No hay duda de que la seguridad de WordPress es importante. Después de todo, una brecha puede resultar en un serio daño a su sitio. Sin embargo, con los hackers que utilizan bots para asaltar sitios web de forma rápida y eficaz, puede parecer que las probabilidades están en su contra.
Afortunadamente, hay una herramienta muy simple que puede usar para mantener a los bots y a los spammers fuera de su sitio de WordPress. La incorporación de una prueba de Turing completamente automatizada para distinguir los ordenadores de los humanos (CAPTCHA) es una forma sencilla y de bajo esfuerzo para aumentar la seguridad de su sitio web.
Esta guía le introducirá a los CAPTCHAs y cómo pueden jugar un papel en la protección de su sitio contra los hackers y el spam. Luego le explicaremos cómo agregarlos en su sitio e introduciremos algunos de los mejores plugins CAPTCHA de WordPress.
Vamos a empezar!
Entendiendo los CAPTCHAs
Es probable que haya visto CAPTCHAs muchas veces en línea. Pueden tomar una variedad de formas, siendo una de las más comunes el texto distorsionado que hay que descifrar. Otros requieren que seleccione imágenes que cumplan ciertas especificaciones de un grupo de fotos de baja resolución:
En todos los casos, el desafío que se presenta es uno que la mayoría de los humanos debería poder completar fácilmente. Sin embargo, incluso los bots avanzados de hoy en día no son capaces de dar sentido a palabras que han sido distorsionadas o fragmentos de imágenes. Cuando no pueden completar la prueba, se les bloquea el acceso a su sitio (o a cualquier otra cosa que el CAPTCHA esté protegiendo).
Esto es importante porque los bots se utilizan en múltiples situaciones que podrían comprometer la seguridad y la credibilidad de su sitio web. Los ataques de fuerza bruta, una de las estrategias de hacking más comunes, utilizan bots para introducir repetidamente credenciales en su formulario de inicio de sesión hasta que obtienen acceso a su sitio.
Cross-Site Scripting (XSS) es otro tipo de ciberataque en el que los hackers inyectan código malicioso en su sitio a través de un formulario, como su página de inicio de sesión o la sección de comentarios. Esto podría resultar en malware almacenado en su sitio, información robada y otros resultados negativos.
Los bots también pueden ser utilizados para enviar spam a su sección de comentarios con enlaces de baja calidad que perjudican su optimización de motores de búsqueda (SEO) y disuaden a los usuarios legítimos. El spam es molesto, pero lo más importante es que hace que su sitio se vea desprotegido y mal monitoreado.
Cualquier lugar de su sitio en el que los usuarios puedan introducir información, es decir, de cualquier forma, es vulnerable a los ataques de los bots. Requerir un CAPTCHA antes de enviar el formulario evita que personas no humanas accedan a su sitio o le inyecten código malicioso.
¿Qué es Google reCAPTCHA?
Mientras que los CAPTCHAs claramente proveen una variedad de beneficios y protecciones a su sitio, tienen un par de desventajas. Por ejemplo, tienden a impactar negativamente la Experiencia de Usuario (UX). Al ralentizar a los usuarios, estas sencillas pruebas se interponen en el camino de los visitantes para que logren sus objetivos en su sitio de forma rápida y sin problemas.
Además, los usuarios con impedimentos visuales u otros desafíos como la dislexia pueden encontrar difícil completar sus CAPTCHAs. Mantener a los usuarios humanos fuera de su sitio web de forma inadvertida no es beneficioso para usted o para ellos, incluso si desvía a los robots en el proceso.
En 2014, Google publicó su No CAPTCHA reCAPTCHA, un sucesor de las pruebas de palabras e imágenes distorsionadas que había estado utilizando desde 2007. El nuevo sistema simplemente requiere que los usuarios seleccionen una casilla de verificación junto a las palabras «No soy un robot» para confirmar su legitimidad:
Esto es mucho más fácil y rápido que los CAPTCHAs más tradicionales y accesible a un rango más amplio de usuarios. Además, Google ha seguido mejorando esta tecnología. En 2018, también publicó lo que se ha denominado un «invisible CAPTCHA«, que puede detectar bots sin requerir ninguna acción deliberada por parte de los usuarios.
Cuando agregue un CAPTCHA a su sitio de WordPress, tendrá la oportunidad de elegir qué tipo de prueba usar. Sin embargo, tenga en cuenta que la implementación de Google reCAPTCHA v2 o v3 debería ayudar a que su sitio sea más agradable y accesible para los usuarios.
