2019
Contact Form 7 Honeypot
Das Plugin Contact Form 7 Honeypot ist ein einfaches Spamschutz Plugin für Contact Form 7. Es lässt sich einfach nachzurüsten, um Formulare vor Spambots zu schützen. Und das alles, ohne irgendwelche nervigen Captchas oder externes Laden von JavaScript, durch die reCAPTCHA Funktion von Google.
Seitdem wir mit WordPress angefangen haben, nutzen wir Contact Form 7 für das Erstellen von Formularen. Dieses Plugin hat uns immer gute Dienste geleistet.
Spamabwehr für WordPress Formulare
Im Laufe der Jahre haben sich aber die Anti-Spam-Maßnahmen geändert. Contact Form 7 hatte am Anfang keinen eigenen Spamschutz, es gab aber viele zusatz Add-ons wie zum Beispiel Really Simple CAPTCHA, um Contact Form 7 spamfrei zu bekommen.
Aus Sicht der Usability und Accessibility waren die ursprünglichen Captchas Nutzer unfreundlich. Meistens konnte man die Buchstabenketten nicht wirklich erkennen, da sie durch verzerrte Texte und Hintergrundmuster kaum lesbar gemacht worden.
Erst Google’s reCAPTCHA v2 schaffte Abhilfe. In den meisten Fällen brauchte da nur noch durch einen Klick eine Checkbox bestätigt werden, was für Bots schon ein Problem darstellte. Später mit Invisible reCAPTCHA, verschwand das Captcha sogar vollständig im Hintergrund.
reCAPTCHA wurde mit der Version 4.3 bei Contact Form 7 integriert, damit keine zusätzlichen Plugins mehr gebraucht wurden. Dank der komfortablen Implementierung und der verbesserten Usability wurde es Lange als Spamabwehr benutzt.
Google reCAPTCHA und der Datenschutz
Der Datenschutz rückt durch die DSGVO (Datenschutz-Grundverordnung) wieder starker in den Fokus. Da Google’s reCAPTCHA Javascript von Google Servern lädt und hier die IP-Adresse von Besuchern erhält, haben wir auf eine Alternative Lösung umgestellt.
Contact Form 7 Honeypot
Ein einfaches Plugin für Anti-Spam-Funktionalität ist Contact Form 7 Honeypot. Das Add-on lässt sich einfach downloaden und ist auf über 200.000 Seiten aktiv.
Für uns war es wichtig, eine gute Alternative gegen reCAPTCHA zu finden. Alles andere wäre nur ein Rückschritt aus der Usability-Sicht. Zum anderen, hat der Spamschutz zuverlässig zu funktionieren.
Funktionsweise von Honeypot
Daher klang Honeypot nach der perfekten Lösung. WordPress hat eine sehr schöne Erklärung der Funktionsweise geschrieben:
“Das Prinzip eines Honeypot ist einfach – Bots sind dumm. Während mancher Spam von Hand erzeugt wird, kommt die große Mehrheit von Bots, die auf eine spezielle (großflächige) Art geschrieben sind, um Spam über die meisten bekannten Formular-Typen zu versenden. Auf diese Art füllen sie blind Felder aus, unabhängig davon, ob sie zwingend sind oder nicht. So fängt ein Honeypot den Bot – er führt ein zusätzliches Feld ein, das das Formular ungültig macht, wenn es ausgefüllt ist.”
– Quelle: WordPress.org
WordPress Spamschutz für Contact Form 7 konfigurieren
Das Plugin funktioniert sehr einfach.
Ein neuer Button steht bereit nach der Installation bereit, um ein Honeypot-Feld zu kreieren. Im Frontend wird das Feld per CSS unsichtbar gemacht. Spambots füllen das Feld fälschlicherweise aus, tappen in die Falle und die Abfrage wird abgelehnt.
Es wird bei der Generierung vom Honeypot-Felds empfohlen, eine andere Bezeichnung als den Standard Namen “honeypot” zu verwenden, damit die Bots es schwieriger haben. Ein typischer Text wie E-Mail, Vorname oder Website ist besser. Es wird unter anderem auch empfohlen, zwei Honeypot Felder einzufügen, um es den Bots noch schwerer zu machen.
Wie zuverlässig ist das Plugin?
Contact Form 7 Honeypot arbeitet eigentlich nur mit Hidden Fields. Daher verspricht das Plugin erst gar nicht, jeden Spam abhalten zu können. Google’s reCAPTCHA Verfahren wird bei sehr intelligenten Bots einen noch besseren Schutz haben.
Spambots werden ständig angepasst, wodurch das Plugin wahrscheinlich irgendwann nicht mehr funktioniert. Aber bis dahin ist es eine sehr gute Alternative für Captchas.