Spam verhindern mit „Contact Form 7“

Wer unter WordPress ein Kontaktformular einrichten möchte, hat möglicherweise schon von „Contact Form 7“ den Namen gelesen. Es ist eins der meistgenutzten Kontaktformular-Plugins. Sein großer Vorteil liegt darin, besonders anpassungsfähig zu sein.

Heute nun ein Beitrag darüber, wie man ohne fremde Scripte anderer Webdienstanbieter und ohne Googles „reCAPTCHA“ das Formular gegen Spam sichern kann.

Inhaltsverzeichnis

Über „Contact Form 7“

Der Autor des Plugin ist Takayuki Miyoshi. Mit mehr als 5 Millionen aktiven Installationen ist es erwiesen, dass es ein hervorragendes Programm ist. Es existiert in 53 Sprachen, unter anderem auch in Deutsch.

Eine deutsche Beschreibung ist unter „https://de.wordpress.org/plugins/contact-form-7/“ zu finden. Von dort stammt auch der Screenshot im Titelbild.

Die Beliebtheit des Plugins ist so stark, dass viele Menschen für „Contact Form 7“ zusätzliche Plugins erstellt haben, die meist sinnvolle Ergänzungen sind. Ein Beispiel ist der „Contact Form 7 Honeypot“.

Spam-Abwehr

Weshalb sollte man sich vor Spam schützen, nur falls jemand noch keine Antwort darauf gefunden hat, hier eine Auswahl.

  • Es raubt Zeit, allein Spam zu löschen, aber auch im Kopf zu filtern „Ist das jetzt Spam oder doch etwas seriöses?“
  • Je weniger Spam überhaupt ankommt, um so sinnloser ist der Zeitaufwand der Spamer
  • Je weniger Spam weitergeleitet wird, um so schneller ist das Internet insgesamt
  • Und die E-Mail-Konten sind bei einigen Anbietern auch limitiert
  • Außerdem gibt es noch das Limit der Tarife für Smartphones
  • Mit Spam können auch Links zu bösartigen Webseiten ankommen
  • Anhänge können mit Schadsoftware belastet sein, wie beispielsweise dieser Fall oder dieser Fall oder auch dieser Fall

Um die Flut von Spam einzudämmen gibt es unterschiedlichste Methoden.

Welche ich nicht nutze sind diese, Captchas von Google, also Wort- und Bilderkennung sowie „Askimet Anti-Spam“. Denn bei beiden überlasse ich die Kontrolle anderen, muss ich mich anmelden, muss ich meine Webseite mitteilen oder wie im Google-Fall, überhaupt erst mal eine E-Mail-Adresse anlegen.

Die beste Lösung ist es, ein eigenes PHP-Script schreiben. Doch wer es kann, hat meist zu wenig Zeit sich intensiv damit zu befassen, obwohl es eine lohnende Aufgabe ist, wenn mehrere davon Nutzen ziehen können.

Als einfachste Lösung für jedermann, also ohne Kenntnisse von Scriptsprachen und Fremdbestimmtheit, wären dann die angebotenen Lösungen von „Contact Form 7“. Zum einem das interne Quiz-Tag und als zweites, das Plugin „Contact Form 7 Honeypot“.

Quiz-Tag

Vorteil des Quiz-Tags, es ist wirklich genial gegenüber dummen Bots.

Der Nachteil, der Besucher des Formulars muss eine Aktion zusätzlich ausführen.

Bei richtiger Anwendung werden alle Spambots auf das sprichwörtliche Glatteis geführt. Spambots sind automatische ausgeführte Programme um Werbung für alles zu verbreiten. Und um ökonomisch einen Bot zu programmieren wird er auf größte Verbreitung getrimmt und ist damit automatisch auch dumm. Siehe das Äquivalent zu einzelnen Fernsehsendern. Deshalb kann mit ein wenig Intelligenz diese Bot-System ausgehebelt werden.

Syntax des Quiz-Tags

Der Syntax des Quiz-Tags sieht so aus, eine Frage und die Antwort mit einer Pipe, dem senkrechten Strich, getrennt dahinter. Vorsicht, kein Leerzeichen hinter der Antwort oder vor und hinter der Pipe.

