Hoy vamos a ver cómo frenar el spam en tu web WordPress usando el servicio gratuito Cloudflare Turnstile, que seguramente ya estarás viendo en funcionamiento en muchas webs, que están sustituyendo los servicios previos como Akismet o reCAPTCHA por este servicio antispam.
Google reCAPTCHA pasará a ser de pago en 2025
Por si no lo sabías, Google tiene planificado para finales de 2025 sustituir el método actual de uso de reCAPTCHA, trasladando su administración a la plataforma Google Cloud.
Esto conllevará una serie de cambios de gran relevancia para cualquier usuario que actualmente esté utilizando el servicio de reCAPTCHA de Google, de manera directa o integrado mediante plugins, a saber…
- Todas las claves de reCAPTCHA para sitios previamente existentes dejarán de funcionar y habrá que crearlas de nuevo en la plataforma Google Cloud.
- La configuración en Google Cloud Enterprise pasa por la creación de proyectos en su plataforma.
- El servicio pasará a ser de pago, por consumo.
Ante este cambio de configuración del servicio de reCAPTCHA, algo habitual en Google, uno de los servicios que más está destacando como posible sustituto gratuito es Cloudflare Turnstile.
Qué es Cloudflare Turnstile y cómo se activa gratis
Turnstile es un servicio gratis de Cloudflare con el que puedes aplicar varios métodos con los que frenar tráfico no deseado en tu web. Turnstile comprueba que tus usuarios sean personas reales sin el engorro que supone habitualmente reCAPTCHA y sin comprometer la privacidad de tu sitio, lo que además permite cumplir con las legislaciones de cookies, como RGPD.
Puedes activar fácilmente el servicio en una cuenta gratuita de Cloudflare, pudiendo añadir hasta 10 dominios o subdominios en hasta 10 widgets de Turnstile. O sea, puedes proteger gratis contra spam hasta 100 sitios web.
El proceso de agregar cada widget y dominios no puede ser más simple, y al final del proceso dispondrás de una clave del sitio y una clave secreta.
Lo más importante es que agregues todos aquellos dominios en los que quieras usar Turnstile mediante el widget que estés creando.
Una vez creado el widget puedes agregarlo directamente, sin plugins, a cualquier web:
- Añade el siguiente código a la sección
<head>del sitio:<script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>
- Protege cualquier formulario – el caso más típico – envolviéndolo con un div que incluya la clase CSS
cf-turnstile, por ejemplo:<form action="/login" method="POST"> <input type="text" placeholder="username" /> <input type="password" placeholder="password" /> <div class="cf-turnstile" data-sitekey="<YOUR_SITE_KEY>"></div> <button type="submit" value="Submit">Log in</button> </form>
Los modos disponibles del widget son los siguientes:
- Cloudflare utilizará la información del visitante para decidir si se debe utilizar un desafío interactivo. Si se muestra una interacción, se le pedirá al usuario que marque una casilla (sin imágenes o texto para descifrar).
- No interactivo – Un desafío puramente no interactivo. Los usuarios verán un widget con una barra de carga mientras se ejecuta el desafío del navegador.
- Invisible – Desafío invisible que no requiere interacción.
Esto sería su uso más básico, pero lo mejor está por llegar, y es que hay montones de maneras sencillas de integrar Turnstile con WordPress.
Cómo añadir Cloudflare Turnstile a WordPress
Aunque podrías integrar Turnstile con WordPress usando el método manual anterior, sinceramente no te lo recomiendo, pues el mejor método para integrar Turnstile y WordPress es mediante plugins, con enorme diferencia, ni te plantees lo contrario.
El motivo es que hay montones de plugins, y cada vez habrá más, que permiten una integración de Turnstile y WordPress tremendamente sencilla, y que aplicará el sistema gratuito antispam a todos los formularios de tu web, sin tener que ir uno a uno, aunque pudieses.
Así que vamos a ver los plugins con los que ya mismo puedes integrar Turnstile con WordPress.
WPForms
Si ya utilizas el plugin de formularios WPForms no necesitas más, pues ya incorpora por defecto la posibilidad de integración con Turnstile.
