Vertrauenswürdige WordPress-Tutorials, wenn Sie sie am dringendsten benötigen.
Anfängerleitfaden für WordPress
WPB Tasse
30 Millionen+
Websites, die unsere Plugins verwenden
20+
Jahre WordPress-Erfahrung
3000+
WordPress-Tutorials von Experten

Ultimativer WordPress Spam-Schutzleitfaden – Schritt für Schritt (2026)

Wenn Sie eine WordPress-Website betreiben, wissen Sie, dass Spam ein wirklich ärgerliches Problem ist, egal ob es sich um Kontaktformulare, WordPress-Kommentare oder Benutzerregistrierungen handelt.

Die gute Nachricht ist, dass das Stoppen von Spam in WordPress viel einfacher ist, als Sie wahrscheinlich denken, und Sie brauchen auch keine teuren Tools.

Wir haben über 16 Jahre damit verbracht, Anti-Spam-Plugins und -Tools zu testen und Strategien zu verfeinern, um WPBeginner und unsere anderen Geschäftswebsites vor täglichen Spam-Angriffen zu schützen.

In diesem ultimativen Leitfaden führen wir Sie Schritt für Schritt durch die Blockierung jeder Art von WordPress-Spam, von den Grundlagen bis zum fortschrittlichen modernen automatisierten Spam-Schutz. Dies sind die genauen Methoden, die wir verwenden, um unsere eigenen Websites zu schützen.

Der ultimative Leitfaden zum Schutz vor Spam in WordPress – Schritt für Schritt

Wir decken in diesem ultimativen Leitfaden viel ab, also nutzen Sie die untenstehenden Schnelllinks, um direkt zu dem Abschnitt zu springen, über den Sie zuerst mehr erfahren möchten:

1. Kostenlose integrierte Einstellungen zum ersten Einschalten

WordPress verfügt über mehrere Anti-Spam-Optionen, die Ihre Website vor Spam schützen können. Diese integrierten Optionen stoppen nicht jeden Bot, aber sie entfernen sofort die einfachsten Ziele.

Wir empfehlen immer, diese Einstellungen zuerst zu aktivieren, da sie nichts kosten und nur wenige Minuten für die Einrichtung benötigen.

Verschärfen Sie Ihre WordPress-Diskussionseinstellungen

Um Kommentar-Spam zu verhindern, sind die integrierten Diskussionseinstellungen in WordPress Ihre erste Verteidigungslinie. Sie ermöglichen es Ihnen zu steuern, wer posten kann, welche Art von Links zulässig ist und wie viel Kontrolle Sie über die Konversation haben.

Um diese Anti-Spam-Kontrollen zu konfigurieren, gehen Sie zu Einstellungen » Diskussion in Ihrem WordPress-Dashboard.

Schutz des Kommentarbereichs von WordPress vor Spammern

Das nützlichste Werkzeug auf diesem Bildschirm ist die Kommentar-Moderationswarteschlange. Dieses Werkzeug fungiert als Wartebereich, der Einreichungen vor der Öffentlichkeit verborgen hält, bis Sie die Möglichkeit haben, sie zu überprüfen.

Da nichts automatisch live geht, erreicht Spam niemals Ihre Besucher, selbst wenn er es schafft, Ihre anderen Filter zu umgehen.

Um dies zu aktivieren, scrollen Sie nach unten zum Abschnitt „Bevor ein Kommentar erscheint“ und aktivieren Sie das Kontrollkästchen neben „Kommentar muss manuell genehmigt werden“.

Wie man manuelle Genehmigung für WordPress-Kommentare verlangt

Wenn Sie möchten, können Sie auch „Kommentarautor muss einen zuvor genehmigten Kommentar haben“ aktivieren. Dies ermöglicht es wiederkehrenden Kommentatoren, ohne Wartezeit auf Genehmigung zu posten. Stellen Sie jedoch sicher, dass Sie Ihre veröffentlichten Kommentare regelmäßig überprüfen, da sie nicht in Ihrer Moderationswarteschlange erscheinen.

Scrollen Sie danach zum Feld „Kommentar-Moderation“, wo Sie eine Einstellung finden, die Links begrenzt. Da Spam-Kommentare fast immer Webadressen enthalten, kann WordPress automatisch jede Einreichung zurückhalten, die zu viele Links enthält.

Das Feld mit der Bezeichnung „Kommentar in der Warteschlange halten, wenn er [X] oder mehr Links enthält“ ist standardmäßig auf 2 eingestellt. Wenn Sie diese Zahl auf 1 reduzieren, fangen Sie noch mehr unerwünschte Kommentare ab.

Kommentare in eine Genehmigungswarteschlange in WordPress einfügen

Auf demselben Bildschirm können Sie die Kommentar-Blockliste verwenden, um unerwünschte Inhalte automatisch herauszufiltern. Dieses Werkzeug sucht nach bestimmten Wörtern, Namen, E-Mail-Adressen oder Webadressen und leitet jeden übereinstimmenden Kommentar direkt in den Papierkorb.

In das Feld „Verbotene Schlüsselwörter für Kommentare“ können Sie Ihre eigenen Auslöserwörter einfügen, jeweils eines pro Zeile, und dann Ihre Änderungen speichern.

Ihre WordPress-Kommentare filtern
Name und E-Mail erforderlich, und Kommentatoren beim ersten Mal zurückhalten

Gesunde Diskussionen beginnen mit echten Menschen. Indem Kommentatoren aufgefordert werden, einen Namen und eine E-Mail-Adresse einzugeben, werden nachdenklichere Gespräche gefördert und anonyme Kommentare vermieden.

