Spam ver­hin­dern mit „Con­tact Form 7“

Wer unter Word­Press ein Kon­takt­for­mu­lar ein­rich­ten möch­te, hat mög­li­cher­wei­se schon von „Con­tact Form 7“ den Namen gele­sen. Es ist eins der meist­ge­nutz­ten Kon­takt­for­mu­lar-Plugins. Sein gro­ßer Vor­teil liegt dar­in, beson­ders anpas­sungs­fä­hig zu sein.

Heu­te nun ein Bei­trag dar­über, wie man ohne frem­de Scrip­te ande­rer Web­dienst­an­bie­ter und ohne Goo­g­les „reCAP­T­CHA“ das For­mu­lar gegen Spam sichern kann.

Inhalts­ver­zeich­nis

Über „Con­tact Form 7“

Der Autor des Plugin ist Takayu­ki Miyo­shi. Mit mehr als 5 Mil­lio­nen akti­ven Instal­la­tio­nen ist es erwie­sen, dass es ein her­vor­ra­gen­des Pro­gramm ist. Es exis­tiert in 53 Spra­chen, unter ande­rem auch in Deutsch.

Eine deut­sche Beschrei­bung ist unter https://de.wordpress.org/plugins/contact-form-7/ zu fin­den. Von dort stammt auch der Screen­shot im Titel­bild.

Die Beliebt­heit des Plugins ist so stark, dass vie­le Men­schen für “Con­tact Form 7” zusätz­li­che Plugins erstellt haben, die meist sinn­vol­le Ergän­zun­gen sind. Ein Bei­spiel ist der “Con­tact Form 7 Honey­pot”.

Spam-Abwehr

Wes­halb soll­te man sich vor Spam schüt­zen, nur falls jemand noch kei­ne Ant­wort dar­auf gefun­den hat, hier eine Aus­wahl.

  • Es raubt Zeit, allein Spam zu löschen, aber auch im Kopf zu fil­tern “Ist das jetzt Spam oder doch etwas seriö­ses?”
  • Je weni­ger Spam über­haupt ankommt, um so sinn­lo­ser ist der Zeit­auf­wand der Spa­mer
  • Je weni­ger Spam wei­ter­ge­lei­tet wird, um so schnel­ler ist das Inter­net ins­ge­samt
  • Und die E-Mail-Kon­ten sind bei eini­gen Anbie­tern auch limi­tiert
  • Außer­dem gibt es noch das Limit der Tari­fe für Smart­pho­nes
  • Mit Spam kön­nen auch Links zu bös­ar­ti­gen Web­sei­ten ankom­men
  • Anhän­ge kön­nen mit Schad­soft­ware belas­tet sein, wie bei­spiels­wei­se die­ser Fall oder die­ser Fall oder auch die­ser Fall

Um die Flut von Spam ein­zu­däm­men gibt es unter­schied­lichs­te Metho­den.

Wel­che ich nicht nut­ze sind die­se, Cap­t­chas von Goog­le, also Wort- und Bil­der­ken­nung sowie “Aski­met Anti-Spam”. Denn bei bei­den über­las­se ich die Kon­trol­le ande­ren, muss ich mich anmel­den, muss ich mei­ne Web­sei­te mit­tei­len oder wie im Goog­le-Fall, über­haupt erst mal eine E-Mail-Adres­se anle­gen.

Die bes­te Lösung ist es, ein eige­nes PHP-Script schrei­ben. Doch wer es kann, hat meist zu wenig Zeit sich inten­siv damit zu befas­sen, obwohl es eine loh­nen­de Auf­ga­be ist, wenn meh­re­re davon Nut­zen zie­hen kön­nen.

Als ein­fachs­te Lösung für jeder­mann, also ohne Kennt­nis­se von Script­spra­chen und Fremd­be­stimmt­heit, wären dann die ange­bo­te­nen Lösun­gen von „Con­tact Form 7“. Zum einem das inter­ne Quiz-Tag und als zwei­tes, das Plugin „Con­tact Form 7 Honey­pot“.

