Es gibt keinen Zweifel, dass die Sicherheit von WordPress wichtig ist. Schließlich kann ein Verstoß zu ernsthaften Schäden an deiner Website führen. Da Hacker jedoch Bots verwenden, um schnell und effektiv Webseiten anzugreifen, kann es sich so anfühlen, als ob die Wahrscheinlichkeit gegen dich steigt.
Glücklicherweise gibt es ein sehr einfaches Tool, mit dem du Bots und Spammer von deiner WordPress Seite fern halten kannst. Die Integration eines vollständig automatisierten Turing-Tests, um Computer und Menschen auseinander zu halten (CAPTCHA), ist eine einfache, aufwandsarme Möglichkeit, die Sicherheit deiner Website zu erhöhen.
Dieser Leitfaden stellt dir die CAPTCHAs vor und zeigt dir, wie sie eine Rolle beim Schutz deiner Website vor Hackern und Spam spielen können. Dann werden wir dir zeigen, wie du sie auf deiner Seite einbauen kannst und einige der besten WordPress CAPTCHA-Plugins vorstellen.
Fangen wir an!
CAPTCHAs verstehen
Du hast CAPTCHAs wahrscheinlich schon viele Male online gesehen. Sie können eine Vielzahl von Formen annehmen, eine der häufigsten ist verzerrter Text, den du entziffern musst. Bei anderen muss man aus einer Gruppe von Fotos mit niedriger Auflösung Bilder auswählen, die bestimmten Spezifikationen entsprechen:
In allen Fällen handelt es sich um eine Herausforderung, die die meisten Menschen leicht bewältigen können sollten. Aber selbst die heutigen fortgeschrittenen Bots sind nicht in der Lage, verzerrte Wörter oder Bildfragmente zu verstehen. Wenn sie nicht in der Lage sind, den Test zu beenden, werden sie von deiner Seite blockiert (oder was auch immer das CAPTCHA sonst noch schützt).
Dies ist wichtig, da Bots in verschiedenen Situationen eingesetzt werden, die die Sicherheit und Glaubwürdigkeit deiner Website gefährden könnten. Brute-Force-Angriffe, eine der häufigsten Hackerstrategien, verwenden Bots, um wiederholt Anmeldeinformationen in dein Anmeldeformular einzugeben, bis sie Zugang zu deiner Website erhalten.
Cross-Site-Scripting (XSS) ist eine andere Art von Cyberattacken, bei denen Hacker über ein Formular, wie z. B. deine Anmeldeseite oder den Kommentarbereich, bösartigen Code in deine Website einschleusen. Dies kann zu auf deiner Website gespeicherter Malware, gestohlenen Informationen und anderen negativen Folgen führen.
Bots können auch dazu verwendet werden, um den Kommentar-Bereich mit minderwertigen Links zu spammen, die deine Suchmaschinen-Optimierung (SEO) beeinträchtigen und seriöse Nutzer abschrecken. Spam ist ärgerlich, aber noch wichtiger ist, dass deine Website dadurch untergeschützt und schlecht überwacht aussieht.
Jeder Ort auf deiner Website, an dem Benutzer Informationen eingeben können – mit anderen Worten, jede Form – ist anfällig für Angriffe von Bots. Die Anforderung eines CAPTCHA vor dem Einreichen von Formularen verhindert, dass sich Nicht-Menschen erfolgreich Zugang zu deiner Website verschaffen oder bösartigen Code in sie einbauen können.
Was ist Google reCAPTCHA?
Obwohl CAPTCHAs eindeutig eine Vielzahl von Vorteilen und Schutz für deine Website bieten, haben sie doch einige Nachteile. Beispielsweise neigen sie dazu, die User Experience (UX) negativ zu beeinflussen. Durch die Verlangsamung der Nutzer stehen diese einfachen Tests den Besuchern im Weg, die ihre Ziele auf deiner Seite reibungslos und schnell erreichen.
