Cómo proteger los formularios de WordPress contra el spam

Los formularios son la puerta de entrada de tu sitio. Por ahí llegan consultas, suscripciones, cotizaciones y reservas. Y por ahí también llegan los bots. Si tienes un sitio WordPress con un formulario de contacto público, en algún momento vas a recibir mensajes raros: ofertas de SEO en cirílico, casinos en línea, productos de farmacia, enlaces sospechosos y miles de envíos automáticos. El spam en formularios no es solo molesto, también te hace perder leads reales porque los buenos mensajes quedan enterrados entre la basura.

La buena noticia es que con dos o tres capas de protección bien configuradas reduces el spam más del 95 por ciento. En esta guía vamos a revisar todas las técnicas que funcionan en 2026: honeypot, reCAPTCHA v3, hCaptcha, Cloudflare Turnstile, Akismet y validación del lado del servidor. Vas a aprender cuál usar según el tipo de formulario, cómo combinarlas y qué errores evitar para no espantar a los usuarios legítimos.

Por qué tu formulario recibe spam

El spam en formularios viene de bots automatizados que recorren la web buscando campos visibles. Cuando encuentran un formulario, llenan los campos con texto plantilla y lo envían. La motivación detrás puede ser variada: posicionamiento en buscadores mediante enlaces tóxicos, pruebas de email para campañas de phishing, simple ruido para saturar sistemas o intentos de inyección de código malicioso.

Hay dos tipos principales de spam que vas a encontrar. El primero es el spam masivo de bajo nivel, hecho por scripts que ni siquiera renderizan JavaScript. Estos son fáciles de bloquear. El segundo es spam más sofisticado, hecho por servicios que sí ejecutan navegadores reales y a veces hasta usan humanos en granjas de captcha. Este segundo tipo requiere combinaciones de defensas.

Una señal clara de que estás bajo ataque es ver picos repentinos de envíos sin causa aparente. Si pasas de recibir tres mensajes al día a recibir doscientos, casi seguro es spam. Otro indicador es ver el mismo texto repetido con pequeñas variaciones, o enviar al mismo correo con muchos remitentes distintos.

Honeypot: la primera línea sin fricción

El honeypot es la técnica más simple y, al mismo tiempo, una de las más efectivas para bots básicos. La idea es agregar un campo invisible al formulario que solo los bots ven y llenan. Como el usuario humano nunca lo ve, queda en blanco. Si el campo viene lleno, sabes que es un bot y rechazas el envío sin mostrar ningún mensaje.

El campo se oculta con CSS, no con el atributo HTML hidden. Si lo ocultas con hidden, algunos bots inteligentes saben ignorarlo. La técnica correcta es ponerlo dentro de un contenedor con display none o position absolute con left negativo. También conviene darle un nombre que parezca real, como email_confirm o phone_secondary, para que el bot piense que es un campo legítimo.

Las ventajas del honeypot son tres. No molesta al usuario porque es invisible. No depende de servicios externos. Y no impacta la velocidad de carga. La desventaja es que solo frena a bots básicos. Bots modernos con detección de campos ocultos pueden saltarlo.

Casi todos los plugins de formularios (Contact Form 7, WPForms, Gravity Forms, Fluent Forms, Forminator) incluyen honeypot nativo o tienen extensiones gratuitas para activarlo. Es la primera capa que debes activar, siempre.

reCAPTCHA v3: invisible y basado en puntaje

reCAPTCHA v3 es la evolución de Google sobre los captchas tradicionales. En lugar de mostrar imágenes o casillas para marcar, analiza el comportamiento del usuario en segundo plano y devuelve un puntaje entre 0.0 (probable bot) y 1.0 (probable humano). Tu sitio decide qué hacer con ese puntaje.

La configuración requiere registrar tu dominio en la consola de Google reCAPTCHA y obtener dos claves: una pública (site key) y una privada (secret key). Después configuras el plugin de formularios para usar v3 y pegas las claves. La mayoría de plugins permiten definir el umbral de puntaje, por ejemplo rechazar todo lo que esté por debajo de 0.5.

La ventaja principal es que no requiere ninguna acción del usuario. No hay imágenes que marcar, no hay casillas. La experiencia es totalmente fluida. La desventaja es la dependencia de Google y los temas de privacidad: reCAPTCHA carga scripts de Google en todas las páginas donde está activo y rastrea comportamiento, lo cual choca con normativas como el RGPD si no informas claramente.

