Joomla Spam Kontakformular und AnmeldungenJoomla ist in der Vergangenheit als Spamschleuder ein wenig in Verruf geraten. Unberechtigterweise, denn mit einfachen Mitteln lässt sich Abhilfe schaffen! Cyberattacken sind im Internet heutzutage gang und gäbe. Umso wichtiger ist es, sich davor zu schützen.
Sobald eine neue Webseite im Google Index zu finden ist, geht es auch schon los - die ersten Bots schauen vorbei. Mit Ausnahme der Suchmaschinen Bots profitiert man selten von deren Besuch. Zu den wohl nervigsten seiner Art gehören die Spambots - immer auf der Suche nach ungeschützten Formularen.

Im Standard Setup hat Joomla drei Formulare ohne out-of-the-box aktiven Spamschutz.

Joomla versendet Spam - woher kommen die vielen Mails?

Joomla enthält folgende Funktionen, die für exzessiven E-Mail Versand verantwortlich sein können:

  • Kontaktformulare (erkennbar an "Dies ist eine Mailanfrage via" ...)
  • Benutzerregistrierung (Spam Anmeldungen)
  • Empfehlungsfunktion (Mail an einen Freund senden)

Dabei spielt es keine Rolle, ob das Kontaktformular oder die Registrierung auf der Seite überhaupt eingebunden sind. Die Direktlinks funktionieren auch ohne Menü Verlinkung.

Besonders gefährlich ist die "Kopie an Absender" Funktion des Kontaktformulars. Darüber lassen sich an jede beliebige Mailadresse Mails mit beliebigem Inhalt versenden - eine Steilvorlage für Spammer. Verzichten Sie daher lieber auf dieses Feature.
Die Einstellung hierzu findet sich unter Komponenten -> Kontakte -> Optionen (oben rechts) im Formular Tab.

 

Eindeutige Bestimmung der Ursache durch Access Log Analyse

Jede Formular Absendung taucht in den Webserver Access Logs als POST Request auf. Wenn man sich diese also anschaut, geht daraus die genaue URL hervor, über die der Spamversand stattfindet. Für die Analyse können Sie gern unser Log Analyse Tool nutzen.
Bei dieser Beispielausgabe wäre das Kontaktformular (com_contact) die Ursache:

formular posts mailversand

 

 

Spamschutz Lösungen

 

OSpam-a-not - Honeypot & Zeitsperre 🍯

Joomla Spam vorbeugenEine sehr einfache Möglichkeit, Joomla Seiten vor Spam zu schützen, ist das Plugin OSpam-a-not von Joomlashack. Es stattet Extension unabhängig alle Formulare im Frontend mit einem Honeypot und einer Zeitsperre aus. 

Ein Honeypot ist ein für normale Besucher nicht sichtbares, verstecktes Feld, das jedoch von den meisten Spambots ausgefüllt wird. Wenn dem so ist, kann das Formular nicht abgesendet werden. Zusätzlich lässt sich eine Zeitsperre einstellen (z.B. 3 s), die die Seite mindestens geöffnet sein muss, bis das Formular gesendet werden kann. Spambots agieren i.d.R. schneller.

Das Plugin lässt sich über die Webkatalog Installation im Backend oder hier herunterladen: https://extensions.joomla.org/extension/ospam-a-not/

Die letzte mit Joomla! 2.5 kompatible Version 1.1.7 gibt's bei GitHub.

 

 

Spamschutz mit Bordmitteln - ReCAPTCHA v2 / v3 per Plugin einbinden

joomla recaptcha spamschutzMit dem ReCAPTCHA Plugin bietet Joomla bereits von Haus aus einen effektiven Formular Spamschutz. Um das Plugin nutzen zu können, muss es vorab im Backend unter Erweiterungen -> Plugins -> Captcha - ReCAPTCHA  aktiviert werden.

Für die Konfiguration wird ein API Key Paar benötigt, das aus dem "Website Schlüssel" und dem "Geheimen Schlüssel" besteht.
Das Schlüsselpaar bekommen Sie hier:
https://www.google.com/recaptcha/admin


Anschließend kann das ReCAPTCHA Plugin in der Joomla System Konfiguration global als Standard Captcha eingestellt werden. Damit wird es sowohl in das Kontaktformular, als auch in die Benutzerregistrierung eingebunden. Neu angelegte unbekannte Benutzer und Kontaktformular Spam sollten der Vergangenheit angehören.

Joomla 2.5 ReCAPTCHA v2 Fix

Damit Googles ReCAPTCHA v2 auch auf einem alten Joomla 2.5 System funktioniert, muss eine angepasste /plugins/captcha/recaptcha/recaptcha.php hochgeladen werden. Standardmäßig wird nur v1 unterstützt (von Google abgeschaltet).
Die Datei können Sie hier downloaden.
Für das Upgrade auf Joomla 3.10.12 unterbreiten wir Ihnen gern ein günstiges Angebot.

 

 

Spam Anmeldungen von vornherein ausschließen

Die allermeisten Joomla Seiten benötigen gar keine User Registrierungsfunktion. Spam User werden i.d.R. mit nicht existenten Mailadressen angelegt. Das ist der Grund für die Mail delivery failed: returning message to sender E-Mail-Rückläufer, die einher mit den Benutzer Anmeldungen massenhaft auflaufen.
Unter Benutzer -> Verwalten -> Optionen (oben rechts) kann die Registrierung deaktiviert werden.