Außerdem können Benutzer mit Sehbehinderungen oder anderen Herausforderungen wie z.B. Legasthenie Schwierigkeiten haben, deine CAPTCHAs zu vervollständigen. Menschliche Nutzer versehentlich von deiner Seite fernzuhalten, ist weder für dich noch für sie von Vorteil, selbst wenn dadurch Bots abgelenkt werden.
Im Jahr 2014 veröffentlichte Google sein No CAPTCHA reCAPTCHA, einen Nachfolger der verzerrten Wort- und Bildtests, die es seit 2007 verwendet hatte. Das neue System verlangt von den Nutzern lediglich, dass sie ein Kontrollkästchen neben den Worten „Ich bin kein Roboter“ aktivieren, um ihre Legitimität zu bestätigen:
Dies ist viel einfacher und schneller als herkömmliche CAPTCHAs und für einen größeren Anwenderkreis zugänglich. Darüber hinaus hat Google diese Technologie weiter verbessert. Im Jahr 2018 wurde auch ein sogenanntes „unsichtbares CAPTCHA“ veröffentlicht, das Bots ohne bewusstes Zutun der Nutzer erkennen kann.
Wenn du ein CAPTCHA zu deiner WordPress-Seite hinzufügst, hast du die Möglichkeit zu wählen, welche Art von Test du verwenden möchtest. Denke jedoch daran, dass die Implementierung von Google reCAPTCHA v2 oder v3 dazu beitragen sollte, deine Seite für die Nutzer angenehmer und zugänglicher zu machen.
Wie man ein CAPTCHA zu deiner WordPress-Seite hinzufügt (in 3 Schritten)
Wenn es um die Sicherheit von WordPress geht, ist das Hinzufügen eines CAPTCHA eine der einfachsten Möglichkeiten, um es für Bots schwieriger zu machen, deine Seite zu infiltrieren. Glücklicherweise ist es auch einfach, ein CAPTCHA zu integrieren. Du kannst deine in nur drei einfachen Schritten einrichten.
Schritt 1: Installieren und Aktivieren eines WordPress CAPTCHA Plugins
Der einfachste Weg, ein CAPTCHA zu deiner WordPress-Seite hinzuzufügen, ist mit einem Plugin. Es gibt viele hochwertige Optionen im WordPress-Plugin-Verzeichnis, so dass du nicht die Bank sprengen musst, um deiner Seite einen Sicherheitsschub zu geben.
Bevor du dein Plugin auswählst, solltest du jedoch ein paar wichtige Features beachten.
Zuerst sollte man den Typ des CAPTCHA, den das Plugin zur Verfügung stellt, berücksichtigen. Wie wir oben besprochen haben, ist Google reCAPTCHA viel benutzerfreundlicher, als dass Besucher auf Bilder klicken oder verzerrten Text entschlüsseln müssen.
Zusätzlich sollte sichergestellt werden, dass dein Plugin CAPTCHAs zu verschiedenen Bereichen deiner Seite hinzufügen kann, nicht nur zu deiner Login-Seite. Wir werden diese Idee in Schritt 3 genauer untersuchen. Für den Moment sei daran erinnert, dass du wahrscheinlich überall dort, wo du ein Formular auf deiner Seite hast, Bots mit einem CAPTCHA abwehren willst.
Schauen wir uns drei Plugins an, die die oben genannten Kriterien erfüllen. Google Captcha (reCAPTCHA) von BestWebSoft ist mit über 200.000 aktiven Installationen die beliebteste Option:
Wie der Name schon sagt, enthält dieses Plugin ein v2 oder v3 Google reCAPTCHA auf den Login- und Registrierungsseiten, auf den Passwortzurücksetzungs- und Kontaktformularen und sogar in den Kommentaren und Reviews deiner Website. Dies hilft, Spam zu verhindern und erhöht die Sicherheit.
