Das Anbieten einer Benutzerregistrierungsfunktion auf deiner Website kann eine großartige Möglichkeit sein, Leads zu generieren und die Markenloyalität zu fördern. Andererseits kann deine Website dadurch auch anfällig für Spam-Registrierungen werden.
Zum Glück gibt es Möglichkeiten, die Vorteile von Registrierungen zu nutzen, ohne deine Website für böswillige Benutzer zu öffnen. Mit einfachen Vorsichtsmaßnahmen kannst du Bots und Hacker daran hindern, Konten zu erstellen und auf dein WordPress-Dashboard zuzugreifen.
In diesem Beitrag werden wir besprechen, warum Benutzerregistrierungsspam deiner Website schaden kann. Anschließend werden wir acht Möglichkeiten vorstellen, diese unerwünschten Registrierungen zu stoppen.
Was ist Benutzerregistrierungsspam?
Benutzerregistrierungsspam tritt auf, wenn unerwünschte Benutzer sich für ein Konto registrieren, um andere Zwecke als die von dir beabsichtigten zu verfolgen. Sie können dies tun, um bösartige Kommentare zu veröffentlichen oder sogar um Zugriff auf dein Dashboard zu erhalten.
Obwohl viele wissen, dass Spam ein großes Problem für fast alle Websites ist, sind unerwünschte Benutzerregistrierungen eine Art von Spam, die oft übersehen wird.
Wenn du Personen erlaubst, ein Konto zu erstellen, befindet sich das Standard-Registrierungsformular von WordPress unter https://beispiel.com/wp-login.php?action=register. Dort kann jeder einen Benutzernamen auswählen, eine E-Mail-Adresse eingeben und ein Konto erstellen.
Wie du siehst, können bösartige Dritte und Bots dies verwenden, um Spam-Konten zu erstellen. Sie können einfach die gleiche URL an eine beliebige WordPress-Domain anhängen, einige Informationen eingeben und ein Konto erstellen – so einfach geht das.
Warum erstellen Spammer gefälschte Registrierungen?
Sobald sie sich auf deiner Website registriert haben, können sie mehr Spam verbreiten. Sie können zum Beispiel Kommentare veröffentlichen, die bösartige Links oder Eigenwerbung enthalten, was deine Website sofort weniger professionell erscheinen lässt. Junk-Kommentare sind dafür bekannt, dass sie das Besuchererlebnis stark beeinträchtigen, und können sogar deine Suchmaschinenoptimierung (SEO) negativ beeinflussen.
Je nachdem, wie du mit Registrierungen umgehst, können diese Spam-Konten sogar höhere Berechtigungen haben. Diese können von der Moderation der Kommentare auf deiner Website bis hin zur Erstellung neuer Beiträge oder sogar zum Zugriff auf dein Dashboard reichen.
Wenn ein Spammer es schafft, das WordPress-Dashboard zu erreichen, können die Folgen katastrophal sein. Spammer möchten in der Regel mehr Spam verbreiten, aber im schlimmsten Fall können sie diese erhöhten Zugriffsrechte nutzen, um noch ausgeklügeltere Angriffe durchzuführen. Dazu zählt zum Beispiel das Löschen deiner Inhalte, das Stehlen deiner Daten oder sogar die Installation gefährlicher Software.
So stoppst du Spam-Registrierungen in WordPress
Hacker und Bots entwickeln laufend neue Techniken für Spam-Registrierungen. Aus diesem Grund empfehlen wir, mehrere Anti-Spam-Strategien gleichzeitig zu verwenden. Damit hast du die besten Chancen, Spambots und bösartige Dritte zu erkennen. Hier sind acht Möglichkeiten, wie du Spam-Registrierungen von Benutzern in WordPress stoppen kannst:
1. Deaktiviere Benutzerregistrierungen
Benutzerregistrierungen können deiner Website auf verschiedene Arten zugutekommen. Oftmals sind sie der erste Schritt zur Monetarisierung deiner Inhalte. Kostenlose Registrierungen können auch eine großartige Möglichkeit sein, Leads zu generieren oder eine Mailingliste aufzubauen.
Aber nicht jede Website benötigt eine Benutzerregistrierung. Wenn du ein persönliches Blog oder eine Unternehmenswebsite betreibst, musst du diese Funktion nicht unbedingt anbieten.
Je nachdem, was du erreichen möchtest, gibt es vielleicht alternative, sicherere Möglichkeiten, um dieselben Ergebnisse zu erzielen. Wenn du beispielsweise Registrierungen als Tool zur Lead-Generierung verwenden möchtest, kannst du stattdessen ein Newsletter-Formular oder ein Formular für Rückruf-Anfragen erstellen. Beide Techniken können Leads generieren, ohne deine Website anfällig für Spam-Registrierungen von Benutzern zu machen.
