Portada Wordpress Plugins Instalar un captcha para evitar SPAM en formularios WordPress
En anteriores tutoriales hemos aprendido cómo instalar el formulario de contacto Contact Form 7 y a solventar algún error del mismo. En esta ocasión vamos a implementar un captcha para evitar que nos llegue SPAM por métodos de fuerza bruta vía formulario de contacto.
Realmente el plugin Contact Form 7 ya trae implementado un sistema de Captchas en su propio diseño. Puedes seguir la guía que el desarrollador te ofrece o puedes seguir la nuestra. Ambas opciones son correctas.
Las siglas se corresponden con «Completely Automated Public Turing test to tell Computers and Humans Apart». Basicamente es un texto difícil de leer que tenemos que introducir en un recuadro que un programa no sería capaz de insertar, con lo que demostramos que no somos un robot con intenciones maliciosas.
Vamos pues a la sección Plugins > Añadir nuevo de nuestro escritorio de WordPress y buscamos el plugin Really Simple Captcha, que tiene una pinta como esta:
Lo instalamos y lo activamos. Una vez hecho vamos a Contacto > Formularios de contacto.
Seleccionamos el formulario de contacto en el que queramos introducir el captcha y lo editamos. Vamos al apartado formulario y hacemos click en el menú desplegable «Generar etiqueta». Pinchamos en CAPTCHA.
Se nos desplegarán una serie de opciones que podemos rellenar a nuestro gusto.
Una vez contentos, tenemos que copiar el código generado en la parte inferior en nuestra plantilla del formulario.
También podemos meterle un texto en HTML propio para darle un título al captcha. Una vez a gusto no te olvides de hacer click en el botón «Guardar» para salvar los cambios realizados. El captcha quedará implementado en nuestra página y evitaremos un envío masivo de correos desde nuestro formulario de contacto.
Una captcha es incómodo. Hace algún tiempo no era raro que un usuario no entrara en un sitio web si había uno de esos captchas para entrar.
Además, por lo general no suene funcionar a la primera, o bien se ponen mal las palabras o son imposibles de descifrar a la primera. En ocasiones se puede llegar a perder los nervios por culpa de un captcha.
Entonces… ¿porqué se empeñan los sitios web a incluirlos en todas y cada una de las páginas?.
La respuesta es muy sencilla, la seguridad.
Internet es muy popular, eso ya lo sabemos, pero también está lleno de software automatizado programado para realizar tareas de login, por ejemplo, en cualquier sitio web, app, servidor, etc…
Esto no lo hacen por nada bueno y son capaces de enviar muchas solicitudes por minuto en lo que se llama un ataque de fuerza bruta.
Su intención es intentar adivinar la contraseña para tener el acceso, por ejemplo, aunque también es posible que intenten crear cuentas gratuitas de email, cuentas en redes sociales o cualquier otro tipo de registro.
Aunque no consigan su objetivo, ya hemos dicho que se trata de adivinar, y por eso nunca es buena idea usar palabras que se encuentre en un diccionario como contraseña, esta acción puede causar problemas en el rendimiento de los sitios web.
Esto quiere decir que si un bot está intentando acceder a un sitio web con un ataque de fuerza bruta, a cada petición que realice, aunque sea errónea, está consumiendo los recursos del alojamiento web y podría llegar a afectar el correcto uso del sitio web, incluso llegar a tumbarlo de manera momentánea.
Así que los captcha llegaron, una serie de pruebas que sólo un humano pueda ser capaz de resolver.
En realidad, captcha son unas siglas en inglés:
Traducido sería algo así como Prueba de Turing Completamente Automática y Pública para Diferencias a Ordenadores de Humanos.
Es muy probable que el Test de Turing sea conocido por sus múltiples menciones en el cine y la literatura. En los captcha’s, se toma uso de este tipo detesto de manera inversa, ya que quién lo controla es una máquina y debe de determinar si el usuario es un humano y otra máquina.
Así pues, con la multitud de bot’s que existen en Internet intentando entrar a sitio a la fuerza, instalar un captcha se ha convertido en prácticamente una necesidad.
Hemos visto que los captcha son bastante efectivos a la hora de controlar los bot’s, pero también tenemos otras opciones con las que podemos proteger WordPress de ataques de este tipo.
Por ejemplo, se puede instalar un plugin que limite el número de intentos que una misma dirección IP pueda probar contraseñas.
Wordfence, por ejemplo, es un plugin que entre otras cosas, bloquea las direcciones IP que intentan acceder repetidas veces a nuestro sitio web.
Otra opción es bloquear una dirección IP desde cPanel.
cPanel es el panel de control que Hostinet ofrece a todos sus clientes de un hosting compartido.
Este panel de control dispone de muchas opciones que ayudan a cualquier usuario a gestionar su hosting web de una manera sencilla y visual.
Al ser la mejor opción posible para los usuarios, en Hostinet usamos esta opción par todos los alojamientos Linux:
Desde cPanel , dentro del apartado Seguridad podemos encontrar la opción Bloqueador de IP.
Una vez dentro, podemos añadir diferentes direcciones IP, así como rangos y diferentes opciones.
El mayor problema es que debemos saber cuál es la dirección IP que queremos bloquear, si no la sabemos con seguridad, mejor no añadir ninguna ya que podemos impedir el acceso a la web a usuarios reales.