Was ist das Gegenteil einer Frage|Antwort

Allein um diese Frage zu lösen, müsste der Spambot, wie oben schon beschrieben, 53 Sprachen beherrschen und eine Antwort generieren die nicht in der Fragestellung enthalten ist.

Das Umdrehen der Frage wäre auch möglich.

Eine Antwort kommt immer nur auf eine|Frage

Anwendung des Quiz-Tag

Die Eineindeutigkeit der Antwort auf die Fragestellung ist sehr wichtig. Beispielsweise ist die Frage nach „Wie viele Füße hatte Goethe“ nicht eindeutig zu beantworten, denn als Antwort wären möglich die Angabe als Ziffer 2 oder ausgeschrieben als Zwei oder klein geschrieben zwei. Also drei Antwortmöglichkeiten überfordern den Webseitenbesucher.

Ein Beispiel wie man die richtige Antwort erzwingt „Welches Haustier kann bellen? Der“. Hier wird die Schreibweise als großgeschriebenes Subjekt erzwungen. Einmal ist es das großgeschriebene „Haustier“ und dann der vorgegebene Artikel.

Welches Haustier kann bellen? Der|Hund

Weitere Beispiele für Eineindeutigkeit der Frage.

Zweiter Kleinbuchstabe des Alphabets|b
Gebären kann nicht der Vater sondern die|Mutter
Welcher Wochentag folgt dem Samstag|Sonntag
Auf welchen Kontinent liegt Portugal|Europa

Wer nun dennoch „europa“ klein schreibt, obwohl „Kontinent“ und „Portugal“ vorgegeben sind, wird zu Recht mit einer nachfolgenden Fehlermeldung abgestraft.

Mathematische Funktionen, selbst in einfachster Form, reichen oft schon aus um den Spambot vor die Wand laufen zu lassen, wie im folgenden Beispiel.

0 + 4 = |4

Denn das Rechnen mit der Null ist bei den meisten anderen Rechenquiz nicht vorgesehen und die Leerzeichen zwischen den Summanden und den Operationszeichen stellen eine weitere Hürde da.

Jetzt aber den Spambot richtig herausfordern mit dieser nächsten, aber derselben Gleichung.

Null plus 4 ist gleich|4

Gezielt ansprechen ist auch möglich. Sie kennen das Publikum welches Ihr Kontaktformular nutzt, dann sind fachlich angelegte Quiz noch besser.

Was ist die Form eines Benzol-Molekül|Ring
Anatomisch, von der Körpermitte entfernt|distal
Farbe Silber in Hexadezimal-Triplet‎|#C0C0C0
Ein menschlicher optischer Rezeptor|Auge

Das inhaltliche Thema einer Webseite ist da auch hilfreich. Im folgenden eine Webseite über Albert Einstein. Außerdem dürfen nur Ziffern als Antwort eingegeben werden.

Wie viele Großmütter hatte Einstein|2
Wie viele Großväter hatte Einstein|2
Wie viele Kinder hatte Einstein vor dem 2. Kind|1
Wie viele Nasen hatte Einstein|1

Für Menschen sind diese Fragen lächerlich, aber der Alltags-Spambot kann sie nicht lösen.

Contact Form 7 Honeypot

Honeybot werden die Fallen für unerwünschte Besucher über das Internet genannt, also auch für Spamer und ihre Bots.

Das Bild ist von der Webseite https://de.wordpress.org/plugins/contact-form-7-honeypot/#description, wo auch eine deutsche Beschreibung zu finden ist. Der Autor des Plugin ist Nocean.

Der einzige Nachteil dieser Methode ist, es muss ein Plugin installiert werden, wogegen das Quiz-Tag schon in „Contact Form 7“ enthalten ist und intelligenter arbeitet, bei richtiger Anwendung.

Der Vorteil dieses Plugin wiederum, der Besucher des Kontaktformulars muss keine weitere Aktion ausführen.

Funktionsweise

Mit diesem Plugin werden Felder zum Ausfüllen erstellt, die aber für den Besucher der Webseite nicht sichtbar sind und daher frei bleiben. Genau in diese Falle tappt der Spambot, denn die sind so gebaut, alle Felder die sie finden auszufüllen und eben auch die versteckten Felder im Formular. Um die Spambots nicht auf die Falle hinzuweisen, wäre es gut den Namen des Feldes nicht gerade mit „Honeypot“ zu benennen, wie leider die automatische Vorgabe es tut.

