So verwendest du das WordPress Captcha, um deine Webseite zu schützen
Marc Wagner
Januar 25, 2023
Hallo, vielen Dank, wir freuen uns, dass du unseren Captcha Schutz verwendest. Unser Captcha ist vielseitig einsetzbar und ermöglicht es dir, deine Webseite effektiv zu schützen.
Unterstützte Plug-ins, Themes und WordPress Funktionen #
Wir entwickeln unser Plug-in stetig weiter. Falls dein Theme, dein Plug-in oder eine WordPress Funktion noch nicht unterstützt wird, kannst du gerne mit uns Kontakt aufnehmen. Wir prüfen, ob eine Integration möglich ist und fügen diese gerne hinzu.
Aktuell werden die folgenden Plug-ins, Themes und WordPress Funktionen unterstützt:
- WordPress Login
- WordPress Registrierung
- WooCommerce Login
- WooCommerce Regstrierung
- Avada Forms
- Contact Form 7
- Elementor Forms
Download und Installation #
Unser WordPress Captcha Plug-in kannst du bequem über den Plug-in Manager deiner WordPress Webseite installieren und aktivieren. Den Download findest du direkt auf WordPress Plugins.
Du kannst das Plug-in aber auch einfach über deine WordPress Webseite installieren und aktivieren.
Nach der Installation findest du den Link zu den Einstellungen direkt auf der linken Seite im Menü unter dem Punkt Forge12 Spam Protection.
So richtest du den Captcha Schutz auf deiner Webseite ein #
Öffne die Einstellungen des Plug-ins, in dem du auf den Menüpunkt Forge12 Spam Protection in der Navigationsleiste deines WordPress-Backends klickst.
Von hier aus kannst du die einzelnen Module deiner Webseite mit einem Captcha Schutz versehen.
Hinweis: Die Navigation kann bei dir anders aussehen. Abhängig davon, welche Plug-ins und Themes du verwendest. Einstellungen für Plug-ins und Themes, die nicht vorhanden sind, werden ausgeblendet.
Das Captcha System ist standardmäßig deaktiviert. Du musst daher jedes Modul manuell aktivieren.
WordPress Captcha für Login & Registrierung #
Wechsel in den Einstellungen des Captchas auf den Reiter WordPress.
Dort stehen dir nun die Optionen für das WordPress Login und die WordPress Registrierung zur Verfügung. Du kannst den Captcha Schutz durch das Bestätigen der Checkboxen “Enable Spam Protection for WordPress Login” und “Enable Spam Protection for WordPress Registration” aktivieren.
Die Protection Methode gibt an, welchen Captcha du verwenden möchtest. Wähle hier deine gewünschte Methode. Eine Erklärung der einzelnen Captcha Systeme findest du weiter unten.
Das Feld Fieldname bietet dir die Option, das Captcha-Feld umzubenennen. Um die Effektivität des Captchas zu steigern, solltest du einen eigenen Namen vergeben. Hier darfst du keine Sonder- oder Leerzeichen eingeben. Verwende am besten nur Zahlen und Buchstaben.
Beispiel WordPress Login
Das folgende Bild zeigt ein Beispiel, wie du für den WordPress Log-in den Captcha Schutz aktivierst. Es wird hierfür ein Bild Captcha verwendet. Zur Tarnung haben wir das Feld in “wohnung” umbenannt.
Beispiel WordPress Registrierung
Das folgende Bild zeigt ein Beispiel, wie du für die WordPress Registrierung den Captcha Schutz aktivierst. Es wird hierfür ein Arithmetic Captcha verwendet. Zur Tarnung haben wir das Feld in “vorname” umbenannt.
Sobald du die beiden Methoden aktiviert und das ganze gespeichert hast, wird auch schon das Captcha angezeigt.
WooCommerce Captcha für Login und Registrierung #
Du kannst den Captcha Schutz auch für die WooCommerce Anmeldung und Registrierung aktivieren. Hierzu wechselst du in den Einstellungen auf den Reiter WooCommerce.
