Was ist ein CAPTCHA?
CAPTCHA ist ein Akronym für „Completely Automated Public Turing test to tell Computers and Humans Apart“ und bezeichnet einen Mechanismus, der prüft, ob eine Anfrage von einem echten Menschen oder von einem automatisierten Programm stammt. Typischerweise muss der Nutzer dabei verzerrte Buchstaben entziffern, Bilder mit bestimmten Inhalten auswählen oder eine einfache Aufgabe lösen, die für Computer schwierig, für Menschen jedoch leicht ist. CAPTCHA wurde erstmals 2003 von Forschern der Carnegie Mellon University formalisiert und ist seitdem ein fester Bestandteil der Web-Sicherheit.
reCAPTCHA ist eine spezifische Implementierung dieses Konzepts, die ursprünglich von der Carnegie Mellon University entwickelt und 2009 von Google übernommen wurde. Die aktuelle Version, reCAPTCHA v3, analysiert das Nutzerverhalten im Hintergrund und vergibt einen Score zwischen 0 und 1. Je höher der Score, desto wahrscheinlicher ist es, dass es sich um einen Menschen handelt. Dabei ist in den meisten Fällen keine sichtbare Interaktion des Nutzers mehr erforderlich.
Was bedeutet das für Ihre Website?
Auf WordPress-Websites wird CAPTCHA hauptsächlich in Kontaktformularen, Kommentarbereichen, Anmeldeformularen und WooCommerce-Kassenseiten eingesetzt. Ohne Spam-Schutz werden Formulare von automatisierten Bots innerhalb kurzer Zeit mit Spam-Einsendungen überhäuft. Selbst ein einfaches Kontaktformular ohne CAPTCHA kann täglich Hunderte von Spam-Einträgen erzeugen, die das E-Mail-Postfach überfluten und die Datenbank belasten.
Die Integration von reCAPTCHA v3 in WordPress-Formulare ist über zahlreiche Plugins möglich. Die meisten Formular-Plugins wie Gravity Forms, WPForms oder Contact Form 7 bringen eigene CAPTCHA-Module mit oder unterstützen entsprechende Add-ons. Für die Nutzung von reCAPTCHA benötigen Sie einen API-Schlüssel, den Sie kostenlos in der Google Search Console anlegen können. Wichtig: reCAPTCHA überträgt dabei Nutzerdaten an Google-Server, was DSGVO-relevant ist und im Cookie-Banner sowie in der Datenschutzerklärung dokumentiert werden muss.
Alternativ zu reCAPTCHA gibt es datenschutzfreundlichere CAPTCHA-Lösungen wie hCaptcha oder Friendly Captcha, die keine Daten an US-amerikanische Server übertragen. Diese eignen sich besonders für Websites, die strikt DSGVO-konform arbeiten möchten, ohne für jede reCAPTCHA-Einbindung eine separate Einwilligung einholen zu müssen.
Tipp
Kombinieren Sie CAPTCHA mit einem Honeypot-Feld im Formular. Während CAPTCHAs für menschliche Nutzer sichtbar sind, fangen Honeypots viele einfache Bots ab, bevor der CAPTCHA-Check überhaupt notwendig wird. Diese Kombination reduziert die Bot-Last spürbar, ohne die Nutzererfahrung durch unnötige Sicherheitsabfragen zu verschlechtern. Bei reCAPTCHA v3 empfiehlt es sich außerdem, den Score-Grenzwert (typischerweise 0,5) sorgfältig zu testen, um keine legitimen Nutzer irrtümlich auszusperren.
Verwandte Begriffe
Honeypot Anti-Spam |
DSGVO |
Plugin |
Sicherheit |
Brute-Force-Angriff