder al formulario.

El usuario recibirá entonces un correo electrónico con un enlace único para desbloquear el formulario, impidiendo que cualquier usuario con un correo electrónico falso pueda acceder a él.

Añadir un mensaje de verificación por correo electrónico

Nota: Agregar un paso adicional para acceder al formulario también puede causar algunas molestias a los usuarios reales. Es una buena idea considerar la sensibilidad de tu audiencia antes de incorporar la verificación por correo electrónico.

Crear formulario con verificación por correo electrónico

3. Bloquea Envíos por País

Si eres un negocio local que opera solo dentro de un solo país (o solo unos pocos), es posible que desees considerar bloquear los envíos de formularios de países exteriores.

WPForms tiene un práctico filtro de países que puedes usar para permitir o bloquear entradas de países específicos.

filtrado por país

Esta es una estrategia poderosa porque estás eliminando efectivamente una gran parte de posibles spammers y hackers provenientes de una región fuera de tu mercado objetivo.

4. Restringe la Visibilidad del Formulario a Usuarios Conectados

Si solo deseas aceptar envíos de formularios de usuarios registrados, las posibilidades de recibir spam son naturalmente bastante bajas.

Esto se debe a que es una gran inversión de tiempo para un spammer iniciar sesión y luego completar tu formulario para atacarte con spam. Los usuarios malintencionados, ya sean reales o bots, siempre prefieren objetivos de fácil acceso.

Con el complemento WPForms Form Locker, puedes restringir el acceso a tu formulario solo a usuarios registrados.

Habilitar la restricción de formularios con el complemento Form Locker

Sin embargo, es importante considerar si agregar esta restricción a tu formulario es una buena idea caso por caso.

Por ejemplo, no tendría mucho sentido usar estas restricciones en un formulario de clientes potenciales. Pero sería bastante relevante en un formulario de reseñas de clientes.

5. Refuerza las Funciones de Seguridad del Formulario

Me he encontrado con situaciones en las que los sitios web continúan viendo altas tasas de spam a pesar de tener una u otra solución de seguridad o prevención de spam implementada para un formulario web.

A veces, los spambots más avanzados no se pueden abordar fácilmente con una sola técnica de bloqueo de spam: necesitas superponerla utilizando múltiples tácticas al mismo tiempo.

Aquí tienes un ejemplo de cómo usar una combinación de funciones de protección para mejorar la seguridad de tus formularios:

  • Activar CAPTCHA: Tu primera línea de defensa debe ser alguna forma de CAPTCHA o un servicio como Akismet para detener la mayor parte del spam que ataca tu sitio.
  • Establecer un tiempo mínimo de envío: Los spambots están programados para ser súper rápidos. Este hecho se puede usar en su contra para evitar envíos de formularios que ocurran antes de que haya pasado un tiempo mínimo. La configuración de tiempo mínimo para enviar en WPForms puede añadir otra capa importante de seguridad adicional para tus formularios.
  • Habilitar verificación por correo electrónico para el registro: Cuando tenga sentido, utiliza la verificación por correo electrónico para evitar que se registren usuarios con correos electrónicos falsos.
  • Usar un filtro de países: Para negocios locales, siempre es más seguro bloquear a los visitantes que provienen de países a los que no prestas servicio.
  • Mantener una lista negra de correos electrónicos: Si ves infractores reincidentes en tu sitio, puedes crear una lista negra de correos electrónicos para evitar que se acepten envíos con direcciones de correo electrónico específicas.

Con una estrategia multifacética, tienes muchas más posibilidades de prevenir el spam y mejorar la seguridad de tus formularios.

Preguntas frecuentes sobre formularios seguros de WordPress

Aquí tienes respuestas a las preguntas más comunes sobre la creación y el mantenimiento de formularios seguros en WordPress.

¿Cómo creo formularios en línea seguros para mi sitio web?

Utiliza un plugin de formularios de confianza como WPForms que incluya funciones de seguridad integradas como protección CAPTCHA, filtrado de spam honeypot y envío de datos cifrados.

Habilita SSL en tu sitio web (el icono del candado en los navegadores), que cifra todos los datos transmitidos a través de tus formularios. Configura también protecciones específicas para formularios como límites de entradas por IP y filtrado de palabras clave para bloquear envíos maliciosos.

¿Qué hace que un formulario de WordPress sea seguro?

