Cómo agregar reCAPTCHA en tu sitio WordPress para evitar mensajes de bots

by EON Techin Security, WordPresson Posted on

Cómo agregar reCAPTCHA en tu sitio WordPress para evitar mensajes de bots

Los formularios de contacto son esenciales para comunicarte con tus visitantes, pero también son el punto más vulnerable de tu sitio. Los bots automatizados pueden enviar cientos de mensajes falsos cada día, saturando tu bandeja de entrada y consumiendo recursos del servidor. La solución más efectiva y profesional es implementar Google reCAPTCHA, una herramienta gratuita que distingue entre humanos y scripts automatizados.

1. ¿Qué es Google reCAPTCHA?

Google reCAPTCHA es un servicio que analiza el comportamiento del usuario para determinar si es una persona real o un bot. Se integra fácilmente en formularios de contacto, comentarios, registro o inicio de sesión, y evita el envío automático de datos no deseados.

Su funcionamiento combina inteligencia artificial y análisis de patrones de interacción (movimiento del ratón, clics, tiempo de respuesta, etc.). Cuando detecta actividad sospechosa, solicita una verificación adicional, como marcar la casilla “No soy un robot” o resolver un pequeño desafío visual.

2. Tipos de reCAPTCHA disponibles

  • reCAPTCHA v2 (casilla “No soy un robot”): muestra una casilla visible que el usuario debe marcar. Es la más popular y fácil de implementar.
  • reCAPTCHA v2 Invisible: no muestra casilla; se activa automáticamente cuando el usuario envía el formulario.
  • reCAPTCHA v3: analiza el comportamiento del usuario en segundo plano y asigna una puntuación de riesgo sin mostrar nada visual.

Para sitios nuevos o formularios de contacto simples, se recomienda reCAPTCHA v2, ya que es clara, confiable y los usuarios la reconocen fácilmente.

3. Crear tus claves en Google reCAPTCHA

  1. Accede a https://www.google.com/recaptcha/admin.
  2. Inicia sesión con tu cuenta de Google.
  3. Haz clic en “+ Crear” para registrar tu sitio.
  4. Completa los campos:
    • Etiqueta: reCAPTCHA midominioexample.com
    • Tipo: selecciona reCAPTCHA v2 → “I’m not a robot” Checkbox.
    • Dominios: agrega midominioexample.com.
  5. Acepta los términos y haz clic en Enviar.

Google te mostrará dos claves:

  • Site key (Clave del sitio)
  • Secret key (Clave secreta)

Guárdalas en un lugar seguro; las necesitarás para conectar WordPress con reCAPTCHA.

4. Instalar el plugin adecuado en WordPress

WordPress no incluye reCAPTCHA por defecto, así que debes usar un plugin compatible. Los más recomendados son:

  • Contact Form 7 — gratuito, simple y ampliamente usado.
  • WPForms — versión gratuita y profesional, con interfaz visual.
  • Gravity Forms — opción avanzada para sitios corporativos.

En este ejemplo usaremos Contact Form 7, ideal para sitios como midominioexample.com.

5. Conectar reCAPTCHA con Contact Form 7

5.1. Instalar el plugin

  1. En el panel de WordPress, ve a Plugins → Añadir nuevo.
  2. Busca “Contact Form 7”.
  3. Haz clic en Instalar y luego en Activar.

5.2. Configurar las claves

  1. Ve a Contacto → Integración.
  2. En la sección reCAPTCHA, haz clic en Configurar claves.
  3. Pega tus claves:
    • Clave del sitio: la Site key de Google.
    • Clave secreta: la Secret key.
  4. Guarda los cambios.

5.3. Insertar reCAPTCHA en tu formulario

  1. Ve a Contacto → Formularios.
  2. Edita tu formulario principal.
  3. Haz clic en el botón reCAPTCHA para insertar el shortcode:
[recaptcha]
  1. Colócalo justo antes del botón de envío.
  2. Guarda los cambios y revisa tu página de contacto.

En https://midominioexample.com/contacto deberías ver la casilla “No soy un robot”.

