Cómo evitar spam en formularios WordPress con antispam

Cómo eliminar el spam en comentarios y formularios de WordPress (guía práctica 2026)

Si administras un sitio en WordPress, tarde o temprano te topas con el mismo problema: mensajes basura que saturan tu bandeja, comentarios falsos que ensuician el contenido y envíos automáticos desde bots que explotan tus formularios de contacto. El spam en WordPress no es una molestia menor. Afecta el rendimiento del servidor, distorsiona tus métricas de contacto y, si no se controla a tiempo, puede comprometer la reputación del dominio. En esta guía te explicamos cómo eliminarlo con las herramientas correctas, sin depender de soluciones genéricas que no funcionan.

Por qué WordPress atrae tanto spam en comentarios y formularios

WordPress es el CMS más usado del mundo. Eso lo convierte también en el objetivo más atacado por bots automatizados. Estos programas rastrean la web buscando formularios HTML accesibles, páginas de comentarios sin protección y endpoints predecibles como /wp-comments-post.php o los action de plugins de formularios populares como Contact Form 7 o WPForms.

El ataque no siempre busca hacerte daño directamente. Muchas veces el objetivo del bot es simplemente publicar enlaces hacia otros sitios, generar backlinks artificiales o probar credenciales. El resultado para ti es el mismo: cientos de mensajes inútiles que tienes que revisar, filtrar y eliminar manualmente si no tienes protección activa.

Paso 1: protege los comentarios con Akismet

Akismet es el plugin antispam más probado para comentarios en WordPress. Viene preinstalado en la mayoría de las instalaciones y se activa con una clave de API gratuita para sitios personales o no comerciales. Una vez activo, analiza cada comentario en tiempo real y lo bloquea o lo envía a la cola de spam antes de que llegue a publicarse.

Para activarlo: ve a Plugins → Plugins instalados → Akismet Anti-Spam → Activar. Luego haz clic en «Configurar» y obtén tu clave gratuita desde la web de Akismet. El proceso toma menos de cinco minutos.

Además de Akismet, conviene aplicar estas configuraciones básicas desde Ajustes → Comentarios en WordPress:

  • Activa «El autor del comentario debe tener un comentario aprobado anteriormente»: ningún comentario de un usuario nuevo se publica de forma automática hasta que tú lo apruebes manualmente al menos una vez.
  • Activa «Los comentarios se deben moderar manualmente» si el volumen de spam es muy alto. Esto detiene todo hasta que lo revises.
  • Define un límite de enlaces permitidos por comentario. Con valor «1» o «2» en «Mantener comentarios en la cola si contienen más de X enlaces», filtras la mayor parte del spam de backlinks.
  • Desactiva completamente los comentarios en páginas estáticas (quienes-somos, servicios, contacto) desde la edición individual de cada página en el bloque de «Discusión».

Paso 2: añade CAPTCHA a tus formularios de contacto

Los formularios de contacto son el segundo vector de spam más explotado. Contact Form 7, WPForms, Gravity Forms y prácticamente todos los plugins populares permiten integrar protección CAPTCHA. La opción más efectiva en 2026 sigue siendo Google reCAPTCHA v3, que opera de forma invisible para el usuario real y puntúa cada envío en segundo plano sin pedir que el usuario identifique semáforos ni bicicletas.

Para Contact Form 7: instala el plugin Advanced noCaptcha & invisible Captcha o usa la integración nativa con reCAPTCHA desde Contact → Integración → reCAPTCHA. Necesitarás crear un proyecto en Google reCAPTCHA Admin Console y obtener tu clave de sitio y clave secreta.

Si prefieres evitar reCAPTCHA por motivos de privacidad, hCaptcha y Cloudflare Turnstile son alternativas sólidas con plugins dedicados disponibles en el repositorio oficial de WordPress.

💡 Consejo de rendimiento: Si tu sitio está en un hosting lento, los scripts de CAPTCHA pueden impactar el tiempo de carga. Un hosting optimizado para WordPress marca una diferencia real. Puedes empezar con un plan rápido y económico a través de Hostinger con nuestro código TERAWEB, que incluye caché avanzada, PHP 8.x y servidores LiteSpeed.

Paso 3: usa honeypots para atrapar bots sin fricción

El honeypot (campo trampa) es una técnica de antispam que no interrumpe en absoluto la experiencia del usuario real. Consiste en añadir un campo de formulario invisible mediante CSS que los humanos nunca ven ni rellenan, pero que los bots automatizados completan al procesar el HTML. Cuando el servidor detecta ese campo con contenido, descarta el envío automáticamente.

Muchos plugins de formularios ya incluyen esta opción de forma nativa. En Contact Form 7, puedes activarlo instalando el complemento Contact Form 7 Honeypot. En WPForms está disponible directamente desde la configuración del formulario en la pestaña «Spam y seguridad». El honeypot es especialmente útil como capa complementaria cuando ya tienes CAPTCHA activado, ya que detiene los bots más simples sin añadir ningún proceso de carga adicional.

Paso 4: bloquea spam a nivel de servidor con Cloudflare

Cloudflare bloqueando spam y bots antes de llegar al servidor WordPress

Si el volumen de spam es muy alto —decenas o cientos de envíos diarios—, el problema hay que resolverlo antes de que el tráfico basura llegue siquiera a WordPress. Cloudflare (en su plan gratuito) actúa como proxy inverso y permite crear reglas WAF (Web Application Firewall) para bloquear peticiones automatizadas antes de que consuman recursos de tu servidor.

