Referencia Antispam
En este documento
- 1 Resumen
- 2 Prerrequisitos
- 3 CAPTCHA
- 4 Verificación por correo electrónico
- 5 Cómo interactúan CAPTCHA y la verificación por correo electrónico
- 6 Anti-Spam en el Creador de Formularios
- 7 Preguntas frecuentes
- 7.1 ¿Verán los clientes el CAPTCHA en cada formulario?
- 7.2 ¿Por qué veo “🛡️ Anti-Spam” en lugar de “reCAPTCHA”?
- ¿Se respetan la configuración de CAPTCHA en los formularios de Stripe Checkout (fuera del sitio)?
- ¿Necesito un CAPTCHA si tengo Verificación por correo electrónico?
- ¿Qué sucede con los códigos de verificación después de que finaliza el período de tiempo?
- ¿Puedo eximir formularios específicos de Anti-Spam?
- 8 ¿Y ahora qué?
Tiempo de lectura: 7 minutos | Dificultad: Principiante

Resumen
Las pruebas de tarjetas son la forma más común de abuso automatizado contra los formularios de pago de WordPress: los bots envían miles de números de tarjetas robadas por hora para encontrar cuáles todavía funcionan. La configuración de Anti-Spam de WP Simple Pay te ofrece dos defensas complementarias:
- CAPTCHA: detiene los envíos automatizados antes de que lleguen a Stripe. Elige entre Google reCAPTCHA v3, hCaptcha o Cloudflare Turnstile.
- Verificación por correo electrónico: una capa reactiva que requiere que los clientes confirmen su dirección de correo electrónico después de que ocurra un número configurable de declines fraudulentos dentro de un período de tiempo configurable.
Ambas capas se configuran en WP Simple Pay > Ajustes > General > 🛡️ Anti-Spam.
Prerrequisitos
- WP Simple Pay (CAPTCHA está disponible en la versión gratuita)
- WP Simple Pay Pro para Verificación por correo electrónico
CAPTCHA
La configuración de CAPTCHA en la parte superior de la pestaña Anti-Spam te permite elegir un proveedor: Ninguno, Google reCAPTCHA v3, hCaptcha o Cloudflare Turnstile. Después de elegir un proveedor, los campos de credenciales correspondientes aparecen debajo.
Google reCAPTCHA v3
CAPTCHA invisible basado en puntuación de Google. No se requiere interacción del cliente: Google puntúa cada solicitud de 0.0 (probablemente bot) a 1.0 (probablemente humano) y WP Simple Pay bloquea los envíos por debajo del umbral.
- Clave del sitio: credencial pública de tu consola de administración de reCAPTCHA.
- Clave secreta: credencial privada de tu consola de administración de reCAPTCHA.
Configuración: Regístrate en google.com/recaptcha/admin, elige reCAPTCHA v3 (no v2), añade tu dominio y pega las claves resultantes.
hCaptcha
Alternativa a reCAPTCHA compatible con la privacidad de Google. Widget de desafío visible que los clientes resuelven una vez. Misma estructura de datos que reCAPTCHA: clave de sitio + clave secreta.
- Clave de sitio — Desde tu panel de hCaptcha.
- Clave secreta — Desde tu panel de hCaptcha.
Configuración: Regístrate en hcaptcha.com, obtén las credenciales y pégalas.
Cloudflare Turnstile
CAPTCHA gratuito y respetuoso con la privacidad de Cloudflare. A menudo invisible, ocasionalmente interactivo. Misma forma de configuración: clave de sitio + clave secreta.
- Clave de sitio — Desde tu panel de Cloudflare Turnstile.
- Clave secreta — Desde tu panel de Cloudflare Turnstile.
Configuración: Regístrate en cloudflare.com/products/turnstile, crea un widget de Turnstile y pega las claves.
Elección de un proveedor
| Proveedor | Coste | Fricción con el cliente | Privacidad | Notas |
|---|---|---|---|---|
| reCAPTCHA v3 | Gratis | Ninguno (invisible) | Envía datos a Google | Mejor opción predeterminada si ya usas servicios de Google |
| hCaptcha | Niveles gratuitos / de pago | Baja (clic ocasional) | Respetuoso con la privacidad | Buena alternativa a reCAPTCHA para el RGPD |
| Cloudflare Turnstile | Gratis | Mayormente ninguna | Respetuoso con la privacidad | Mejor opción si ya usas Cloudflare |
Solo puedes habilitar un proveedor a la vez. Para cambiar de proveedor, modifica la selección de CAPTCHA en la parte superior de la pestaña; las credenciales anteriores permanecen guardadas pero inactivas hasta que vuelvas a cambiarlas.
Verificación por correo electrónico
La verificación por correo electrónico es una defensa reactiva que se activa solo después de que WP Simple Pay detecta un patrón de intentos de pago fraudulentos. Está diseñada para ser invisible para los clientes legítimos en el tráfico normal y solo activarse durante un ataque.