Dort stehen dir nun die Optionen für die WooCommerce Anmeldung und die WooCommerce Registrierung zur Verfügung. Du kannst den Captcha Schutz durch das Bestätigen der Checkboxen “Enable Spam Protection for WooCommerce Login” und “Enable Spam Protection for WooCommerce Registration” aktivieren.
Die Protection Methode gibt an, welchen Captcha du verwenden möchtest. Wähle hier deine gewünschte Methode. Eine Erklärung der einzelnen Captcha Systeme findest du weiter unten.
Das Feld Fieldname bietet dir die Option, das Captcha-Feld umzubenennen. Um die Effektivität des Captchas zu steigern, solltest du einen eigenen Namen vergeben. Hier darfst du keine Sonder- oder Leerzeichen eingeben. Verwende am besten nur Zahlen und Buchstaben.
Beispiel WooCommerce Login
Das folgende Bild zeigt ein Beispiel, wie du für die WooCommerce Anmeldung den Captcha Schutz aktivierst. Es wird hierfür ein Honeypot Captcha verwendet. Für das Feld haben wir die Standardbenennung beibehalten.
Beispiel WooCommerce Registrierung
Das folgende Bild zeigt ein Beispiel, wie du für die WooCommerce Registrierung den Captcha Schutz aktivierst. Es wird hierfür ein Image Captcha verwendet. Zur Tarnung haben wir das Feld in “tagebau” umbenannt.
Sobald du die beiden Methoden aktiviert und das ganze gespeichert hast, wird auch schon das Captcha auf der WooCommerce Anmeldung- und Registrierung-Seite angezeigt.
WordPress Captcha für Kommentare #
Du kannst den Captcha Schutz auch für die WordPress Kommentare aktivieren. Hierzu wechselst du in den Einstellungen auf den Reiter Comments.
Dort stehen dir nun die Optionen für die Kommentare zur Verfügung. Du kannst den Captcha Schutz durch das Bestätigen der Checkboxen “Enable captcha protection” aktivieren.
Die Protection Methode gibt an, welchen Captcha du verwenden möchtest. Wähle hier deine gewünschte Methode. Eine Erklärung der einzelnen Captcha Systeme findest du weiter unten.
Das Feld Fieldname bietet dir die Option, das Captcha-Feld umzubenennen. Um die Effektivität des Captchas zu steigern, solltest du einen eigenen Namen vergeben. Hier darfst du keine Sonder- oder Leerzeichen eingeben. Verwende am besten nur Zahlen und Buchstaben.
Erweiterten Schutz aktivieren
Falls du trotz Captcha Schutz noch Spam Nachrichten bekommst, solltest du den zeitbasierten Schutz aktivieren. Wie das funktioniert, erklären wir dir hier.
Captcha für Contact Form 7, Avada Forms und Elementor #
Du kannst den Captcha Schutz auch für Contact Form 7 Formulare, Elementor Pro Formulare und für Avada Forms Formulare aktivieren. Hierzu wechselst du in den Einstellungen auf den Reiter Contact Form 7, Elementor bzw. Avada Forms (je nachdem welches Formularsystem du verwendest).
Dort stehen dir nun die Optionen für die Formulare zur Verfügung. Du kannst den Captcha Schutz durch das Bestätigen der Checkboxen “Enable Spam Protection for Avada Forms” bzw. “Enable Spam Protection for Contact Form 7” aktivieren.
Die Protection Methode gibt an, welchen Captcha du verwenden möchtest. Wähle hier deine gewünschte Methode. Eine Erklärung der einzelnen Captcha Systeme findest du weiter unten.
Das Feld Fieldname bietet dir die Option, das Captcha-Feld umzubenennen. Um die Effektivität des Captchas zu steigern, solltest du einen eigenen Namen vergeben. Hier darfst du keine Sonder- oder Leerzeichen eingeben. Verwende am besten nur Zahlen und Buchstaben.
Erweiterten Schutz aktivieren
Falls du trotz Captcha Schutz noch Spam Nachrichten bekommst, solltest du den zeitbasierten Schutz aktivieren. Wie das funktioniert, erklären wir dir hier.
