Spam im WordPress-Kontaktformular wirksam stoppen
Formular-Spam entsteht durch Bots, die automatisiert Felder ausfüllen. Wirksam dagegen sind unsichtbare Methoden – Honeypot-Felder, Zeitanalyse und Verhaltensprüfung –, die Bots blockieren, ohne echte Nutzer mit Rätseln zu belästigen. Sichtbare Captchas sind Notlösung, nicht der erste Schritt.
Kaum steht ein Kontaktformular online, trudeln die ersten Spam-Nachrichten ein. Dahinter stecken Bots, die das Web nach Formularen absuchen und sie automatisiert absenden. Der beste Schutz arbeitet unsichtbar – und lässt echte Besucher in Ruhe.
Warum bekommst du überhaupt Spam?
Bots füllen Formulare in Millisekunden aus, oft ohne die Seite wirklich zu rendern. Genau diese Merkmale – unnatürliche Geschwindigkeit, ausgefüllte versteckte Felder, fehlende menschliche Interaktion – verraten sie. Darauf setzt moderner Schutz an, statt echten Nutzern Arbeit aufzuhalsen.
Unsichtbar schlägt sichtbar
Die wirksamsten Methoden sieht der Besucher nicht: Ein Honeypot ist ein für Menschen unsichtbares Feld – füllt es jemand aus, ist es ein Bot. Die Zeitanalyse erkennt, wenn ein Formular unmenschlich schnell abgesendet wird. Die Verhaltensprüfung bewertet Maus- und Tastaturmuster. Zusammen blocken sie die große Mehrheit der Bots geräuschlos.
Warum kein Google reCAPTCHA?
Sichtbare Rätsel-Captchas kosten Conversion und Barrierefreiheit – und reCAPTCHA überträgt Nutzerdaten an Google in die USA, was datenschutzrechtlich heikel ist und in der Regel eine Einwilligung erfordert. Eine serverlose, cookielose Lösung umgeht beides.
Weitere Maßnahmen
Ergänzend helfen Pflichtfelder mit Plausibilitätsprüfung, ein serverseitiges Rate-Limit pro IP und das Sperren bekannter Spam-Muster. Wichtig ist die Kombination: Kein Einzelmechanismus hält alles ab.
Fazit
Guter Spam-Schutz ist unsichtbar und DSGVO-freundlich. WordPress Captcha (SilentShield) kombiniert Honeypot, Timing- und Verhaltensprüfung – ohne externe Server und ohne Cookies. Warum diese Honeypot-Methode Rätseln überlegen ist, vertieft Honeypot-Captcha statt Rätsel.