Algunas reglas útiles que puedes crear desde el panel de Cloudflare:

  • Bloquear peticiones POST a wp-comments-post.php sin Referer válido: los bots suelen enviar peticiones directas a ese endpoint sin pasar por la página del post. Una regla que exija que el encabezado Referer contenga tu dominio elimina la mayoría de estos ataques.
  • Activar «I’m Under Attack Mode» temporalmente si detectas un pico de spam muy intenso: añade un desafío JavaScript a todos los visitantes durante unas horas para verificar que son navegadores reales.
  • Limitar la tasa de peticiones (Rate Limiting) hacia las rutas de tus formularios: por ejemplo, no más de 5 peticiones POST por minuto desde la misma IP.

Paso 5: desactiva XML-RPC si no lo usas

XML-RPC es una interfaz de WordPress que permite publicar contenido y gestionar el sitio de forma remota. Por defecto está activa en todas las instalaciones de WordPress, pero la mayoría de los sitios no la usan en absoluto. Los atacantes la explotan para enviar spam masivo y para intentar ataques de fuerza bruta contra las credenciales del administrador.

Si no usas aplicaciones móviles de WordPress ni ninguna integración que dependa de XML-RPC, desactívala. Puedes hacerlo añadiendo estas líneas a tu archivo .htaccess:

# Bloquear XML-RPC
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

O mediante el plugin Disable XML-RPC, que lo desactiva en dos clics sin tocar archivos del servidor.

Paso 6: usa un plugin de seguridad con filtrado de spam

Para un enfoque centralizado que cubra spam, intentos de acceso no autorizados y vulnerabilidades del sitio en un solo panel, los plugins de seguridad todo-en-uno son la opción más práctica para la mayoría de los administradores de WordPress. Las opciones más sólidas en 2026 son:

  • Wordfence Security: firewall de aplicación web, escáner de malware y bloqueo de IPs maliciosas conocidas. El plan gratuito cubre la mayoría de las necesidades de un sitio pequeño o mediano.
  • WP Cerber Security: especialmente efectivo contra spam en formularios y comentarios, con sistema de reputación de IPs y protección de endpoints de WordPress.
  • CleanTalk: antispam en la nube que funciona con más de 100 plugins de formularios. Tiene una cuota anual baja y es especialmente eficaz si gestionas múltiples sitios.

¿Gestionas varios sitios WordPress? Si trabajas como freelance o agencia y necesitas publicar contenido de calidad en múltiples dominios, Collaborator Pro es una plataforma que conecta sitios con anunciantes para publicaciones patrocinadas y permite monetizar tu red de webs de forma controlada y segura.

Combinación recomendada según el tipo de sitio

No existe una solución única que funcione para todos los casos. La combinación óptima depende del volumen de tráfico, el tipo de formularios que uses y si tu sitio tiene o no comentarios activos. Esta tabla resume las configuraciones más efectivas por escenario:

  • Blog personal o portafolio con comentarios: Akismet + moderación previa + desactivar comentarios en páginas estáticas.
  • Sitio de negocio con formulario de contacto: reCAPTCHA v3 + honeypot + Cloudflare gratuito.
  • Tienda WooCommerce o sitio con tráfico alto: Wordfence o WP Cerber + Cloudflare con Rate Limiting + deshabilitar XML-RPC.
  • Red de sitios o agencia: CleanTalk (cubre múltiples dominios) + Cloudflare en todos los dominios + hosting con firewall de servidor.

Preguntas frecuentes sobre spam en WordPress

¿Por qué me llega spam si tengo el formulario protegido con CAPTCHA?

Los CAPTCHA de primera generación (reCAPTCHA v2, el de las imágenes) son eludibles por servicios de resolución manual o por bots avanzados entrenados específicamente para superarlos. Si ya tienes CAPTCHA y el spam persiste, combínalo con honeypot y considera pasar a reCAPTCHA v3 o Cloudflare Turnstile, que funcionan en segundo plano sin interacción del usuario y son más difíciles de eludir.

¿Desactivar los comentarios ayuda al SEO?

En general, no perjudica. Google no penaliza los sitios que tienen los comentarios desactivados. En algunos casos incluso mejora la calidad percibida del contenido si antes los comentarios estaban llenos de spam publicado. Si tu estrategia editorial no requiere interacción activa en los posts, desactivar comentarios es una decisión técnicamente sensata.

¿Cuánto tiempo tarda en reducirse el spam después de aplicar estas medidas?

La reducción es casi inmediata para el spam de bots básicos una vez activado el CAPTCHA y el honeypot. Para el spam más persistente que viene de IPs variadas o de servicios de resolución manual, la combinación con Cloudflare y Akismet puede tardar entre 24 y 72 horas en alcanzar su máxima efectividad mientras los sistemas acumulan datos de reputación.

¿Afecta el antispam a la velocidad de carga del sitio?

Depende del método. Akismet procesa los comentarios en segundo plano sin afectar el frontend. El honeypot no añade ningún proceso visible. reCAPTCHA v3 carga un script de Google que pesa entre 30–50 KB, lo que en un hosting optimizado tiene un impacto mínimo. El mayor impacto en rendimiento suele venir de plugins de seguridad todo-en-uno que hacen muchas comprobaciones en cada carga de página; en esos casos conviene configurarlos para que solo analicen las rutas críticas.

¿Puedo usar estas medidas si mi formulario no está en WordPress?

Las medidas de Cloudflare aplican a cualquier sitio independientemente de la plataforma. Si usas formularios en sitios estáticos (HTML puro o en plataformas como Netlify), consulta nuestra guía sobre formulario de contacto sin servidor y sobre formularios en Netlify sin backend, donde tratamos las opciones antispam específicas para esos entornos.

Entradas relacionadas