Die meisten echten Besucher haben nichts dagegen, diese Details anzugeben, und es hilft, eine einladendere und vertrauenswürdigere Community auf Ihrer Website aufzubauen.

Um dies zu aktivieren, scrollen Sie zum Abschnitt „Weitere Kommentareinstellungen“ und aktivieren Sie das Kontrollkästchen neben „Kommentarautor muss Name und E-Mail angeben“.

Wie man anonyme Kommentare auf Ihrer WordPress-Website blockiert

Wenn Sie den Überprüfungsprozess meistern und Ihre Warteschlange effizient verwalten möchten, behandelt unser Leitfaden für Anfänger zur Moderation von Kommentaren in WordPress den gesamten Arbeitsablauf.

Kommentare deaktivieren, wo Sie sie nicht benötigen

Abhängig von der Art Ihrer Website benötigen Sie möglicherweise überhaupt keine Kommentarfunktion. Wenn dies der Fall ist, können Sie Kommentare einfach vollständig deaktivieren und das Problem mit WordPress-Kommentar-Spam ein für alle Mal beseitigen.

Die gründlichste Option ist die Code-Methode, die die Kommentarunterstützung auf Ihrer gesamten Website auf einmal deaktiviert. Es ist am sichersten, den Ausschnitt mit einem kostenlosen Code-Snippets-Plugin wie WPCode hinzuzufügen, anstatt die Dateien Ihres Themes direkt zu bearbeiten, damit eine Theme-Aktualisierung ihn nicht rückgängig machen kann.

add_action('admin_init', function () {
    // Redirect any user trying to access comments page
    global $pagenow;
    
    if ($pagenow === 'edit-comments.php') {
        wp_safe_redirect(admin_url());
        exit;
    }

    // Remove comments metabox from dashboard
    remove_meta_box('dashboard_recent_comments', 'dashboard', 'normal');

    // Disable support for comments and trackbacks in post types
    foreach (get_post_types() as $post_type) {
        if (post_type_supports($post_type, 'comments')) {
            remove_post_type_support($post_type, 'comments');
            remove_post_type_support($post_type, 'trackbacks');
        }
    }
});

// Close comments on the front-end
add_filter('comments_open', '__return_false', 20, 2);
add_filter('pings_open', '__return_false', 20, 2);

// Hide existing comments
add_filter('comments_array', '__return_empty_array', 10, 2);

// Remove comments page in menu
add_action('admin_menu', function () {
    remove_menu_page('edit-comments.php');
});

// Remove comments links from admin bar
add_action('init', function () {
    if (is_admin_bar_showing()) {
        remove_action('admin_bar_menu', 'wp_admin_bar_comments_menu', 60);
    }
});

Unser Leitfaden zum vollständigen Deaktivieren von Kommentaren in WordPress erklärt diesen Ausschnitt zusammen mit den anderen Optionen.

Wenn Sie nicht die gesamte Website betreffen möchten, können Sie Kommentare auch auf einzelnen Seiten deaktivieren. Dies ist praktisch, wenn Sie sie nur auf bestimmten Seiten entfernen möchten, wie z. B. auf Ihren Kontakt- oder Über-uns-Seiten, die selten eine Kommentarfunktion benötigen.

Öffnen Sie dazu die Seite im WordPress-Inhaltseditor. Klicken Sie dann in der rechten Seitenleiste auf die Option „Diskussion“ und wählen Sie „Geschlossen“.

Wie man Kommentare auf Ihren WordPress-Seiten deaktiviert

Sie können auch verhindern, dass sich Spam auf älteren Inhalten ansammelt, ohne Ihre neueren Beiträge zu berühren. Wenn Sie keine Kommentare zu alten Beiträgen erwarten, kann WordPress diese nach einer bestimmten Anzahl von Tagen automatisch schließen.

Dies gibt Spam-Bots weniger Chancen, Ihre archivierten Inhalte zu zielen.

Um dies einzurichten, gehen Sie zu Einstellungen » Diskussion und suchen Sie den Abschnitt „Weitere Kommentareinstellungen“. Aktivieren Sie das Kontrollkästchen neben „Kommentare automatisch schließen für Beiträge, die älter als [X] Tage sind“, und legen Sie dann ein sinnvolles Limit fest, z. B. 30 oder 90 Tage.

Automatisches Schließen von Kommentaren bei älteren WordPress-Beiträgen
Trackbacks und Pingbacks deaktivieren

Trackbacks und Pingbacks benachrichtigen Sie, wenn eine andere Website behauptet, auf einen Ihrer Blogbeiträge verlinkt zu haben.

Obwohl sie ursprünglich dazu gedacht waren, Bloggern zu helfen, Gespräche über verschiedene Websites hinweg zu verbinden, werden sie jetzt häufig von Spammern missbraucht, um gefälschte Link-Benachrichtigungen zu senden.

Das vollständige Deaktivieren dieser Funktion entfernt eine ganze Kategorie von Junk-Benachrichtigungen aus Ihrem Dashboard.

Um diese Benachrichtigungen zu deaktivieren, gehen Sie im WordPress-Dashboard zu den Einstellungen Einstellungen » Diskussion. Deaktivieren Sie hier das Kontrollkästchen neben „Link-Benachrichtigungen von anderen Blogs (Pingbacks und Trackbacks) bei neuen Beiträgen zulassen“.

Deaktivieren von Pingbacks und Trackbacks in den WordPress-Diskussionseinstellungen

Wenn Sie dies getan haben, vergessen Sie nicht, unten auf der Seite auf „Änderungen speichern“ zu klicken.