Es ist auch möglich, Gastbeiträge ohne Registrierung zuzulassen. Wenn du Gastbeiträge auf deiner Website veröffentlichen möchtest, kannst du ein Plugin wie User Submitted Posts verwenden.
Das Deaktivieren von Benutzerregistrierungen ist nicht für jede Website geeignet. Für Mitgliedschaftswebsites, Foren und E-Commerce-Websites ist die Benutzerregistrierung unerlässlich, und sie hat in diesen Fällen viel mehr Vorteile als Nachteile.
Wenn du dich dafür entscheidest, die Registrierung zu deaktivieren, navigiere zu Einstellungen → Allgemein in deinem WordPress-Dashboard. Suche dann die Einstellung Mitgliedschaft und deaktiviere Jeder kann sich registrieren.
Jetzt kann sich niemand mehr auf deiner WordPress-Website registrieren – auch nicht diese lästigen Spambots!
2. Ändere die WordPress-Registrierungs-URL
Standardmäßig befinden sich alle WordPress-Registrierungsseiten unter /wp-login.php?action=register. Dadurch haben es automatisierte Skripts und Bots leicht, auf das Registrierungsformular deiner Website zuzugreifen. Dort können sie Hunderte oder sogar Tausende von Spam-Konten erstellen und deine Website mit unerwünschten Inhalten überfluten.
Du kannst diesen Bot-basierten Traffic reduzieren, indem du die URL deiner Registrierungsseite änderst. Menschliche Angreifer können immer noch auf dieses Formular zugreifen, aber eine obskure URL kann es Spambots nahezu unmöglich machen, deine Website anzugreifen.
Hinter den Kulissen ist das Benutzerregistrierungsformular tatsächlich Teil der WordPress-Anmeldeseite. Dies bedeutet, dass du jedes Plugin verwenden kannst, das die URL der Anmeldeseite ändert, wie zum Beispiel WPS Hide Login.
Nach der Installation und Aktivierung dieses Plugins navigiere zu Einstellungen → WPS Hide Login. Dort kannst du deine neue URL eingeben. Um es den Bots wirklich schwer zu machen, wähle eine Adresse, die nicht leicht zu erraten ist.
Je nachdem, wie deine Website eingerichtet ist, musst du möglicherweise alle Links, Menüs oder anderen Inhalte aktualisieren, die auf die alte URL deiner Registrierungsseite verweisen.
3. Führe E-Mail-Verifizierung durch
Jedes Mal, wenn jemand versucht, sich bei deiner Website zu registrieren, kannst du eine E-Mail an die angegebene Adresse senden. Der Benutzer kann dann diese E-Mail öffnen und eine Verifizierungsaufgabe durchführen, z. B. indem er auf einen Link klickt. Diese E-Mail-Verifizierung kann Bot-basierten Spam verhindern und sogar menschliche Spammer daran hindern, sich mit gefälschten Kontaktdaten zu registrieren.
Der Nachteil besteht darin, dass die E-Mail-Verifizierung einen weiteren Schritt im Registrierungsprozess bedeutet. Um mehr Konversionen zu erhalten, ist es ratsam, die Registrierung so reibungslos wie möglich zu gestalten, und die E-Mail-Verifizierung erhöht die Reibung.
Die gute Nachricht ist, dass die E-Mail-Verifizierung von vielen Websites verwendet wird. Die meisten Internetnutzer sind mit dieser Technik vertraut und akzeptieren sie als notwendigen Teil der Kontoerstellung.
Standardmäßig unterstützt WordPress keine E-Mail-Verifizierung. Du kannst diese Funktion jedoch mit dem Plugin User Verification hinzufügen.
Nach der Installation und Aktivierung dieses Plugins navigiere zu Benutzer → Benutzerverifizierung. Dort kannst du E-Mail-Verifizierung aktivieren auf Ja setzen.
Du kannst auch einige zusätzliche Optionen konfigurieren, z. B. die Seite auswählen, auf die Benutzer nach erfolgreicher Verifizierung weitergeleitet werden.
Dieses Plugin enthält auch integrierte Vorlagen, die du für deine Verifizierungs-E-Mails verwenden kannst. Diese findest du im Tab E-Mail-Vorlagen.
Du kannst hier die verschiedenen Vorlagen erkunden und gewünschte Änderungen vornehmen. Wenn du fertig bist, scrolle zum unteren Bildschirmrand und klicke auf Änderungen speichern.
