Documentación de WP Simple Pay

Documentación, Materiales de Referencia y Tutoriales para WP Simple Pay

Referencia Antispam

Tiempo de lectura: 7 minutos | Dificultad: Principiante

La subsección de configuración de Anti-Spam que muestra las cuatro tarjetas de proveedor de CAPTCHA y el interruptor de Verificación por correo electrónico.

Resumen

Las pruebas de tarjetas son la forma más común de abuso automatizado contra los formularios de pago de WordPress: los bots envían miles de números de tarjetas robadas por hora para encontrar cuáles todavía funcionan. La configuración de Anti-Spam de WP Simple Pay te ofrece dos defensas complementarias:

  1. CAPTCHA: detiene los envíos automatizados antes de que lleguen a Stripe. Elige entre Google reCAPTCHA v3, hCaptcha o Cloudflare Turnstile.
  2. Verificación por correo electrónico: una capa reactiva que requiere que los clientes confirmen su dirección de correo electrónico después de que ocurra un número configurable de declines fraudulentos dentro de un período de tiempo configurable.

Ambas capas se configuran en WP Simple Pay > Ajustes > General > 🛡️ Anti-Spam.

Prerrequisitos

  • WP Simple Pay (CAPTCHA está disponible en la versión gratuita)
  • WP Simple Pay Pro para Verificación por correo electrónico

CAPTCHA

La configuración de CAPTCHA en la parte superior de la pestaña Anti-Spam te permite elegir un proveedor: Ninguno, Google reCAPTCHA v3, hCaptcha o Cloudflare Turnstile. Después de elegir un proveedor, los campos de credenciales correspondientes aparecen debajo.

Google reCAPTCHA v3

CAPTCHA invisible basado en puntuación de Google. No se requiere interacción del cliente: Google puntúa cada solicitud de 0.0 (probablemente bot) a 1.0 (probablemente humano) y WP Simple Pay bloquea los envíos por debajo del umbral.

  • Clave del sitio: credencial pública de tu consola de administración de reCAPTCHA.
  • Clave secreta: credencial privada de tu consola de administración de reCAPTCHA.

Configuración: Regístrate en google.com/recaptcha/admin, elige reCAPTCHA v3 (no v2), añade tu dominio y pega las claves resultantes.

hCaptcha

Alternativa a reCAPTCHA compatible con la privacidad de Google. Widget de desafío visible que los clientes resuelven una vez. Misma estructura de datos que reCAPTCHA: clave de sitio + clave secreta.

  • Clave de sitio — Desde tu panel de hCaptcha.
  • Clave secreta — Desde tu panel de hCaptcha.

Configuración: Regístrate en hcaptcha.com, obtén las credenciales y pégalas.

Cloudflare Turnstile

CAPTCHA gratuito y respetuoso con la privacidad de Cloudflare. A menudo invisible, ocasionalmente interactivo. Misma forma de configuración: clave de sitio + clave secreta.

  • Clave de sitio — Desde tu panel de Cloudflare Turnstile.
  • Clave secreta — Desde tu panel de Cloudflare Turnstile.

Configuración: Regístrate en cloudflare.com/products/turnstile, crea un widget de Turnstile y pega las claves.

Elección de un proveedor

Proveedor Coste Fricción con el cliente Privacidad Notas
reCAPTCHA v3 Gratis Ninguno (invisible) Envía datos a Google Mejor opción predeterminada si ya usas servicios de Google
hCaptcha Niveles gratuitos / de pago Baja (clic ocasional) Respetuoso con la privacidad Buena alternativa a reCAPTCHA para el RGPD
Cloudflare Turnstile Gratis Mayormente ninguna Respetuoso con la privacidad Mejor opción si ya usas Cloudflare

Solo puedes habilitar un proveedor a la vez. Para cambiar de proveedor, modifica la selección de CAPTCHA en la parte superior de la pestaña; las credenciales anteriores permanecen guardadas pero inactivas hasta que vuelvas a cambiarlas.

Verificación por correo electrónico

La verificación por correo electrónico es una defensa reactiva que se activa solo después de que WP Simple Pay detecta un patrón de intentos de pago fraudulentos. Está diseñada para ser invisible para los clientes legítimos en el tráfico normal y solo activarse durante un ataque.

