Meine Website Strategie für 0€

WordPress Spam stoppen: was wirklich gegen Bots hilft

WordPress Spam stoppen

Du öffnest morgens dein Postfach. Und da sind sie: 30, 50, manchmal über 100 neue Eintragungen über Nacht. Kauderwelsch-Nachrichten und dubiose Links von Absendern, die du nie gehört hast. Mittendrin geht die eine echte Anfrage unter, auf die du eigentlich gewartet hast.

Willkommen in der wunderbaren Welt des WordPress Spams.

In diesem Artikel zeige ich dir, wie du WordPress Spam stoppen kannst, ohne deine Seite mit zehn Plugins zuzupflastern: was hinter dem Spam steckt, warum manche Websites viel stärker betroffen sind als andere und welcher Schutz wann wirklich hilft. Und zwar so, dass du am Ende trotzdem sauber durch die DSGVO kommst.

Lass uns loslegen.

Was ist WordPress Spam überhaupt?

Kurz gesagt: unerwünschte Einträge, die automatische Programme über deine Website abschicken. Diese Programme nennt man Bots.

WordPress Spam kommt an mehreren Stellen rein:

  • Kommentare unter deinen Blogartikeln.
  • Kontaktformulare, über die statt echter Anfragen plötzlich Müll reintropft.
  • Benutzerregistrierung, falls auf deiner Seite jemand ein Konto anlegen kann.
  • Newsletter Anmeldung, die mit Fake-Adressen geflutet wird.
  • Deine Login Seite, an der Bots im Sekundentakt Passwörter durchprobieren.

WordPress-Lexikon: Was ist ein Bot? Ein Bot ist ein kleines automatisches Programm. Statt dass ein Mensch ein Formular ausfüllt und auf Senden klickt, übernimmt das ein Skript, und zwar tausendfach und rund um die Uhr. Manche Bots sind harmlos, etwa der von Google, der deine Seite für die Suche liest. Andere wollen nur Schaden anrichten.

Und warum macht jemand sowas? Selten aus Bosheit dir gegenüber. Meistens geht es um Links zu zwielichtigen Seiten oder schlicht darum, automatisiert riesige Mengen an Websites gleichzeitig abzuklappern. Du bist da nur eine Nummer unter vielen.

Genau das ist der Schlüssel zur nächsten Frage.

Warum trifft es manche Websites härter als andere?

Eine berechtigte Frage. Denn vielleicht läuft die Seite einer Kollegin völlig spamfrei, während bei dir die Hölle los ist. Das hat handfeste Gründe.

WordPress ist ein lohnendes Ziel. Über 40% aller Websites weltweit laufen mit WordPress. Und viele davon nutzen dieselben Formular-Bausteine, ob das bekannte Plugin Contact Form 7 oder das eingebaute Formular-Widget von Elementor. Für einen Bot heißt das: Wer einmal lernt, wie er so ein Formular knackt, kann es überall knacken. Deine Seite sieht für ihn aus wie tausend andere in seiner Liste.

Einmal entdeckt, stehst du auf dem Radar. Bots durchsuchen das Netz systematisch nach Formularen und merken sich die Adresse, an die ein Formular seine Daten schickt. Ist deine einmal gefunden, feuern die Bots immer wieder.

Veraltete Technik ist eine Einladung. Bots suchen bevorzugt nach alten Plugin-Versionen und nicht aktualisiertem WordPress. Eine ungepflegte Seite ist ein leichteres Ziel als eine, die regelmäßig gewartet wird.

Viele ungeschützte Formulare vergrößern die Angriffsfläche. Jedes Formular ist eine Tür. Je mehr offene Türen, desto mehr Stellen, an denen Spam reinkommt.

Und manchmal? Ist es einfach Pech. Bot-Netzwerke verschieben ihre Ziele in Wellen. Du kannst nichts an deiner Seite geändert haben und trotzdem von heute auf morgen im Visier landen, nur weil ein Netzwerk gerade reihenweise Seiten wie deine abklappert. Falls du also gerade denkst, du hättest etwas falsch gemacht: Wahrscheinlich nicht.

Wie groß das Problem inzwischen ist, zeigt der Bad Bot Report von Imperva: Bösartige Bots machen rund 40% des gesamten Internet-Traffics aus, und ihr Anteil steigt seit Jahren. Mehr als die Hälfte des Verkehrs im Netz stammt damit längst von automatisierten Programmen statt von Menschen. Für ein ungeschütztes Kontaktformular heißt das ganz praktisch: Es sammelt schnell Tag für Tag automatische Einsendungen ein.

