Este artículo no va de Akismet porque ya he hablado aquí ¡y las que te rondaré moren@!, prefiero explicarte como no dar la oportunidad a los bots especializados en insertar comentarios de spam en tus entradas o páginas en WordPress y mantenerlos entretenidos en otra parte para que dejen tu Blog tranquilo un rato.
Aquí te voy a explicar cómo añadir No CAPTCHA reCAPTCHA en comentarios de WordPress para que puedas poner a raya a los bots de spam ¡y cortar por lo sano!
Ya había comentado en otros artículos, el verano pasado, sobre como integrar CAPTCHA sencillo pero eficaz en formularios de comentarios y otros de WordPress. Ahora toca mejorarlo con el sistema de reCAPTCHA nativo de Google.
Aprovechando que Google le dio una vuelta de tornillo al tema de separar humanos de scripts o bots, en este artículo me decanto por No CAPTCHA reCAPTCHA para la caja de comentarios nativa de WordPress, ¡que mola más!
Tabla de contenidos
¿Por qué activar el CAPTCHA en los comentarios de WordPress?
El uso de reCAPTCHA es muy útil para proteger los formularios en WordPress de «correo no deseado» y de inyección de spam mediante ataques de inyección automáticos a tus formularios.
Los formularios en WordPress, como son el de contacto, de comentarios, o registro de usuarios, son vulnerables al “spam”, que usuarios malintencionados, mediante scripts utilizan bots para completar estos formularios y enviar mensajes no deseados o crear cuentas falsas.
Antes del reCAPTCHA se utilizaba el CAPTCHA simple como método de seguridad adicional en los formularios, como el de acceso al dashboard de WordPress, y que muchas veces se limitaba a una prueba de resolución matemática sencilla que aparentemente solo un humano podría resolver. El tiempo y la sofisticación de los scripts ha demostrado que es insuficiente.
Activar reCAPTCHA en los formularios añade una capa extra de seguridad para evitar que dichos formularios sean explotados con el fin de difundir correo basura o peor aún, de obtener acceso a sitios web aprovechando vulnerabilidades o formularios de registro no protegidos.
Por medio del uso de reCAPTCHA se busca diferenciar entre un humano real y un bot automático cuando se intentan rellenar los campos de determinado formulario. Este método de protección funciona mostrando un desafío visual que es fácil de resolver para un humano pero muy difícil para una máquina, y que es conocido como Test de Turing.
De esta forma, si un bot intenta enviar un formulario, no podrá superar el desafío de RECAPTCHA y el envío será bloqueado. En cambio, un humano real podrá resolverlo fácilmente y completar el formulario sin problemas.
Usar reCAPTCHA reduce drásticamente el spam en los formularios, haciendo que la experiencia de uso del sitio web por parte de los usuarios reales sea mejor y además evita que el sitio se inunde de contenido no deseado.
¿Qué sistema de CAPTCHA utilizar?
Han pasado ya muchos años desde que las primeras versiones de CAPTCHA fueron liberadas por parte de Google, de hecho fue en 2010 cuando empezábamos a ver sistemas de reCAPTCHA más potentes y avanzados que el CAPTCHA simple, y eso marcó un hito en el concepto de aplicación del test de Turing para reducir el spam en sitios web.
Sin embargo, no fue hasta diciembre de 2014 que surgió el sistema de No CAPTCHA reCAPTCHA, que permitía en sitios web que utilizan esta nueva API de Google los usuarios pudieran verificar de forma segura y sencilla que son humanos sin tener que resolver un CAPTCHA. En cambio, con un solo clic, confirmaban que no son un robot.
De esta forma se reducían el número de consultas que se realizaban desde cada web a la API de Google cada vez que un usuario o bot se enfrentaba a este tipo de CAPTCHA.
Además, se sometía a nuevos desafíos, basados en imágenes, a los usuarios que no pasaban debidamente el primer test del sistema No CAPTCHA reCAPTCHA.
También, este sistema acabó quedando obsoleto y fue sustituido por otros, hasta llegar a octubre de 2018, fecha en la que se presenta públicamente la API para reCAPTCHA v3, que actualmente es el método más utilizado y recomendado y el que abordo a continuación en este artículo, en sustitución del obsoleto No CAPTCHA reCAPTCHA.
