Vor einigen Wochen machte ein Fehler in dem Theme DIVI nach einem Update die Runde in WordPress-Foren und Diskussionsgruppen. Mit DIVI erstellte Formulare wurden automatisiert versendet, anstelle ausgefüllter Felder enthielten die resultierenden Mails aber nur die Formular-Platzhalter. Dieses Problem wurde zwar schon nach einigen Tagen durch ein Update gelöst, aber in der Zwischenzeit wurde nach schneller Abhilfe gesucht, Diese kam in Form des Plugins WP Armour, das keinen sehr breiten Bekanntheitsgrad genießt.
Bisherige Antispam-Lösungen: Honeypot für Contact Form 7 und Antispam Bee
Ich selbst nutze DIVI nicht, aber natürlich habe auch ich mit Formular- und Kommentarspam zu kämpfen. Bislang setzte ich beim Formularspam auf das Honeypot-Plugin für Contact Form 7, mein Formular-Plugin. Gegen Kommentarspam setzte ich Antispam Bee ein.
Beide Lösungen halfen ganz gut. Wenn ich drei Honeypots im Formular verteilte, dann bekam ich dennoch gelegentlich Spam-Formulare. Mit nur einem oder zwei Honeypots waren es noch mehr. Es ließ sich auch beobachten, dass nach erfolgreicher Zustellung eines Spam-Formulars die Zahl der Erfolge zunahm, so dass die Honeypots neu benannt und verteilt werden mussten.
Antispam Bee war auch nicht schlecht, aber auch hier kam es hin und wieder zu erfolgreichen Spam-Eintragungen. Beide Plugins versahen ihren Dienst also recht ordentlich, aber nicht perfekt.
WP Armour: Unauffällig und effizient
Im Rahmen der Diskussion um das DIVI-Problem wurde ich auf WP Armour aufmerksam. Es lässt sich normal über die Pluginsuche finden und installieren. Es ist ein Honeypot-Plugin, das aber nicht für ein bestimmtes Formular-Plugin gedacht ist. Es funktioniert wahrscheinlich nicht mit jedem, aber es nennt einige kompatible Formular-Plugins. Es funktioniert auch mit den DIVI-Formularen. Und darüber hinaus verhindert es auch Kommentarspam. Der große Vorteil eines Honeypots ist, dass er einem echten Besucher der Webseite nichts abverlangt: es gibt kein Captcha und auch sonst keine Prüfung. Stattdessen ist ein Honeypot ein Feld, das ein Besucher nicht zu Gesicht bekommt, ein Spam-Bot aber ausfüllt. Wenn in dem Feld also Information steht, muss das Formular Spam sein.
Besonders überraschend: es gibt fast nichts zu konfigurieren. Das Plugin erstellt ein einzelnes Honeypot-Feld mit einem Zufallsnamen. Es gibt einen Schalter, um dieses Feld umzubenennen, falls doch mal etwas durchkommt und so der Name des Feldes bekannt wird. Diese Funktion kann man ab und zu verwenden, aber benötigt habe ich sie bisher nicht.
Mehr gibt es nicht zu konfigurieren. Es gibt eine kommerzielle Version, die ich mir schließlich auch geleistet habe, aber auch diese benötigt keine weitere Konfiguration, um ihren Dienst zu tun. Und seit ich sie einsetze, nun schon über zwei Monate, hat mich keinerlei Spam mehr über Formulare oder Kommentare erreicht. Bisher also eine Erfolgsrate von 100%.
Und in konkreten Zahlen bedeutet es für August das:
WP Armour Monatsstatistik August 2021
Die Kaufversion bietet eine Statistik, die Monate und Wochen zusammenfasst. Das Bild entstand am 31.08.2021. Es wurden also 241 Spam-Formulare und 9 Kommentare verhindert.
Es ist auch möglich, die Einsendungen zu speichern, was insbesondere bei den Formularen zusätzliche Sicherheit gibt. Das bisher eingesetzte Contact Form 7 Honeypot-Plugin tat das nämlich nicht, so dass man nie sicher sein kann, ob nicht vielleicht doch durch eine Fehlfunktion das Versenden regulärer Formulare verhindert wurde. In WP Armour kann ich das leicht prüfen und konnte bisher keine False Positives feststellen.
Darüber hinaus halte ich WP Armour für DSGVO-konform. In der Kaufversion bietet es allerdings die Möglichkeit, IP-Adressen von Spammern zu speichern, um sie im Wiederholungsfall zu blocken. Diese Speicherung wird nicht anonymisiert, kann aber ganz abgeschaltet werden. Wenn die Adressen erfasst werden (immerhin sind es die von Bots, denen meines Wissens keine Persönlichkeitsrechte zustehen), kann man diese nach einem Zeitraum zwischen 7 und 60 Tagen automatisch löschen lassen.
Auch schön: die Kaufversion blendet im Formular eine Möglichkeit ein, das Formular als Spammer zu versenden, um die Funktionalität zu testen. Man kann also schon damit prüfen, ob WP Armour das eigene Formularplugin auch unterstützt.
WP Armour ist also eine unkomplizierte und dabei äußerst effektive Möglichkeit, Spam auf der WordPress-Website über beide üblichen Kanäle, Formulare und Kommentare, zu unterbinden.
Dieser kurze Review wurde in keiner Weise gesponsort und stellt meine persönliche Meinung zu WP Armour dar. Die Agentur-Version, die ich erworben habe, kommt meinen Kunden im Bereich der WordPress-Wartung automatisch und ohne Aufpreis zugute..
Für unsere Kunden nutzen wir Gravity Forms, das hat auch eine Honeypot-Option, die funktioniert aber tatsächlich nicht so gut wie die von WP Armour. Wir sind auch begeistert von dem Plug-in, da die PRO Version günstig ist und so ziemlich alles an SPAM rausfiltert 🙂
In der Tat, ein iframe ist praktisch ein Fenster auf eine andere Website. Der Inhalt des iframes kann in keiner Weise von Plugins auf der Website beeinflusst werden.
Das Newsletterformular im iframe ist auch aus datenschutzrechtlichen Gründen bedenklich.
Für unsere Kunden nutzen wir Gravity Forms, das hat auch eine Honeypot-Option, die funktioniert aber tatsächlich nicht so gut wie die von WP Armour. Wir sind auch begeistert von dem Plug-in, da die PRO Version günstig ist und so ziemlich alles an SPAM rausfiltert 🙂
Kleine Korrektur …
Der Test in WP Armour als Spamer das Formular zu senden ist auch in der freien Version enthalten.
Hi, ich habe ein Newsletter Anmelde Formular über iframe eingebunden. Heißt das, dass WP Armour hier nicht funktioniert?
In der Tat, ein iframe ist praktisch ein Fenster auf eine andere Website. Der Inhalt des iframes kann in keiner Weise von Plugins auf der Website beeinflusst werden.
Das Newsletterformular im iframe ist auch aus datenschutzrechtlichen Gründen bedenklich.