Advanced noCaptcha & Invisible Captcha wird ebenfalls hoch bewertet und enthält viele der gleichen Funktionen:
Dieses Plugin bietet auch Multisite-Kompatibilität und integriert sich in beliebte Mitglieder-Tools wie bbPress und BuddyPress. Außerdem kannst du bei Bedarf mehrere CAPTCHAs zu einer einzigen Seite hinzufügen.
Schließlich kannst du auch Login No CAPTCHA reCAPTCHA in Betracht ziehen:
Dieses Plugin beinhaltet das einfache Google reCAPTCHA und kann bei Login-, Registrierungs- und vergessenen Passwort-Formularen verwendet werden. Allerdings ist es nicht in den Kommentarbereich oder die Kontaktformulare integriert, was es etwas eingeschränkter macht als die beiden anderen Plugins, die wir uns angesehen haben.
Schritt 2: Erstelle dein Google reCAPTCHA und füge es zu deiner Seite hinzu
Sobald du dein Plugin installiert und aktiviert hast, musst du dein Google reCAPTCHA erstellen (vorausgesetzt, du hast ein Plugin ausgewählt, das eines verwendet). Gehe zur Google reCAPTCHA-Verwaltungskonsole und fülle das Registrierungsformular aus:
Beachte, dass du zwischen einem v2 oder v3 reCAPTCHA wählen kannst und du kannst die Checkbox oder einen unsichtbaren Test verwenden. Letzterer wird die beste UX liefern, da er keine Aktion seitens des Benutzers erfordert. Allerdings ist die v2-Checkbox tendenziell zuverlässiger.
Wenn du alle Felder ausgefüllt hast, klicke auf den Submit Button. Auf dem nächsten Bildschirm erhält man einen Site Key und einen Secret Key:
Du musst beides in die Einstellungen deines CAPTCHA-Plugins auf deiner WordPress-Seite eingeben. Dieser Vorgang kann leicht variieren, je nachdem, welches Plugin du gewählt hast. Sie sollten jedoch in der Lage sein, die Einstellungen in der Sidebar des Dashboards zu finden und deine Schlüssel in die entsprechenden Felder einzufügen:
Vergiss nicht, deine Änderungen zu speichern. Vielleicht willst du auch deine Google reCAPTCHA Admin-Konsolenseite als Lesezeichen speichern und regelmäßig überprüfen. Nachdem eine ausreichende Menge an Live-Traffic deine Seite besucht hat, kannst du wertvolle Analysen in Bezug auf Formularanfragen einsehen.
Schritt 3: Konfiguriere deine Einstellungen zum Schutz von Schlüsselbereichen
Wie wir bereits erwähnt haben, gibt es mehrere Bereiche, die sich ideal für die Einbindung deines CAPTCHA eignen, um den größtmöglichen Schutz für deine Seite zu gewährleisten. Sobald du das Plugin deiner Wahl installiert hast, kannst du deine Einstellungen konfigurieren, um sicherzustellen, dass alle wichtigen Seiten eingebunden werden.
Google CAPTCHA und Advanced No Captcha enthalten beide eine Liste von Checkboxen in ihren allgemeinen Einstellungen. Dort kannst Du auswählen, wo Du Deine reCAPTCHAs verwenden möchtest:
Im Idealfall umfasst dies alle Formulare, die du auf deiner Website hast, einschließlich gefährdeter Bereiche wie deinen:
- WordPress-Administrator-Anmeldeseite
- WooCommerce Anmeldeseite
- Anmeldeformular für Benutzer
- Formular zur Passwort-Wiederherstellung
- Das Kontaktformular
Deine Website kann andere einzigartige Formen enthalten, wie z.B. nutzergenerierte Einsendungen, Umfragen oder E-Mail-Anmeldungen. In solchen Fällen solltest du dich für Advanced noCaptcha & Invisible Captcha entscheiden, da dieses Plugin Action Hooks für die Einbindung eines Google reCAPTCHA in beliebiger Form bietet.