Seien Sie sich bewusst, dass die Änderung dieser Option nur die Beiträge schützt, die Sie ab diesem Zeitpunkt veröffentlichen. Wenn Sie die bereits veröffentlichten Inhalte bereinigen möchten, können Sie unserer Schritt-für-Schritt-Anleitung folgen, wie Sie Trackbacks und Pings auf bestehenden WordPress-Beiträgen deaktivieren.

2. Richten Sie modernen KI-gestützten Spam-Bot-Schutz für WordPress ein

Im Zeitalter der KI, in dem der automatisierte Spam zunimmt, ist die beste Verteidigung dagegen ein moderner KI-gestützter Spam-Schutz für WordPress.

Diese Spam-Filterlösungen erkennen und blockieren automatisch Spam in Ihren WordPress-Kommentaren, Kontaktformularen und Benutzerregistrierungen, ohne CAPTCHAs zu verwenden, die die Konversionsraten beeinträchtigen können.

Auf WPBeginner verwenden wir ActiveLayer dafür. Es ist KI-gestützt und läuft serverseitig, sodass es Spam unsichtbar stoppt, ohne CAPTCHA und es ist DSGVO-konform.

In den letzten 30 Tagen hat es über 25.739 Spam-Kommentare und Kontaktformular-Einreichungen auf unserer Website blockiert. Es zeigt Ihnen sogar einen Konfidenz-Score und den Grund für jede Einreichung, die es markiert, nicht nur ein Bestanden/Nicht bestanden-Urteil, wenn Sie sich die Protokolle ansehen.

Screenshot der ActiveLayer Spam-Statistiken für WPBeginner

Der kostenlose Plan beinhaltet 1.000 Spam-Prüfungen ohne Kreditkarte, und bezahlte Pläne beginnen bei etwa 4 $ pro Monat, jährlich abgerechnet.

Die beiden anderen beliebten Spam-Filter-Plugins für WordPress, die Sie ausprobieren könnten, sind Akismet oder CleanTalk.

Akismet ist sehr beliebt und immer noch eine gute Wahl für persönliche Blogs, wo sein „Name Your Price“-Plan für nicht-kommerzielle Websites kostenlos sein kann. Aber sie haben ihre Preise für kommerzielle Websites erheblich erhöht, was für kleinere Unternehmen ziemlich teuer ist. Für eine Geschäftswebsite würden wir Ihnen entweder ActiveLayer oder CleanTalk empfehlen.

Welches Tool Sie auch immer wählen, bleiben Sie bei nur einem, denn die gleichzeitige Ausführung von zwei Spam-Filtern kann zu Konflikten führen und echte Besucher blockieren. Der Vorteil dieser Spam-Schutz-Plugins ist, dass sie standardmäßig mit allen anderen beliebten Kontaktformular-Plugins integriert sind.

3. Tipps für Power-User zum Stoppen von WordPress-Kommentar-Spam

Bisher haben wir die integrierten Spam-Schutz-Einstellungen in WordPress und ein automatisiertes Spam-Filter-Plugin für WordPress konfiguriert. Die Kombination dieser beiden sollte den Großteil des Spams blockieren.

Wenn Sie jedoch aus Kostengründen oder aus einem anderen Grund keinen modernen KI-Spam-Schutz einrichten können, können Sie einen der folgenden Tipps verwenden, um Kommentar-Spam in WordPress zu bekämpfen.

Fügen Sie eine kostenlose CAPTCHA zu Ihrem Kommentarformular hinzu

CAPTCHA ist ein einfacher Test, den die meisten menschlichen Besucher ohne Anstrengung bestehen, während automatisierte Skripte daran scheitern. Wir empfehlen, Cloudflare Turnstile CAPTCHA zu Ihren WordPress-Kommentaren hinzuzufügen, da es kostenlos und relativ einfach einzurichten ist.

Um es einzurichten, installieren und aktivieren Sie das kostenlose Simple Cloudflare Turnstile Plugin. Sie werden aufgefordert, ein kostenloses Konto auf der Website von Cloudflare zu erstellen und es mit dem Plugin zu verbinden.

Sobald dies erledigt ist, können Sie zum Abschnitt „Turnstile auf Ihren Formularen aktivieren“ scrollen. Aktivieren Sie einfach die Kontrollkästchen, um alle Ihre WordPress-Formulare zu schützen, und klicken Sie auf „Änderungen speichern“.

Wie man seine Website mit dem kostenlosen Simple Cloudflare Turnstile Plugin vor Spammern und Spambots schützt

Hier ist unsere detaillierte Anleitung, wie Sie Cloudflare Turnstile CAPTCHA in WordPress hinzufügen.

Google reCAPTCHA ist eine weitere Option, die Sie mit dem Advanced Google reCAPTCHA Plugin hinzufügen können. Wir empfehlen es nicht mehr, da Google seine kostenlose Stufe auf 10.000 Auswertungen pro Monat für Ihre gesamte Organisation begrenzt hat, während Cloudflare Turnstile kostenlos und ohne Limits bleibt.

Anmeldung zum Kommentieren einschränken oder erfordern

Eine weitere wirklich effektive Methode, um Kommentar-Spam in WordPress zu stoppen, ist die Kontrolle darüber, wer an Kommentaren teilnehmen darf.

Wenn Ihr Kommentarbereich für jeden offen ist, können Spammer Ihre Formulare kontinuierlich mit automatisierten Links überfluten. Die Beschränkung von Kommentaren auf registrierte Kontoinhaber stellt sicher, dass nur verifizierte Benutzer posten können. Dies erzwingt ein Maß an Rechenschaftspflicht, das die meisten Bots nicht zu umgehen versuchen werden.

