WordPress-Kontaktformulare vor Spam schützen

Gemischte Tüte /
WordPress-Kontaktformulare vor Spam schützen 2

Viele WordPress-Websites verwenden Kontaktformulare, um ihrem Publikum eine leichte, hürdenfreie Möglichkeit der Kontaktaufnahme anzubieten. Aber sobald ein Kontaktformular im Netz ist, werdet ihr täglich Spamnachrichten erhalten. Dabei spielt es keine Rolle, wie groß oder klein eure Website ist.

Die gute Nachricht, es gibt Wege, den Spam über Kontaktformulare zu stoppen. In diesem Artikel stelle ich euch einige Methoden vor, die Spammenge deutlich zu reduzieren, wenn nicht sogar ganz zu blockieren.

Inhaltsverzeichnis
  1. Was ist Spam und wieso wird er über Kontaktformulare verschickt?
  2. Wie stoppt man unerwünschten Spam?
  3. Fazit

Was ist Spam und wieso wird er über Kontaktformulare verschickt?

Spam wird in der Regel nicht von echten Personen, sondern von Spambots versendet. Das sind kleine bösartige Programme, die es auf Mailadressen, Passwörter oder einfach Link-Klicks abgesehen haben. Sie setzen dabei auf Quantität und durchforsten Website für Website nach einer Möglichkeit Formulare, Kommentare oder Mailadressen zu finden.

Spam ist in erster Linie ein Ärgernis und frustriert, sobald er überhand nimmt. Aber Spamnachrichten können durchaus auch gefährlich werden, wenn sie bösartige Links enthalten oder ihr die Kontaktaufnahme als Conversion nutzt.

Wie stoppt man unerwünschten Spam?

Es gibt verschiedene Wege die Spambots abzuwehren, aber alle von mir vorgestellten Methoden haben eins gemeinsam: Herausfinden, ob die Nachricht von einer echten Person oder von einem Programm stammt. Leider ist es so, dass im Laufe der letzten Jahre die Programme immer besser und die Tests dadurch immer ausgefeilter wurden.

CAPTCHA

CAPTCHA (Completely Automated Public turing Test to tell Computers and Humans Apart) ist ein Testverfahren zur Unterscheidung von Menschen und Computern. Auf Websites sind CAPTCHAs jedoch umstritten, da z.B. das Erkennen von verzerrten Buschstaben oder das Anklicken von Gegenständen wie Ampeln die Nutzererfahrung beeinträchtigt und im Widerspruch zu einem barrierefreien Internet steht. Solltet ihr dennoch ein CAPTCHA einsetzen wollen, achtet bitte darauf, es möglicht barrierearm zu gestalten.

WordPress-Kontaktformulare vor Spam schützen 3

Welche CAPTCHAs es zurzeit gibt:

Google reCaptcha

reCAPTCHA ist ein von Google entwickeltes CAPTCHA-System. Bei reCAPTCHA v2 wird eine bildbasierte Frage gestellt. Hier müssen die Besucher*innen alle passenden Quadrate auf dem Bild auswählen. Ihr kennt es alle: Ampeln, Fahrräder, Berge.

Bei reCAPTCHA v3 wird das Verhalten verfolgt ohne Besucher*innen abzufragen. Ihr klickt auf „Ich bin kein Roboter“ und im Hintergrund wird die Aussage verrifiziert. Aber was wird da genau untersucht und was passiert mit diesem Daten?

hCaptcha

Einen Gegenentwurf zu den Google CAPTCHAs möchte hCAPTCHA sein. Barrierefrei und datenschutzkonform klingt erstmal zu schön um wahr zu sein. Noch habe ich es nicht so oft gesehen, aber ich bin gespannt, wie sich hCAPTCHA entwickelt. Auf jeden Fall eine Alternative, bei der sich das Ausprobieren lohnen könnte.

Turnstile CAPTCHA

Cloudflare bietet mit Turnstile eine neue Lösung an, bei der die Website-Besucher*innen nicht aktiv werden müssen. Turnstile wählt automatisch Signale im Hintergrund des Browsers aus, ohne dabei Daten des Nutzers zu erfassen.

Das Verwenden von Turnstile ist kostenfrei, allerdings ist ein (kostenloses) Cloudflare Konto notwendig.

Quiz, Rätsel oder Aufgabe

Möchtet ihr auf externe Dienste verzichten, dann wäre ein eigenes CAPTCHA auch möglich. Ihr könnt am Ende des Kontaktformulars eine europäische Hauptstadt abfragen oder eine wortbasierte Matheaufgabe stellen. In vielen Fällen reicht das schon aus. Hier solltet ihr aber die Fragen regelmäßig ändern. Auch Spambots lernen mit der Zeit dazu.

Honeypot

Ein Mensch sieht das Formular als Bild, ein Spambot liest den Code. Diesen Unterschied macht sich die Honeypot-Methode zu Nutze. Dem Formular wird ein äußerst attraktiv beschriftetes Feld hinzugefügt, welches aber nicht sichtbar ist. Der Mensch füllt es deshalb nicht aus. Der Spambot liest es im Code und befüllt es. Zack, reingefallen in den klebrigen Honigtopf. Manchmal reicht nicht ein Honeypot, sondern man legt 2-3 an. Und auch hier gilt, immer mal wieder wechseln.

WordPress-Kontaktformulare vor Spam schützen 4
WordPress-Kontaktformulare vor Spam schützen 5

Antispam-Plugins

Es gibt spezielle Plugins, die sich auf das Erkennen von Spam spezialisiert haben. Schaut da bitte sehr genau hin. Das wirklich tolle Plugin Antispam Bee z.B. schützt nur Kommentarfelder, nicht das Kontaktformular. Manche Plugins arbeiten nur mit bestimmten Formularanbietern zusammen. Daher ist es schwer pauschal eine Empfehlung auszusprechen. Hier müsstet ihr ein bisschen ausprobieren, was Erfolg bringt.

Fazit

Verwendet ihr ein gängiges Formularplugin, so sind dort meist schon einige der genannten Methoden integriert oder per Add-on erweiterbar. Ich würde immer mit der simpelsten Methode starten – dem Honeypot. Wenn dieser weiterhin Spam durchlässt, dann kann man auch ein CAPTCHA probieren. Da mir Datenschutz sehr wichtig ist, nutze ich eigene CAPTCHAs wie Quizze. hCAPTCHA und Turnstile habe ich persönlich noch nicht verwendet, aber ich werde sie weiter verfolgen und in Zukunft bei hartnäckigen Fällen mal einen Versuch starten.

Verwandte Beiträge

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert