Versuchst du WordPress Registrierungs-Spam auf deiner Webseite zu stoppen?

Aufgrund der immensen Popularität von WordPress ist es ein saftiges Ziel für Spammer auf der ganzen Welt. Sie versuchen vielleicht nur, deine Webseite auszunutzen und sich Zugang zu verschaffen. Oder sie wollen vielleicht deine Community spammen, indem sie dein Forum mit Spam-Themen füllen.

Wenn du eine öffentliche Registrierung auf deiner WordPress Webseite erlaubst, wirst du mit ziemlicher Sicherheit Probleme mit Spam-Registrierungen in der einen oder anderen Form bekommen.

In diesem Beitrag lernst du, wie du Spam-Registrierungen mit einer Mischung aus eingebauten WordPress-Funktionen und kostenlosen Plugins eindämmen kannst.

Der standardmäßige WordPress Registrierungsprozess

Bevor wir zu den Taktiken kommen, lasst uns kurz den standardmäßigen WordPress Registrierungsprozess besprechen.

Wenn du die öffentliche Registrierung auf deiner Webseite erlaubst, befindet sich die Standard-Registrierungsseite von WordPress auf https://yoursite.com/wp-login.php?action=register:

Das Standard WordPress Registrierungsformular
Das Standard WordPress Registrierungsformular

Wie du sehen kannst, gibt es nicht viel, was böswillige Akteure oder Bots davon abhält, Spam-Registrierungen zu erstellen.

Bots können direkt auf deine Registrierungsseite gelangen, indem sie die gleiche Formel an jede WordPress-Domain anhängen, und nichts hindert sie daran, die Formularfelder auszufüllen.

Wie man WordPress Registrierungs-Spam stoppt

Es gibt eine Reihe von verschiedenen Strategien, die du anwenden kannst, um WordPress Registrierungsspam zu stoppen. Je nach den Bedürfnissen deiner Webseite und der Schwere deines Problems benötigst du vielleicht nur eine dieser Strategien oder du musst mehrere Taktiken ausprobieren, um den Spam zu stoppen.

Hier ist die vollständige Liste der Strategien:

WordPress Registrierung komplett deaktivieren

Zunächst einmal, wenn du keine öffentliche Registrierung auf deiner WordPress Webseite brauchst, ist es besser, die Registrierung einfach ganz abzuschalten, als zu versuchen, Spam-Registrierungen zu bekämpfen.

Selbst wenn du anderen Benutzern auf deiner Webseite Benutzerkonten geben musst, bedeutet das nicht unbedingt, dass du die öffentliche Registrierung aktivieren musst. Wenn du zum Beispiel nur eine kleine Anzahl von Leuten brauchst, um ihre eigenen Konten zu haben, könntest du manuell Konten für sie erstellen, anstatt sie sich selbst registrieren zu lassen.

Um die Benutzerregistrierung auf WordPress komplett abzuschalten, gehe auf Einstellungen → Allgemein und stelle sicher, dass das Kästchen Jeder kann sich registrieren nicht angekreuzt ist:

Wie man die WordPress Registrierung deaktiviert
Wie man die WordPress Registrierung deaktiviert

Sobald du die Registrierung deaktiviert hast, wird jeder, der versucht, deine Standardregistrierungsseite zu besuchen, diese Nachricht sehen:

Ein Beispiel für die deaktivierte Registrierung
Ein Beispiel für die deaktivierte Registrierung

CAPTCHA zu deinem Anmeldeformular hinzufügen

Eine andere Möglichkeit, den Spam bei der Benutzerregistrierung abzuwehren, ist das Hinzufügen eines CAPTCHA zum Standard-Registrierungsformular von WordPress.

Es gibt verschiedene Arten von CAPTCHAs, die du verwenden kannst, aber die meisten Leute finden Googles reCAPTCHA-Service am benutzerfreundlichsten (auch bekannt als No CAPTCHA reCAPTCHA). Er zielt darauf ab, für die meisten legitimen menschlichen Besucher unsichtbar zu sein, während er dennoch einen CAPTCHA-Test für Besucher anzeigt, von denen er feststellt, dass sie wahrscheinlich Bots sind.

Um NoCAPTCHA reCAPTCHA zu deinem WordPress Registrierungsformular hinzuzufügen, kannst du das kostenlose Plugin Advanced noCaptcha & invisible Captcha (v2 & v3) verwenden.

Um das Plugin einzurichten, benötigst du zunächst einen kostenlosen reCAPTCHA API-Schlüssel von Google – dazu musst du nur deine Webseite eingeben und auswählen, welche Art von reCAPTCHA du verwenden möchtest:

Generieren des reCAPTCHA API-Schlüssels
Generieren des reCAPTCHA API-Schlüssels

Dann kannst du in den Einstellungen → Advanced noCaptcha & invisible captcha gehen, um das Plugin einzurichten:

  • Wähle die Version (stelle sicher, dass diese mit dem übereinstimmt, was du ausgewählt hast, als du deinen API-Schlüssel erstellt hast).
  • Füge deinen Webseiten Key und Secret Key hinzu (Google gibt dir diese, nachdem du das Formular aus dem vorherigen Screenshot abgeschickt hast).
  • Wähle aus, wo du dein CAPTCHA aktivieren möchtest. Neben deinem Registrierungsformular kannst du es auch für andere Teile deiner Webseite aktivieren, z.B. für dein Login-Formular.
Wie man WordPress reCAPTCHA einrichtet
Wie man WordPress reCAPTCHA einrichtet

Sobald du deine Änderungen gespeichert hast, solltest du dein CAPTCHA-Formular auf deiner Registrierungsseite sehen (es sei denn, du hast eine unsichtbare Methode gewählt, in diesem Fall wäre es nur für verdächtige Bots sichtbar):

Ein Beispiel für reCAPTCHA auf dem Standard-Anmeldeformular
Ein Beispiel für reCAPTCHA auf dem Standard-Anmeldeformular

Benutze ein dediziertes WordPress Registrierungs-Spam-Plugin

Einige universell einsetzbare WordPress Anti-Spam-Plugins können dabei helfen, den WordPress Registrierungs-Spam zu stoppen, aber auch Spam in anderen Bereichen, wie z.B. in der Sektion für Kommentare oder Formulareingaben.

Leider funktioniert das beliebte Akismet-Kommentar-Spam-Plugin von Automattic nicht für Registrierungsspam, aber es gibt einige andere beliebte Optionen, die Registrierungsspam blockieren:

Auch diese Plugins beschränken sich nicht nur auf Registrierungs-Spam, sondern helfen dir auch dabei, Spam-Registrierungen als Teil ihrer allgemeinen Anti-Spam-Bemühungen zu blockieren.

Admin-Genehmigung für neue Benutzer nutzen

Wenn du dir neben den Spam-Accounts selbst auch Gedanken darüber machst, was die Leute nach der Registrierung machen, ist es eine weitere gute Strategie, für neue Benutzer eine Admin-Genehmigung zu verlangen.

Wenn du dir zum Beispiel Sorgen darüber machst, dass Leute dein bbPress-Forum oder deine BuddyPress-Community spammen, kannst du diese Situation vermeiden, indem du die Genehmigung des Admins benötigst.

Dies lässt sich gut mit einem CAPTCHA oder einer anderen Strategie kombinieren: Das CAPTCHA filtert automatisierten Spam auf niedriger Ebene heraus und du kannst die manuelle Genehmigung verwenden, um alles andere abzufangen.

Wenn du jedoch tonnenweise Spam-Registrierungen hast und versuchst, diese Strategie alleine umzusetzen, könntest du dich beim Versuch, alle Registrierungen zu sortieren, überfordert fühlen.

Um eine Admin-Genehmigung für neue Benutzer zu benötigen, kannst du das kostenlose WP Approve User-Plugin verwenden.

Sobald du das Plugin installiert und aktiviert hast, beginnt es sofort zu funktionieren. Alle deine bestehenden Benutzer werden bereits genehmigt sein (um Probleme zu vermeiden).

Neue Benutzer benötigen jedoch eine manuelle Genehmigung, die du im Bereich „Bestehende Benutzer“ in deinem WordPress-Dashboard vornehmen kannst:

User mit dem WP Approve User Plugin genehmigen
User mit dem WP Approve User Plugin genehmigen

Du hast auch die Möglichkeit, E-Mails sowohl zu versenden als auch anzupassen, wenn ein Benutzer ist:

  • Genehmigt
  • Nicht genehmigt

Du kannst diese E-Mails aktivieren und ihren Inhalt anpassen, indem du Einstellungen → Benutzer genehmigen besuchst.

Bösartige IP-Adressen blockieren

Wenn der Großteil deines Registrierungsspams von denselben IP-Adressen kommt, kannst du das Problem eindämmen, indem du diese IP-Adressen von vornherein vom Zugriff auf deine Webseite ausschließt.

Wenn du bei Kinsta als Host arbeitest, bieten wir dir ein IP-Verweigerungs-Tool im Kinsta-Dashboard an. Um darauf zuzugreifen, öffne die Webseite, auf der du Probleme hast, und wähle die Option IP Verweigern in der Sidebar des Dashboards der Webseite:

Wie man IP-Adressen mit MyKinsta blockiert
Wie man IP-Adressen mit MyKinsta blockiert

Die meisten cPanel-Hosts sollten dir auch ein Tool zur IP-Blockierung geben.

Ändere die WordPress Registrierungs-URL

Wenn du ein wenig „Sicherheit durch Unsichtbarkeit“ zu deiner Registrierungsseite hinzufügen und den Bot-Verkehr auf niedriger Ebene reduzieren möchtest, kannst du die URL deiner Registrierungsseite von der Standardeinstellung, die alle WordPress Webseiten verwenden, abweichen lassen.

Die Registrierungsseite ist eigentlich Teil der WordPress-Anmeldeseite, also kannst du dies mit jedem Plugin erreichen, mit dem du die WordPress-Anmelde-URL ändern kannst.

Eine gute Option ist das kostenlose WPS-Plugin Hide Login.

Sobald du das Plugin installiert hast, gehe auf Einstellungen → WPS Hide Login, um deine neue URL einzugeben. Du kannst die Standard-URL auch auf eine andere Seite umleiten, zum Beispiel auf deine 404-Seite:

Wie man die WordPress Registrierungs-URL ändert
Wie man die WordPress Registrierungs-URL ändert

Wenn du zum Beispiel deine Login-URL zu yoursite.com/sneakylogin änderst, dann funktioniert die Standardregistrierungsseite nicht mehr. Deine neue Registrierungsseite wäre dann yoursite.com/sneakylogin/?action=register.

Benutze ein eigenes WordPress Registrierungsformular-Plugin

Eine weitere gute Alternative, um den WordPress Registrierungs-Spam zu stoppen, ist die Verwendung eines eigenen WordPress Registrierungsformular-Plugins.

Mit diesen Plugins kannst du den normalen WordPress Registrierungsprozess umgehen und auch eine Reihe von nützlichen Anti-Spam-Taktiken wie

  • Benutzerdefinierte Registrierungs-URL – das Ändern der Registrierungs-URL weg von der Standard-URL kann einigen Low-Level-Spam eindämmen, obwohl es unwahrscheinlich ist, dass es allein den Registrierungs-Spam der Benutzer stoppt.
  • E-Mail-Bestätigung – dies verhindert Spam-Benutzer mit gefälschten E-Mails, indem neue Benutzer aufgefordert werden, ihre E-Mail zu bestätigen. Wenn ein Benutzer seine E-Mail nicht bestätigt, wird das Plugin diese Registrierung automatisch verwerfen.
  • Admin-Genehmigung für neue Benutzer – diese Plugins können dir normalerweise helfen, die Admin-Genehmigungsfunktion von oben zu implementieren.
  • Spam-Vermeidung – diese Plugins können dir auch dabei helfen, CAPTCHA- oder Honeypot-Felder zu deinem benutzerdefinierten Registrierungsformular hinzuzufügen.