Du siehst: Das ist kein persönliches Problem. Das ist Alltag im Netz. Die gute Nachricht ist, dass du wirklich gute Werkzeuge dagegen hast.

Mein Standard gegen WordPress Spam: ein Honeypot wie WP Armour

Wenn mich jemand fragt, womit ich anfange, lautet die Antwort fast immer: mit einem Honeypot. Konkret nutze ich dafür das kostenlose Plugin WP Armour.

WordPress-Lexikon: Was ist ein Honeypot? Ein Honeypot ist eine Falle für Bots, übersetzt ein „Honigtopf“. Im Formular sitzt ein verstecktes Feld, das für echte Besucher unsichtbar ist. Ein Mensch lässt es leer, weil er es gar nicht sieht. Ein Bot füllt dagegen stur alle Felder aus und verrät sich genau damit.

WP Armour dreht diesen Trick sogar um. Statt zu prüfen, ob ein verstecktes Feld ausgefüllt wurde, baut es das Feld per JavaScript ein und schaut, ob es beim Absenden überhaupt da ist. Ein echter Browser führt dieses JavaScript aus, ein simpler Spam-Bot nicht. Wer also ohne diese Spur ankommt, ist sofort enttarnt.

Warum ist das mein Favorit für den Anfang? Aus mehreren Gründen.

Der Honeypot läuft komplett im Hintergrund. Deine Besucher müssen keine Ampeln anklicken und keine Hydranten von Taxis unterscheiden (oder was es da nicht mittlerweile alles gibt 😄). Für sie ändert sich nichts, das Formular sieht aus wie immer und hat so keine Eintragungshemmer.

Die Einrichtung dauert Sekunden. Plugin aktivieren, fertig. WP Armour schützt damit automatisch alle deine Formulare und Kommentare, ohne dass du in den Einstellungen herumschrauben musst. Und das hält schon den allermeisten typischen Bot-Spam von dir fern.

Ein Hinweis dazu, der für jeden formularbasierten Spamschutz gilt: „Alle Formulare“ meint die, die über dieses System laufen, also zum Beispiel deine Kontaktformulare und Kommentare. Läuft deine Newsletter Anmeldung zum Beispiel über einen externen Link oder per HTML-Einbettung, greift der Schutz dort nicht automatisch mit. Solche Formulare brauchen ihren eigenen Spamschutz, den gute Tools aber meistens schon mitbringen.

Und jetzt kommt der Punkt, der für dich als Selbstständige in Deutschland besonders zählt: Ein Honeypot ist datenschutztechnisch ein Traum. WP Armour macht keine externen Serveranfragen, setzt keine Cookies und trackt nichts. Nichts verlässt deine Seite. Das heißt im Klartext: Du brauchst dafür nicht einmal einen Eintrag in deiner Datenschutzerklärung. Schutz, der sich um nichts schert außer um die Bots.

Warum ich nicht die ganze Website mit Spam-Plugins zupflastere

Es wäre verlockend, bei Spam einfach drei, vier Anti-Spam-Plugins gleichzeitig zu installieren. Doppelt hält besser, oder?

Leider nein.

Bei Plugins gilt für mich ein eiserner Grundsatz, den ich auch meinen Kundinnen immer wieder sage: So viele wie nötig, so wenige wie möglich. Und gerade beim Thema Spam ist das wichtiger, als man denkt.

Jedes Plugin ist eine zusätzliche Tür. Mehr Plugins bedeuten mehr potenzielle Sicherheitslücken, vor allem wenn eines davon nicht mehr gepflegt wird. Es wäre schon eine besondere Ironie, sich ausgerechnet beim Schutz vor Angriffen neue Einfallstore in die Seite zu holen.

Plugins können sich in die Quere kommen. Mehrere Anti-Spam-Plugins, die alle gleichzeitig an deinen Formularen herumwerkeln, geraten gern in Konflikt. Im schlimmsten Fall blockieren sie sich gegenseitig oder dein Formular funktioniert plötzlich gar nicht mehr.

Mehr Plugins heißt mehr Pflege. Jedes will aktualisiert werden, jedes ist eine weitere Fehlerquelle, jedes Update kann etwas anderes durcheinanderbringen. Das ist Wartungsaufwand, der sich still und leise summiert.

Aktive Plugins kosten Ladezeit. Plugins, die im Frontend mitlaufen, also auf dem sichtbaren Teil deiner Website, laden auf jeder Seite mit Formular zusätzlichen Code. Bei einem einzelnen Plugin fällt das kaum auf, bei einem ganzen Stapel schon. Und langsame Seiten kosten dich Besucher und Ranking. Mehr dazu liest du in meinem Blogartikel „Website-Ladezeit optimieren: so wird deine Seite schneller“.