Da dies von den Lesern den zusätzlichen Schritt der Erstellung und Anmeldung eines Kontos erfordert, ist dieser Ansatz am besten für Mitgliederseiten, Online-Foren und private Gemeinschaften geeignet.

Wenn Sie einen offenen, öffentlichen Blog betreiben, empfehlen wir stattdessen die Verwendung eines automatisierten Filterdienstes oder einer Leseraufforderung, da diese weniger Reibungsverluste verursachen.

Wenn Sie sich entscheiden, diese Einschränkung zu aktivieren, gehen Sie zu Einstellungen » Diskussion in Ihrem WordPress-Dashboard. Überprüfen Sie im Abschnitt „Weitere Kommentareinstellungen“ das Kontrollkästchen neben „Benutzer müssen registriert und angemeldet sein, um kommentieren zu können.“

Benutzerregistrierung verlangen, bevor Kommentare erlaubt werden

Speichern Sie wie immer Ihre Änderungen nicht vergessen.

Verwenden Sie Antispam Bee für kostenlose Schlüsselwort- und Musterfilterung

Einige Spam-Nachrichten schleichen sich durch grundlegende Prüfungen, indem sie menschliches Schreiben nachahmen. Hier kann ein spezielles Filter-Plugin Ihre Website schützen.

Antispam Bee ist ein ausgezeichnetes, kostenloses, datenschutzfreundliches Anti-Spam-Plugin, das keinen API-Schlüssel oder eine Registrierung erfordert. Die Installation von Antispam Bee bietet Ihnen eine leistungsstarke Reihe lokaler Regeln zur Analyse von Kommentardaten, bevor diese Ihre Datenbank erreichen.

Nach der Aktivierung können Sie Ihre Regeln konfigurieren, indem Sie zu Einstellungen » Antispam Bee gehen.

Schutz Ihrer Website vor automatisierten Spam-Skripten mit WordPress-Plugins

Wir empfehlen, die folgenden Optionen zu aktivieren:

  • Genehmigte Kommentatoren vertrauen.
  • Als Spam markieren.
  • Nicht löschen.
  • Reguläre Ausdrücke verwenden (wodurch das Plugin nach bekannten Text- und Linkmustern suchen kann).

Sie sollten auch das Kontrollkästchen „In der lokalen Spam-Datenbank suchen“ aktivieren. Dadurch kann Antispam Bee neue Einreichungen mit der bisherigen Spam-Historie Ihrer Website abgleichen.

Schauen Sie in Ihrer lokalen Spam-Datenbank nach

Unter „Erweitert“ können Sie Antispam Bee so einstellen, dass vorhandener Spam nach einer festgelegten Anzahl von Tagen gelöscht wird, was Ihre Datenbank ohne manuellen Aufwand sauber hält.

Wir empfehlen dringend, die E-Mail-Benachrichtigungen für Spam in diesem Abschnitt deaktiviert zu lassen. Eine viel besuchte Website kann täglich Hunderte von automatisierten Einreichungen anziehen, und diese Benachrichtigungen werden Ihren Posteingang schnell überfluten.

Wenn Sie noch eine kostenlose Optimierung ausprobieren möchten, können Sie das Feld für die Website-Adresse aus dem Kommentarformular entfernen.

Unser Schritt-für-Schritt-Leitfaden zum Entfernen des Website-URL-Felds aus dem Kommentarformular zeigt Ihnen, wie Sie dies in wenigen schnellen Schritten tun können.

4. Stoppen von WordPress-Kontaktformular-Spam (Best Practices)

Kontakt- und Lead-Formulare gehören zu den am häufigsten angegriffenen Teilen jeder WordPress-Site. Wir wissen das aus erster Hand, denn wir mussten einst mehr als 18.000 Spam-Einträge bekämpfen, die ein einziges Formular überschwemmten.

Wir verwenden WPForms, um Formulare auf WPBeginner zu erstellen, und es ist ein beliebtes Formular-Builder-Plugin, das von über 5 Millionen Websites verwendet wird. Die kostenlose Version enthält einen intelligenten Anti-Spam-Schutz, CAPTCHA-Integrationen mit Google / Cloudflare Turnstile, und die kostenpflichtigen Pläne fügen die unten beschriebenen Filteroptionen hinzu.

Andere beliebte Formular-Builder wie Gravity Forms und Fluent Forms haben ähnliche Anti-Spam-Einstellungen. Überprüfen Sie daher die Optionen in dem Formular-Builder-Plugin, das Sie verwenden. Wir zeigen hier WPForms, da es das ist, was wir verwenden und als die beste Wahl für Anfänger betrachten.

Standard-Anti-Spam-Token (oder ähnliches HoneyPot) aktivieren

Um Lead-Formular-Spam zu bekämpfen, fügt WPForms bei jedem Laden der Seite lautlos ein eindeutiges, zeitlich begrenztes Token zu Ihrem Formular hinzu. Das Anti-Spam-Token blockiert automatisierte Skripte, was bedeutet, dass Spam-Einträge blockiert werden, bevor sie Ihren Posteingang erreichen.

Es ist für neue Formulare standardmäßig aktiviert, aber es lohnt sich, dies zu überprüfen.

Öffnen Sie Ihr Formular, gehen Sie zu Einstellungen » Spam-Schutz und Sicherheit und stellen Sie sicher, dass „Moderner Anti-Spam-Schutz aktivieren“ eingeschaltet ist.

Ein Beispiel für einen Formularersteller mit integriertem Anti-Spam-Schutz

Dies ist eine moderne Version der Honeypot-Technologie, die die meisten WordPress-Formular-Plugins verwenden. Daher kann es in einem anderen Formular-Tool, das Sie möglicherweise verwenden, als Honeypot bezeichnet werden.

