Wie so viele andere WordPress Betreiber setze auch ich das kostenfreie Kontaktformular-Plugin Contact Form 7 auf meinen Seiten ein.
Ich will jetzt hier auch keinen Beitrag zur Diskussion „welches ist das beste Formular-Plugin für WordPress“ leisten – wer das Geld hat, benutzt einfach Gravity Forms und gut ist.
Dafür will ich kurz ein paar Tips geben, wie man CF7 gegen Formular-SPAM absichern kann.
Bleiben nur noch ein paar Erweiterungen für CF7 selbst.
Lange Zeit habe ich auf die Einbindung eines Captcha gesetzt. Das funktioniert technisch gesehen ganz gut, aber bildet dann doch eine gewisse Hemmschwelle beim Ausfüllen des Formulars. Und auch optisch ist es nicht so der Bringer. Ergo, wieder deaktiviert.

CF7 bietet von Haus aus ein Quiz Feld an, das konzeptionell wie ein Captcha arbeitet. Es ist textbasiert und der Nutzer muss die richtige Antwort auf die Frage eingeben. Frage und Antwort können vom Formularersteller individuell festgelegt werden. Auch mehrere Fragen sind möglich, die dann durchrotieren. Vorteil: die Methode ist relativ effektiv und nicht so kryptisch wie manch verzerrtes Captcha-Bild. Nachteil: die Nutzer müssen dennoch ein zusätzliches Feld ausfüllen, was die Hemmschwelle heraufsetzen kann.


In Foren und Artikeln zu WordPress Formularen bin ich dann auf das Contact Form 7 Honeypot Plugin aufmerksam geworden. Nach dem Installieren und Aktivieren des Plugins steht in der Tag-Liste von CF7 ein neuer Tag „Honeypot“ zur Verfügung. Der dort generierte Shortcode wird einfach in das Formular eingefügt (Position usw. egal). Im Frontend wird das Element optisch durch visibility:hidden und display:none versteckt, nur die SPAM-Bots registrieren das Feld und füllen es aus; was ihr großer Fehler ist – weil sie dadurch als Spammer erkannt und gebannt werden.
Vorteil: bei dummen SPAM-Bots effektiv, Hemmschwelle wird gesenkt durch Wegfall eines Sicherheitsfeldes. Nachteil: manueller SPAM geht trotzdem durch und intelligente SPAM-Bots erkennen u.U. die Falle.
Momentan setze ich weitestgehend auf die Quiz-Lösung. Bilder-Captcha kommen gar nicht mehr zum Einsatz. Die sind einfach zu nervig.
Auf einer Seite teste ich jetzt allerdings die Honeypot-Lösung bei gleichzeitigem Wegfall des Quiz-Feldes.
Welche Möglichkeiten Contact Form 7 Formulare gegen SPAM zu schützen fallen euch ein?
Anmerkungen gerne in den Kommentaren.