Otro punto a considerar: el umbral por defecto de 0.5 a veces es muy estricto y bloquea usuarios reales con conexiones lentas, VPN o navegadores en modo privado. Para sitios con tráfico mixto conviene bajar el umbral a 0.3 y luego ajustar según los resultados.

hCaptcha: alternativa con foco en privacidad

hCaptcha nació como respuesta directa a reCAPTCHA con un enfoque distinto: privacidad por diseño y monetización para el sitio. Funciona muy parecido al reCAPTCHA clásico (te pide identificar objetos en imágenes) pero recoge muchos menos datos del usuario.

Para WordPress, hCaptcha tiene un plugin oficial gratuito que se integra con casi todos los formularios populares: Contact Form 7, WPForms, Gravity Forms, Elementor Forms, WooCommerce checkout, formulario de login y registro. La configuración es similar a reCAPTCHA: registras el sitio, obtienes claves y las pegas en el plugin.

La principal ventaja de hCaptcha frente a reCAPTCHA es el cumplimiento de privacidad. Si tu sitio tiene tráfico europeo o trabaja con clientes que exigen RGPD, hCaptcha es más fácil de justificar legalmente. Además, hCaptcha tiene un programa donde los sitios reciben pagos por las verificaciones, aunque para sitios pequeños el ingreso es simbólico.

La desventaja es que sigue siendo un captcha visible. El usuario tiene que detenerse, hacer clic y a veces resolver imágenes. La fricción es mayor que con reCAPTCHA v3, lo cual puede impactar la conversión.

Cloudflare Turnstile: el nuevo estándar sin captcha

Cloudflare Turnstile es la opción más reciente y, en muchos casos, la mejor de todas. Funciona como reCAPTCHA v3 (verifica al usuario sin interrupciones) pero sin rastrear comportamiento ni recolectar datos personales. La verificación se hace mediante señales del navegador, del entorno y del comportamiento sin almacenar información identificable.

La configuración es directa. Te registras en Cloudflare (no necesitas usar Cloudflare como CDN, basta una cuenta gratuita), creas un widget Turnstile, copias las claves y las pegas en el plugin de formularios. Hay plugins gratuitos para Contact Form 7, WPForms, Gravity Forms y Fluent Forms con soporte nativo.

Las ventajas de Turnstile son claras. Gratis sin límites razonables. Sin captcha visible, lo cual mantiene la experiencia limpia. Compatible con RGPD por defecto. Funciona bien incluso con bots avanzados porque usa la infraestructura global de Cloudflare. Y no depende de Google.

La única desventaja relativa es que es más nuevo que reCAPTCHA y algunos plugins viejos no tienen integración. Pero los plugins más populares ya lo soportan, y la documentación oficial es muy clara.

Akismet: el filtro inteligente que aprende

Akismet es el servicio de Automattic que filtra spam analizando el contenido del envío, la IP, el comportamiento y patrones globales aprendidos de millones de sitios. Es famoso por bloquear comentarios spam en WordPress, pero también funciona en formularios.

El plugin oficial Akismet Anti-Spam viene preinstalado en WordPress. Para activarlo necesitas una clave API, gratuita para uso personal y de pago para uso comercial. Una vez activado, los plugins de formularios principales se integran de manera automática y empiezan a filtrar mensajes sospechosos.

La gran ventaja de Akismet es que aprende. Lo que un bot envía a tu sitio hoy probablemente ya fue marcado como spam en otros sitios ayer. Esa base de conocimiento global hace que Akismet sea muy efectivo incluso sin configuración adicional.

La desventaja: Akismet ve el contenido completo del envío, lo cual implica enviar información a servidores externos. Para formularios con datos sensibles (información médica, financiera, legal) hay que evaluar si el envío de esos datos cumple con tus políticas de privacidad y normativas locales.

Validación del lado del servidor: la capa que no se puede saltar

Todas las técnicas anteriores actúan en el frontend. Un bot que ignore JavaScript o que envíe peticiones directamente al endpoint del formulario las saltea. Por eso necesitas también validación del lado del servidor, que actúa en PHP cuando el envío llega al servidor.

Las validaciones de servidor más útiles incluyen verificar que los campos obligatorios tengan contenido, validar el formato del correo electrónico, comprobar que los textos no contengan patrones típicos de spam (muchas URLs, palabras clave de pharma o casino, caracteres no latinos cuando no se esperan), limitar la cantidad de envíos por IP en un período corto, y bloquear envíos desde países que no son tu mercado.

