Ya has creado tu página web WordPress y tienes creadas las entradas, páginas, productos y un bonito formulario para que los usuarios puedan contactar, esto ya está.
Después de muchas horas/días de trabajo, ves la luz al final del trayecto, crees que el trabajo más duro ya está hecho y así es, pero no te olvides de la seguridad.
Nos queda el paso de evitar ese molesto SPAM que nos invade la cuenta e incluso puede dejarnos con la web caída. Hoy vamos a hablarte de cómo hacerlo con Captcha invisible en Contact Form 7 para WordPress. ¡Atentos!
¿ Que es el SPAM ?
El término Spam se utiliza para hacer referencia a los correos no deseados, publicidad no deseada, suplantación de identidad, etc.. Y tú te preguntarás, ¿qué tiene que ver eso con mi WordPress?
Te lo explico en el siguiente apartado.
El spam en WordPress
El Spam en WordPress llega por diferentes medios, formularios de contacto, comentarios, registro de usuarios o cualquier otro medio por el cual el usuario puede interactuar con nuestra página web.
Los mensajes de Spam que nos pueden colar en los comentarios o contenidos suelen contener una gran cantidad de enlaces o links a páginas poco éticas.
Estas Webs pueden contener contenido malicioso en forma de Malware que puede afectar a los equipos de los usuarios que visitan estas páginas.
Este tipo de Spam nos lo suelen "colar" por medio de bots o máquinas que están continuamente rastreando la web, identificando alguna clase de vulnerabilidad por donde introducirse y añadir su contenido.
El Spam puede ser perjudicial para la credibilidad o reputación de nuestra marca al igual que es perjudicial para el SEO, ya que los motores de búsqueda relacionan los sitios con gran cantidad de enlaces como una ”Granja de enlaces” y son penalizados por permitir este tipo de comportamiento y contenido.
Después de comprobar cómo puede afectar el Spam a nuestra web y reputación vamos a ver cómo podemos evitar que nos lo "cuelen" utilizando reCAPTCHA de Google en nuestro WordPress usando el plugin Contact Form 7¿Qué es el reCAPTCHA?
Según Google ”Un CAPTCHA es una prueba de turing para distinguir humanos y bots“, en otras palabras, un Captcha es una aplicación que puede distinguir si el usuario es un humano o una máquina.
Actualmente existe dos versiones de reCAPTCHA
- ReCaptcha v2 – No soy un robot: esta versión muestra al usuario una casilla de verificación "No soy un robot" siempre que se detecte como no sospechoso; en el caso de detectar alguna anomalía se mostrará el captcha completo donde el usuario tendrá que ser validado para demostrar que no es un bot.
- ReCaptcha v3: esta versión no requiere ninguna intervención por parte del usuario y es el propio captcha el que se encarga, por medio de unas puntuaciones, de identificar si es un usuario o una máquina.
Ahora sí, nos ponemos manos a la obra y vamos a proteger nuestro WordPress ( páginas, entradas, comentarios, registros, formularios... ) para que no nos "cuelen" ese Spam y al mismo tiempo protejamos los equipos de los usuarios que visitan nuestra web.
Añadir reCAPTCHA v3 en Contact Form 7
Desde la versión 7.5.1 de Contact form 7, esta incorpora la API de reCAPTCHA v3, con lo que nos facilita la implementación en los formularios, registros, comentarios… sin la necesidad de añadir más plugins. Esta versión solo es compatible con la 7.5.1 o superiores de Contact Form 7, las versiones inferiores utilizan la API v2 de reCAPTCHA.
Lo primero que tenemos que hacer es registrar nuestro dominio en el servicio de reCAPTCHA de Google y obtener las claves API, para ello nos dirigimos a la página de reCAPTCHA.
Nota: Necesitarás disponer de una cuenta de Google para poder ingresar.
Una vez ingresemos en la consola de reCAPTCHA veremos un formulario muy simple:
- Etiqueta: añadimos un nombre para identificarlo, es una buena opción añadir el nombre del dominio. El motivo de añadir un nombre de etiqueta es porque nos permite tener más de un dominio en la misma consola y añadiendo un nombre podemos identificar a qué instalación pertenece cada clave.
- Tipo de reCAPTCHA: utilizaremos la versión v3 que es compatible con las versiones superiores a la 7.5.1 de Contact Form 7.
- Dominios: aquí le indicamos el dominio en el que utilizaremos el captcha. A parte del dominio podemos añadir un subdominio, por ejemplo, si tenemos una tienda con el mismo dominio tienda.midominio.xxx.
Una vez registrado nuestro dominio, vemos que nos muestra una página con las claves Pública y Privada que nos hacen falta para configurar el reCAPTCHA en nuestro plugin de Contact Form 7:
Sin cerrar la página donde tenemos las claves, siempre podemos consultarlas más tarde accediendo a la consola de Google reCAPTCHA, nos dirigimos a nuestro administrador de WordPress y accedemos a Contacto -> Integración
En el bloque reCATCHA pulsamos en el botón “ Integración de la instalación ” y vemos que nos muestra dos celdas donde tenemos que añadir las claves públicas y privadas que obtuvimos de reCAPTCHA.
Tenemos que ir con cuidado y añadir cada una en su celda correspondientemente, de lo contrario, mostrará un aviso de Key no válida o simplemente no se mostrará.
Y ya lo tendríamos, solo nos quedaría guardar los cambios y acceder a las diferentes secciones de nuestra Web para comprobar que el Captcha se muestre bien.
Si utilizabas versiones anteriores de Contact Form 7 con la versión v2 de Captcha tienes que eliminar la etiqueta [recaptcha] de la plantilla del formulario ya que no hace falta. Si existen Contact Form 7 las interpretará como una cadena vacía y no las tomará en cuenta.
Vídeo tutorial explicativo
¿Aún con dudas? Aquí tienes un Vídeo Tutorial con los pasos que hemos realizado:
Recomendaciones
Mantener nuestra aplicaron segura no supone una gran inversión ni necesitas tener conocimientos avanzados, cualquier usuario puede tomar las medidas necesarias con unos sencillos pasos y las aplicaciones necesarias.
- Utiliza un hosting de calidad que aplique medidas de seguridad en sus servidores. En Webempresa nos tomamos muy enserio la seguridad y aplicamos medidas de protección y monitoreo constante para mantener tu hosting lo más protegido posible.
- Utiliza contraseñas de acceso fuerte y un gestor de contraseñas para almacenar las pass encriptadas
- Protege el acceso con doble autenticación 2FA
- Activa el plugin Akismet Anti-Spam para tener otra capa de seguridad.
- Desactiva el registro de usuarios si no es necesario o cambia la URL por defecto para el registro de WordPress.
- Instala un Certificado de Seguridad SSL para encriptar los dato de la aplicación.
- Utiliza una conexión segura para navegar como una VPN y evita que tus acciones sean rastreadas.
Con nuestra navaja suiza de la seguridad, Ciberprotector, podrás aplicar todas estas acciones y mantener tu seguridad tanto en las aplicaciones online que utilices como en tu navegación por la web.
Conclusiones
La seguridad de nuestro WordPress es una de las partes cruciales de un sitio web. Si no mantenemos nuestra aplicación segura, los hackers pueden atacar fácilmente nuestro sitio. Mantener la seguridad de nuestro sitio web no es difícil aplicando algunas medidas como la que hemos visto en esta entrada y de una manera muy fácil.
“ La conciencia del peligro es ya la mitad de la seguridad y de la salvación “
Ramón J. Sénder
Lecturas recomendadas:
Medidas de seguridad por parte del usuario.
Tutorial seguridad en WordPress Guía completa.