Spam ver­hin­dern mit „Con­tact Form 7“

Wer un­ter Word­Press ein Kon­takt­for­mu­lar ein­rich­ten möch­te, hat mög­li­cher­wei­se schon von „Con­tact Form 7“ den Na­men ge­le­sen. Es ist eins der meist­ge­nutz­ten Kon­takt­for­mu­lar-Plugins. Sein gro­ßer Vor­teil liegt dar­in, be­son­ders an­pas­sungs­fä­hig zu sein.

Heu­te nun ein Bei­trag dar­über, wie man ohne frem­de Scrip­te an­de­rer Web­dienst­an­bie­ter und ohne Goo­g­les „re­CAP­T­CHA“ das For­mu­lar ge­gen Spam si­chern kann.

In­halts­ver­zeich­nis

Über „Con­tact Form 7“

Der Au­tor des Plugin ist Takayu­ki Mi­yo­shi. Mit mehr als 5 Mil­lio­nen ak­ti­ven In­stal­la­tio­nen ist es er­wie­sen, dass es ein her­vor­ra­gen­des Pro­gramm ist. Es exis­tiert in 53 Spra­chen, un­ter an­de­rem auch in Deutsch.

Eine deut­sche Be­schrei­bung ist un­ter https://de.wordpress.org/plugins/contact-form-7/ zu fin­den. Von dort stammt auch der Screen­shot im Ti­tel­bild.

Die Be­liebt­heit des Plugins ist so stark, dass vie­le Men­schen für “Con­tact Form 7” zu­sätz­li­che Plugins er­stellt ha­ben, die meist sinn­vol­le Er­gän­zun­gen sind. Ein Bei­spiel ist der “Con­tact Form 7 Ho­ney­pot”.

Spam-Ab­wehr

Wes­halb soll­te man sich vor Spam schüt­zen, nur falls je­mand noch kei­ne Ant­wort dar­auf ge­fun­den hat, hier eine Aus­wahl.

  • Es raubt Zeit, al­lein Spam zu lö­schen, aber auch im Kopf zu fil­tern “Ist das jetzt Spam oder doch et­was se­riö­ses?”
  • Je we­ni­ger Spam über­haupt an­kommt, um so sinn­lo­ser ist der Zeit­auf­wand der Spa­mer
  • Je we­ni­ger Spam wei­ter­ge­lei­tet wird, um so schnel­ler ist das In­ter­net ins­ge­samt
  • Und die E-Mail-Kon­ten sind bei ei­ni­gen An­bie­tern auch li­mi­tiert
  • Au­ßer­dem gibt es noch das Li­mit der Ta­ri­fe für Smart­pho­nes
  • Mit Spam kön­nen auch Links zu bös­ar­ti­gen Web­sei­ten an­kom­men
  • An­hän­ge kön­nen mit Schad­soft­ware be­las­tet sein, wie bei­spiels­wei­se die­ser Fall oder die­ser Fall oder auch die­ser Fall

Um die Flut von Spam ein­zu­däm­men gibt es un­ter­schied­lichs­te Me­tho­den.

Wel­che ich nicht nut­ze sind die­se, Cap­t­chas von Goog­le, also Wort- und Bil­der­ken­nung so­wie “As­ki­met Anti-Spam”. Denn bei bei­den über­las­se ich die Kon­trol­le an­de­ren, muss ich mich an­mel­den, muss ich mei­ne Web­sei­te mit­tei­len oder wie im Goog­le-Fall, über­haupt erst mal eine E-Mail-Adres­se an­le­gen.

Die bes­te Lö­sung ist es, ein ei­ge­nes PHP-Script schrei­ben. Doch wer es kann, hat meist zu we­nig Zeit sich in­ten­siv da­mit zu be­fas­sen, ob­wohl es eine loh­nen­de Auf­ga­be ist, wenn meh­re­re da­von Nut­zen zie­hen kön­nen.

Als ein­fachs­te Lö­sung für je­der­mann, also ohne Kennt­nis­se von Script­spra­chen und Fremd­be­stimmt­heit, wä­ren dann die an­ge­bo­te­nen Lö­sun­gen von „Con­tact Form 7“. Zum ei­nem das in­ter­ne Quiz-Tag und als zwei­tes, das Plugin „Con­tact Form 7 Ho­ney­pot“.