Anwendung von „Contact Form 7 Honeypot“

Nach der Installation des Plugin erscheint ein zusätzlicher Tag „Honeypot“ im Formulareditor von „Contact Form 7“. Ein Klick auf den Tag „Honeypot“ öffnet ein kleines Fenster des Honeypot-Editors.

Unter „Name“ kann man einen frei gewählten Namen eintragen. Dieser Name wird im untersten Feld übernommen mit den unveränderlichem Syntax [honeypot frei-gewählter-Name]. Mit Klick auf den Schalter „Tag einfugen“, wird er an der vorher zugewiesen Stelle eingetragen.

Ich empfehle mindestens zwei dieser Honeypot Felder zu generieren. Zum Beispiel schon über den Namen und das zweite irgendwo zwischen den anderen Feldern. Mehr als drei Felder sind wohl Unsinn, denn wenn 2 Felder überwunden werden, wird wohl das 4. Feld dem Spambot auch nicht mehr standhalten.

Diese Bezeichnungen sollten geändert werden, um den Honeypot etwas süßer zu gestalten.

Hier zwei Beispiele wie weit man gehen kann.

Bilderrätsel

Wer die Intelligenz seiner Webseitenbesucher schwer einschätzen kann, sollte statt dem Quiz-Tag ein Bilderrätsel, also ein Image-Captcha, einbauen.

Die Generation „Smartphone“ ist so überflutet mit Symbolen, Icons, Sinnbildern und anderen bildlichen Abstraktionen, dass diese Generation sich schwer tut mit Rechtschreibung sowie Groß- und Kleinschreibung. Wir sind alle nicht perfekt, aber es ist wissenschaftlich erwiesen, dass der menschliche Intellekt nachlässt. Möglicherweise eine natürliche und evolutionäre Schadensbegrenzung.

Das Plugin „Contact Form 7 Image Captcha“ würde diesen Anforderungen entsprechen. Und wer sich herausgefordert fühlt, darf dort auch die Übersetzung korrigieren, denn beispielsweise ist das Pkw-Sinnbild mit „Auto“ statt mit „Pkw“ angegeben. Das wäre an sich nicht schlimm, gäbe es nicht noch das Sinnbild für „Lkw“ in diesem Bilderrätsel.

Fazit

Jede einzelne der Methoden sorgt nicht garantiert für 100% Schutz gegen Spam. Auch eine Kombination der Methoden gibt niemals den absoluten Schutz. Quantencomputer könnten das System dieser Methoden aus hebeln, doch bis dahin ist noch etwas Zeit.

Es ist eine Abwägung, wie weit drangsaliere ich den Webseitenbesucher und wie viel Schutz gegen Spam ist notwendig. So habe ich mich in der jetzigen Situation entschieden das Quiz-Tag und den Honeypot zu nutzen, mit dem Erfolg, dass diesen Schutz bisher keinerlei Spam durchdringen konnte. Und für die Zukunft lasse ich mir eben wieder etwas neueres einfallen, so einfach.

Quellen

  • https://de.wordpress.org/plugins/contact-form-7/
  • https://www.onlinewarnungen.de/warnungsticker/unternehmen-aufgepasst-bewerbung-enthaelt-virus/
  • https://www.heise.de/security/meldung/Erpressungstrojaner-Gandcrab-verbreitet-sich-ueber-gefaelschte-Bewerbungsmails-4154167.html
  • https://www.polizei-praevention.de/aktuelles/bewerbungsmail-mit-schadsoftware-im-anhang.html
  • https://de.wordpress.org/plugins/contact-form-7-honeypot/#description
  • https://de.wordpress.org/plugins/contact-form-7-image-captcha/
  • https://www.deutschlandfunk.de/labor-stagnierender-flynn-effekt-die-menschen-werden-duemmer.680.de.html?dram:article_id=423724
  • https://www.welt.de/kmpkt/article168685677/Warum-die-Menschheit-scheinbar-wieder-duemmer-wird.html

Ihr Kommentar | Ihre Spende[Pos1] Seitenanfang