CAPTCHA für Ihr Kontaktformular aktivieren

Aggressivere Bots imitieren menschliches Browsing und umgehen das unsichtbare Token. Das Hinzufügen eines sichtbaren CAPTCHA-Feldes stoppt sie, indem eine Herausforderung erzwungen wird, die sie nicht lesen oder lösen können.

WPForms verfügt über integrierte Cloudflare Turnstile und Google reCAPTCHA. Wir verwenden hier standardmäßig Turnstile. Es ist für alle kostenlos und führt seine Überprüfungen im Hintergrund durch, sodass die meisten echten Besucher ohne Rätsellösung durchkommen.

Um es einzurichten, gehen Sie zu WPForms » Einstellungen » CAPTCHA und wählen Sie „Cloudflare Turnstile“.

Hinzufügen von Cloudflare Turnstile CAPTCHA zu einer WordPress-Website

Fügen Sie dann den Site Key und den Secret Key aus Ihrem Cloudflare-Konto hinzu und speichern Sie Ihre Einstellungen.

Fügen Sie abschließend das CAPTCHA-Feld zu jedem Formular hinzu, das Sie schützen möchten.

Turnstile-Feld zu WPForms hinzufügen

Eine vollständige Anleitung finden Sie in unserem Leitfaden zum Hinzufügen von Cloudflare Turnstile CAPTCHA in WordPress.

Google reCAPTCHA ist auf demselben Bildschirm WPForms » Einstellungen » CAPTCHA auswählbar. Wir verwenden standardmäßig Turnstile, da es kostenlos und unbegrenzt ist, aber reCAPTCHA funktioniert trotzdem, wenn Sie es bevorzugen.

Wenn Sie lieber keine Besucherdaten an Google oder Cloudflare senden möchten, erstellt das benutzerdefinierte Captcha-Feld von WPForms (verfügbar in jedem kostenpflichtigen Plan) die Herausforderung stattdessen auf Ihrem eigenen Server.

Fügen Sie das Feld hinzu und legen Sie dann eine zufällige Rechenaufgabe oder Ihre eigene Frage und Antwort fest.

Festlegen eines benutzerdefinierten Frage- und Antwort-CAPTCHA in WPForms
Verwenden Sie zeitbasierte Verhaltensprüfungen, um Spam in Kontaktformularen zu stoppen

Eine echte Person benötigt mehrere Sekunden, um eine Frage zu lesen und ein Formular auszufüllen, während ein Bot es in Sekundenbruchteilen absendet. Zeitbasierte Prüfungen kennzeichnen diese unmöglich schnellen Einreichungen, ohne etwas zu ändern, das der Besucher sieht.

Mit WPForms ist die Option „Mindestzeit für die Einreichung aktivieren“ standardmäßig aktiviert, mit einer Mindestzeit von 2 Sekunden. Sie können die Mindestzeit jedoch auf jeden beliebigen Wert aktualisieren.

Die Einstellung für die minimale Einreichungszeit von WPForms gegen Spam
Formulareinreichungen nach Land, IP, E-Mail-Adresse und mehr blockieren

Einige Spam-Formulareinreichungen dringen immer noch durch, es sei denn, Sie überprüfen den Inhalt selbst. In der Pro-Version können Sie mit WPForms Einträge nach spezifischer E-Mail-Adresse, nach Schlüsselwort und nach Land oder IP-Adresse blockieren.

Um einen Absender zu blockieren, öffnen Sie Ihr Formular, wählen Sie das E-Mail-Feld, öffnen Sie die Registerkarte „Erweitert“, wählen Sie „Denylist“ und geben Sie die zu sperrenden Adressen oder Domains ein. Ein Platzhalter wie *@example.com blockiert eine ganze Domain.

Erweiterte E-Mail-Allowlist- und Denylist-Filterung in WPForms

Um Spam-Phrasen zu blockieren, gehen Sie zu Einstellungen » Spam-Schutz und Sicherheit.

Schalten Sie „Schlagwortfilter aktivieren“ ein, öffnen Sie „Schlagwortliste bearbeiten“ und fügen Sie jeden Begriff in eine eigene Zeile ein.

Erstellen einer Liste gesperrter Wörter für Ihre Online-Formulare

Und wenn Sie nur bestimmte Regionen bedienen, schalten Sie auf demselben Bildschirm „Länderfilter aktivieren“ ein, um Standorte zuzulassen oder zu verweigern.

Länderfilter in WPForms

Alternativ können Sie, wenn Ihre WordPress-Formularlösung diese Option nicht hat, auch IP-Adressen in WordPress blockieren.

5. Stoppen von Spam-Benutzerregistrierungen in WordPress (Best Practices)

Auf einer Mitgliederseite oder in einem WooCommerce-Shop sind Spam-Registrierungen mehr als nur lästig. Gefälschte Konten verstopfen Ihre Benutzerdatenbank und verzerren Ihre Kunden- und E-Mail-Metriken.

Hier erfahren Sie, wie Sie Spam-Benutzerregistrierungen in WordPress verhindern können.

Registrierung deaktivieren, wenn Sie sie nicht benötigen

Wenn Sie keine Mitgliederseite oder keinen E-Commerce-Shop betreiben, benötigen Sie wahrscheinlich keine Benutzerregistrierung. Das Einfachste, um Spam bei der Benutzerregistrierung zu verhindern, ist, sie zu deaktivieren.

Gehen Sie einfach in Ihrem WordPress-Adminbereich zu Einstellungen » Allgemein und deaktivieren Sie das Kontrollkästchen „Jeder kann sich registrieren“.

Benutzerregistrierung auf Ihrer Website, Ihrem Blog oder Ihrem E-Commerce-Shop deaktivieren
E-Mail-Bestätigung vor der Kontoaktivierung erforderlich

Wenn Sie offene Registrierungen benötigen, besteht das Ziel darin, nur echte Personen zuzulassen und Spam-Bots fernzuhalten. Die Einstellung, die die meisten gefälschten Anmeldungen stoppt, ist die Anforderung einer bestätigten E-Mail-Adresse oder einer manuellen Überprüfung, bevor ein Konto live geschaltet wird.

Wo sich diese Steuerung befindet, hängt davon ab, welches Plugin Sie zur Verwaltung der Benutzerregistrierung in WordPress verwenden. Sie sollten mit der Standardeinstellung Ihrer Plattform beginnen, anstatt ein allgemeines Formular-Plugin an ein System anzuhängen, das dies bereits handhabt.

Wenn Sie einen WooCommerce-Shop betreiben, gehen Sie zu WooCommerce » Einstellungen » Konten & Datenschutz. Hier legen Sie fest, ob Käufer überhaupt ein Konto erstellen können, ob die Kontoerstellung auf den Checkout beschränkt ist oder ob der Gast-Checkout aktiviert bleibt, sodass keine Kontoerstellung erforderlich ist.

Gast-Checkout erzwingen, indem die Kontoerstellung und Anmeldung während des Checkouts in WooCommerce deaktiviert wird

WooCommerce selbst fügt keinen separaten E-Mail-Bestätigungsschritt hinzu. Wenn Sie einen wünschen, benötigen Sie eine benutzerdefinierte E-Mail-Verifizierungs-Erweiterung oder das unten beschriebene benutzerdefinierte Anmeldeformular.

Andere Mitglieder- und Kursplattformen handhaben die Kontoüberprüfung in ihren eigenen Einstellungen, also beginnen Sie dort:

  • MemberPress: WordPress erstellt das Konto bei der Registrierung. Kombinieren Sie es daher mit dem kostenlosen User Verification-Plugin, um das Konto inaktiv zu halten, bis die Person ihre E-Mail bestätigt. Weitere Details finden Sie in der Dokumentation von MemberPress.
  • BuddyPress und BuddyBoss: Die E-Mail-Aktivierung ist integriert, sodass neue Mitglieder inaktiv bleiben, bis sie auf den Aktivierungslink klicken. Aktivieren Sie die Registrierung unter Einstellungen » Allgemein (BuddyPress) oder BuddyBoss » Einstellungen » Anmeldung & Registrierung. Weitere Details finden Sie in der BuddyPress-Dokumentation und BuddyBoss-Dokumentation.
  • LearnDash: Die Registrierung läuft über das eigene Benutzersystem von WordPress, sodass es keinen nativen E-Mail-Bestätigungsschritt gibt. Ein Konto wird sofort nach der Anmeldung aktiv. Um neue Konten erst nach E-Mail-Verifizierung zu aktivieren, fügen Sie diese Prüfung auf WordPress- oder Formular-Ebene hinzu, entweder mit einem Benutzerverifizierungs-Plugin oder dem unten beschriebenen benutzerdefinierten WPForms-Registrierungsformular.

Wenn Sie ein benutzerdefiniertes Registrierungsformular erstellen und nicht eines der oben genannten Systeme verwenden, können Sie das WPForms User Registration Addon verwenden. Dieses ermöglicht es Ihnen, die E-Mail-Aktivierung unter den Benutzerregistrierung-Einstellungen des Formulars zu aktivieren, entweder mit einem E-Mail-Bestätigungslink oder einer manuellen Admin-Genehmigung.

E-Mail-Aktivierung für neue WordPress-Benutzerkonten erforderlich machen

Ähnliche Optionen sind in Gravity Forms, WSForm und anderen beliebten WordPress-Formular-Plugins verfügbar. Die vollständige Anleitung finden Sie in unserem Leitfaden zur Moderation neuer Benutzerregistrierungen.

CAPTCHA und Honeypot zum WordPress-Anmeldeformular hinzufügen

Die gleichen Tipps, die Ihre WordPress-Kontaktformulare schützen, funktionieren auch für WordPress-Anmeldeformulare. Da Sie Cloudflare Turnstile bereits zuvor eingerichtet haben, können Sie es mit einem Klick für Ihr Registrierungsformular aktivieren.

Eine spezielle Anleitung finden Sie in unserem Leitfaden zum Hinzufügen eines CAPTCHA zu Ihren Anmelde- und Registrierungsformularen.

Wenn Sie die Standard-WordPress-Registrierungsseite verwenden, können Sie mit dem kostenlosen Plugin WP Armour versteckte Honeypot-Felder zu Ihrem Registrierungsformular hinzufügen. Das Plugin protokolliert jeden blockierten Bot unter WP Armour » Statistiken.

Das WP Armour WordPress-Plugin
KI-gestützte Tools zur Blockierung von WordPress-Registrierungs-Spam verwenden

Honeypots und CAPTCHAs stoppen offensichtliche Bots, aber sie können niemanden erkennen, der sich mit einer Wegwerf-E-Mail-Adresse oder von einer bekannten schlechten IP-Adresse anmeldet.

Hier hilft die automatisierte Erkennung. Sie prüft jede neue Anmeldung anhand von Live-Reputationsdaten und blockiert betrügerisch erscheinende.

ActiveLayer und CleanTalk bieten dies beide für WordPress-Registrierungen an, und Sie können es für Ihr Anmeldeformular genauso aktivieren wie für Ihre Kontaktformulare.