Multiple Submission Protection
Die Funktion Multiple Submission Protection sorgt dafür, dass deine Formulare nicht mehrfach hintereinander abgesendet werden können. Es bietet zusätzlichen Schutz bei Brute-Force-Attacken gegen die Webseite. Aktiviere die Funktion, wenn du merkst, dass jemand versucht deine Formulare ständig mit dem gleichen Inhalt abzusenden.
IP Protection #
Die IP Protection ermöglicht es dir, IP-Adressen nach mehrmaligem Spam versandt für einen von dir definierten Zeitraum auszusperren. Wir empfehlen die Optionen nur zu aktivieren, wenn du trotz allen anderen Maßnahmen noch Spamnachrichten bekommst.
Die IP Protection loggt alle fehlgeschlagenen Captchas. Sobald das von dir definierte Limit in dem vorgegebenem Zeitraum erreicht wurde, wird die IP verschlüsselt in der Datenbank für den von dir definierten Zeitraum gesperrt.
Achtung: Es werden alle Captchas, die du in unserem Plug-in aktiviert hast, gewertet. Diese Option solltest du daher nur aktivieren, wenn du dir sicher bist, was du tust :)
Aktiviere die IP Protection in dem du die Checkbox bei “Enable IP Protection” setzt.
Mit dem Feld Max Retries legst du fest, wie häufig ein Formular als Spam gewertet werden muss, bis die IP-Adresse geblockt wird. Gibst du hier 3 ein, so darf der Besucher 3‑mal versuchen, das Bild Captcha zu lösen, bis er aus allen Formularen ausgeschlossen wird.
Das Feld Period for IP address block ermöglicht es dir, den Zeitraum zu wählen, wie lange eine IP-Adresse blockiert wird. Die Angabe erfolgt in Sekunden. Möchtest du eine IP-Adresse für eine Stunde blockieren, nachdem er das Limit erreicht hat, musst du hier 3600 eingeben. Möchtest du die IP-Adresse für einen Tag sperren, gibst du stattdessen 86400 ein.
Über das Feld Time interval for detection of subsequent attacks legst du Periode fest, in der die fehlgeschlagenen Formulare erfasst werden. Die Angabe erfolgt in Sekunden. Möchtest du etwa, dass alle fehlgeschlagenen Formulare der letzten Stunde berücksichtigt werden, gibst du hier 3600 ein. Nur wenn in diesen 3600 Sekunden das Limit aus Max Retries erreicht wurde, wird die IP-Adresse blockiert.
Empfehlung
Max Retries: 5
Period for IP address block: 86400
Time interval for detection of subsequent attacks: 600
Mit den Einstellungen von oben solltest du gute Ergebnisse erzielen. Natürlich kannst du die Werte jederzeit anpassen, um deinen Bedürfnissen zu entsprechen.
Erweiterter Schutz mit Filtern (Filter Rules) #
Zusätzlich zum Captcha Schutz kannst du diverse Filter aktivieren. Diese prüfen die Felder des Formulars und wenn ein Filter anschlägt, wird das Formular als Spam markiert.
URL Filter
Der URL Filter ermöglicht es dir, festzulegen, ob und wenn ja, wie viele Links in einem Formular übermittelt werden dürfen.
Außerdem kannst du eine individuelle Nachricht angeben, die deinen Besuchern angezeigt wird, wenn der Filter angeschlagen hat.
Empfehlung
Filter aktivieren
Limiter: 1
Error Message: Auf Standard belassen
In der Regel braucht man nie mehr als eine, maximal zwei URLs pro Formular. Schau am besten einmal über deine Formulare und zähle, was die maximale Anzahl an Links ist, die du in deinen Formularen abfragst. Setze anschließend den Filter und den Limiter ein.
BB Code Filter
Der BB Code Filter verhindert das Versenden von Nachrichten, die BB Code enthalten ([url][/url] …). Bisher ist uns noch keine Seite untergekommen, die BB Code verwendet, jedoch viele Bots, die dadurch versuchen, URLs einzubauen. Es wird nur nach dem BB Code für URLs geschaut. Andere BB Code angaben werden weiter durchgelassen.