4. Neue Registrierungen müssen von einem Administrator genehmigt werden
Eine der besten Möglichkeiten, Spammer zu stoppen, besteht darin, jede Registrierung zu überprüfen. Dies ist ein manueller Prozess, daher kann dies bei Websites mit einer großen Anzahl von Anmeldungen schnell zu einer zeitaufwendigen und frustrierenden Aufgabe für dein WordPress-Administratorenteam werden. Aus diesem Grund ist die manuelle Genehmigung nur für Websites geeignet, die eine geringe Anzahl von Registrierungen erhalten.
Diese Methode kann auch dann für dich geeignet sein, wenn du sehr streng auswählst, wer sich auf deiner Website registrieren darf. Wenn du beispielsweise ein privates Firmenportal nur für Mitarbeiter betreibst, kann es sinnvoll sein, jede Registrierung manuell zu überprüfen.
Wenn du die Vor- und Nachteile abgewogen und entschieden hast, dass die manuelle Genehmigung deine bevorzugte Methode zur Verwaltung von Benutzerregistrierungen ist, kannst du diese Funktion mithilfe des Plugins New User Approve hinzufügen.
Das Plugin ist bereits fertig verwendbar, daher musst du keine Einstellungen konfigurieren. Sobald du dieses Plugin aktivierst, wird eine Benachrichtigung über die Genehmigung durch einen Administrator zu deinem Registrierungsformular hinzugefügt.
Immer wenn ein Benutzer das Registrierungsformular ausfüllt, erhältst du eine Benachrichtigung per E-Mail. Du kannst dann die Anmeldung überprüfen, indem du zu Neue Benutzer genehmigen → Ausstehende neue Benutzer navigierst.
5. Füge ein CAPTCHA-Feld hinzu
Ein CAPTCHA ist ein Rätsel oder eine Aufgabe, die Besucher lösen müssen, um sich auf deiner Website zu registrieren. Es ist eine einfache Möglichkeit, zwischen echten Registrierungen und Bots zu unterscheiden.
CAPTCHAs können effektiv sein, aber sie sind bei Internetnutzern nicht besonders beliebt. Es gibt sogar Hinweise darauf, dass CAPTCHAs deine Konversionsrate um bis zu 40 Prozent reduzieren können.
Wenn du ein CAPTCHA zu deiner Registrierungsseite hinzufügst, solltest du sicherstellen, dass die Aufgabe einfach zu lösen ist. Du solltest auch deinen Registrierungsprozess überprüfen, um sicherzustellen, dass er so schmerzlos wie möglich ist – auch mit einem CAPTCHA.
Du solltest berücksichtigen, dass Benutzer mit Sehbeeinträchtigungen möglicherweise Schwierigkeiten haben, bestimmte CAPTCHAs zu lösen. Insbesondere empfehlen wir, bildbasierte Rätsel zu vermeiden und stattdessen textbasierte Herausforderungen zu wählen, wo immer dies möglich ist.
Wenn du das Plugin Contact Form 7 für dein Registrierungsformular verwendest, kannst du mithilfe des Plugins Really Simple CAPTCHA ein CAPTCHA hinzufügen.
Du kannst auch mit Simple Login Captcha ein einfaches, textbasiertes CAPTCHA zu deinem Anmeldeformular hinzufügen. Dies verhindert möglicherweise nicht, dass Spammer sich auf deiner Website registrieren, aber es verhindert, dass Bots und automatisierte Skripte auf ihre neuen Konten zugreifen können. Auf diese Weise kann Simple Login Captcha den Schaden minimieren, den Spammer deiner Website zufügen können.
6. Entscheide dich für reCAPTCHA von Google
Wenn es darum geht, Bots auszusortieren, ist CAPTCHA nicht deine einzige Option. Im Jahr 2014 veröffentlichte Google No CAPTCHA reCAPTCHA, bei dem Besucher lediglich ein Kontrollkästchen mit der Aufschrift I’m not a robot (Ich bin kein Roboter) auswählen müssen.
Dies ist viel schneller und einfacher als die bildbasierten Aufgaben von CAPTCHAs. Es ist auch für mehr Benutzer geeignet, insbesondere für Menschen mit Sehbeeinträchtigungen, die möglicherweise über einen Screenreader auf deine Website zugreifen.
Es ist wichtig zu wissen, dass es Datenschutzbedenken in Bezug auf Googles reCAPTCHA gibt. Insbesondere haben einige Forscher die Theorie aufgestellt, dass Google möglicherweise Cookies verwendet, um festzustellen, ob du ein Mensch oder ein Bot bist.
Du kannst ein reCAPTCHA-Kontrollkästchen zu deiner Website hinzufügen, indem du ein Plugin wie reCaptcha von BestWebSoft verwendest. Dieses Plugin verfügt über zusätzliche Funktionen, die die reCAPTCHA-Authentifizierung weniger aufdringlich machen, darunter das Ausblenden des reCAPTCHA-Felds bei IP-Adressen, die auf der Positivliste stehen.