Cómo funciona
- WP Simple Pay escucha las webhooks
charge.failedde Stripe con un resultadofraudulent. - Cuando el número de declines fraudulentos supera tu umbral configurado dentro del plazo configurado, cada formulario de pago posterior en el sitio requerirá verificación por correo electrónico antes de enviarlo.
- Los clientes reciben un código de verificación en la dirección de correo electrónico que introdujeron. Deben introducir el código para completar el pago.
- Una vez que transcurre el plazo sin más eventos de fraude, la verificación se desactiva automáticamente.
Ajustes
- Verificación de correo electrónico (activar/desactivar) — Interruptor maestro. Muy recomendable dejarlo activado.
- Umbral — Número de declines fraudulentos requeridos antes de que se active la verificación. Por defecto: 3.
- Periodo de tiempo — Ventana (en horas) durante la cual se mide el umbral. Por defecto: 6 horas.
Ajuste del umbral y el periodo de tiempo
Los valores predeterminados (3 declines en 6 horas) son deliberadamente conservadores: detectan pruebas de tarjetas obvias sin molestar a los clientes durante los picos normales de tráfico.
- Reducir el umbral si ha sido objetivo de ataques anteriormente y desea una reacción más rápida (por ejemplo,
2declines). - Reducir el periodo de tiempo si su sitio tiene un alto volumen de transacciones y 6 horas de historial enmascararían un ataque reciente.
- Aumentar el umbral si tiene un tráfico muy alto y el valor predeterminado se activa con ruido normal.
Cómo interactúan CAPTCHA y la Verificación de correo electrónico
Las dos capas son complementarias, no redundantes:
- CAPTCHA se ejecuta en cada envío y bloquea bots antes de que lleguen a Stripe.
- La Verificación de correo electrónico se ejecuta después de los hechos, solo cuando se ha eludido CAPTCHA (por ejemplo, mediante un ataque dirigido por humanos) y ya se han acumulado declines fraudulentos.
Para obtener mejores resultados, active ambas. CAPTCHA maneja el 99% del abuso automatizado de forma económica; la Verificación de correo electrónico detecta el 1% que se cuela.
Antispam en el Creador de Formularios
Además de la configuración global, los formularios individuales pueden optar por la Verificación de correo electrónico en la pestaña General del editor de formularios. Esto es útil cuando tiene un formulario de alto riesgo (por ejemplo, un formulario de donación pequeño) que siempre desea verificar, independientemente de si se ha alcanzado el umbral global.
Preguntas frecuentes
¿Verán los clientes el CAPTCHA en cada formulario?
reCAPTCHA v3 y Cloudflare Turnstile suelen ser invisibles: la mayoría de los clientes nunca ven un desafío. hCaptcha muestra un pequeño widget que requiere un solo clic. Ninguno de ellos bloquea a los clientes legítimos en condiciones normales.
¿Por qué veo “🛡️ Antispam” en lugar de “reCAPTCHA”?
La pestaña se renombró de reCAPTCHA a Antispam cuando se agregó la compatibilidad con hCaptcha y Cloudflare Turnstile. El nombre reCAPTCHA persiste en alguna documentación antigua; la configuración subyacente es la misma.
¿Se respetan la configuración de CAPTCHA en los formularios de Stripe Checkout (fuera del sitio)?
CAPTCHA se aplica en el lado de WordPress antes de la redirección a Stripe Checkout. La página alojada de Stripe también tiene sus propias protecciones contra bots. Para formularios en el sitio (incrustados/superpuestos), CAPTCHA valida cada envío antes de que se cree el pago.
¿Necesito un CAPTCHA si tengo Verificación de correo electrónico?
Ambos cumplen propósitos diferentes. CAPTCHA bloquea bots. La Verificación de correo electrónico bloquea pruebas de tarjetas realizadas por humanos donde el atacante puede resolver el CAPTCHA pero no tiene acceso a muchas bandejas de entrada de correo electrónico reales. Utilice ambos si su sitio procesa un volumen de pagos significativo.
¿Qué sucede con los códigos de verificación después de que finaliza el periodo de tiempo?
Los códigos caducados se limpian mediante una tarea programada (simpay_cleanup_email_verification_codes). Se invalidan automáticamente y no se pueden reutilizar.
¿Puedo eximir formularios específicos de Anti-Spam?
Sí, consulta la configuración de la pestaña General por formulario. Puedes anular el comportamiento global por formulario cuando sea necesario.
¿Qué Sigue?
- Cómo configurar los ajustes generales de un formulario de pago: anulaciones anti-spam por formulario
- Cómo habilitar la verificación por correo electrónico antes de procesar los pagos: guía paso a paso con capturas de pantalla
¿Todavía tiene preguntas? ¡Estamos aquí para ayudarle!
Última modificación: