Meinen Kunden empfehle ich für Formulare in den meisten Fällen das kostenpflichtige Plugin Gravity Forms, weil es meiner Meinung das beste WordPress Formular-Plugin ist. Oft haben meine Kunden auch Contact Form 7 im Einsatz. Bei fast allen stark frequentierten Websites mit Formularen kommt es heutzutage zu vielen Spameinträgen durch Bots. In diesem Artikel gebe ich einige Tipps zur Abwehr.

Letztes Update: 7. September 2021, online seit 16. August 2021

Captcha ist tot

Das normale Captcha ist nicht mehr zu empfehlen, weil es mittlerweile von Bots umgangen werden kann.

Honeypot

Der Begriff ist vielleicht nicht allen geläufig, daher hier die Definition von Honeypot laut Wikipedia: „Als Honigtopf, Honigtöpfchen oder auch englisch honeypot wird eine Einrichtung bezeichnet, die einen Angreifer oder Feind vom eigentlichen Ziel ablenken soll oder in einen Bereich hineinziehen soll, der ihn sonst nicht interessiert hätte – z. B. in Form eines Scheinzieles.“

Zu Honeypot wird noch immer in vielen Artikeln geraten, aber durch einen Praxistest bei einem Kunden Anfang 2021 habe ich gemerkt, dass nur diese Methode zu viel Spam durchlässt. Deshalb ist meine persönliche Empfehlung neben Honeypot noch einen zweiten Abwehrmechanismus zu verwenden.

Honeypot & Gravity Forms

Bei Gravity Forms ist diese Funktion eingebaut, man muss diese nur aktivieren. Ich habe aber gesehen, dass es eine Möglichkeit gibt die 4 unsichtbaren Felder umzubenennen. Das könnte helfen, weil die Bots wohl den Standard gelernt haben.

Bei der Verwendung von Gravity Forms und aktiviertem Honeypot kann man den folgenden Code in der functions.php Child-Theme einfügen:

/* Gravity Forms Honeypot – own custom labels */
add_filter( ‚gform_honeypot_labels_pre_render‘, function ( $honeypot_labels ) {
return array( ‚Feldname1‘, ‚Feldname2‘, ‚Feldname3‘, ‚Feldname4‘ );
} );

Eine englische Erklärung findet man auch auf der Website von Gravity Forms unter gform_honeypot_labels_pre_render

Honeypot & Contact Form 7

Für das weit verbreitete Plugin Contact Form 7 gibt es das Plugin Honeypot for Contact Form 7. Neben dem klassichen Honeypot erlaubt das Plugin auch eine Einstellung, mit der man steuern kann wie viele Sekunden der Besucher für das Ausfüllen mindestens benötigen muss. Ein Bot wird dies in Sekundenbruchteilen erledigen, ein realer Besucher wird ein paar Sekunden benötigen. Ich habe das Plugin seit Anfang September 2021 bei einer Kundin im Einsatz und werde berichten wie gut es funktioniert.

Google reCaptcha v3

Häufig wird zu Google reCaptcha geraten, das kennst du sicher. In der neuesten Version 3 muss der Besucher kein Rätsel mehr lösen, sondern die Bots werden automatisch erkannt. Leider ist das was die DSGVO betrifft nicht zu empfehlen, weil Google Daten über den User sammelt. Außerdem lädt Google reCaptcha v3 ein großes externes JavaScript-File (bei meinen Tests 132 KB), das auf jeder Seite eingebunden wird, um eben die Bots zu erkennen. Das wirkt sich negativ auf die Geschwindigkeit der gesamten Website aus.

Einfaches Frage-Feld

Oft wird auch zu einer einfachen Frage + Feld geraten, z.B. „Wie viel ist vier plus fünf?“. Ich hatte eine Zeit lang ein einfaches Formular des Themes DIVI mit so einer mathematischen Aufgabe auf meiner Website. Als zu viel Spam kam, hab ich das Formular deaktiviert. Ich glaube die Bots sind genauso wie bei Captcha zu gut geworden.

Mehrseitige Formulare

Auch ein mehrseitiges Formular soll helfen, weil die Bots nur für eine Seite ausgelegt sind. Das macht bei kurzen Formularen allerdings keinen Sinn, weil es die Conversion Rate wahrscheinlich verringert. Ich habe bisher leider keinen Kunden, bei dem mehrseitige Formulare Sinn gemacht hätten. Sobald es soweit ist, werde ich darüber berichten.

Formularseiten aus Google-Index entfernen

Ein Tipp in diversen Foren ist die Seiten mit Formularen aus dem Google-Index zu nehmen. Das kann man bei allen Websites umsetzen, wo die Formulare ohne weiteren Content auf einer eigenen Seite sind. Es ist natürlich nicht ratsam, wenn das Formular am Ende einer wichtigen Landingpage aufscheint, denn dann würde die ganze Seite nicht von Google indiziert.

Kostenpflichtiges Tool Akismet

Es gibt das kostenpflichtige Tool Akismet, das Formulareinträge mit einer globalen DB abgleicht und so Spam erkennt. Kostet aber 90 EUR pro Jahr.

Kostenloses Plugin für Gravity Forms

Es gibt neben einigen kostenpflichtigen Plugins auch das kostenlose Plugin Gravity Forms Zero Spam. Ich habe das Plugin bei einem wichtigen Kunden seit mehreren Monaten im Einsatz und habe zusammen mit Honeypot gute Erfahrungen gemacht.