Alternativ kann man auch in Google Captcha (reCAPTCHA) Pro investieren. Es bietet zusätzliche Integrationen mit populären Plugins wie Jetpack, MailChimp für WordPress und verschiedenen Form Buildern.
Hinzufügen eines CAPTCHA zu deiner Anmeldeseite
Deine Login-Seite ist ein Hauptziel für Brute-Force- und Cross-Site-Scripting (XSS)-Angriffe.
Um ein CAPTCHA mit dem Google Captcha-Plugin hinzuzufügen, navigiere innerhalb von WordPress zu Google Captcha > Einstellungen > Allgemein > reCAPTCHA zum aktivieren und wähle unter WordPress Default die Option Anmeldeformular:
Deine Login-Seite sollte nun geschützt sein.
Ein CAPTCHA auf der Seite zum Zurücksetzen des Passworts einbauen
Wenn ihre Versuche, sich bei Ihrer Website anzumelden, fehlschlagen, werden Hacker möglicherweise auf eine Seite geleitet, auf der Benutzer ihre Passwörter zurücksetzen können. Um ein CAPTCHA zum Schutz dieser Seite hinzuzufügen, navigiere zu Google Captcha > Einstellungen > Allgemein > enable reCAPTCHA for im WordPress-Dashboard:
Wähle dann „Reset password form“ aus der WordPress-Standardliste aus.
Schütze deine WooCommerce Login-Seite mit einem CAPTCHA
Deine WooCommerce Login-Seite ist genauso anfällig für böswillige Angriffe wie deine Core WordPress Seite. Um sie mit Google Captcha zu schützen, benötigst du die Premium-Version des Plugins (unten in gelb). Wenn du bereit bist, gehst du zu Google Captcha > Einstellungen > Allgemein > Enable reCAPTCHA for in deinem WordPress-Dashboard:
Hier kannst du das WooCommerce Login-Formular aus der Liste der externen Plugins auswählen.
Ein CAPTCHA auf dein Kontaktformular platzieren
Ihr Kontaktformular kann mit einem CAPTCHA geschützt werden, genauso wie die anderen, die wir in diesem Artikel besprochen haben. Es gibt jedoch mehrere verschiedene Kontaktformular-Plugins, die sich in Google CAPTCHA integrieren lassen, darunter
Du musst eines der oben genannten Tools auf deiner Website aktiv haben, um ein CAPTCHA zu deinem Kontaktformular hinzuzufügen. Gehe dann zu Google Captcha > Einstellungen > Allgemein > Enable reCAPTCHA for und klicke auf die Checkbox auf dein bevorzugtes Plugin:
Damit ist der Prozess abgeschlossen. Wenn du ein anderes Kontaktformular-Plugin auf deiner WordPress-Seite verwendest, kannst du ein anderes CAPTCHA-Plugin verwenden, das sich damit integriert. Es gibt auch einige Formular-Erstellungs-Plugins, die CAPTCHAs selbstständig integrieren, wie z.B. WPForms.
Zusammenfassung
Das Fernhalten bösartiger Bots von deiner Website ist entscheidend, wenn du deine Inhalte, deine Benutzer und den Ruf deiner Marke schützen willst. Eine der einfachsten Möglichkeiten, sie zu verlangsamen, ist das Hinzufügen eines CAPTCHA zu den Formularen deiner WordPress-Site.
Das Hinzufügen von CAPTCHA zu deiner WordPress-Site erfordert nur drei Schritte:
- Installiere und aktiviere ein WordPress CAPTCHA-Plugin.
- Erstelle dein Google reCAPTCHA und füge es zu deiner Seite hinzu.
- Konfiguriere deine Einstellungen, um wichtige Bereiche zu schützen.
Hast Du Fragen zu CAPTCHAs oder zur Verwendung in WordPress? Lasst es uns in den Kommentaren wissen!
Schreibe einen Kommentar