Empfehlung
Filter aktivieren
Blacklist
Mit der Blacklist kannst du beliebige Wörter und Teile von Wörtern sperren. Füge einfach ein Wort pro Zeile ein. Möchtest du “Mutter” sperren, trägst du “Mutter” in eine neue Zeile ein.
Die Checkbox “Enable/Disable greedy filter” gibt an, ob du nur ganze Wörter oder auch Teilvorkommen als Spam markieren möchtest.
Aktiviere den “Greedy” Filter nur, wenn du eine eigene Liste erstellst. Falls du mit der importierten Liste von unserem Server arbeitest, solltest du den “Greedy” Filter deaktivieren.
Beispiel: Du setzt das Wort “com” auf die Blacklist und aktivierst den “Greedy” filter. Nun werden auch alle Teilstrings wie “Community”, “Computer”, “Composer” oder aber “forge12.com” als Spam markiert.
Empfehlung
Filter aktivieren
Greedy Filter deaktivieren
Load predefined Blacklist (von unserem Server laden)
Time Based Protection aktivieren #
Falls du trotz Captcha Schutz noch Spam Nachrichten bekommst, solltest du den zeitbasierten Schutz aktivieren. Dieser prüft, wie viel Zeit vom Öffnen der Seite bis zum Versenden des Formulars vergangen ist.
Erklärung: Ein Bot scrollt nicht durch die Webseite, sondern sucht explizit nach Formularen. Daher vergehen vom Laden der Seite bis zum Versenden des Formulars meist nur Sekunden.
Du kannst den erweiterten Schutz durch einen Klick auf “Enable to track the time from entering till submitting the form” aktivieren.
Mit dem Feld Time in Milliseconds legst du fest, wie viele Millisekunden mindestens vergangen sein müssen, damit das Absenden nicht als Spam eingeordnet wird. Je nach Länge des Formulars kannst du hier einen Wert frei wählen. Empfohlen: 500 bis 1000.
Das Feld Feldname bietet dir die Option, das Time Based Protection Feld individuell zu benennen. Du kannst die Einstellungen so belassen.
Die Time Based Protection steht dir für Contact Form 7, Avada Forms und Kommentare zur Verfügung.
Beispiel Time Based Protection für Kommentare
Das folgende Bild zeigt ein Beispiel, wie du für die Kommentare die Time Based Protection aktivierst. Wenn das Formular in weniger als einer halben Sekunde (500 ms) ausgefüllt wird, definiert unser System die Nachricht als Spam. Das Formular wird also nicht versendet.
Honeypot, Arithmetic und Image Captcha #
Du kannst für alle Bereiche einen der drei Captcha Methoden auswählen. Abhängig davon, welchen du wählst, müssen deine Besucher andere Aufgaben ausführen.
Honeypot
Der Honigtopf ist ein unsichtbares Feld. Der Trick dahinter ist es, einen Bot dazu zu bringen, das Feld auszufüllen. Ein normaler Besucher würde das Feld nämlich gar nicht erst sehen. Ist das Feld also ausgefüllt, ist das ein Indiz dafür, dass das Formular von einem Bot ausgefüllt wurde. Dadurch dass der Besucher hier nichts machen muss, ist das die beliebteste Version des Captchas, aber nicht die sicherste. Wähle diese Option, wenn du es deinen Besuchern leicht machen möchtest, deine Formulare zu versenden.
Arithmetic — das “Mathematik”-Captcha
Das Arithmetic-Captcha stellt deinen Besuchern eine Rechenaufgabe. Nur, wenn Sie diese Rechenaufgabe lösen konnten, wird das Formular abgesendet. Die Rechenaufgabe wird zufällig erzeugt. Es handelt sich aber um leichte Aufgaben und keine komplexen Formeln. Das Captcha erfordert etwas Aufwand vom Besucher, ist aber sicherer als das Honeypot Captcha.
Image Captcha — die Bildlösung
Das Image-Captcha erzeugt ein Bild aus einer zufälligen Zahlen- und Buchstabenkombination. Diese muss der Besucher dann eingeben, um das Formular zu übermitteln. Diese Lösung ist bisher am effektivsten gegen Spam, da die Bots sich noch schwer damit tun, Bilder zu lesen.