Un formulario seguro de WordPress debe tener múltiples capas de protección como cifrado SSL para los datos en tránsito, CAPTCHA para prevenir bots, filtrado de spam para bloquear envíos maliciosos, validación de datos adecuada para prevenir ataques de inyección de código y almacenamiento seguro de las entradas del formulario en la base de datos de WordPress. Además, el propio plugin del formulario debe recibir actualizaciones de seguridad periódicas de sus desarrolladores.

¿Cómo puedo proteger mis formularios de WordPress contra spam y ataques?

Habilita varios métodos de protección contra spam simultáneamente. Utiliza reCAPTCHA o hCaptcha para la protección contra bots, habilita el método honeypot para capturar bots de spam automatizados, establece límites de entradas por dirección IP para prevenir ataques de inundación, añade filtrado de palabras clave para bloquear envíos que contengan frases de spam y requiere CAPTCHA solo después de un cierto número de envíos fallidos para equilibrar la seguridad con la experiencia del usuario.

¿Son seguros los envíos de formularios en línea?

Los envíos de formularios en línea solo son seguros si tu sitio web utiliza HTTPS (certificado SSL) y tu plugin de formularios sigue las mejores prácticas de seguridad. HTTPS cifra los datos mientras viajan desde el navegador del usuario a tu servidor, evitando la interceptación.

Sin embargo, también debe asegurarse de que el plugin de formularios almacene los datos de forma segura, incluya protección CAPTCHA y reciba actualizaciones de seguridad periódicas.

¿Cuál es el creador de formularios más seguro para WordPress?

WPForms es uno de los creadores de formularios más seguros porque incluye funciones de seguridad de nivel empresarial en todos los planes, como opciones múltiples de CAPTCHA (reCAPTCHA, hCaptcha, Turnstile), protección contra spam honeypot, envío de datos cifrado cuando se usa con HTTPS, auditorías y actualizaciones de seguridad periódicas, procesamiento de pagos compatible con PCI y protección integrada contra ataques de inyección SQL y XSS.

¿Cómo protejo los datos del formulario después de enviarlos?

Después del envío, la seguridad de los datos del formulario depende de los permisos adecuados de la base de datos, las actualizaciones periódicas de WordPress y del plugin, el almacenamiento seguro de copias de seguridad (preferiblemente cifrado y externo), el acceso limitado de los usuarios a las entradas del formulario (solo otorgue acceso a los miembros del equipo que lo necesiten) y la eliminación automática de las entradas antiguas que ya no necesite. WPForms le permite exportar y eliminar entradas para minimizar los riesgos de retención de datos.

¿Necesito HTTPS para tener formularios seguros en WordPress?

Sí, HTTPS (certificado SSL) es obligatorio para formularios seguros. Sin él, los datos enviados a través de sus formularios se envían como texto plano que puede ser interceptado. La mayoría de los navegadores ahora advierten a los usuarios cuando intentan enviar un formulario en un sitio que no es HTTPS, lo que destruye la confianza y reduce los envíos de formularios. Los certificados SSL suelen ser gratuitos a través de los proveedores de alojamiento o servicios como Let’s Encrypt.

¿Cómo puedo hacer que mis formularios web sean más seguros?

Más allá del SSL y CAPTCHA básicos, implemente estas protecciones avanzadas: habilite fechas de caducidad para formularios sensibles al tiempo, use lógica condicional para ocultar campos sensibles hasta que sean necesarios, limite los tipos y tamaños de carga de archivos para evitar cargas de archivos maliciosos, habilite la doble confirmación para envíos de correo electrónico para verificar la legitimidad, agregue preguntas CAPTCHA personalizadas específicas de su negocio y audite periódicamente las entradas del formulario en busca de patrones sospechosos.

A continuación, pruebe algunas alternativas a reCAPTCHA

Google reCAPTCHA es el servicio CAPTCHA más popular para formularios de contacto. Pero existen algunas alternativas excelentes que también ofrecen una mejor privacidad para el usuario. Nuestra guía sobre alternativas a reCAPTCHA analiza otras opciones que puede utilizar para mantener sus formularios seguros.

Además, si está buscando una forma segura de enviar los correos electrónicos de notificación de su formulario de WordPress usando Gmail, consulte esta guía para usar Gmail SMTP con WP Mail SMTP.

Crea Formularios Seguros de WordPress Ahora 🔒

Entonces, ¿a qué esperas? Empieza hoy mismo con el plugin de formularios de WordPress más potente.

Y no olvides que, si te gusta este artículo, síguenos en Facebook y Twitter.