Und der Datenschutz-Punkt. Jedes externe Tool, das Besucherdaten verarbeitet, ist ein weiterer Eintrag in deiner Datenschutzerklärung und ein weiterer Datentransfer, den du im Blick behalten musst. Je weniger solcher Werkzeuge du nutzt, desto schlanker bleibt deine Datenschutz-Baustelle.

Deshalb mein Ansatz: erst das leichteste, datenschutzfreundlichste Werkzeug, das dein Problem löst. Und erst nachlegen, wenn es wirklich nötig wird. Genau dieser Fall kommt jetzt.

Wann ein Honeypot nicht reicht

Ein Honeypot fängt den allergrößten Teil des Spams weg. Aber er ist keine Wunderwaffe und reicht manchmal leider nicht aus.

Denn die Bots sind in den letzten Jahren schlauer geworden. Manche führen inzwischen den Code einer Seite richtig aus, fast wie ein echter Browser, und umgehen damit die unsichtbare Falle. Andere sind so programmiert, dass sie typische Honeypot-Felder erkennen und einfach ignorieren. Und manchmal hat sich ein Netzwerk regelrecht auf genau deine Formulare eingeschossen.

Woran merkst du, dass du an diesem Punkt bist? Ganz einfach: Du hast einen Honeypot aktiv und trotzdem kommt weiter Spam durch. Und das hartnäckig und in Wellen.

Dann reicht die einfache Falle nicht mehr. Dann brauchst du eine Prüfung, die ein Bot nicht so leicht austricksen kann. Und die arbeitet auf dem Server.

Die nächste Stufe: Cloudflare Turnstile

Mein Mittel der Wahl für diesen Fall heißt Cloudflare Turnstile. Das ist ein Captcha, aber zum Glück keines von der nervigen Sorte.

WordPress-Lexikon: Was ist ein Captcha? Ein Captcha ist eine Prüfung, die feststellen soll, ob am anderen Ende ein Mensch oder ein Bot sitzt. Früher waren das verschwommene Buchstaben oder die berüchtigten „Klicke alle Ampeln an“-Bilder. Heute geht das eleganter.

Turnstile prüft automatisch, ob eine Eingabe von einem echten Menschen oder von einem Bot kommt. Es wertet dafür unauffällige Signale aus, statt deinen Besuchern ein Rätsel vorzusetzen. In den meisten Fällen merken echte Menschen gar nicht, dass eine Prüfung stattfindet.

Warum Turnstile und nicht das bekanntere reCAPTCHA von Google? Zwei Gründe. Erstens kommen moderne Bots mit reCAPTCHA zunehmend klar, der Schutz bröckelt also. Zweitens ist reCAPTCHA datenschutzrechtlich heikler, weil dabei reichlich Daten an Google fließen. Für eine Seite mit Sitz in Deutschland ist Turnstile die freundlichere Wahl.

Der entscheidende Unterschied zum Honeypot: Turnstile prüft serverseitig, also dort, wo deine Website tatsächlich liegt, und nicht erst im Browser deiner Besucher. Bei jeder Übermittlung vergibt es eine Art Echtheits-Stempel, den ein Bot nicht einfach fälschen kann. Selbst ein Bot, der ein Formular direkt anfunkt, scheitert daran.

Für die Einbindung nutze ich das kostenlose Plugin „Simple CAPTCHA with Cloudflare Turnstile“, das du in deinem WordPress Backend unter Plugins -> Installieren findest. Der große Vorteil: Es schützt mit einer einzigen Einrichtung gleich alle gängigen Formulararten, egal ob Contact Form 7, Elementor, deine Kommentare oder die Login-Seite. Du hinterlegst dafür nur ein paar Schlüssel aus deinem kostenlosen Cloudflare-Konto in den Einstellungen und wählst aus, welche Formulare geschützt werden sollen. Wenn du bei der Einrichtung Hilfe brauchst, weißt du, wo du mich findest.

Aber, und jetzt kommt die Kehrseite: Diesen stärkeren Schutz gibt es nicht ganz umsonst. Zwar nicht beim Geld, denn Turnstile selbst ist kostenlos. Der Preis liegt woanders: beim Datenschutz.

Datenschutz nicht vergessen: der Eintrag in deiner Datenschutzerklärung

Die Faustregel ist einfach: Einen Eintrag brauchst du immer dann, wenn ein Werkzeug Besucherdaten an Dritte weitergibt. Dein Honeypot tut das nicht und bleibt damit außen vor.