Quiz-Tag

Vor­teil des Quiz-Tags, es ist wirk­lich geni­al gegen­über dum­men Bots.

Der Nach­teil, der Besu­cher des For­mu­lars muss eine Akti­on zusätz­lich aus­füh­ren.

Bei rich­ti­ger Anwen­dung wer­den alle Spam­bots auf das sprich­wört­li­che Glatt­eis geführt. Spam­bots sind auto­ma­ti­sche aus­ge­führ­te Pro­gram­me um Wer­bung für alles zu ver­brei­ten. Und um öko­no­misch einen Bot zu pro­gram­mie­ren wird er auf größ­te Ver­brei­tung getrimmt und ist damit auto­ma­tisch auch dumm. Sie­he das Äqui­va­lent zu ein­zel­nen Fern­seh­sen­dern. Des­halb kann mit ein wenig Intel­li­genz die­se Bot-Sys­tem aus­ge­he­belt wer­den.

Syn­tax des Quiz-Tags

Der Syn­tax des Quiz-Tags sieht so aus, eine Fra­ge und die Ant­wort mit einer Pipe, dem senk­rech­ten Strich, getrennt dahin­ter. Vor­sicht, kein Leer­zei­chen hin­ter der Ant­wort oder vor und hin­ter der Pipe.

Was ist das Gegenteil einer Frage|Antwort

Allein um die­se Fra­ge zu lösen, müss­te der Spam­bot, wie oben schon beschrie­ben, 53 Spra­chen beherr­schen und eine Ant­wort gene­rie­ren die nicht in der Fra­ge­stel­lung ent­hal­ten ist.

Das Umdre­hen der Fra­ge wäre auch mög­lich.

Eine Antwort kommt immer nur auf eine|Frage

Anwen­dung des Quiz-Tag

Die Ein­ein­deu­tig­keit der Ant­wort auf die Fra­ge­stel­lung ist sehr wich­tig. Bei­spiels­wei­se ist die Fra­ge nach “Wie vie­le Füße hat­te Goe­the” nicht ein­deu­tig zu beant­wor­ten, denn als Ant­wort wären mög­lich die Anga­be als Zif­fer 2 oder aus­ge­schrie­ben als Zwei oder klein geschrie­ben zwei. Also drei Ant­wort­mög­lich­kei­ten über­for­dern den Web­sei­ten­be­su­cher.

Ein Bei­spiel wie man die rich­ti­ge Ant­wort erzwingt “Wel­ches Haus­tier kann bel­len? Der”. Hier wird die Schreib­wei­se als groß­ge­schrie­be­nes Sub­jekt erzwun­gen. Ein­mal ist es das groß­ge­schrie­be­ne “Haus­tier” und dann der vor­ge­ge­be­ne Arti­kel.

Welches Haustier kann bellen? Der|Hund

Wei­te­re Bei­spie­le für Ein­ein­deu­tig­keit der Fra­ge.

Zweiter Kleinbuchstabe des Alphabets|b
Gebären kann nicht der Vater sondern die|Mutter
Welcher Wochentag folgt dem Samstag|Sonntag
Auf welchen Kontinent liegt Portugal|Europa

Wer nun den­noch “euro­pa” klein schreibt, obwohl “Kon­ti­nent” und “Por­tu­gal” vor­ge­ge­ben sind, wird zu Recht mit einer nach­fol­gen­den Feh­ler­mel­dung abge­straft.

Mathe­ma­ti­sche Funk­tio­nen, selbst in ein­fachs­ter Form, rei­chen oft schon aus um den Spam­bot vor die Wand lau­fen zu las­sen, wie im fol­gen­den Bei­spiel.

0 + 4 = |4

Denn das Rech­nen mit der Null ist bei den meis­ten ande­ren Rechen­quiz nicht vor­ge­se­hen und die Leer­zei­chen zwi­schen den Sum­man­den und den Ope­ra­ti­ons­zei­chen stel­len eine wei­te­re Hür­de da.

