Guía Completa para Configurar Google reCAPTCHA v3 en Tu Sitio Web

En nuestro anterior artículo vimos diferentes alternativas para tratar, en la medida de lo posible, de evitar el spam que puede llegar a nuestra página web. En este artículo queremos hacer especial hincapíe en Google reCAPTCHA v3. Una herramienta esencial para proteger tu sitio web contra bots y spam sin que afecte a la experiencia del usuario.

A diferencia de versiones anteriores, reCAPTCHA v3 no requiere que los usuarios completen tests visuales o seleccionen imágenes. En su lugar, funciona en segundo plano, analizando el comportamiento de los usuarios y asignando una puntuación de riesgo que te permite identificar y bloquear posibles bots.

En esta guía, te explicaremos cómo configurar Google reCAPTCHA v3 en tu sitio web paso a paso.

Regístrate y Obtén las Claves API

El primer paso es registrar tu sitio web en Google reCAPTCHA para obtener las claves API necesarias.

1. Accede al sitio web de reCAPTCHA.
2. Inicia sesión con tu cuenta de Google.
3. Haz clic en el botón «Admin Console».
4. En el formulario de registro, ingresa el nombre de tu sitio.
5. Selecciona reCAPTCHA v3 como tipo de reCAPTCHA.
6. Añade los dominios en los que deseas implementar reCAPTCHA. Esto asegura que las claves solo funcionen en esos dominios.
7. Acepta los términos de servicio y selecciona si deseas recibir alertas sobre problemas relacionados con la implementación.
8. Haz clic en Registrar. Obtendrás dos claves: una Clave del Sitio (Site Key) y una Clave Secreta (Secret Key). Guárdalas, ya que las necesitarás más adelante.

Integra el Script de reCAPTCHA v3 en Tu Sitio Web

Una vez que tengas las claves API, el siguiente paso es integrar el script de reCAPTCHA v3 en todas las páginas donde quieras analizar el comportamiento del usuario.

1. Inserta el siguiente código en la sección <head> de tu sitio web:

<script src="https://www.google.com/recaptcha/api.js?render=TU_CLAVE_DEL_SITIO"></script>

2. Reemplaza TU_CLAVE_DEL_SITIO con la Clave del Sitio que obtuviste en el paso anterior.

Implementa la Lógica de Verificación

El siguiente paso es llamar a la función de reCAPTCHA cuando los usuarios interactúen con los formularios o elementos clave en tu sitio. Esta función generará un token que deberás enviar al servidor para la verificación.

1. Antes de enviar un formulario o acción importante, añade este código:

<script>
  grecaptcha.ready(function() {
    grecaptcha.execute('TU_CLAVE_DEL_SITIO', {action: 'homepage'}).then(function(token) {
       // Añade el token al formulario para enviarlo al servidor
       document.getElementById('mi-formulario').submit();
    });
  });
</script>

2. En el atributo action, puedes personalizar el nombre según la página o acción, como «login» o «contact_form». Esto te ayudará a identificar mejor el tipo de interacción.

Verifica el Token en el Servidor

Una vez que el token se envía al servidor junto con los datos del formulario, debes validarlo para asegurarte de que no proviene de un bot.

1. Envía el token al servidor y verifica su validez con la Clave Secreta. A continuación te mostramos un ejemplo en PHP:

<?php
$token = $_POST['g-recaptcha-response'];
$secret_key = 'TU_CLAVE_SECRETA';

// Verificar el token con Google
$response = file_get_contents("https://www.google.com/recaptcha/api/siteverify?secret=$secret_key&response=$token");
$response_data = json_decode($response);

if ($response_data->success && $response_data->score >= 0.5) {
    // Token válido, continuar con el procesamiento
} else {
    // El usuario puede ser un bot, tomar acciones apropiadas
}
?>

En este ejemplo, estamos comprobando que el score sea mayor o igual a 0.5. Puedes ajustar este umbral según tu nivel de tolerancia al riesgo.

Ajusta el Umbral de Puntuación

Una de las características más potentes de reCAPTCHA v3 es la posibilidad de ajustar la puntuación para definir qué consideras comportamiento sospechoso. Una puntuación cercana a 1 indica un usuario confiable, mientras que valores más bajos sugieren que podría tratarse de un bot.

Recomendación:

• 0.1 – 0.3: Indica un comportamiento probablemente automatizado. Considera bloquear o mostrar un desafío adicional.
• 0.4 – 0.6: Zona gris; podría requerir validación manual.
• 0.7 – 1.0: Comportamiento muy confiable; permite la acción sin problemas.

Instalar y Activar un Plugin de reCAPTCHA v3 en WordPress

Para facilitar la integración de reCAPTCHA v3 en tu sitio WordPress, puedes utilizar un plugin. Hay varias opciones, pero aquí recomendamos reCaptcha by BestWebSoft o WPForms si también gestionas formularios.

1. En tu panel de administración de WordPress, ve a Plugins > Añadir nuevo.
2. En el campo de búsqueda, escribe «reCAPTCHA v3» y selecciona el plugin reCaptcha by BestWebSof.
3. Haz clic en Instalar y luego en Activar.

Configura el Plugin con las Claves de reCAPTCHA v3

Una vez que hayas activado el plugin, necesitarás configurarlo con las claves que obtuviste en Google reCAPTCHA.

1. Ve a Ajustes o reCAPTCHA en tu panel de administración de WordPress.
2. Introduce la Clave del Sitio y la Clave Secreta en los campos correspondientes.
3. Selecciona reCAPTCHA v3 como la versión a utilizar.

Personaliza la Configuración de reCAPTCHA v3

Una vez integradas las claves, es importante definir en qué secciones de tu sitio WordPress deseas aplicar la protección reCAPTCHA v3.

1. Dentro de la configuración del plugin, puedes elegir en qué partes del sitio aplicar reCAPTCHA. Las opciones comunes incluyen:
   • Formularios de Comentarios
   • Formularios de Registro
   • Formularios de Inicio de Sesión
   • Formularios de Contacto
2. Establece el nivel de acción (por ejemplo, «login», «comment», etc.), que te ayudará a categorizar y analizar las puntuaciones en Google reCAPTCHA.
3. Ajusta el umbral de puntuación si tu plugin lo permite. Un umbral más bajo (ej. 0.4) podría bloquear más bots, pero también podría afectar a usuarios legítimos. Un valor estándar es 0.5.
4. Guarda los cambios.

Prueba y Monitoriza la Implementación

Después de configurar reCAPTCHA v3, es fundamental probar su funcionamiento para asegurarte de que no interfiera con la experiencia del usuario.

1. Sal de tu cuenta de administrador y prueba los formularios protegidos en modo incógnito.
2. Verifica si reCAPTCHA está funcionando correctamente en segundo plano y si el envío de formularios o comentarios sigue siendo fluido.
3. Revisa el panel de reCAPTCHA en Google para monitorear las puntuaciones de interacción y ajustar los parámetros según sea necesario.

Implementar Google reCAPTCHA v3 en tu sitio web es una excelente manera de mantener a raya el spam y los bots sin afectar la experiencia de usuario. Con esta configuración, podrás analizar el comportamiento en segundo plano y actuar en consecuencia según la puntuación obtenida. Ahora que ya sabes cómo configurar reCAPTCHA v3, podrás mantener tu sitio seguro sin que afecte a la experiencia de los usuarios.