Divulgación: Nuestro contenido es compatible con el lector. Esto significa que si haces clic en algunos de nuestros enlaces, podemos ganar una comisión. Descubre cómo se financia WPForms, por qué es importante y cómo puedes apoyarnos.

Osama Tahir

Osama es Redactor Senior en WPForms. Se especializa en desarmar plugins de WordPress para probarlos y compartir sus ideas con el mundo. Aprende Más

El mejor plugin constructor de formularios de arrastrar y soltar para WordPress

Fácil, rápido y seguro. Únete a más de 6 millones de propietarios de sitios web que confían en WPForms.

¡Lo más popular en WPForms ahora mismo!

Funciones ocultas de WPForms que no conocías

Funciones ocultas de WPForms que no sabías que existían

Descubre el poder oculto de WPForms con estas funciones menos conocidas que pueden transformar tu experiencia de creación de formularios. Desde potenciadores de productividad hasta herramientas de gestión de datos, descubre los secretos para crear formularios más eficientes y fáciles de usar.

Tanto si eres un usuario experimentado de WPForms como si estás empezando, estas joyas ocultas te ayudarán a crear formularios que no solo tengan un buen aspecto, sino que funcionen de forma más inteligente. Desbloquea todo el potencial de WPForms y optimiza tu proceso de gestión de formularios con estos consejos y trucos de expertos.

8 comentarios sobre “Cómo crear un formulario seguro en WordPress (5 formas sencillas)

  1. ¿Los datos enviados a través de WPForms están cifrados o son seguros de alguna otra manera mientras están en tránsito?

    Al recopilar información personal, queremos asegurar a nuestros usuarios que cuando envían sus datos, lo hacen de manera segura. Me doy cuenta de que almacenar los datos es diferente, por eso formulé la pregunta de una manera particular.

    Responder

  2. Hola, ¿hay alguna forma de crear formularios seguros pero anónimos en WordPress? He notado que muchos tienen 'Direcciones de correo electrónico' como un campo obligatorio que no se puede borrar. Gracias.

    Responder

    1. Hola Ruby. No tenemos una función incorporada para crear formularios anónimos. Sin embargo, puedes lograr esto absolutamente con usuarios conectados, y luego agregar este código personalizado te ayudará a lograr lo que mencionaste.

      ¡Espero que esto ayude! 🙂

      Responder

    1. ¡Hola richie!

      Nuestro plugin en sí no proporciona ninguna función de cifrado de datos. Si los datos son "seguros" desde el punto de vista de tu usuario a medida que llegan al servidor de tu sitio es un asunto un poco complicado, pero en general, si tu sitio tiene un certificado SSL activo, se puede considerar seguro. Hay un gran número de factores involucrados cuando se trata de la seguridad del sitio. Estos artículos podrían ayudarte a empezar con esa pregunta:
      1 – https://wpforms.com/docs/a-complete-guide-to-wpforms-security/
      2 – https://www.wpbeginner.com/wordpress-security/

      Espero que esto ayude a aclarar 🙂 Si tienes alguna otra pregunta al respecto, por favor contáctanos.

      ¡Gracias!

      Responder

    1. Hola Simo. WPForms debería encargarse de la mayor parte de la seguridad de las cargas de archivos por ti; no permitimos la carga de ningún archivo no aprobado o no autorizado. Así que, siempre que estés utilizando un hosting web de confianza, no debería haber ningún problema.

      Si no estás seguro de los métodos que utiliza tu proveedor de hosting para asegurar sus servidores, te sugiero que consultes con su servicio de atención al cliente para discutir qué medidas de seguridad están implementadas, cómo protegen tu sitio y cuáles son las medidas que toman en el improbable caso de que tu sitio web se vea comprometido. ¡Siempre es mejor saberlo!

      Además, añadimos un hash único al final del archivo (por ejemplo: mi-logo-570543445db74.png) para que un usuario malintencionado no pueda abrir fácilmente un montón de archivos que se han subido a su sitio.

      Responder

Añadir un comentario

Nos complace que haya decidido dejar un comentario. Tenga en cuenta que todos los comentarios se moderan de acuerdo con nuestra política de privacidad, y todos los enlaces son nofollow. NO utilice palabras clave en el campo del nombre. Tengamos una conversación personal y significativa.

Este formulario está protegido por Cloudflare Turnstile y se aplican la Política de Privacidad y los Términos de Servicio de Cloudflare.