6. Probar la integración

Para verificar que todo funciona correctamente:

  1. Abre tu formulario y envía un mensaje de prueba.
  2. Marca la casilla de reCAPTCHA.
  3. Confirma que el mensaje se envía y llega a tu correo.
  4. Intenta enviar el formulario sin marcar la casilla: debería bloquearse.

Si el formulario se envía sin verificación, revisa tus claves o el tipo de reCAPTCHA seleccionado.

7. Integrar reCAPTCHA en otros formularios

Además del formulario de contacto, puedes proteger:

  • Formularios de registro de usuarios.
  • Formularios de comentarios.
  • Formularios de login personalizados.

Algunos temas y plugins (como WooCommerce) permiten añadir reCAPTCHA directamente desde sus ajustes.

8. Buenas prácticas adicionales

  • Usa HTTPS: reCAPTCHA requiere conexión segura para funcionar correctamente.
  • Evita duplicar claves: usa una sola clave por dominio.
  • Actualiza tus plugins: las versiones antiguas pueden causar errores de validación.
  • Combina con honeypot: añade un campo oculto para atrapar bots más simples.
  • Monitorea tu tráfico: revisa en Google Analytics si disminuye el spam.

9. Solución de problemas comunes

  • Error “Invalid site key” o “Invalid domain for site key”:
    Esto ocurre cuando el dominio configurado en Google reCAPTCHA no coincide exactamente con tu sitio.
    Verifica que en la consola de Google esté registrado:
    midominioexample.com
    Sin https://, sin www y sin barras finales.
  • El reCAPTCHA no aparece en el formulario:
    Asegúrate de que el shortcode [recaptcha] esté dentro del formulario de Contact Form 7.
    Comprueba también que no haya plugins de caché bloqueando el script.
    Si usas Cloudflare, activa el modo “Compatibilidad con scripts”.
  • El formulario se envía sin validar reCAPTCHA:
    Esto suele deberse a un conflicto con otro plugin o a una versión antigua de Contact Form 7.
    Actualiza el plugin y revisa que no tengas otro plugin insertando reCAPTCHA automáticamente.
  • El reCAPTCHA carga muy lento:
    Puedes activar “Lazy Load” en tu plugin de optimización para cargar el script solo cuando el formulario sea visible.
    También puedes excluir www.google.com/recaptcha/ de la minificación para evitar errores.
  • Conflictos con plugins de seguridad:
    Plugins como Wordfence o iThemes Security pueden bloquear solicitudes de reCAPTCHA.
    Añade a la lista blanca las URLs:
    https://www.google.com/recaptcha/
    https://www.gstatic.com/recaptcha/
  • El reCAPTCHA aparece dos veces:
    Esto ocurre cuando el tema o un plugin añade reCAPTCHA automáticamente.
    Desactiva la opción “Enable reCAPTCHA” en el plugin duplicado o en el tema.
  • El usuario recibe error “reCAPTCHA verification failed”:
    Puede deberse a:
    • Claves incorrectas
    • Conexión lenta del usuario
    • Bloqueo por firewall
    Solución: Regenera las claves en Google y vuelve a pegarlas en WordPress.
  • Problemas con reCAPTCHA v3 (puntuación baja):
    Si Google asigna puntuaciones bajas a usuarios legítimos, cambia a reCAPTCHA v2.
    v3 es más sensible y puede bloquear usuarios reales en sitios pequeños.

10. Conclusión

Implementar Google reCAPTCHA en WordPress es una de las formas más efectivas de proteger tus formularios contra bots y spam automatizado. Con solo registrar tu dominio en Google, obtener tus claves y configurarlas en tu plugin de formularios, tu sitio midominioexample.com queda protegido de manera profesional.

Además, combinar reCAPTCHA con buenas prácticas como honeypots, HTTPS, plugins actualizados y monitoreo del tráfico te permitirá mantener tu sitio seguro, rápido y libre de mensajes basura.

Si estás construyendo un sitio moderno, profesional y preparado para crecer, reCAPTCHA es un componente esencial que no puede faltar.