![[DISCUSSION] How much contact form spam do you get? - ilustracion](https://wordpress.donweb.com/wp-content/uploads/2026/06/como-bloquear-el-spam-de-wordpress-hero-1024x576.jpg)
Si tenés un formulario de contacto en WordPress, lo más probable es que buena parte de lo que recibís sea spam: links promocionales, intentos de phishing y mensajes automáticos de bots. El spam en formularios WordPress se frena combinando honeypot, tokens antispam y un filtro de contenido como Akismet, sin pedirle nada raro al usuario real.
En 30 segundos
- Según el reporte de spam y phishing 2025 de Securelist, casi la mitad del tráfico global de email sigue siendo spam.
- El volumen real en un formulario va desde un goteo de mensajes en un sitio chico hasta miles por día cuando un bot te marca como objetivo.
- El honeypot es invisible para tus visitantes y filtra una parte enorme del spam automático sin sumar fricción.
- reCAPTCHA v3 solo no alcanza: si no sumás capas, una parte del spam sigue pasando.
- La protección que funciona es por capas: formulario (honeypot + token), contenido (Akismet) e infraestructura.
Lo charlamos como colegas. Si alguna vez abriste el inbox del sitio de un cliente y lo encontraste tapado de «consultas» que en realidad eran ofertas de SEO trucho y links sospechosos, ya sabés de qué hablo.
El spam en formularios WordPress es el envío masivo de mensajes no solicitados a través de tus formularios de contacto, generado por bots automáticos o por spammers manuales, con el objetivo de colocar links, hacer phishing o saturar tu bandeja. No es lo mismo que el comment spam: acá el atacante usa tu propio formulario como vector, así que filtrarlo requiere proteger el punto de envío, no solo moderar después. Esto se conecta con lo que analizamos en en nuestra comunidad WordPress.
¿Cuánto spam recibe en promedio un formulario de contacto?
Depende del tamaño y la antigüedad del sitio, pero el piso es más alto de lo que la mayoría cree.
El informe 2025 de Securelist ubica el spam en torno a la mitad de todo el tráfico de correo mundial. A nivel formulario, los reportes de usuarios en el foro de soporte de WordPress.org van de un goteo de unos pocos mensajes por día a sitios que reciben miles de envíos automáticos cuando un bot los empieza a martillar.
¿Por qué tanta diferencia? Porque el spam automático escala. Un bot que encuentra un formulario sin protección no manda un mensaje: manda los que pueda hasta que algo lo frene. En Argentina, un PyME con un formulario de «pedí presupuesto» sin honeypot ni token junta envíos basura de forma constante sin que nadie le esté apuntando especialmente.
Cómo te golpea el spam de formularios en el día a día
El costo no es el mensaje, es lo que tapa. Cuando el formulario se llena de basura, los mensajes reales se pierden en el medio. Tema relacionado: al crear una landing page.
El caso que describe el plugin MUTE Spam Blocker es de manual: un restaurante que recibía consultas de clientes termina con la casilla llena de mails de estafa y links de venta no solicitados. Un e-commerce con el formulario de consultas enterrado bajo spam todas las noches, con los tiempos de respuesta cayéndose porque las preguntas reales quedan al fondo. Un salón donde el mensaje de una clienta nueva se traspapela entre el spam, y para cuando contestan, la persona ya se fue a otro lado.
Hay un costo más feo que el tiempo perdido. Muchos de esos mensajes traen links con malware o intentos de phishing apuntados a tu propio equipo. Si tu vendedor abre uno por error mientras filtra «leads» a las 8 de la mañana, el problema dejó de ser de productividad.
¿Qué tipos de spam llegan a los formularios WordPress?
- Spam automático de bots: el grueso del volumen. Scripts que recorren la web buscando formularios y mandan envíos en masa para colocar links.
- Phishing e ingeniería social: mensajes que se hacen pasar por consultas legítimas pero buscan que respondas o hagas clic en algo.
- Links con virus: envíos con URLs maliciosas, pensados para que alguien del equipo las abra.
- Spam manual promocional: personas reales ofreciendo servicios de SEO, backlinks o «tráfico garantizado». El captcha no los frena porque son humanos.
- Consultas falsas (fake inquiries): formularios completados para mapear tu sitio o testear si el envío llega.
Métodos para bloquear spam sin molestar al usuario real
Acá viene lo bueno: las técnicas más efectivas hoy son invisibles. El usuario ni se entera de que existen.
Honeypot: el campo trampa
Es un campo oculto que un humano nunca ve ni completa, pero que los bots rellenan porque leen el HTML. Si ese campo viene con contenido, el envío se descarta. Cero fricción, cero captcha, y se come buena parte del spam automático. Lo explicamos a fondo en antes de publicar en producción.
Tokens antispam
El enfoque que documenta la guía de WPForms: el formulario inyecta un token único vía JavaScript que solo un navegador real ejecutando la página puede tener. Los bots que postean directo al endpoint no lo traen, así que el envío se rechaza antes de procesarse.
reCAPTCHA v3 y alternativas
reCAPTCHA v3 corre en segundo plano y le asigna un puntaje a cada envío según el comportamiento, sin pedir que marques semáforos. Funciona, pero tiene dos peros: le manda datos de tus visitantes a Google y, solo, deja pasar bastante spam manual. Cloudflare Turnstile es una alternativa más respetuosa de la privacidad que hace algo parecido sin el tracking.