Cómo funciona

  1. WP Simple Pay escucha las webhooks charge.failed de Stripe con un resultado fraudulent.
  2. Cuando el número de declines fraudulentos supera tu umbral configurado dentro del plazo configurado, cada formulario de pago posterior en el sitio requerirá verificación por correo electrónico antes de enviarlo.
  3. Los clientes reciben un código de verificación en la dirección de correo electrónico que introdujeron. Deben introducir el código para completar el pago.
  4. Una vez que transcurre el plazo sin más eventos de fraude, la verificación se desactiva automáticamente.

Ajustes

  • Verificación de correo electrónico (activar/desactivar) — Interruptor maestro. Muy recomendable dejarlo activado.
  • Umbral — Número de declines fraudulentos requeridos antes de que se active la verificación. Por defecto: 3.
  • Periodo de tiempo — Ventana (en horas) durante la cual se mide el umbral. Por defecto: 6 horas.

Ajuste del umbral y el periodo de tiempo

Los valores predeterminados (3 declines en 6 horas) son deliberadamente conservadores: detectan pruebas de tarjetas obvias sin molestar a los clientes durante los picos normales de tráfico.

  • Reducir el umbral si ha sido objetivo de ataques anteriormente y desea una reacción más rápida (por ejemplo, 2 declines).
  • Reducir el periodo de tiempo si su sitio tiene un alto volumen de transacciones y 6 horas de historial enmascararían un ataque reciente.
  • Aumentar el umbral si tiene un tráfico muy alto y el valor predeterminado se activa con ruido normal.

Cómo interactúan CAPTCHA y la Verificación de correo electrónico

Las dos capas son complementarias, no redundantes:

  • CAPTCHA se ejecuta en cada envío y bloquea bots antes de que lleguen a Stripe.
  • La Verificación de correo electrónico se ejecuta después de los hechos, solo cuando se ha eludido CAPTCHA (por ejemplo, mediante un ataque dirigido por humanos) y ya se han acumulado declines fraudulentos.

Para obtener mejores resultados, active ambas. CAPTCHA maneja el 99% del abuso automatizado de forma económica; la Verificación de correo electrónico detecta el 1% que se cuela.

Antispam en el Creador de Formularios

Además de la configuración global, los formularios individuales pueden optar por la Verificación de correo electrónico en la pestaña General del editor de formularios. Esto es útil cuando tiene un formulario de alto riesgo (por ejemplo, un formulario de donación pequeño) que siempre desea verificar, independientemente de si se ha alcanzado el umbral global.

Preguntas frecuentes

¿Verán los clientes el CAPTCHA en cada formulario?

reCAPTCHA v3 y Cloudflare Turnstile suelen ser invisibles: la mayoría de los clientes nunca ven un desafío. hCaptcha muestra un pequeño widget que requiere un solo clic. Ninguno de ellos bloquea a los clientes legítimos en condiciones normales.

¿Por qué veo “🛡️ Antispam” en lugar de “reCAPTCHA”?

La pestaña se renombró de reCAPTCHA a Antispam cuando se agregó la compatibilidad con hCaptcha y Cloudflare Turnstile. El nombre reCAPTCHA persiste en alguna documentación antigua; la configuración subyacente es la misma.

¿Se respetan la configuración de CAPTCHA en los formularios de Stripe Checkout (fuera del sitio)?

CAPTCHA se aplica en el lado de WordPress antes de la redirección a Stripe Checkout. La página alojada de Stripe también tiene sus propias protecciones contra bots. Para formularios en el sitio (incrustados/superpuestos), CAPTCHA valida cada envío antes de que se cree el pago.

¿Necesito un CAPTCHA si tengo Verificación de correo electrónico?

Ambos cumplen propósitos diferentes. CAPTCHA bloquea bots. La Verificación de correo electrónico bloquea pruebas de tarjetas realizadas por humanos donde el atacante puede resolver el CAPTCHA pero no tiene acceso a muchas bandejas de entrada de correo electrónico reales. Utilice ambos si su sitio procesa un volumen de pagos significativo.

¿Qué sucede con los códigos de verificación después de que finaliza el periodo de tiempo?

Los códigos caducados se limpian mediante una tarea programada (simpay_cleanup_email_verification_codes). Se invalidan automáticamente y no se pueden reutilizar.

¿Puedo eximir formularios específicos de Anti-Spam?

Sí, consulta la configuración de la pestaña General por formulario. Puedes anular el comportamiento global por formulario cuando sea necesario.

¿Qué Sigue?

¿Todavía tiene preguntas? ¡Estamos aquí para ayudarle!

Última modificación:

Empieza a aceptar pagos hoy mismo

Empieza a aceptar pagos únicos y recurrentes o donaciones en tu sitio web de WordPress.