Plugins como WPForms, Gravity Forms y Fluent Forms permiten configurar reglas anti-spam personalizadas desde su interfaz. Puedes definir palabras prohibidas, límites de URLs en mensajes, restricciones por país y umbrales de envío por IP. Estas reglas son simples de aplicar y atrapan al spam que pasa las otras capas.

Estrategia por capas: cómo combinar las defensas

Ninguna técnica sola es suficiente. La defensa real viene de combinar varias capas. Cuanto más críticas sean las consultas que recibes, más capas necesitas.

Sitio pequeño con un formulario de contacto simple: honeypot más Cloudflare Turnstile. Sin fricción para el usuario y bloqueo del 95 por ciento del spam. Si todavía pasa algo, agregas validación de servidor con palabras prohibidas.

Tienda WooCommerce con checkout y registro de cuentas: honeypot en checkout, Turnstile en registro y recuperación de contraseña, Akismet en comentarios de productos, y límite de intentos de login con plugin de seguridad como Wordfence.

Sitio con formularios de alto valor (cotizaciones, demos, leads B2B): Turnstile o reCAPTCHA v3, validación de servidor estricta, restricción de países si tu mercado es local, y Akismet de respaldo. También conviene confirmar el correo del solicitante con doble opt-in antes de tratarlo como lead.

Foro o comunidad con registro abierto: Turnstile, Akismet, sistema de moderación de primeros posts, y bloqueo automático de cuentas que no completen perfil en X horas.

Configurar Contact Form 7 contra spam paso a paso

Contact Form 7 es el plugin de formularios más usado del mundo, en parte porque es gratuito. Por defecto trae poca protección, pero se puede blindar.

Primero, activa el honeypot. Instala el plugin Honeypot for Contact Form 7 (gratis). Agrega el shortcode [honeypot honeypot-name] al formulario. Listo, ya tienes la primera capa.

Segundo, integra Turnstile o reCAPTCHA. Contact Form 7 tiene integración nativa con reCAPTCHA v3 desde su panel de ajustes. Para Turnstile usas el plugin CF7 Turnstile, gratuito. Pegas las claves y agregas el campo al formulario.

Tercero, activa Akismet en CF7. En Ajustes, Akismet, marca la casilla para usarlo en formularios. En el editor del formulario marca los campos de correo y nombre con akismet:author_email y akismet:author para que el servicio analice esos valores.

Cuarto, configura un filtro de palabras. CF7 tiene un campo en Ajustes, Anti-spam, donde puedes listar palabras prohibidas. Agrega términos típicos como casino, viagra, loan, seo services, y verás caer mucho spam.

Configurar WPForms contra spam paso a paso

WPForms tiene una sección Anti-Spam dentro de cada formulario, en la pestaña Settings. Ahí encuentras varias opciones que conviene activar siempre.

El honeypot está incluido y activo por defecto. No tienes que hacer nada. Si por alguna razón aparece desactivado, marca la casilla Enable Anti-Spam Protection.

Para captcha, WPForms soporta reCAPTCHA v2, reCAPTCHA v3, hCaptcha, Cloudflare Turnstile y un captcha matemático propio. Eliges uno desde Settings, CAPTCHA, configuras claves y luego activas el campo en cada formulario.

El filtro de palabras está en Settings, Anti-Spam, Custom Filter Phrases. Listas palabras o frases que indican spam y los envíos que las contengan se rechazan automáticamente.

La restricción por país está disponible en la versión Pro. Si solo recibes consultas de Perú, puedes bloquear envíos desde fuera y eliminas más del 80 por ciento del spam de un golpe.

Errores comunes que te dejan vulnerable

Usar solo captcha visible y nada más. Si un humano contratado para spamear resuelve el captcha, el formulario pasa. Necesitas también honeypot y validación de servidor.

No actualizar las claves de reCAPTCHA. Si registraste el sitio hace años y nunca cambiaste las claves, hay riesgo de que estén filtradas. Revisa cada cierto tiempo.

Activar reCAPTCHA con umbral muy alto. Si pones 0.7 o 0.8, vas a bloquear usuarios legítimos. Empieza con 0.3 o 0.4 y sube si ves que sigue pasando spam.

Olvidar el formulario de comentarios. Mucha gente protege el formulario de contacto y deja los comentarios desprotegidos. Akismet y Turnstile también van ahí.