Quiz-Tag

Vor­teil des Quiz-Tags, es ist wirk­lich ge­ni­al ge­gen­über dum­men Bots.

Der Nach­teil, der Be­su­cher des For­mu­lars muss eine Ak­ti­on zu­sätz­lich aus­füh­ren.

Bei rich­ti­ger An­wen­dung wer­den alle Spam­bots auf das sprich­wört­li­che Glatt­eis ge­führt. Spam­bots sind au­to­ma­ti­sche aus­ge­führ­te Pro­gram­me um Wer­bung für al­les zu ver­brei­ten. Und um öko­no­misch ei­nen Bot zu pro­gram­mie­ren wird er auf größ­te Ver­brei­tung ge­trimmt und ist da­mit au­to­ma­tisch auch dumm. Sie­he das Äqui­va­lent zu ein­zel­nen Fern­seh­sen­dern. Des­halb kann mit ein we­nig In­tel­li­genz die­se Bot-Sys­tem aus­ge­he­belt wer­den.

Syn­tax des Quiz-Tags

Der Syn­tax des Quiz-Tags sieht so aus, eine Fra­ge und die Ant­wort mit ei­ner Pipe, dem senk­rech­ten Strich, ge­trennt da­hin­ter. Vor­sicht, kein Leer­zei­chen hin­ter der Ant­wort oder vor und hin­ter der Pipe.

Was ist das Gegenteil einer Frage|Antwort

Al­lein um die­se Fra­ge zu lö­sen, müss­te der Spam­bot, wie oben schon be­schrie­ben, 53 Spra­chen be­herr­schen und eine Ant­wort ge­ne­rie­ren die nicht in der Fra­ge­stel­lung ent­hal­ten ist.

Das Um­dre­hen der Fra­ge wäre auch mög­lich.

Eine Antwort kommt immer nur auf eine|Frage

An­wen­dung des Quiz-Tag

Die Ein­ein­deu­tig­keit der Ant­wort auf die Fra­ge­stel­lung ist sehr wich­tig. Bei­spiels­wei­se ist die Fra­ge nach “Wie vie­le Füße hat­te Goe­the” nicht ein­deu­tig zu be­ant­wor­ten, denn als Ant­wort wä­ren mög­lich die An­ga­be als Zif­fer 2 oder aus­ge­schrie­ben als Zwei oder klein ge­schrie­ben zwei. Also drei Ant­wort­mög­lich­kei­ten über­for­dern den Web­sei­ten­be­su­cher.

Ein Bei­spiel wie man die rich­ti­ge Ant­wort er­zwingt “Wel­ches Haus­tier kann bel­len? Der”. Hier wird die Schreib­wei­se als groß­ge­schrie­be­nes Sub­jekt er­zwun­gen. Ein­mal ist es das groß­ge­schrie­be­ne “Haus­tier” und dann der vor­ge­ge­be­ne Ar­ti­kel.

Welches Haustier kann bellen? Der|Hund

Wei­te­re Bei­spie­le für Ein­ein­deu­tig­keit der Fra­ge.

Zweiter Kleinbuchstabe des Alphabets|b
Gebären kann nicht der Vater sondern die|Mutter
Welcher Wochentag folgt dem Samstag|Sonntag
Auf welchen Kontinent liegt Portugal|Europa

Wer nun den­noch “eu­ro­pa” klein schreibt, ob­wohl “Kon­ti­nent” und “Por­tu­gal” vor­ge­ge­ben sind, wird zu Recht mit ei­ner nach­fol­gen­den Feh­ler­mel­dung ab­ge­straft.

Ma­the­ma­ti­sche Funk­tio­nen, selbst in ein­fachs­ter Form, rei­chen oft schon aus um den Spam­bot vor die Wand lau­fen zu las­sen, wie im fol­gen­den Bei­spiel.

0 + 4 = |4

Denn das Rech­nen mit der Null ist bei den meis­ten an­de­ren Re­chen­quiz nicht vor­ge­se­hen und die Leer­zei­chen zwi­schen den Sum­man­den und den Ope­ra­ti­ons­zei­chen stel­len eine wei­te­re Hür­de da.

