powermailrecaptcha para TYPO3

Powermail sin protección anti-spam se convierte en un vertedero en pocas semanas

Powermail es, con diferencia, la extensión de formularios más utilizada en TYPO3. Más de 150.000 instalaciones activas (datos del TER, 2026), desde formularios de contacto hasta formularios de candidatura y recorridos de consulta complejos con múltiples pasos. El problema: todo formulario público sin CAPTCHA acaba siendo descubierto por bots. Consecuencia típica: de 200 a 500 entradas de spam al día, bandejas de entrada saturadas, estadísticas contaminadas y formularios que el personal termina ignorando, incluidas las consultas reales.

powermailrecaptcha es el complemento oficial de Powermail que integra Google reCAPTCHA v2 o v3 en los formularios Powermail. La extensión la mantiene in2code (el desarrollador de Powermail), lo que garantiza ciclos de actualización cortos y alta compatibilidad.

Escenarios de uso habituales

Formularios de contacto en webs corporativas. El escenario estándar: un formulario con nombre, email, mensaje y botón de envío. Sin CAPTCHA llegan entre 50 y 300 mensajes de spam al día, mayoritariamente con enlaces a sitios farmacéuticos o de apuestas. reCAPTCHA v3 (invisible, basado en puntuación) es ideal aquí: sin clic adicional para el usuario, los bots se detectan en segundo plano.

Formularios de candidatura con carga de archivos. Páginas de empleo donde los candidatos suben CV y carta de presentación son especialmente vulnerables al spam, porque los bots distribuyen malware a través de la función de carga. reCAPTCHA filtra las solicitudes automatizadas. Adicionalmente, debe estar activa una verificación de tipo de archivo en el servidor (solo PDF, DOCX) y una limitación de tamaño (máx. 10 MB).

Formularios multietapa con lógica condicional. Powermail puede construir formularios con condiciones: si se selecciona “Sector = Inmobiliario”, aparecen campos adicionales. En estos formularios basta un CAPTCHA en la última página antes del envío. powermailrecaptcha vincula la verificación al botón de envío por defecto, funcionando también en formularios multi-step.

Arquitectura técnica

powermailrecaptcha extiende Powermail mediante un Signal/Slot de TYPO3 (v11) o un Event PSR-14 (v12+). Al renderizar el formulario, se incluye el JavaScript de reCAPTCHA (desde google.com/recaptcha/api.js). Al enviar, el token reCAPTCHA se valida en el servidor: TYPO3 envía una petición POST a https://www.google.com/recaptcha/api/siteverify con el token y la Secret Key. Google responde con una puntuación (v3) o una confirmación (v2).

La configuración se realiza mediante constantes TypoScript: Site Key y Secret Key (de la Consola de Administración de Google reCAPTCHA), umbral de puntuación para v3 (por defecto: 0.5), versión de reCAPTCHA (v2 Checkbox, v2 Invisible o v3). Las claves se gestionan en el backend TYPO3 bajo Constants, idealmente mediante variables de entorno para que no acaben en el repositorio Git.

Problemas frecuentes y soluciones

Preocupaciones RGPD por la conexión con Google. reCAPTCHA carga JavaScript desde servidores de Google y transmite la dirección IP del usuario a Google. Tras la sentencia Schrems II y la interpretación cada vez más estricta de la AEPD y las autoridades europeas de protección de datos, esto supone un riesgo real. Solución: cargar reCAPTCHA solo cuando el usuario haya consentido vía banner de cookies (integración de consentimiento). O migrar completamente a alternativas europeas: Friendly Captcha (servidores en la UE, sin seguimiento), hCaptcha (más conforme al RGPD que reCAPTCHA, pero servidores en EE.UU.) o una estrategia pura de honeypot sin servicios externos.

reCAPTCHA v3 bloquea usuarios reales. El algoritmo de puntuación es una caja negra. Algunos usuarios reales (por ejemplo, detrás de VPN, con bloqueador de anuncios, en dispositivos antiguos) reciben puntuaciones bajas y se bloquean erróneamente. Solución: no fijar el umbral en 0.5 sino en 0.3, y añadir además un campo honeypot. Alternativa: mostrar un fallback a reCAPTCHA v2 Checkbox con puntuación baja, en lugar de bloquear directamente.

Conflicto de extensión con Content Security Policy. Desde TYPO3 v12, el Core soporta Content Security Policies (CSP). El JavaScript de reCAPTCHA desde google.com debe permitirse en la CSP; de lo contrario se bloquea. Solución: añadir en la configuración CSP script-src y frame-src para https://www.google.com/recaptcha/ y https://www.gstatic.com/recaptcha/.

Migración y compatibilidad de versiones

powermailrecaptcha es compatible con TYPO3 v11, v12 y v13 (esto último desde el Q1 2026). La extensión sigue el ciclo de releases de Powermail: cuando Powermail soporta una nueva versión de TYPO3, powermailrecaptcha se adapta en pocas semanas.

Para proyectos que quieran cambiar de reCAPTCHA a una alternativa más amigable con el RGPD, la migración es sencilla. Friendly Captcha ofrece su propio plugin para Powermail (powermail_friendlycaptcha) que funciona como reemplazo directo: instalar extensión, introducir claves, desactivar powermailrecaptcha. La configuración del formulario en Powermail permanece inalterada. Gosign recomienda Friendly Captcha como estándar para nuevos proyectos.

Un aspecto frecuentemente ignorado es la prevención de spam más allá de los CAPTCHAs. Powermail ofrece nativamente un campo honeypot (un campo de formulario invisible que solo los bots rellenan). En combinación con una verificación temporal (el formulario debe estar abierto al menos 3 segundos antes de poder enviarse), se filtra la mayor parte del spam automatizado sin servicios externos. Gosign aplica en proyectos donde la conformidad RGPD es prioritaria una estrategia de tres capas: honeypot y verificación temporal como primera capa (0 peticiones externas), Friendly Captcha como segunda capa (servidores UE) y análisis de contenido en servidor como tercera capa (densidad de enlaces, idioma, patrones de spam conocidos). Esta combinación alcanza una tasa de detección de spam superior al 99 % sin servicios de Google.