No proteger el login y registro. Los bots intentan crear cuentas o hacer fuerza bruta sobre wp-login.php. Aplica Turnstile o reCAPTCHA también en esas páginas.

No revisar el log. Plugins como WPForms y Fluent Forms guardan log de envíos bloqueados. Revisarlo te da pistas sobre el tipo de ataque que estás recibiendo y cómo ajustar las defensas.

Cómo medir si tu protección funciona

La métrica más simple es el ratio de envíos legítimos sobre envíos totales. Si de cada cien mensajes que recibes, noventa son spam, tienes un problema. Si de cada cien, cinco son spam, vas bien.

Otra métrica es el tiempo desde que activas una defensa hasta que el spam baja. Si activas Turnstile y al día siguiente el spam cayó al 5 por ciento, perfecto. Si después de una semana sigue igual, revisa la configuración.

También monitorea quejas de usuarios legítimos. Si recibes mensajes diciendo que el formulario no funciona o que el captcha es imposible, tu umbral está muy estricto. Bájalo.

Preguntas frecuentes

¿reCAPTCHA o hCaptcha o Turnstile, cuál elijo?

Para sitios nuevos, Cloudflare Turnstile es la mejor opción en 2026. Es gratis, sin fricción visible, respeta privacidad y funciona bien contra bots modernos. reCAPTCHA v3 también funciona pero te ata a Google. hCaptcha es buena opción si necesitas captcha visible por razones de cumplimiento.

¿El honeypot solo alcanza para frenar el spam?

No del todo. El honeypot frena bots básicos, que son la mayoría. Pero hay bots más sofisticados que detectan campos ocultos. Por eso conviene combinar honeypot con un servicio de verificación tipo Turnstile o reCAPTCHA.

¿Akismet es gratis para sitios comerciales?

No. Akismet tiene un plan gratuito solo para uso personal sin fines comerciales. Para sitios comerciales debes pagar un plan, que parte de unos cinco dólares mensuales para sitios pequeños.

¿reCAPTCHA afecta el SEO o la velocidad del sitio?

Sí, un poco. reCAPTCHA carga scripts de Google en cada página donde está activo, lo cual añade unos cientos de milisegundos al tiempo de carga. Para mitigarlo, configura el plugin para cargar reCAPTCHA solo en las páginas con formulario, no en todo el sitio.

¿Qué pasa si un usuario legítimo no pasa el captcha?

Con captchas visibles tipo hCaptcha o reCAPTCHA v2, el usuario puede reintentar varias veces. Con reCAPTCHA v3 o Turnstile, si el puntaje es bajo se rechaza sin segunda oportunidad. Por eso conviene ajustar el umbral y siempre tener un canal alternativo (correo directo, WhatsApp) por si el formulario falla.

¿Cómo elimino spam que ya entró a mi correo desde el formulario?

En tu cliente de correo, marca los mensajes como spam y bloquea las direcciones recurrentes. Si usas Gmail, las reglas de filtros sirven para enviar a la papelera cualquier mensaje del formulario que contenga ciertas palabras. Pero la solución de raíz está en el formulario, no en el correo.

¿Sirve poner el formulario detrás de un login?

Sirve mucho. Si los usuarios deben registrarse y verificar correo antes de poder enviar un formulario, el spam baja casi a cero. La contra es que pides más al usuario y bajas la conversión. Funciona bien en comunidades, foros y áreas privadas, no en formularios de contacto público.

¿Cloudflare Turnstile funciona si mi sitio no usa Cloudflare como CDN?

Sí. Turnstile es un servicio independiente. Te creas una cuenta gratuita en Cloudflare, configuras el widget Turnstile y obtienes las claves. No necesitas migrar tu DNS ni usar Cloudflare como CDN del sitio.

¿Cuánto spam es normal recibir con todas las defensas activas?

Con honeypot, Turnstile y validación de servidor bien configurados, deberías recibir menos del 2 por ciento del volumen original de spam. Si llegabas a 500 mensajes spam por día, deberías bajar a menos de 10. Si sigues recibiendo cientos, revisa la configuración o agrega otra capa.

¿Conviene activar protección anti-spam también en el formulario de comentarios?

Sí. Los comentarios son uno de los blancos favoritos del spam en WordPress. Activa Akismet (viene con la instalación), y si recibes muchos spam, suma Turnstile o reCAPTCHA en el formulario de comentarios. La mayoría de plugins de captcha cubren ese caso.