6. Fügen Sie eine Website-weite WordPress-Firewall hinzu

Eine Web Application Firewall (WAF) prüft jeden Besucher und blockiert bösartige Anfragen, bevor sie Ihre Website erreichen. Da der meiste Formular-Spam automatisiert ist, kann eine gute Firewall viel davon am Perimeter stoppen.

Wir empfehlen eine Firewall auf DNS-Ebene, die den Datenverkehr im Netzwerk des Anbieters filtert, bevor er Ihren Server berührt.

Auf WPBeginner verwenden wir Cloudflare, das einen kostenlosen Plan mit grundlegendem Firewall-Schutz bietet (die Einrichtung erfordert die Weiterleitung der Nameserver Ihres Domains an Cloudflare).

Die Cloudflare-Website, eine Firewall auf DNS-Ebene für WordPress

Unser Leitfaden zur Einrichtung des kostenlosen Cloudflare CDN und der Firewall führt Sie durch den Prozess.

Außerdem vergleicht unsere Übersicht der besten WordPress-Firewall-Plugins die anderen Optionen, wenn Sie diese abwägen möchten.

7. Bereinigen von WordPress-Spam und laufende Überwachung

Neuen Spam zu stoppen ist nur die halbe Miete. Wenn Sie wie die meisten Websites sind, haben Sie bereits einen Rückstand an altem Müll, der bereinigt werden muss.

Eine schnelle Bereinigung hält Ihre Datenbank sauber und hilft Ihren neuen Tools, optimal zu funktionieren.

🚨 Erstellen Sie immer ein vollständiges WordPress-Backup, bevor Sie etwas in großen Mengen löschen. Diese Aktionen löschen Daten dauerhaft, ohne eine Rückgängig-Taste, falls Sie einen Fehler machen.

Vorhandene Spam-Kommentare in großen Mengen löschen

Der WordPress-Spamfilter markiert Junk-Kommentare, löscht sie aber nicht, sodass sie sich in Ihrem Spam-Ordner ansammeln und Datenbankplatz beanspruchen können, bis Sie sie aufräumen.

Gehen Sie in Ihrem Dashboard zu Kommentare, klicken Sie oben auf den Filter „Spam“ und dann auf „Spam leeren“, um alles, was Ihre Filter erfasst haben, dauerhaft zu löschen.

Massenhaftes Löschen von Spam-Kommentaren auf Ihrer Website, Ihrem Blog oder Ihrem Online-Shop

Wenn Sie Tausende von Junk-Kommentaren haben, kann das Dashboard einfrieren oder Zeitüberschreitungen verursachen. Ein kostenloses Plugin wie WP Bulk Delete ist für große Rückstände schneller und zuverlässiger.

Weitere Methoden finden Sie in unserem Leitfaden zur Massenlöschung von WordPress-Kommentaren.

Vorhandene gefälschte Benutzerkonten bereinigen

Bot-Profile in Ihrer Datenbank zu belassen, ist ein Sicherheitsrisiko und verfälscht Ihre Analysen. Deshalb ist es wichtig, diese gefälschten Konten zu bereinigen.

Für eine Handvoll gehen Sie zu Benutzer » Alle Benutzer, klicken Sie auf den Filter für die Benutzerrolle „Abonnent“ (die Rolle, die fast alle Registrierungsbots verwenden), wählen Sie die gefälschten Konten aus und wählen Sie im Menü „Massenaktionen“ die Option Löschen.

⚠️ Seien Sie sehr vorsichtig, nur gefälschte Abonnentenkonten auszuwählen und niemals ein Administratorkonto.

Löschen von gefälschten Benutzern in Ihrem Online-Shop

Für Tausende von Konten kann das kostenlose WP Bulk Delete-Plugin Benutzer nach Rolle, Inaktivität oder Registrierungsdatum in einem Durchgang entfernen.

Weitere Informationen finden Sie in unserem Leitfaden zur Massenlöschung von WordPress-Benutzern nach Rolle.

Umgang mit Fehlalarmen

Kein Filter ist perfekt, daher sollten Sie Ihren Spam-Ordner niemals automatisch löschen, ohne ihn vorher kurz zu überfliegen.

In Kommentare » Spam, fahren Sie mit der Maus über einen legitimen Kommentar und klicken Sie auf „Kein Spam“. Das lehrt Ihren Filter auch, ähnliche Kommentare in Zukunft als sicher zu erkennen.

Einen Kommentar als „Kein Spam“ in WordPress markieren
Richten Sie eine monatliche Anti-Spam-Überprüfungsroutine ein

Ein paar Minuten pro Monat verhindern, dass sich Spam wieder ansammelt. Fügen Sie diese drei Prüfungen zu Ihrer Wartungsroutine hinzu:

  • Auf Fehlalarme prüfen: Überfliegen Sie Ihren Spam-Kommentarordner und Ihre Formulareinträge, damit keine echten Nachrichten versehentlich abgefangen wurden.
  • Leeren Sie Ihre Spam-Ordner: Sobald Sie alles Echte gerettet haben, leeren Sie sie, um Ihre Datenbank schlank zu halten.
  • Überprüfen Sie Ihre Benutzerliste: Werfen Sie einen Blick auf neue Registrierungen auf unsinnige Benutzernamen oder verdächtige E-Mail-Domains, die durchgerutscht sind.

