Wir nutzen das WordPress Plugin Contact Form-7 wie ca. 5 Millionen andere WordPress Administratoren. Eines Tages hatten wir extrem große Angriffe über das Contact-7 Plugin und haben nach einer Lösung gegen SPAM-Angriffe gesucht und gefunden. In diesem Artikel wollen wir die richtige Konfiguration kurz beschreiben. Feedback ist willkommen.
Was aber kaum ein Administrator oder WordPress-Betreiber weiß, dass es zusätzliche Parameter in dem WordPress Plugin Contact Form-7 gegen SPAM-Angriffe gibt.
Auf der WordPress-Plugin Webseite steht:
“Wordpress Plugin “Contact Form-7″ kann zahlreiche Kontaktformulare verwalten und du kannst das Formular und E-Mail-Inhalte flexibel mit einfachem Markup anpassen. Das Formular erlaubt Ajax-unterstütztes Senden, CAPTCHA, Akismet Spam-Filterung und so weiter.”
Zusammen mit den drei Erweiterungen bzw. Plugins:
Honeypot for Contact Form 7
Diese einfach Erweiterung zum wunderbaren Contact Form 7 (CF7) Plugin fügt eine grundlegende Honeypot Anti-Spam Funktionalität hinzu um Spambots ohne hässliches CAPTCHA abzuwehren.
ReCaptcha v2 for Contact Form 7 (Google)
“Zeigt noCaptcha oder unsichtbares Captcha in Kommentar-Formularen (hinter den Kommentarfeld und vor dem Senden-Button), WordPress Plugin “Contact Form-7″, bbPress, BuddyPress, WooCommerce, Anmeldung, Registrierung, bei verlorenem Passwort und beim Passort zurücksetzen. Es kann auch leicht in jedes andere Formular eingebunden werden.”
Akismet Anti-Spam
“Akismet überprüft deine Kommentare und Kontaktformular-Übermittlungen gegen unsere globale Spam-Datenbank, um zu verhindern, dass deine Website böswillige Inhalte veröffentlicht. Du kannst den Kommentar-Spam überprüfen, der unter dem Admin-Bildschirm „Kommentare“ deines Blogs erfasst wird.”
Los gehts!
Das WordPress Plugin “Contact Form-7” ist sehr mächtig und umfangreich. Mit diesen Zusammenspiel der Plugins wird eine starke Abwehr gegen SPAM-Bots gebildet. Wir wollen in diesem Artikel die genaue Konfiguration beschreiben, die wir uns auch aus vielen anderen Hinweisen, Tipps und Dokumentationen zusammen gesucht und ausprobiert haben.
Contact Form-7: schwarz oder weiß?
Je nach Geschmacksfrage und Webseiten-Layout ist es ansprechend, wenn die Standard-Eingabefelder nicht in der Farbe weiß, sondern vielleicht in schwarz sind.
Dazu haben wir direkt in den Code für das Contact Form-7 die beiden css-Befehle class:dark-input class:wpcf7_balloon geschrieben. Pro Eingabefeld sollten dann beide css-Anweisungen eingetragen werden.
SPAM-Abwehr Nr.1: Die Auswahl-Box
Wir haben die Erfahrung gemacht, das eine Auswahlfeld mit verschiedenen vorgegeben Feldern so einige SPAM-Bots abschreckt oder ins stolpern bringt. Wir haben mit drei Felder unser Kontakt-Formular bestückt.
[select* auswahltreffen class:dark-input class:wpcf7_balloon include_blank "Allgemeine Anfrage" "Anmelde und Login Probleme" "Partnerschaften und Kooperations-Anfrage"]
SPAM-Abwehr Nr.2: Akismet Anti-Spam einsetzen
Hier kommt das Plugin Akismet Anti-Spam zum Einsatz. Es wird der Name und die Email-Adresse durch Akismet geprüft.
- your-name akismet:author
- akismet:author_email
Der Code sieht wie folgt aus:
[text* your-name akismet:author class:form-control class:dark-input class:wpcf7_balloon placeholder "Beispiel: John Doe"]
[email* your-email akismet:author_email class:form-control class:dark-input class:wpcf7_balloon placeholder "Beispiel: email@example.com"]
SPAM-Abwehr Nr.3: Textlänge begrenzen
Auch das begrenzen von Zeichen im Kontakt-Formular kann schon SPAM-Bots aufhalten.
- minlength:10 maxlength:300
Der Code sieht wie folgt aus:
[textarea your-message class:form-control class:dark-input class:wpcf7_balloon rows:10 minlength:10 maxlength:300]
SPAM-Abwehr Nr.4: DSGVGO Zustimmung
Je nach DSGVGO Plugin musst im Kontakt-Formular die Zustimmung angeklickt werden. Ein weiteres Hindernis für SPAM-Bots.