Jetzt aber den Spam­bot rich­tig her­aus­for­dern mit die­ser nächs­ten, aber der­sel­ben Glei­chung.

Null plus 4 ist gleich|4

Gezielt anspre­chen ist auch mög­lich. Sie ken­nen das Publi­kum wel­ches Ihr Kon­takt­for­mu­lar nutzt, dann sind fach­lich ange­leg­te Quiz noch bes­ser.

Was ist die Form eines Benzol-Molekül|Ring
Anatomisch, von der Körpermitte entfernt|distal
Farbe Silber in Hexadezimal-Triplet‎|#C0C0C0
Ein menschlicher optischer Rezeptor|Auge

Das inhalt­li­che The­ma einer Web­sei­te ist da auch hilf­reich. Im fol­gen­den eine Web­sei­te über Albert Ein­stein. Außer­dem dür­fen nur Zif­fern als Ant­wort ein­ge­ge­ben wer­den.

Wie viele Großmütter hatte Einstein|2
Wie viele Großväter hatte Einstein|2
Wie viele Kinder hatte Einstein vor dem 2. Kind|1
Wie viele Nasen hatte Einstein|1

Für Men­schen sind die­se Fra­gen lächer­lich, aber der All­tags-Spam­bot kann sie nicht lösen.

Con­tact Form 7 Honey­pot

Honey­bot wer­den die Fal­len für uner­wünsch­te Besu­cher über das Inter­net genannt, also auch für Spa­mer und ihre Bots.

Das Bild ist von der Web­sei­te https://de.wordpress.org/plugins/contact-form-7-honeypot/#description, wo auch eine deut­sche Beschrei­bung zu fin­den ist. Der Autor des Plugin ist Noce­an.

Der ein­zi­ge Nach­teil die­ser Metho­de ist, es muss ein Plugin instal­liert wer­den, woge­gen das Quiz-Tag schon in „Con­tact Form 7“ ent­hal­ten ist und intel­li­gen­ter arbei­tet, bei rich­ti­ger Anwen­dung.

Der Vor­teil die­ses Plugin wie­der­um, der Besu­cher des Kon­takt­for­mu­lars muss kei­ne wei­te­re Akti­on aus­füh­ren.

Funk­ti­ons­wei­se

Mit die­sem Plugin wer­den Fel­der zum Aus­fül­len erstellt, die aber für den Besu­cher der Web­sei­te nicht sicht­bar sind und daher frei blei­ben. Genau in die­se Fal­le tappt der Spam­bot, denn die sind so gebaut, alle Fel­der die sie fin­den aus­zu­fül­len und eben auch die ver­steck­ten Fel­der im For­mu­lar. Um die Spam­bots nicht auf die Fal­le hin­zu­wei­sen, wäre es gut den Namen des Fel­des nicht gera­de mit “Honey­pot” zu benen­nen, wie lei­der die auto­ma­ti­sche Vor­ga­be es tut.

Anwen­dung von „Con­tact Form 7 Honey­pot“

Nach der Instal­la­ti­on des Plugin erscheint ein zusätz­li­cher Tag “Honey­pot” im For­mu­lare­di­tor von “Con­tact Form 7”. Ein Klick auf den Tag “Honey­pot” öff­net ein klei­nes Fens­ter des Honey­pot-Edi­tors.

Unter “Name” kann man einen frei gewähl­ten Namen ein­tra­gen. Die­ser Name wird im unters­ten Feld über­nom­men mit den unver­än­der­li­chem Syn­tax [honey­pot frei-gewähl­ter-Name]. Mit Klick auf den Schal­ter “Tag ein­fu­gen”, wird er an der vor­her zuge­wie­sen Stel­le ein­ge­tra­gen.