Wichtige Erkenntnisse

Hier ist eine Zusammenfassung der Best Practices, die wir behandelt haben, um Ihre WordPress-Website vollständig vor Spam zu schützen:

  • Beginnen Sie mit kostenlosen WordPress-Einstellungen: Aktivieren Sie die Kommentarmoderation, schränken Sie Ihre Linklimits ein, erstellen Sie eine Kommentar-Blockliste und deaktivieren Sie Trackbacks. Diese kosten nichts und räumen den einfachsten Spam aus.
  • Verwenden Sie automatisierte, unsichtbare Filterung: Ein serverseitiges Tool wie ActiveLayer, Akismet oder CleanTalk blockiert Bots im Hintergrund, ohne dass echte Besucher Rätsel lösen müssen.
  • Schichten Sie Ihre Kontaktformular-Abwehrmaßnahmen: Honeypots allein stoppen moderne Bots nicht mehr, also kombinieren Sie sie mit Zeitprüfungen, Token-Validierung und einem automatisierten Filter.
  • Sichern Sie Ihre Registrierungen: Fordern Sie eine E-Mail-Bestätigung für neue Konten an und überprüfen Sie jede Anmeldung mit einem automatisierten Tool.
  • Fügen Sie eine Website-weite Firewall hinzu: Eine Firewall auf DNS-Ebene wie Cloudflare blockiert viel automatisierten Spam am Perimeter, bevor er überhaupt Ihre Formulare erreicht.
  • Führen Sie regelmäßige Bereinigungen durch: Löschen Sie alte Spam-Kommentare und gefälschte Konten in großen Mengen und nehmen Sie sich dann jeden Monat ein paar Minuten Zeit, um auf Fehlalarme zu prüfen.

Häufig gestellte Fragen zum WordPress-Spam-Schutz

Reicht eine kostenlose Akismet-ähnliche Filterung aus oder benötige ich mehr?

Für einen kleinen persönlichen Blog mit nur Kommentar-Spam ist ein einzelner kostenloser Filter wie Akismet normalerweise ausreichend. Sobald Sie Kontaktformulare, Anmeldeformulare oder Benutzerregistrierungen hinzufügen, möchten Sie einen Dienst, der auch diese schützt, wie ActiveLayer oder CleanTalk.

Schadet ein CAPTCHA meinen Formular-Konversionen?

Das kann es. Der zusätzliche Schritt veranlasst einige echte Besucher, das Formular aufzugeben. Deshalb bevorzugen wir unsichtbare, serverseitige Erkennung, die Bots blockiert, ohne dass jemand ein Rätsel lösen muss.

Warum bekomme ich immer noch Spam, nachdem ich ein Anti-Spam-Plugin installiert habe?

Normalerweise, weil das Plugin nur einen Eintrittspunkt bewacht. Wenn es Ihre Kommentare schützt, aber nicht Ihre Anmelde- oder Kontaktformulare, wechseln Bots einfach zu diesen, und ältere Tricks wie einfache Honeypots stoppen moderne Bots nicht mehr. Die Lösung ist ein geschichtetes Setup: Ihre integrierten WordPress-Einstellungen, ein automatisierter Filter und eine Firewall, die zusammenarbeiten.

Wie kann ich gefälschte Benutzerregistrierungen stoppen, ohne die Anmeldungen vollständig zu deaktivieren?

Aktivieren Sie die E-Mail-Bestätigung, damit neue Konten inaktiv bleiben, bis die Person auf einen Link in ihrem Posteingang klickt, was Bots nicht können. Kombinieren Sie sie mit einem Honeypot und einem automatisierten Filter, und echte Benutzer können sich trotzdem frei anmelden.

Kann Spam meine SEO tatsächlich beeinträchtigen oder meine Website auf die schwarze Liste setzen?

Das kann es, aber es kommt darauf an, wo der Spam ist. Kommentar-Spam, der in Ihrer Moderationswarteschlange verbleibt, wird nie veröffentlicht, sodass Suchmaschinen ihn nie sehen und Ihre SEO sicher bleibt.

Veröffentlichter Spam ist das eigentliche Risiko, da er Ihre Rankings langsam nach unten ziehen kann. WordPress markiert Kommentar-Links als nofollow, was den Schaden begrenzt.

Wir hoffen, dieser Artikel hat Ihnen geholfen zu lernen, wie Sie Ihre WordPress-Website vor Spam schützen können. Möglicherweise möchten Sie auch unseren ultimativen Leitfaden zur WordPress-Sicherheit lesen, um die Sicherheit Ihrer Website zu verbessern.

Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Video-Tutorials. Sie finden uns auch auf Twitter und Facebook.

Offenlegung: Unsere Inhalte werden von den Lesern unterstützt. Das bedeutet, wenn Sie auf einige unserer Links klicken, können wir eine Provision verdienen. Sehen Sie, wie WPBeginner finanziert wird, warum das wichtig ist und wie Sie uns unterstützen können. Hier ist unser Redaktionsprozess.

Das ultimative WordPress-Toolkit

Erhalten Sie KOSTENLOSEN Zugang zu unserem Toolkit – eine Sammlung von WordPress-bezogenen Produkten und Ressourcen, die jeder Profi haben sollte!

Leserinteraktionen

Kommentare

  1. Herzlichen Glückwunsch, Sie haben die Gelegenheit, der erste Kommentator dieses Artikels zu sein.
    Haben Sie eine Frage oder einen Vorschlag? Hinterlassen Sie bitte einen Kommentar, um die Diskussion zu beginnen.

Eine Antwort hinterlassen

Vielen Dank, dass Sie sich entschieden haben, einen Kommentar zu hinterlassen. Bitte beachten Sie, dass alle Kommentare gemäß unserer Kommentarrichtlinie moderiert werden und Ihre E-Mail-Adresse NICHT veröffentlicht wird. Bitte verwenden Sie KEINE Schlüsselwörter im Namensfeld. Lassen Sie uns ein persönliches und bedeutungsvolles Gespräch führen.