Mejores plugins antispam para formularios WordPress
No hay una bala de plata. Cada herramienta cubre una capa distinta, y la gracia está en combinarlas.
| Solución | Qué hace | Modelo | Fricción para el usuario |
|---|---|---|---|
| Honeypot (nativo en WPForms/CF7) | Campo trampa invisible | Gratis | Nula |
| Akismet | Filtra el contenido post-envío contra una base global | Gratis para uso personal, plan pago para comercial | Nula |
| CleanTalk | Análisis de comportamiento en la nube | Pago (suscripción) | Baja |
| MUTE Spam Blocker | Bloqueo silencioso y automático | Gratis | Nula |
| Cloudflare Turnstile | Verificación invisible sin tracking | Gratis | Muy baja |
Un detalle sobre Akismet que se malinterpreta seguido: filtra el contenido después de que el envío entró, no lo previene en el origen. Es una capa buenísima de detección, pero si la usás sola, el bot igual te toca la puerta (solo que el mensaje queda marcado como spam en vez de llegarte limpio). Para más detalles técnicos, mirá también verifica tus enlaces.
Cómo armar protección antispam en 3 capas
La estrategia que recomienda WPBeginner y que en la práctica funciona es apilar defensas, porque cada capa atrapa lo que la anterior dejó pasar.
- Capa 1, el formulario: honeypot más token antispam. Frena el grueso del spam automático antes de que toque tu base.
- Capa 2, el contenido: Akismet o CleanTalk para marcar lo que zafó de la primera capa según patrones y reputación.
- Capa 3, la infraestructura: protección a nivel servidor y firewall. Acá pesa dónde alojás: un hosting WordPress como el de Donweb que ya trae mitigación a nivel servidor te saca trabajo de encima antes de que el request llegue a PHP.
Si te tienta resolverlo con una sola capa, acordate: sin múltiples capas, una parte importante del spam sigue entrando. La capa 3, cuando se mete en terreno de WAF y hardening fino, ya es tema del blog hermano seguridadenwordpress.com, así que no me voy a meter ahí.
Para profundizar en esto, tenemos un artículo sobre [DISCUSSION] How much contact form spam do you get?
Errores comunes que dejan pasar el spam
- Confiar solo en reCAPTCHA: es una capa, no la solución. El spam manual lo cruza caminando y v3 deja pasar envíos automáticos con buen puntaje.
- No actualizar los plugins: los bots se adaptan a las versiones viejas. Un antispam desactualizado es media defensa.
- Dejar el registro de usuarios abierto sin necesidad: si no vendés membresías, tener el registro habilitado es una puerta extra que los bots aprovechan.
- Usar Akismet como única barrera: filtra después del envío, no lo previene. Buenísimo como complemento, flojo como muralla única.
- No mirar nunca los logs de bloqueos: sin revisar qué te están frenando, no sabés si la configuración aguanta o si ya te superaron en volumen.
Preguntas Frecuentes
¿Cuánto spam recibe realmente un formulario de contacto?
Desde un goteo de mensajes en un sitio chico hasta miles por día cuando un bot lo toma como objetivo. A escala global, el reporte 2025 de Securelist ubica el spam en casi la mitad de todo el tráfico de email.
¿El reCAPTCHA v3 es suficiente para bloquear spam?
No alcanza solo. reCAPTCHA v3 puntúa el comportamiento sin molestar al usuario, pero deja pasar spam manual y algunos envíos automáticos bien armados. Sumale honeypot, token y un filtro de contenido.
¿Cuál es la diferencia entre honeypot, reCAPTCHA y tokens antispam?
El honeypot es un campo oculto que los bots completan y los humanos no. El token es un valor único que solo genera un navegador real ejecutando la página. reCAPTCHA analiza el comportamiento y asigna un puntaje de riesgo. Los tres son invisibles y se complementan.
¿Akismet previene el spam o solo lo filtra?
Lo filtra después del envío contra su base global de reputación, no lo previene en el origen. Por eso conviene usarlo como segunda capa, detrás de un honeypot y un token que frenen el envío antes de procesarlo.
¿Qué plugin antispam conviene para un sitio chico en Argentina?
Para un PyME alcanza con la protección nativa del plugin de formularios (honeypot más token en WPForms o Contact Form 7) más Akismet en su plan gratuito o MUTE Spam Blocker. Es gratis, invisible y cubre el grueso del volumen sin tocar la experiencia del visitante.
Conclusión
El spam de formularios no se resuelve con un captcha y a otra cosa. Lo que cambió es que las defensas buenas hoy son invisibles, así que ya no hay excusa para hacerle pasar al usuario el peaje de los semáforos.
Armá las tres capas: honeypot más token en el formulario, Akismet o similar para el contenido, y un hosting que te cubra la parte de infraestructura. Revisá los logs cada tanto y mantené los plugins al día. Con eso pasás de filtrar basura todas las mañanas a recibir, casi siempre, solo mensajes reales (que era el punto del formulario desde el principio).