Kontaktformular WordPress ohne Google reCaptcha nach EuGH Urteil zu Cookies
Seit einiger Zeit beschäftigt uns das Problem von Cookies im Rahmen von Google Recaptcha und dem EuGH Urteil. Hier nun unsere Einschätzung zu einer technischen Lösung. Wir sind keine Rechtsanwälte oder Datenschützer und dies ist rein unsere Ansicht basierend von technischer Seite.
Zunächst das Problem bei Google reCaptcha
Google reCaptcha ist für fast alle WordPress Seiten schlicht notwendig, weil jede Seite sonst im Spam ersaufen würde. Spam ist ein Albtraum im Internet und aktuell ist nicht in Sicht, dass es jemals besser werden wird. Wer Kontaktformulare nicht absichert, dessen Seite wird (sobald nur marginale Besucher/Ranking vorhanden ist) in Kürze von Spam verseucht werden. Die Formulare werden stückweise von Spambots überrannt. Zunächst nur 10-20 pro Tag und später problemlos hunderte pro Tag.
Das führt üblicherweise zu einer Sperrung der Mailaccounts, Server oder ähnliches. Daher ist eine Absicherung von Kontaktformularen zwingend nötig.
Das Problem ist... Google reCaptcha ist die perfekte Lösung, jedoch setzt die Lösung dummerweise einen Cookie von Google. Dieser wiederum wird wohl nicht als "technisch notwendig" durchgehen und bedarf somit der Einwilligung des Besuchers...
Laut eines Beitrags auf "it-recht-kanzlei.de" von Hr. Phil Salewski (Rechtsanwalt)
vgl. https://www.it-recht-kanzlei.de/google-recaptcha-einwilligungspflicht.html
Nach Ansicht der IT-Recht Kanzlei sind Cookies, die von Google reCAPTCHA gesetzt werden, für den Betrieb einer Webseite nicht erforderlich und mithin einwilligungspflichtig.
Und damit fangen die Probleme an... Wie den Cookie lahmlegen?
Es braucht somit eine Cookie Lösung die die Cookies von google Captcha nicht setzt. Der Cookie sollte erst gesetzt werden, wenn der Besucher zustimmt...
Wenn dies aber nicht erfolgt würde das Captcha auch nicht funktionieren. Im besten Fall ist das Captcha und Formular somit defekt.
Problem ist auch nach intensiver Suche habe ich keine entsprechende Erweiterung gefunden, die dies bewerkstelligt. Es müsste dazu google Captcha Erweiterung umprogrammiert werden, somit keine Update Sicherheit mehr... Das ist somit keine Option.
Oder extra für diesen Zweck eine eigene Erweiterung programmiert werden aber eben auch laufend weiterentwickelt werden... Dazu haben wir schlicht keine Zeit.
Somit was ist das Problem? Der Google Cookie! Eine Lösung Kontaktformulare abzusichern ohne google Captcha?
Dort gibt es wiederum verschiedene technische Lösungen und nun kommen wir der Sache näher.
Es gibt alternative Captchas (die jedoch meist gruselig sind). Das sind die seltsam unscharfen unverständlichen "Bilder" mit kryptischen Zahlen/Buchstaben. Es ist schlicht gruselig bis teils unmöglich diese überhaupt auszufüllen. Der Grund ist das ein Bot zwar dumm ist aber Dank Bilderkennung eben doch recht gut Zahlen/Buchstaben erkennen kann... Daher müssen diese Rätsel relativ komplex sein was für Besucher wiederum keine gute Erfahrung ist.
Wer gute Captcha Erweiteurngen kennt, gerne in die Kommentare.
Dazu gibt es das simple normal "Quiz" des Contactform 7. Diese Lösung reicht eigentlich bereits aus. Jedoch werden die Quiz vermutlich laufend geknackt. Diese können aber auch einfach angepasst werden sobald das Spamaufkommen steigt. Hier ist nur das Problem die Fragen müssen extrem einfach sein und sollte dennoch keine Rechenaufgaben sein (weil Bots diese meist erkennen)
Honeypot(!) Dies scheint uns aktuell die beste Option zu sein. Ein Honeypot ist ein "Honigtopf" der für Spambots wie der Hauptgewinn oder auch komplett normal aussieht. Sobald der Spambot diesen jedoch nutzt ist klar, dass es ein Bot ist weil dieser Honeypot so präperiert ist, dass nur Bots diesen ausfüllen können.
Für Contactform 7 gibt es diese Erweiterung zur Absicherung von Formularen ohne Cookies
https://de.wordpress.org/plugins/contact-form-7-honeypot/
Einrichtung des Honeypots ist relativ einfach. Es müssen nur in den Formularen entsprechend neue Honeypot Felder hinzugefügt werden. Diese bekommen Namen wie diese für Spambots normal aussehen. Sobald ein Spambot die Felder nutzt, ist klar es ist ein Bot und die Anfrage wird ignoriert.
Ergebnisse unserer Testläufe mit der Erweiterung
Aktuell haben wir erst gestartet und es liegen noch keine Ergebnisse vor.
Sie benötigen Unterstützung bei der WordPress Betreuung?
Hier erhalten Sie mehr Infos zu WordPress Betreuung von Konvis