Jetzt aber den Spam­bot rich­tig her­aus­for­dern mit die­ser nächs­ten, aber der­sel­ben Glei­chung.

Null plus 4 ist gleich|4

Ge­zielt an­spre­chen ist auch mög­lich. Sie ken­nen das Pu­bli­kum wel­ches Ihr Kon­takt­for­mu­lar nutzt, dann sind fach­lich an­ge­leg­te Quiz noch bes­ser.

Was ist die Form eines Benzol-Molekül|Ring
Anatomisch, von der Körpermitte entfernt|distal
Farbe Silber in Hexadezimal-Triplet‎|#C0C0C0
Ein menschlicher optischer Rezeptor|Auge

Das in­halt­li­che The­ma ei­ner Web­sei­te ist da auch hilf­reich. Im fol­gen­den eine Web­sei­te über Al­bert Ein­stein. Au­ßer­dem dür­fen nur Zif­fern als Ant­wort ein­ge­ge­ben wer­den.

Wie viele Großmütter hatte Einstein|2
Wie viele Großväter hatte Einstein|2
Wie viele Kinder hatte Einstein vor dem 2. Kind|1
Wie viele Nasen hatte Einstein|1

Für Men­schen sind die­se Fra­gen lä­cher­lich, aber der All­tags-Spam­bot kann sie nicht lö­sen.

Con­tact Form 7 Ho­ney­pot

Ho­ney­bot wer­den die Fal­len für un­er­wünsch­te Be­su­cher über das In­ter­net ge­nannt, also auch für Spa­mer und ihre Bots.

Das Bild ist von der Web­sei­te https://de.wordpress.org/plugins/contact-form-7-honeypot/#description, wo auch eine deut­sche Be­schrei­bung zu fin­den ist. Der Au­tor des Plugin ist No­ce­an.

Der ein­zi­ge Nach­teil die­ser Me­tho­de ist, es muss ein Plugin in­stal­liert wer­den, wo­ge­gen das Quiz-Tag schon in „Con­tact Form 7“ ent­hal­ten ist und in­tel­li­gen­ter ar­bei­tet, bei rich­ti­ger An­wen­dung.

Der Vor­teil die­ses Plugin wie­der­um, der Be­su­cher des Kon­takt­for­mu­lars muss kei­ne wei­te­re Ak­ti­on aus­füh­ren.

Funk­ti­ons­wei­se

Mit die­sem Plugin wer­den Fel­der zum Aus­fül­len er­stellt, die aber für den Be­su­cher der Web­sei­te nicht sicht­bar sind und da­her frei blei­ben. Ge­nau in die­se Fal­le tappt der Spam­bot, denn die sind so ge­baut, alle Fel­der die sie fin­den aus­zu­fül­len und eben auch die ver­steck­ten Fel­der im For­mu­lar. Um die Spam­bots nicht auf die Fal­le hin­zu­wei­sen, wäre es gut den Na­men des Fel­des nicht ge­ra­de mit “Ho­ney­pot” zu be­nen­nen, wie lei­der die au­to­ma­ti­sche Vor­ga­be es tut.

An­wen­dung von „Con­tact Form 7 Ho­ney­pot“

Nach der In­stal­la­ti­on des Plugin er­scheint ein zu­sätz­li­cher Tag “Ho­ney­pot” im For­mu­lare­di­tor von “Con­tact Form 7”. Ein Klick auf den Tag “Ho­ney­pot” öff­net ein klei­nes Fens­ter des Ho­ney­pot-Edi­tors.

Un­ter “Name” kann man ei­nen frei ge­wähl­ten Na­men ein­tra­gen. Die­ser Name wird im un­ters­ten Feld über­nom­men mit den un­ver­än­der­li­chem Syn­tax [ho­ney­pot frei-ge­wähl­ter-Name]. Mit Klick auf den Schal­ter “Tag ein­fu­gen”, wird er an der vor­her zu­ge­wie­sen Stel­le ein­ge­tra­gen.