Únicamente tienes que seleccionar Turnstile como sistema de CAPTCHA en los ajustes del plugin y configurarlo, copiando y pegando las claves (sitio y secreta) que generaste al activar Turnstile.
Una vez añadidas las claves solo tienes que ir a tus formularios y hacer clic en el elemento «Turnstile» para añadirlo y que empiece a funcionar, en el modo que hayas configurado el widget en tu cuenta de Cloudflare.
Formidable Forms
Otro plugin de formularios que ya incorpora la integración con Turnstile es Formidable Forms, pudiendo activarlo de manera sencilla en sus ajustes de CAPTCHA.
Luego solo tienes que añadirlo a cada formulario, igual, con un solo clic.
Cómo integrar Turnstile con todo tipo de formularios, incluidos los de acceso y comentarios de WordPress, WooCommerce, Elementor, Divi, etc.
Sin tener que ir de plugin de formularios uno a uno existen, además, soluciones todo en uno para integrar Turnstile con WordPress.
El mejor plugin para añadir el servicio antispam de Turnstile a WordPress, con el que no necesitarás nada más, es…
Simple Cloudflare Turnstile
Esta maravilla de plugin te va a ahorrar montones de clics, dudas y configuraciones, pues él solito permite integrar Turnstile con prácticamente cualquier formulario que puedas imaginar.
Como siempre, lo primero es añadirle tus claves de Cloudflare Turnstile en su página de ajustes.
Guarda los cambios y ya puedes configurar otros ajustes, siendo los más importantes aquellos en los que puedes configurar a un clic la integración completa de Turnstile y todos los formularios de WordPress y cualquier otro plugin que tengas instalado:
Puedes activar Turnstile con este plugin en WooCommerce, Easy Digital Downloads, Paid Memberships PRO, WPForms, Gravity Forms, Fluent Forms, Formidable Forms, Forminator, formularios de Elementor, Mailchimp for WordPress, MailPoet, Kadence Forms, BuddyPress, bbPress, Ultimate Member, MemberPress, WP-Members, WP User Frontend y wpDiscuz.
Es un auténtico campeón de la integración de Turnstile con WordPress. La integración es automática, y mi consejo es que no pierdas ni siquiera tiempo en configurar Turnstile con tu plugin de formularios, pues tendrás que hacerlo uno a uno, mientras que con Simple Cloudflare Turnstile en un clic se añade automáticamente a todos.
Para otros plugins, como GiveWP, hay plugins específicos adicionales. Para todo lo demás, nada como Simple Cloudflare Turnstile.
¿Y qué pasa con Contact Form 7 y Turnstile?
Aunque a día de hoy aún no hay integración de Contact Form 7 y Turnstile está planificado que la incorporen en la versión 6.1, prevista para el primer semestre de 2025, de manera totalmente gratuita, así que pronto estará disponible. Mientras tanto, el plugin que he comentado antes se integra de maravilla.
¿Te quedó alguna duda? Plantéala en los comentarios, ahí abajo 😉
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
Gracias como siempre por el articulo.
Entiendo que con desinstalar el plugin de recaptcha de Google que actualmente tengo en mi web y activar este de Cloudfare, es suficiente, verdad?
Saludos a todos
Sí, exacto, con el plugin que comento al final lo tienes todo
Pero de momento, tampoco tiene configuración para el formulario y restablecimiento de contraseña de woocommerce, muy importante no dejar estos al margen.
Gracias por la info!
Que va, también se integra con WooCommerce, solo que en la instalación de prueba que hice para las capturas no es tienda online y no se ve pero se integra del todo (subidas nuevas capturas)
Hola Fernando
Al dar de alta mi dominio me aparece esto:
Revise sus registros DNS
Registros que encontramos: 5 A 1 CNAME 1 MX 2 NS 4 TXT
Nuestro escaneo puede haber perdido registros poco comunes o subdominios personalizados. Compare la lista siguiente con su proveedor de DNS actual (lo más probable es que sea su registrador) y agregue los registros que falten. Preste mucha atención a todos los registros en el apex (dominio raíz) de la zona, los registros del tipo A, AAAA y CNAME y los registros necesarios para el correo electrónico como MX, SPF, DMARC, DKIM y MTA-STS.