¿Cómo agregar un CAPTCHA a su sitio de WordPress? (en 3 pasos)
Cuando se trata de la seguridad de WordPress, agregar un CAPTCHA es una de las formas más simples de hacer más difícil que los bots se infiltren en su sitio. Afortunadamente, incorporar uno es también fácil. Puede configurar el suyo en sólo tres simples pasos.
Paso 1: Instalar y activar un plugin CAPTCHA de WordPress
La manera más simple de agregar un CAPTCHA a su sitio de WordPress es con un plugin. Hay muchas opciones de alta calidad en el directorio de plugins de WordPress, por lo que no debería tener que quebrar la banca para dar a su sitio un impulso de seguridad.
Sin embargo, antes de elegir su plugin, hay un par de características clave a considerar.
Primero, usted quiere tener en cuenta el tipo de CAPTCHA que su plugin proporciona. Como ya hemos comentado, Google reCAPTCHA es mucho más fácil de usar que exigir a los visitantes que hagan clic en las imágenes o que decodifiquen el texto deformado.
Adicionalmente, usted querrá asegurarse de que su plugin pueda agregar CAPTCHAs a varias áreas de su sitio, no sólo a su página de ingreso. Exploraremos esta idea con más detalle en el Paso 3. Por ahora, tenga en cuenta que en cualquier lugar donde tenga un formulario en su sitio, probablemente querrá disuadir a los bots con un CAPTCHA.
Veamos tres plugins que cumplen los criterios anteriores. Google Captcha (reCAPTCHA) de BestWebSoft es la opción más popular, con más de 200.000 instalaciones activas:
Como su nombre indica, este plugin incorpora un Google reCAPTCHA v2 o v3 en sus páginas de acceso y de registro, en los formularios de restablecimiento de contraseña y de contacto, e incluso en los comentarios y en las presentaciones de testimonios de su sitio. Esto ayuda a prevenir el spam, además de aumentar la seguridad.
El noCaptcha Avanzado y el Captcha Invisible también está muy bien valorado, e incluye muchas de las mismas características:
Este plugin también ofrece compatibilidad con múltiples sitios y se integra con herramientas de membresía populares como bbPress y BuddyPress. Además, puede agregar varias CAPTCHAs a una sola página si es necesario.
Finalmente, puede que también quiera considerar la opción de no entrar en el CAPTCHA reCAPTCHA:
Este plugin incluye el sencillo Google reCAPTCHA y se puede utilizar en los formularios de acceso, registro y contraseña olvidada. Sin embargo, no se integra con su sección de comentarios o formularios de contacto, lo que lo hace un poco más limitado que los otros dos plugins que hemos visto.
Paso 2: Cree su Google reCAPTCHA y agréguelo a su sitio
Una vez que haya instalado y activado el plugin, deberá crear su Google reCAPTCHA (suponiendo que haya seleccionado un plugin que utilice uno). Diríjase a la consola de administración de Google reCAPTCHA y rellene el formulario de registro:
Tenga en cuenta que podrá elegir entre un reCAPTCHA v2 o v3 y podrá utilizar la casilla de verificación o una prueba invisible. Este último proporcionará el mejor UX, ya que no requiere ninguna acción por parte del usuario. Sin embargo, la casilla de verificación v2 tiende a ser más fiable.
Una vez que haya rellenado todos los campos, haga clic en el botón Enviar. En la siguiente pantalla, se le dará una Clave del Sitio y una Clave Secreta:
Necesitará introducir ambos en la configuración de su plugin CAPTCHA en su sitio de WordPress. Este proceso puede variar ligeramente, dependiendo del plugin que haya elegido. Sin embargo, debería poder encontrar fácilmente los ajustes en la barra lateral de su tablero y pegar las teclas en los campos correspondientes:
No se olvide de guardar sus cambios. También puede marcar la página de la consola de administración de Google reCAPTCHA y consultarla con regularidad. Después de que una cantidad suficiente de tráfico en vivo haya visitado su sitio, podrá ver valiosos análisis relacionados con las solicitudes de envío de formularios.
Paso 3: Configure sus parámetros para proteger las áreas clave
Como mencionamos anteriormente, hay varias áreas ideales para incorporar su CAPTCHA con el fin de proporcionar la mayor protección para su sitio. Una vez que haya instalado el plugin de su elección, puede configurar sus ajustes para asegurarse de que todas las páginas importantes estén incluidas.