Ich emp­feh­le min­des­tens zwei die­ser Ho­ney­pot Fel­der zu ge­ne­rie­ren. Zum Bei­spiel schon über den Na­men und das zwei­te ir­gend­wo zwi­schen den an­de­ren Fel­dern. Mehr als drei Fel­der sind wohl Un­sinn, denn wenn 2 Fel­der über­wun­den wer­den, wird wohl das 4. Feld dem Spam­bot auch nicht mehr stand­hal­ten.

Die­se Be­zeich­nun­gen soll­ten ge­än­dert wer­den, um den Ho­ney­pot et­was sü­ßer zu ge­stal­ten.

Hier zwei Bei­spie­le wie weit man ge­hen kann.

Bil­der­rät­sel

Wer die In­tel­li­genz sei­ner Web­sei­ten­be­su­cher schwer ein­schät­zen kann, soll­te statt dem Quiz-Tag ein Bil­der­rät­sel, also ein Image-Cap­t­cha, ein­bau­en.

Die Ge­nera­ti­on “Smart­pho­ne” ist so über­flu­tet mit Sym­bo­len, Icons, Sinn­bil­dern und an­de­ren bild­li­chen Abs­trak­tio­nen, dass die­se Ge­nera­ti­on sich schwer tut mit Recht­schrei­bung so­wie Groß- und Klein­schrei­bung. Wir sind alle nicht per­fekt, aber es ist wis­sen­schaft­lich er­wie­sen, dass der mensch­li­che In­tel­lekt nach­lässt. Mög­li­cher­wei­se eine na­tür­li­che und evo­lu­tio­nä­re Scha­dens­be­gren­zung.

Das Plugin “Con­tact Form 7 Image Cap­t­cha” wür­de die­sen An­for­de­run­gen ent­spre­chen. Und wer sich her­aus­ge­for­dert fühlt, darf dort auch die Über­set­zung kor­ri­gie­ren, denn bei­spiels­wei­se ist das Pkw-Sinn­bild mit “Auto” statt mit “Pkw” an­ge­ge­ben. Das wäre an sich nicht schlimm, gäbe es nicht noch das Sinn­bild für “Lkw” in die­sem Bil­der­rät­sel.

Fa­zit

Jede ein­zel­ne der Me­tho­den sorgt nicht ga­ran­tiert für 100% Schutz ge­gen Spam. Auch eine Kom­bi­na­ti­on der Me­tho­den gibt nie­mals den ab­so­lu­ten Schutz. Quan­ten­com­pu­ter könn­ten das Sys­tem die­ser Me­tho­den aus he­beln, doch bis da­hin ist noch et­was Zeit.

Es ist eine Ab­wä­gung, wie weit drang­sa­lie­re ich den Web­sei­ten­be­su­cher und wie viel Schutz ge­gen Spam ist not­wen­dig. So habe ich mich in der jet­zi­gen Si­tua­ti­on ent­schie­den das Quiz-Tag und den Ho­ney­pot zu nut­zen, mit dem Er­folg, dass die­sen Schutz bis­her kei­ner­lei Spam durch­drin­gen konn­te. Und für die Zu­kunft las­se ich mir eben wie­der et­was neue­res ein­fal­len, so ein­fach.

Quel­len

  • https://de.wordpress.org/plugins/contact-form-7/
  • https://www.onlinewarnungen.de/warnungsticker/unternehmen-aufgepasst-bewerbung-enthaelt-virus/
  • https://www.heise.de/security/meldung/Erpressungstrojaner-Gandcrab-verbreitet-sich-ueber-gefaelschte-Bewerbungsmails-4154167.html
  • https://www.polizei-praevention.de/aktuelles/bewerbungsmail-mit-schadsoftware-im-anhang.html
  • https://de.wordpress.org/plugins/contact-form-7-honeypot/#description
  • https://de.wordpress.org/plugins/contact-form-7-image-captcha/
  • https://www.deutschlandfunk.de/labor-stagnierender-flynn-effekt-die-menschen-werden-duemmer.680.de.html?dram:article_id=423724
  • https://www.welt.de/kmpkt/article168685677/Warum-die-Menschheit-scheinbar-wieder-duemmer-wird.html

Ihr Kom­men­tar[Pos1] Sei­ten­an­fang