Tausende unbekannte Benutzer aus der Datenbank löschen

Je nach Aggressivität der Spambots kann es ohne Schutzmaßnahmen unter Umständen bereits zu mehreren tausend unbekannten Benutzern gekommen sein. Die Löschung über das Backend ist dann mühsam bis unmöglich.
Mit diesem SQL Befehl werden alle Benutzerkonten, die nicht aktiv sind, auf einen Schlag gelöscht (ersetzen Sie #__ durch Ihr Tabellenpräfix):

DELETE FROM `#__users` WHERE `lastvisitDate`='0000-00-00 00:00:00'

 

 

Erweiterter Spamschutz mit EasyCalcCheck Plus (ECC+)

Im Gegensatz zum Core Plugin deckt ECC+ von Viktor Vogel eine Vielzahl von Drittanbieter Erweiterungen direkt mit ab.

Ein wichtigstes und sehr nützliches Feature ist die konfigurierbare Zeitsperre. Diese stellt man beispielsweise auf 5 Sekunden ein - allein daran beißen sich die meisten Spambots schon die Zähne aus. Normalerweise liegen zwischen Aufruf und Absenden des Formulars nur 2-3 s.

Derzeit lassen sich neben der Core Erweiterungen (Registrierung + Kontaktformular) folgende Extensions schützen:

  • aiContactSafe
  • ALFContact
  • Community Builder
  • DFContact
  • Easybook Reloaded
  • Fox Contact
  • Flexi Contact
  • Flexi Contact Plus
  • IProperty Real Estate
  • JomSocial
  • Kunena Forum
  • Phoca Guestbook
  • Virtuemart

Anstelle von ReCAPTCHA v2 lassen sich auch Rechenaufgaben und selbstdefinierte Fragen konfigurieren. Zudem ist es möglich diverse weitere Antispam-Dienste und Schutzeinstellungen zu nutzen. In Sachen Spamschutz ist EasyCalcCheck+ die eierlegende Wollmilchsau.

 

Spamschutz einrichten - wir erledigen das für Sie!

Falls Sie sich nicht selbst damit beschäftigen möchten, installieren wir gern einen wirksamen Spamschutz für Sie.
Im Rahmen des 30 min Quick Supports betragen die Kosten hierfür nur 44 € inkl. MwSt.

[ Live-Chat starten ]   Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

Bildnachweis: master1305 - Fotolia.com

Kommentare  
Stefan
# Stefan 2019-07-17 07:27
In Joomla 2.5 wird das ReCaptcha leider nicht angezeigt. Woran kann das liegen? Die Konfiguration müsste so weit stimmen.
Antworten
Pascal
# Pascal 2019-07-17 09:09
Hi Stefan,
ReCaptcha V2 wird von Joomla 2.5 nicht unterstützt. Am sinnvollsten (und überfällig) wäre ein Upgrade auf Joomla 3.
Übergangsweise gibt es hier einen Fix - einfach die /plugins/captcha/recaptcha/recaptcha.php austauschen:
altersoftware.it/.../joomla25_captcha_v2
Ich habe den Beitrag entsprechend ergänzt.
Antworten

Ergänzende Angebote

Kunden über uns

„Umstellung unserer Joomla Website von PHP 5.3 auf PHP 7 lief super schnell, günstig und mit tadellosem Ergebnis. Sehr gute und nette Kommunikation.“
– H. Bergmann

„Innerhalb eines Tages wurde alles extrem professionell und extrem schnell gemacht. Sehr vertrauenswürdig. Excellent. 5 Sterne“
– Fernando V.

„Ich selbst wusste mir nicht zu helfen, fand hier aber die nötige Kompetenz, um alles wieder bereinigen zu lassen. Nötige Updates und Sicherungen wurden gemacht, alles äußerst preiswert, schnell und gut!“
– Klaus-Peter

„Die Seite sieht super aus – alles wie zuvor – und das unter PHP 7.2 – ich bin beeindruckt - ganz herzlichen Dank!“
– Dr. Ingo Wuddel

„Da wir einen Onlineshop betreiben war, es für uns sehr wichtig, dass unsere Seite schnell wieder im vollen Funktionsumfang für unsere Kunden zur Verfügung steht. Alle Arbeiten werden äußerst schnell zu unserer vollen Zufriedenheit ausgeführt.“  – Löwen Handels GmbH

„Sehr schnelle, seriöse und zielführende Bearbeitung des Problems. Zusätzlich wurden mir Tipps und Strato spezifische Infos mitgegeben, um das Risiko eines Wiederkehrens des Problems zu verringern.“
– Heino B.

„Der Kontakt war besonders freundlich, einige kosmetische Zusatzarbeiten wurden - als sei es selbstverständlich - von selbst in Angriff genommen. Ich bin erleichtert und sehr dankbar.“
– R. Mayer

„Super. In einer absoluten Notlage bei Sperrung von 2 Domains durch Strato wegen Hackerangriff wurden beide Domains zunächst temporär noch am gleichen Tag wieder live geschaltet.“
– I. Radchenko

„Hervorragender Service. Problem innerhalb von 18 Stunden gelöst. Wir sind begeistert. Vielen Dank 🙏“
– Tien Sy Vuong

Website-Bereinigung.de Support Service Google Bewertungen

Kontaktmöglichkeiten

Chat starten (online)
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Kontaktformular

Telefonat vereinbaren
+49 (0)2406 969796
Mo. - Fr. | 9 - 21 Uhr