Nach der Installation und Aktivierung dieses Plugins navigiere zu reCaptcha → Einstellungen. Im Abschnitt Allgemein kannst du auswählen, welche Version von reCaptcha du verwenden möchtest:
Version 2 erfordert lediglich, dass Besucher auf ein Kontrollkästchen klicken. Google bestimmt dann mithilfe einer fortschrittlichen Risikoanalyse, ob es sich um einen Bot handelt.
Bei Version 3 kannst du entweder ein Kontrollkästchen verwenden oder ein unsichtbares CAPTCHA wählen. Letzteres unterscheidet zwischen legitimen Benutzern und Bots, indem es im Hintergrund ein Skript ausführt. Da der Besucher kein Kontrollkästchen manuell auswählen muss, kannst du dich so gegen Spammer schützen, ohne das Benutzererlebnis deiner Besucher zu beeinträchtigen.
Die letzte Option ist „Unsichtbar“. Wie der Name schon sagt, beurteilt diese Einstellung den Besucher mithilfe eines unauffälligen Skripts. Auch hier wird versprochen, Spam-Registrierungen zu minimieren, ohne das Registrierungserlebnis zu beeinträchtigen. Nachdem du deine Auswahl getroffen hast, musst du einen Website-Schlüssel und einen geheimen Schlüssel generieren und den Anweisungen von Google folgen, um dein reCAPTCHA zu konfigurieren.
7. Verwende ein Geolokalisierungs-Plugin
Einige Websites haben eine starke Verbindung zu einem bestimmten Standort. Dazu gehören Onlineshops, die nur in bestimmte Länder versenden, und Websites, die sich auf lokale Nachrichten spezialisiert haben. In diesen Szenarien ist es unwahrscheinlich, dass jemand außerhalb dieser Gebiete sich registrieren muss.
Wenn dies der Fall ist, kannst du den Standort jedes Besuchers mithilfe eines Geolokalisierungs-Plugins ermitteln. Du kannst Benutzern dann basierend auf ihrem aktuellen Standort den Zugriff auf dein WordPress-Registrierungsformular gewähren oder verweigern.
Dies kann die Anzahl der Spam-Registrierungen von Benutzern auf deiner WordPress-Website minimieren. Gleichzeitig kann es jedoch auch verhindern, dass sich legitime Benutzer auf deiner Website registrieren. Es wird immer Sonderfälle geben, bei denen jemand ein Konto von einem unerwarteten Standort aus erstellen möchte. Zum Beispiel könnte jemand versuchen, sich bei deinem europäischen Onlineshop anzumelden, während er gerade in Amerika Urlaub macht.
Bevor du die Geolokalisierung aktivierst, ist es ratsam, deinen Traffic mithilfe eines Tools wie Google Analytics zu analysieren. Wenn du ermittelst, woher deine Besucher stammen, kannst du Gebiete identifizieren, die du blockieren kannst, ohne auf Konversionen zu verzichten.
Du kannst den Zugriff auf deine Registrierungsseite mithilfe des Plugins IP2Location Redirection einschränken. Im Gegensatz zu einigen anderen Geolokalisierungs-Plugins ermöglicht dir IP2Location, die Besucher je nach Standort auf eine alternative Webseite weiterzuleiten.
Wähle nach der Aktivierung dieses Plugins im Menü auf der linken Seite Weiterleitung aus. Du wirst dann aufgefordert, einen Registrierungsprozess durchzuführen, um einen Download-Schlüssel zu generieren. Wenn du diesen Schlüssel im WordPress-Dashboard eingegeben hast, navigiere zu Weiterleitung → Regeln.
Im Feld Von kannst du entweder den Zugriff auf deine Registrierungsseite oder auf deine gesamte Website blockieren. Anschließend kannst du alle Standorte angeben, die du blockieren möchtest.
Schütze deine Registrierungsformulare vor falschen Benutzern
Viele Websites nutzen Registrierungen, um ihre Inhalte zu monetarisieren, Leads zu generieren und Beziehungen zu ihren Besuchern aufzubauen. Aber nicht alles daran ist positiv! Spam-Registrierungen von Benutzern auf WordPress können deine Datenbank mit Müll überfluten und sogar deine Website gefährden.
Du könntest Benutzerregistrierungen einfach deaktivieren, jedoch ist dies nicht für alle Websites geeignet. Glücklicherweise gibt es viele Plugins, die du verwenden kannst, um diese Funktion sicher anzubieten. Beispiele dafür sind die E-Mail-Verifizierung mit dem Plugin User Verification und das Hinzufügen eines sichtbaren oder unsichtbaren reCAPTCHAs mit reCaptcha von BestWebSoft.
Akismet 