Ya podemos presentar nuestra nueva API, reCAPTCHA v3, que ayuda a detectar el tráfico inadecuado de tu sitio web sin que los usuarios tengan que hacer nada. En vez de pedir un captcha, esta nueva versión simplemente te da una puntuación y permite que elijas qué medida se adapta mejor a tu sitio web.
Fuente: Google – Centro de la búsqueda de Google
Espero que después de este breve repaso, aparte de la historia del CAPTCHA de Google, entiendas el porqué de la misma y así sirva para dar paso al siguiente punto donde te explico cómo integrar reCAPTCHA v3 en tus formularios de WordPress, también de comentarios, aunque no todos los plugins permiten esto.
¿Cómo activar el CAPTCHA en los comentarios de WordPress?
Para activar reCAPTCHA o alguna de sus variantes como NoCAPTCHA reCAPTCHA o incluso reCAPTCHA Invisible en WordPress vas a tener que recurrir a un plugin, ya que implementarlo mediante fragmentos de código es una tarea que requiere modificar archivos y toquetear código, y la verdad, no merece la pena, sobre todo si con un plugin obtienes mejores resultados de integración y en un tiempo mucho menor.
Existen bastantes plugins en WordPress que permiten añadir CAPTCHA, en cualquiera de sus variantes citadas, unos mejores y otros un poco más básicos, por lo que es recomendable que leas bien las prestaciones de cada plugins que se te pase por la cabeza utilizar, de forma que escojas sabiamente.
Para ilustrar este artículo voy a utilizar el plugin Advanced Google reCAPTCHA que es relativamente sencillo de implementar en un sitio WordPress y cumple bastante bien su función.
Este plugin te permite activar reCAPTCHA v3 en los siguientes formularios de WordPress:
- Formulario de acceso
- Formulario de registro
- Formulario de restablecimiento de contraseña
- Formulario de comentario
- Formulario de BuddyPress
- Formulario de WooCommerce
- Formulario de acceso de Easy Digital Downloads (EDD)
- Formulario de registro de Easy Digital Downloads (EDD)
Las configuraciones son cosa de 30 segundos, o un par de minutos si aún no tienes tus llaves pública y privada creada en Google reCAPTCHA.
El resultado es que con reCAPTCHA v3 no verás ningún cambio aparente, y no se mostrará ningún tipo de opción para resolver el test de Turing.
Sin embargo, si optas por ver el código fuente de la página y haces una búsqueda por recaptcha verás que Google lo inserta en el código de forma que no pase desapercibido a los bots, que es a los que hay que presentárselo para combatir aquellos maliciosos que inyectarían spam en dicho formulario de comentarios en WordPress.
Ahora los bots que intenten inyectar spam lo tendrán un poco más difícil.
Conclusiones
Cuando añades reCAPTCHA v3, tiempo atrás NoCAPTCHA reCAPTCHA, estás añadiendo un mecanismo de protección muy potente que permite que tus formularios no dejen que se les inyecte spam de forma automática, usando scripts automatizados, y que no sea tampoco necesario estar constantemente verificando si es un humano o no.
Un sitio web que incluye un blog con contenidos, donde estos pueden ser comentados por los visitantes, o lectores habituales, pierde mucha reputación si de repente sus publicaciones comienzan a inundarse de comentarios de spam, con enlaces maliciosos o de poca reputación, ya que esto sin lugar a dudas acabará haciendo huir a tu público objetivo.
Cuida tu sitio web, y también la gestión de comentarios de tu sitio, evitando que el spam acabe convirtiéndose en un problema que luego te cueste más tiempo y esfuerzo reconducir.
Estás tardando en aplicarlo si realmente quieres dedicar tu valioso tiempo a publicar y conseguir más clientes o lectores en lugar de pasar las horas limpiando o moderando spam.
¿Te ha resultado útil este artículo?
Miembro del equipo de soporte técnico de Webempresa.
Coordinador de contenidos en el Blog y en Youtube.
Soporte técnico en CiberProtector. Teacher en Webempresa University