Tanto Google CAPTCHA como Advanced No Captcha incluyen una lista de casillas de verificación en su configuración general. Allí, puede seleccionar dónde desea utilizar sus reCAPTCHAs:
Idealmente, esto incluirá cualquier formulario que tenga en su sitio, incluyendo áreas vulnerables como su:
- Página de inicio de sesión del administrador de WordPress
- Página de inicio de sesión de WooCommerce
- Formulario de registro de usuario
- Formulario de recuperación de contraseña
- Formulario de contacto
Su sitio puede incluir otros formularios únicos, como envíos de contenido generado por el usuario, encuestas o registros de correo electrónico. En estos casos, es posible que desee utilizar el noCaptcha avanzado y el Captcha invisible, ya que este plugin proporciona ganchos de acción para incorporar un Google reCAPTCHA en cualquier forma.
Alternativamente, podría invertir en Google Captcha (reCAPTCHA) Pro en su lugar. Proporciona integraciones adicionales con plugins populares como Jetpack, MailChimp para WordPress, y varios constructores de formularios.
Agregar un CAPTCHA a su página de inicio de sesión
Su página de inicio de sesión es un objetivo principal para los ataques de fuerza bruta y Cross-Site Scripting (XSS).
Para añadir un CAPTCHA con el plugin de Google Captcha, navegue a Google Captcha > Configuración > General > Habilitar reCAPTCHA en WordPress, y seleccione Formulario de inicio de sesión en WordPress Predeterminado:
Su página de inicio de sesión ahora debe ser protegida.
Incorporación de un CAPTCHA en su página de restablecimiento de contraseña
Cuando sus intentos de acceder a su sitio web fallan, los hackers pueden ser dirigidos a una página donde los usuarios pueden restablecer sus contraseñas. Para añadir un CAPTCHA para proteger esta página, ve a Google Captcha > Configuración > General > Habilitar reCAPTCHA para en el panel de control de WordPress:
A continuación, seleccione Restablecer formulario de contraseña en la lista de WordPress Predeterminado.
Protegiendo su página de acceso a WooCommerce con un CAPTCHA
Su página de inicio de sesión de WooCommerce es tan susceptible a los ataques maliciosos como su página principal de WordPress. Para protegerlo con Google Captcha, necesitará la versión premium del plugin (abajo en amarillo). Cuando esté listo, diríjase a Google Captcha > Configuración > General > Habilitar reCAPTCHA en su panel de control de WordPress:
Aquí, podrá seleccionar el formulario de Login de WooCommerce de la lista de Plugins Externos.
Colocación de un CAPTCHA en su formulario de contacto
Su formulario de contacto puede ser protegido con un CAPTCHA de la misma manera que los otros que hemos discutido en este artículo. Sin embargo, hay varios plugins diferentes de formularios de contacto que se integran con el CAPTCHA de Google, incluyendo:
Necesitará tener una de las herramientas anteriores activas en su sitio para añadir un CAPTCHA a su formulario de contacto. Luego vaya a Google Captcha > Configuración > General > Habilitar reCAPTCHA y haga clic en la casilla de verificación de su plugin preferido:
Eso completará el proceso. Si tiene otro plugin de formulario de contacto en uso en su sitio de WordPress, podría considerar usar un plugin CAPTCHA diferente que se integre con él. También hay algunos plugins constructores de formularios que incorporan CAPTCHAs por sí mismos, como WPForms.
Resumen
Mantener a los bots maliciosos fuera de su sitio es vital si desea proteger su contenido, sus usuarios y la reputación de su marca. Una de las maneras más fáciles de ralentizarlos es añadiendo un CAPTCHA a los formularios de su sitio de WordPress.
Agregar CAPTCHA a su sitio de WordPress requiere sólo tres pasos:
- Instale y active un plugin CAPTCHA de WordPress.
- Cree su Google reCAPTCHA añádelo a su sitio.
- Configure sus ajustes para proteger las áreas clave.
¿Tiene alguna pregunta sobre los CAPTCHAs o cómo usarlos en WordPress? Háganoslo saber en la sección de comentarios!
Editor en jefe de Kinsta y consultor de marketing de contenidos para desarrolladores de plugins de WordPress. Conéctese con Matteo en Twitter.
Deja una respuesta