Ich emp­feh­le min­des­tens zwei die­ser Honey­pot Fel­der zu gene­rie­ren. Zum Bei­spiel schon über den Namen und das zwei­te irgend­wo zwi­schen den ande­ren Fel­dern. Mehr als drei Fel­der sind wohl Unsinn, denn wenn 2 Fel­der über­wun­den wer­den, wird wohl das 4. Feld dem Spam­bot auch nicht mehr stand­hal­ten.

Die­se Bezeich­nun­gen soll­ten geän­dert wer­den, um den Honey­pot etwas süßer zu gestal­ten.

Hier zwei Bei­spie­le wie weit man gehen kann.

Bil­der­rät­sel

Wer die Intel­li­genz sei­ner Web­sei­ten­be­su­cher schwer ein­schät­zen kann, soll­te statt dem Quiz-Tag ein Bil­der­rät­sel, also ein Image-Cap­t­cha, ein­bau­en.

Die Genera­ti­on “Smart­pho­ne” ist so über­flu­tet mit Sym­bo­len, Icons, Sinn­bil­dern und ande­ren bild­li­chen Abs­trak­tio­nen, dass die­se Genera­ti­on sich schwer tut mit Recht­schrei­bung sowie Groß- und Klein­schrei­bung. Wir sind alle nicht per­fekt, aber es ist wis­sen­schaft­lich erwie­sen, dass der mensch­li­che Intel­lekt nach­lässt. Mög­li­cher­wei­se eine natür­li­che und evo­lu­tio­nä­re Scha­dens­be­gren­zung.

Das Plugin “Con­tact Form 7 Image Cap­t­cha” wür­de die­sen Anfor­de­run­gen ent­spre­chen. Und wer sich her­aus­ge­for­dert fühlt, darf dort auch die Über­set­zung kor­ri­gie­ren, denn bei­spiels­wei­se ist das Pkw-Sinn­bild mit “Auto” statt mit “Pkw” ange­ge­ben. Das wäre an sich nicht schlimm, gäbe es nicht noch das Sinn­bild für “Lkw” in die­sem Bil­der­rät­sel.

Fazit

Jede ein­zel­ne der Metho­den sorgt nicht garan­tiert für 100% Schutz gegen Spam. Auch eine Kom­bi­na­ti­on der Metho­den gibt nie­mals den abso­lu­ten Schutz. Quan­ten­com­pu­ter könn­ten das Sys­tem die­ser Metho­den aus hebeln, doch bis dahin ist noch etwas Zeit.

Es ist eine Abwä­gung, wie weit drang­sa­lie­re ich den Web­sei­ten­be­su­cher und wie viel Schutz gegen Spam ist not­wen­dig. So habe ich mich in der jet­zi­gen Situa­ti­on ent­schie­den das Quiz-Tag und den Honey­pot zu nut­zen, mit dem Erfolg, dass die­sen Schutz bis­her kei­ner­lei Spam durch­drin­gen konn­te. Und für die Zukunft las­se ich mir eben wie­der etwas neue­res ein­fal­len, so ein­fach.

Quel­len

  • https://de.wordpress.org/plugins/contact-form-7/
  • https://www.onlinewarnungen.de/warnungsticker/unternehmen-aufgepasst-bewerbung-enthaelt-virus/
  • https://www.heise.de/security/meldung/Erpressungstrojaner-Gandcrab-verbreitet-sich-ueber-gefaelschte-Bewerbungsmails-4154167.html
  • https://www.polizei-praevention.de/aktuelles/bewerbungsmail-mit-schadsoftware-im-anhang.html
  • https://de.wordpress.org/plugins/contact-form-7-honeypot/#description
  • https://de.wordpress.org/plugins/contact-form-7-image-captcha/
  • https://www.deutschlandfunk.de/labor-stagnierender-flynn-effekt-die-menschen-werden-duemmer.680.de.html?dram:article_id=423724
  • https://www.welt.de/kmpkt/article168685677/Warum-die-Menschheit-scheinbar-wieder-duemmer-wird.html

Ihr Kom­men­tar⬆ Sei­ten­an­fang