- “Mit der Nutzung dieses Formulars erklärst du dich mit der Speicherung und Verarbeitung deiner Daten durch diese Website einverstanden.“
SPAM-Abwehr Nr.5: QUIZ einbauen
Eine einfache Quiz-Abfrage sollte ausreichen, um SPAM-Bots zu stoppen. Wichtig, keine Zahlen in der Frage eintragen, sondern alles ausschreiben. Die Antwort sollte dann nummerisch sein um die Bots zu verwirren.
Der Code sieht wie folgt aus:
[quiz quiz-9 class:form-control class:dark-input class:wpcf7_balloon "Wie viel sind drei minus zwei? Bitte Zahl eingeben:|1"]
SPAM-Abwehr Nr.6: recaptcha
Die Google recaptcha Abfrage “Ich bin kein Roboter” sollte auf keinen Fall fehlen.
[recaptcha]
SPAM-Abwehr Nr.7: Honeypot
Im Plugin-Test steht:
“Das Prinzip eines Honeypot ist einfach – Bots sind dumm. Während mancher Spam von Hand erzeugt wird, kommt die grosse Mehrheit von Bots, die auf eine spezielle (grossflächige) Art geschrieben sind um Spam über die meisten bekannten Formular-Typen zu versenden. Auf diese Art füllen sie blind Felder aus, unabhängig davon ob sie zwingend sind oder nicht. So fängt ein Honeypot den Bot – er führt ein zusätzliche Feld ein, das das Formular ungültig macht, wenn es ausgefüllt ist.”
Der Code sieht wie folgt aus:
[honeypot web-6 validautocomplete:true nomessage:true]
Contact Form-7: Zusätzliche Einstellungen
Nicht vergessen im Contact Form-7 Plugin, unter dem Reiter Zusätzliche Einstellungen diese Zeile einzutragen:
acceptance_as_validation:on
SPAM-Abwehr: Fazit
Das WordPress Plugin “Contact Form-7” ist über 5 Millionen mal installiert worden. Durch die Hilfe von vielen kleinen Helfer (Plugins), wird es den automatischen SPAM-Bots extrem schwer gemacht, das Kontakt-Formular als SPAM-Schleuder zu nutzen. Mit der richtigen Konfiguration sollte das Kontaktformular “sicher” sein 🙂
Zum Schluss sollte das perfekte Kontaktformular so aussehen:
Jetzt bist du an der Reihe!
Hat dir mein Artikel gefallen? Du hast noch Fragen oder Anregungen? Ich freuen mich auf deine Meinung!
Schreib Dein Feedback in das Kommentarfeld am Ende des Artikels, oder nutze unser Forum.
Eine Anmeldung ist auch über Facebook jetzt möglich.
Das Netz-Zoom–Team steht euch für Fragen, Anregungen oder auch Kritik zu unserem Testberichten und Artikeln gerne zur Verfügung. Unser Diskussionsforum ist für jeden offen, eine Anmeldung ist kostenlos.
Wir suchen Gastautoren, Redakteure und News-Poster die mit uns zusammen die Community aufbauen möchten. Falls Du Interesse hast unser Team zu unterstützen, dann nutze bitte unser Kontakt-Formular.
Wir alle wissen, daß “Netz” lebt von interessanten Blog-Beiträgen, deshalb teile bitte unseren Artikel mit deinen Freunden und Bekannten 🙂
Update der Beschreibung
Hallo an alle!!!
Die Beschreibung, wie man CF7 gegen SPAM etc. absichern kann , die ist verständlich und sehr gut geschrieben!!
Etwas unsicher bin ich noch, was “recaptcha” betrifft. Da gibt es neben V2 inzwischen auch die V3, und da ist zu lesen, dass es bei V3 keine Anzeigen (zB. “ich bin kein Roboter”) mehr geben soll?
Ebenso finde ich im CF7-Formulareditor keine Tag-Schaltfläche für “recaptcher” mehr!
Der SPAM – Test, wie in “Akismet” beschrieben, der schlägt bei mir auch fehl, d.h. es werden SPAM-mails zugestellt, und die orange umrandete Fehlermeldung kommt NICHT!!!
Hallo,
ich habe speziell für das Kontaktformular die reCAPTCHA Version V.2 genommen, gerade damit das Fenster “ich bin kein Roboter” eingeblendet wird.
Super Anleitung, gut verständlich und praktisch nachvollziehbar!!!
Wie geht es aber in reCAPTCHA Version V.3 damit weiter?
reCAPTCHA Version V.3 ist nur interessant, wenn das reCAPTCHA Fenster “ich bin kein Roboter” NICHT angezeigt werden soll
Update: Der Artikel wurde heute überarbeitet und aktualisiert!