Viele universell einsetzbare WordPress-Formular-Plugins bieten auch die Möglichkeit, benutzerdefinierte Registrierungsformulare mit Anti-Spam-Funktionen zu erstellen. Der Nachteil dabei ist jedoch, dass du die Registrierungsfunktionen normalerweise nur in der Premium-Version erhältst. Wenn du bereit bist zu zahlen, gibt es einige gute Optionen:

Schauen wir uns genauer an, wie du zwei kostenlose Lösungen nutzen kannst, die dir die Plugins Benutzerregistrierung und Profilerstellung bieten.

1. Benutzer-Registrierung

Wenn du das kostenlose Benutzerregistrierungs-Plugin installierst, hast du die Möglichkeit, automatisch eine benutzerdefinierte Registrierungsseite unter yoursite.com/Registrierung zu erstellen (du kannst diese URL jederzeit ändern).

Du hast noch ein paar andere Optionen, um Spam während des Registrierungsprozesses zu reduzieren.

Zunächst kannst du in den Einstellungen des Plugins auf der Registerkarte „Allgemeine Optionen“ die Option „Benutzeranmeldung“ verwenden, um nach der Registrierung eines Benutzers die Zustimmung des Administrators einzuholen:

Aktivieren der Admin-Genehmigung im Benutzerregistrierungs-Plugin
Aktivieren der Admin-Genehmigung im Benutzerregistrierungs-Plugin

Du kannst auch zum Reiter Integration gehen, um Google reCaptcha einzurichten (du brauchst deine API-Schlüssel – du kannst die gleichen Schritte wie vorher in diesem Beitrag ausführen):

Aktivieren von reCAPTCHA im Benutzerregistrierungs-Plugin
Aktivieren von reCAPTCHA im Benutzerregistrierungs-Plugin

Um CAPTCHA auf einem bestimmten Registrierungsformular zu aktivieren, müsstest du auch dieses Formular bearbeiten und es dort aktivieren. Wenn du ein Formular bearbeitest, kannst du auch zusätzliche Profilinformationsfelder hinzufügen, falls gewünscht.

2. Profile Builder

Das kostenlose Profile Builder Plugin folgt dem gleichen Grundansatz.

Um die Felder deines Registrierungsformulars anzupassen, kannst du zum Profile Builder → Formularfelder gehen. Um ein CAPTCHA zu deinem Formular hinzuzufügen, kannst du ein reCAPTCHA-Feld einfügen, in das du deine API-Schlüssel einfügen musst:

Hinzufügen eines CAPTCHA-Feldes im Profile Builder-Plugin
Hinzufügen eines CAPTCHA-Feldes im Profile Builder-Plugin

Dann kannst du den [wppb-register] Shortcode überall auf deiner Webseite einfügen, um dein eigenes Anmeldeformular anzuzeigen.

Der Profile Builder enthält auch eine Funktion, die die Genehmigung des Administrators für neue Registrierungen erfordert, aber das ist nur in der Premium-Version verfügbar.

Zusammenfassung

Wenn du eine öffentliche Registrierung auf deiner WordPress Webseite benötigst, kann Registrierungsspam ein frustrierendes Problem sein. Du kannst Registrierungsspam reduzieren oder sogar ganz eliminieren, indem du verschiedene Taktiken kombinierst.

Die einfachste und leichteste Möglichkeit ist, ein NoCAPTCHA reCAPTCHA zum Standard-Registrierungsformular von WordPress hinzuzufügen. Die meisten menschlichen Besucher werden keinen Unterschied bemerken, aber Google wird den Bots die CAPTCHA-Tests anzeigen, um sie von Spam-Registrierungen abzuhalten.

Wenn du eine komplette Überarbeitung möchtest, kannst du auch ein spezielles WordPress Registrierungs-Plugin verwenden, um ein benutzerdefiniertes Registrierungsformular zu erstellen, das seine eigenen Anti-Spam-Eigenschaften sowie Funktionen wie die Admin-Genehmigung für neue Benutzer enthält.

Matteo Duò Kinsta

Chefredakteur bei Kinsta und Content Marketing Berater für WordPress Plugin-Entwickler. Verbinde dich mit Matteo auf Twitter.