Su tráfico está casi listo para el proxy
Sus registros de DNS indican a Cloudflare dónde se aloja su contenido web, por lo que podemos ocultar el origen y usar un proxy para su tráfico web.
Redirigido mediante proxy: El tráfico HTTP pasa a través de la red de Cloudflare. Es necesario para servicios como almacenamiento en caché, Smart Routing y Firewall de aplicaciones web.
Solo DNS: El tráfico HTTP elude Cloudflare y va directamente al origen, pero la resolución DNS sigue beneficiándose de nuestra red rápida y segura. Una nube gris significa que el proxy está apagado y ninguna nube significa que el registro no es elegible para el proxy.
Administración de DNS para algemetria.com
————–
Hay muchos más datos.
¿Es normal tal cosa?
Saludos
Demasiada información, de hecho ni siquiera es necesario gestionar ningún dominio desde Cloudflare, algo has hecho de más.
Veré que he hecho mal. Gracias por la respuesta
Saludos.
Buenos días Fernando,
no tenía idea del cambio que se avecina con recaptcha de Google, así que muchas gracias por este artículo. La duda que tengo es si Turnstile sustituye todo el trabajo que hace Akismet como para eliminarlo. En una web en concreto, tengo muchos cientos de correos filtrados por Akismet.
Saludos
Hola Sergio, por supuesto que Turnstile puede sustituir a Akismet, usando distinto método, pero es un antispam también. Eso sí, hay diferencias, pues recuerda que Akismet a día de hoy no es gratis, o no del todo, y – a día de hoy – Turnstile es totalmente gratis. Son cosas también a valorar, como por ejemplo también si dejamos en manos de una sola empresa todos los servicios esenciales de nuestra web: cdn, antispam, etc.
Hay que darle una vuelta, pero vamos, que antes que reCAPTCHA, donde ya mismo todo son desventajas, Akismet o Turnstile sin duda.
Yo uso mucho Akismet, tanto para comentarios como para formularios, y funciona de coña, y Turnstile, lo reconozco, cada vez más.
Hola Fernando, gracias por toda la información que estás dando. Me pasa lo mismo que al usuario FRANSANTO. He seguido los pasos para darme de alta en Cloudflare->Turnstile y he puesto las claves en WPForm. Ya se muestra en el formulario de contacto, todo bien. Pero en la cuenta que acabo de darme de alta en Cloudflare veo que el campo Estado está marcado en rojo y aparece la nota «Pendiente: el dominio se eliminará en 27 dias si los servidores de nombres no se actualizan».
¿Será cierto? Saludos
No he visto ese error en mi caso nunca pero salvo que tuvieses el dominio en Cloudflare no podría ELIMINAR el dominio, entiendo que se refiere a que lo quita de la configuración de Turnstile.
El campo Estado en rojo que te he comentado, pone Servidores de nombre no válidos (en Account home). Como me he dado de alta en Turnstile con un nombre propio y otro con el nombre de mi web, puede ser que lo haga automaticamente el alta en la cuenta(Account home). De todas formas estaré supervisando, gracias Fernando.
ah, eso me pasó también con un dominio, uno que tengo para pruebas, pero no recuerdo por qué era, ahora mismo no te podría decir
¿Pero el reCAPTCHA pasará a ser de pago aunque su cantidad de uso es pequeña? Es decir, para poder usarlo hay que pagar sí o sí? Por ejemplo, los APIs de Google también son de pago, pero solo cuando la frecuencia de llamada es muy alta.
Sí, es exactamente eso, pero es que son ya tantos los inconvenientes de reCAPTCHA (privacidad, rendimiento) que si le sumamos la posibilidad de tener que pagar pues ¿qué quieres que te diga?, habiendo opciones mejores y gratis ya estamos tardando. Si el día de mañana surge algo con Turnstile, pues a cambiar de nuevo, pero mientras …