Logs aktivieren #
Du hast in den Plug-in Einstellungen die Möglichkeit, die Logs zu aktivieren. Sobald du diese aktivierst, werden alle Formulare erfasst. Es wird abgespeichert, ob ein Formular gesendet werden konnte oder ob dieses als Spam markiert wurde.
Die Logs dienen dazu, die idealen Einstellungen für deine Formulare festzulegen. Erhältst du zum Beispiel viel Spam, kannst du dir die Nachrichten dort ansehen und notwendige Maßnahmen ergreifen. Gleiches gilt, wenn du plötzlich keine Nachrichten mehr bekommst und du nicht weißt, welcher Captcha Mechanismus dafür verantwortlich ist.
Artikel von:
Marc Wagner
Hallo, Marc hier. Ich bin der Gründer von Forge12 Interactive und bereits seit über 20 Jahren leidenschaftlich dabei Webseiten, Onlineshops, Anwendungen und SaaS-Lösungen für Unternehmen zu entwickeln. Vor der Gründung habe ich bereits in Börsen notierten Unternehmen gearbeitet und mir allerlei Wissen angeeignet. Dieses Wissen möchte ich nun an meine Kunden weitergeben.
Hallo eine Frage:
ich habe gesehen das mehrere Captcha Felder aktuell nicht möglich sind auf einer Seite ist das richtig?
Weil wir mindestens immer 2 brauchen auf einer Seite. Aktuell ist es so, dass die Rechenaufgabe beim zweiten Formular nicht erscheint sondern nur das Captcha Feld.
Gibt es dafür eine Einstellung oder Lösung?
Hallo Julian, du kannst auch mehrere Captchas auf einer Seite einbauen. Dafür musst du die Captchas jedoch individuell aktivieren (z.B. für jedes CF7 Formular einzeln). Achte dabei darauf, dass du für jedes Captcha einen eigenen Namen vergibst. Gerne kannst du uns auch einen Link zu deiner Seite zukommen lassen, dann schauen wir uns das Problem gerne einmal genauer an.
Viele Grüße
Marc von Forge12
Hallo,
Danke für das Plugin.
Kurze Frage: Ich habe im Quelltext gesehen, dass das Honeypot ein Hidden-Feld ist, welcher Bot füllt bzw. ändert denn ein Hidden-Feld? Wäre ein verstecktes Textfeld nicht sinnvoller oder übersehe ich da etwas?
Danke, schöne Grüße.
Hallo, das wurde korrigiert. Danke für die Meldung.
Hallo,
vielen Dank für das PlugIn.
Gibt es eine Möglichkeit die Einträge in den Logfiles auf einmal zu löschen, ohne diese in 20iger oder 100er Paket vorab in den Papierkorb zu senden. Wir haben aktuell 25.000 Log-Einträge :-(
Viele Grüße,
Daniel
Hallo Daniel,
danke für deine Anfrage. WIr haben gerade Version 1.12.1 veröffentlicht. Dort findest du unter Settings -> Database -> Logs die Möglichkeit, alle Einträge zu löschen. Außerdem haben wir die Logs nun in den WP Cron aufgenommen — es werden nun wöchentlich alle älteren Einträge gelöscht (3 Wochen).
Viele Grüße
Marc von Forge12
I want to set up a honet pot for contact form 7.
It works well however it gives me a gap between my text field and my button. Which seems logical to me since there is an “invisible” field
How could this margin be removed?
Because the plugin adds me a span inside which there is the input + an empty label and outside the span another imput field
By putting a “display none” on one of the elements, could this cause problems?
Hey Marc, danke für das tolle Plugin! Ich hab ein Falsch-Positiv von Gravity Forms im Log. Gibt es eine Möglichkeit, den Eintrag zu Gravity Forms durchzulassen, d.h. die Markierung als Spam wegzunehmen?
Oder gibt es einen Hook, um z.B. JS Validation und / oder Captcha für einzelne Formulare zu deaktivieren?