Turnstile dagegen verarbeitet technische Daten deiner Besucher, etwa die IP-Adresse, und gibt diese an Cloudflare in den USA weiter. Damit gehört es in deine Datenschutzerklärung.

Die rechtliche Lage dafür ist inzwischen entspannter als früher. Cloudflare ist über das sogenannte EU-US Data Privacy Framework zertifiziert, das ist die offizielle Grundlage für den Datentransfer in die USA. Als Rechtsgrundlage dient in der Regel das berechtigte Interesse, denn ein Schutz vor Spam und Missbrauch ist ein nachvollziehbares Anliegen. Das Gleiche gilt übrigens für Akismet, falls du das gegen Kommentar-Spam einsetzt, denn auch dahinter steht ein US-Anbieter.

Den passenden Absatz musst du nicht selbst formulieren. Ich nutze dafür den Datenschutz-Generator von eRecht24 (Affiliate Link): Du hakst dort den jeweiligen Dienst an, zum Beispiel Cloudflare Turnstile, und der passende, von Anwälten gepflegte Textbaustein wird automatisch erzeugt, inklusive der aktuellen Verlinkungen. Das nimmt dir die Arbeit ab und bleibt bei Gesetzesänderungen auf dem neuesten Stand.

Und damit ist auch klar, warum ich mit dem Honeypot anfange und Turnstile erst dann dazunehme, wenn es sein muss: Der eine kostet dich keinerlei Datenschutz-Arbeit, der andere schon ein bisschen.

Vergiss deine Login-Seite nicht

Ein Punkt, der gern übersehen wird: Auch deine Login-Seite ist ein beliebtes Ziel für Bots. Dort probieren sie im Sekundentakt Benutzernamen und Passwörter durch, in der Hoffnung, irgendwann reinzukommen. Das nennt sich Brute-Force-Attacke.

Das Gute: Hast du Turnstile mit dem Plugin von eben eingerichtet, kannst du den Schutz dort gleich mit aktivieren, sodass Bots schon an der Anmeldung scheitern. Eine sinnvolle Ergänzung ist ein Plugin, das zusätzlich die Zahl der Login-Versuche begrenzt. Zum Beispiel das Plugin „Limit Login Attempts“.

Fazit: so viel Schutz wie nötig, so wenig wie möglich

Spam ist nervig, aber kein Grund zur Panik. Und vor allem kein Grund, deine Seite mit einem Dutzend Plugins vollzustopfen.

Mein Weg in der richtigen Reihenfolge sieht so aus:

  • Starte mit einem Honeypot (Plugin Empfehlung: WP Armour): Läuft im Hintergrund, nervt niemanden, hält den allermeisten Spam fern und braucht keinen Eintrag in der Datenschutzerklärung.
  • Reicht das nicht und es kommt hartnäckig weiter Spam durch, nimm Cloudflare Turnstile dazu. Stärkerer, serverseitiger Schutz, dafür mit einem sauberen Eintrag in der Datenschutzerklärung.
  • Sichere zusätzlich deine Login-Seite ab, damit Bots dort nicht ungestört Passwörter durchprobieren.

Und wenn dich morgen eine plötzliche Spam Welle überrascht: Atme einmal durch. Das liegt meistens gar nicht an dir. Schuld ist ein Bot-Netzwerk, das gerade sein Ziel verschoben hat. Weite deinen Schutz wie in diesem Artikel beschrieben aus und du wirst sehen: Die Spam Welle ebbt deutlich ab.

Website Stil Test

Website Stil Test für 0€

Finde in 2 Minuten heraus, welcher Website Stil wirklich zu dir passt.

In deinem Ergebnis erfährst du:

  • ✨ Welche Schriften und Farben dich und deine Werte widerspiegeln.
  • ✨ Von welchen Schriften und Farben du besser die Finger lässt.
Test starten

Lies als Nächstes...

content-marketing

Was ist Content Marketing? Meine Hündin hat es mir erklärt

Artikel lesen
preise-festlegen-selbststaendig

Preise festlegen als Selbstständige: halb Mathe, halb Mut

Artikel lesen
baukasten-zu-wordpress-umziehen

Vom Baukasten zu WordPress umziehen: so klappt es

Artikel lesen

Wer schreibt hier?

Annika Gievers

Mein Spezialgebiet sind strategische WordPress Websites, die Besucher in Kunden verwandeln. In den letzten Jahren haben sich über 1000 Frauen mit meiner Hilfe ihre eigene strategische Website erstellt. Und genau das schaffst du auch! Hier erfährst du mehr über mich und meine Angebote.