Was ist ein Honeypot (Anti-Spam)?
Ein Honeypot ist im Kontext der Spam-Abwehr ein verstecktes Formularfeld, das für menschliche Besucher unsichtbar ist, aber von automatisierten Bots ausgefüllt wird. Der Begriff stammt aus der Netzwerksicherheit, wo „Honeypots“ als Fallen für Angreifer eingesetzt werden. Bei der Formular-Spam-Abwehr macht man sich das Verhalten von Bots zunutze: Ein automatisiertes Skript füllt alle Felder in einem Formular aus, weil es keinen Unterschied zwischen sichtbaren und versteckten Feldern erkennt. Ist das Honeypot-Feld beim Absenden befüllt, handelt es sich mit hoher Wahrscheinlichkeit um einen Bot, und die Einsendung wird stillschweigend verworfen.
Was bedeutet das für Ihre Website?
WordPress-Formulare ohne Spam-Schutz werden von Bots schnell gefunden. Sobald eine Website etwas bekannter wird, beginnen automatisierte Skripte, alle erreichbaren Formularfelder mit Spam-Inhalten zu füllen: Werbung für Produkte, Links zu fragwürdigen Seiten, Phishing-Versuche. Ohne Gegenmittel landet dieser Spam direkt in Ihrem E-Mail-Posteingang oder in der WordPress-Kommentarwarteschlange.
Die Honeypot-Technik ist für echte Nutzer vollständig transparent: Das versteckte Feld erscheint weder auf dem Bildschirm noch beeinflusst es den Ausfüllprozess. Es wird durch CSS (display:none oder visibility:hidden) oder durch absolute Positionierung außerhalb des sichtbaren Bereichs verborgen. Screenreader und barrierefreie Browsertechnologien können das Feld zwar finden, aber durch ein entsprechendes aria-hidden-Attribut oder einen klaren Label-Text wird verhindert, dass blinde Nutzer es versehentlich ausfüllen.
Viele WordPress-Plugins integrieren Honeypots automatisch: Gravity Forms, WPForms und Contact Form 7 bieten diese Option entweder standardmäßig oder über entsprechende Add-ons. Auch für den WordPress-Kommentarbereich lassen sich Honeypots per Plugin ergänzen, was die Last auf den modernen Spam-Filter deutlich reduziert.
Der Vorteil gegenüber CAPTCHA ist erheblich: Honeypots erfordern keine Nutzerinteraktion, erzeugen keine Abhängigkeit von externen Diensten wie Google reCAPTCHA und erzeugen keine DSGVO-Probleme durch Drittanbieter-Datenübertragungen. Sie sind daher oft die erste Wahl für einfache Websites, die DSGVO-konform arbeiten müssen und trotzdem effektiv Spam blockieren wollen.
Tipp
Kombinieren Sie Honeypot und CAPTCHA nur dann, wenn ein Formular besonders sensibel ist oder sehr hohem Bot-Traffic ausgesetzt ist. Für die meisten Kontaktformulare und Kommentarbereiche ist ein Honeypot ausreichend. Ergänzen Sie ihn mit einer serverseitigen Zeitprüfung: Wenn ein Formular in weniger als zwei Sekunden nach dem Laden abgeschickt wird, ist das ein starkes Indiz für einen Bot, da kein Mensch so schnell tippt. Diese Kombination aus Honeypot und Minimalzeit-Check blockiert den Großteil des automatisierten Spams ohne jede Nutzungsbeeinträchtigung.
Verwandte Begriffe
CAPTCHA / reCAPTCHA |
Sicherheit |
Plugin |
DSGVO |
Brute-Force-Angriff