WP Simple Pay Dokumentation

Dokumentation, Referenzmaterialien und Tutorials für WP Simple Pay

Anti-Spam-Referenz

Lesezeit: 7 Minuten | Schwierigkeitsgrad: Anfänger

Der Unterabschnitt Anti-Spam-Einstellungen, der die vier CAPTCHA-Anbieterkarten und den Umschalter für die E-Mail-Verifizierung zeigt.

Übersicht

Kartenbetrug ist die häufigste Form des automatisierten Missbrauchs von WordPress-Zahlungsformularen – Bots übermitteln stündlich Tausende von gestohlenen Kartennummern, um herauszufinden, welche noch funktionieren. Die Anti-Spam-Einstellungen von WP Simple Pay bieten Ihnen zwei ergänzende Abwehrmaßnahmen:

  1. CAPTCHA – Stoppt automatisierte Übermittlungen, bevor sie Stripe überhaupt erreichen. Wählen Sie zwischen Google reCAPTCHA v3, hCaptcha oder Cloudflare Turnstile.
  2. E-Mail-Verifizierung – Eine reaktive Ebene, die von Kunden verlangt, ihre E-Mail-Adresse zu bestätigen, nachdem innerhalb eines konfigurierbaren Zeitrahmens eine konfigurierbare Anzahl von Betrugsabfuhren aufgetreten ist.

Beide Ebenen werden unter WP Simple Pay > Einstellungen > Allgemein > 🛡️ Anti-Spam konfiguriert.

Voraussetzungen

  • WP Simple Pay (CAPTCHA ist in der kostenlosen Version verfügbar)
  • WP Simple Pay Pro für E-Mail-Verifizierung

CAPTCHA

Die CAPTCHA-Einstellung oben auf der Registerkarte „Anti-Spam“ ermöglicht die Auswahl eines Anbieters – Keine, Google reCAPTCHA v3, hCaptcha oder Cloudflare Turnstile. Nach der Auswahl eines Anbieters erscheinen unten die entsprechenden Anmeldefelder.

Google reCAPTCHA v3

Punktbasiertes, unsichtbares CAPTCHA von Google. Keine Kundeninteraktion erforderlich – Google bewertet jede Anfrage mit 0,0 (wahrscheinlich Bot) bis 1,0 (wahrscheinlich Mensch) und WP Simple Pay blockiert Übermittlungen unterhalb des Schwellenwerts.

  • Website-Schlüssel – Öffentliches Anmeldeinformations-Token aus Ihrer reCAPTCHA-Admin-Konsole.
  • Geheimer Schlüssel – Privates Anmeldeinformations-Token aus Ihrer reCAPTCHA-Admin-Konsole.

Einrichtung: Melden Sie sich unter google.com/recaptcha/admin an, wählen Sie reCAPTCHA v3 (nicht v2), fügen Sie Ihre Domain hinzu und fügen Sie die resultierenden Schlüssel ein.

hCaptcha

Datenschutzfreundliche Google reCAPTCHA-Alternative. Sichtbares Challenge-Widget, das Kunden einmal lösen. Gleiche Datenform wie reCAPTCHA — Site-Schlüssel + Secret-Schlüssel.

  • Site-Schlüssel — Aus Ihrem hCaptcha-Dashboard.
  • Secret-Schlüssel — Aus Ihrem hCaptcha-Dashboard.

Einrichtung: Melden Sie sich auf hcaptcha.com an, rufen Sie die Anmeldeinformationen ab und fügen Sie sie hier ein.

Cloudflare Turnstile

Cloudflares kostenloses, datenschutzfreundliches CAPTCHA. Oft unsichtbar, gelegentlich interaktiv. Gleiche Konfigurationsform — Site-Schlüssel + Secret-Schlüssel.

  • Site-Schlüssel — Aus Ihrem Cloudflare Turnstile-Dashboard.
  • Secret-Schlüssel — Aus Ihrem Cloudflare Turnstile-Dashboard.

Einrichtung: Melden Sie sich auf cloudflare.com/products/turnstile an, erstellen Sie ein Turnstile-Widget und fügen Sie die Schlüssel ein.

Anbieter auswählen

Anbieter Kosten Kundenreibung Datenschutz Notizen
reCAPTCHA v3 Kostenlos Keine (unsichtbar) Sendet Daten an Google Beste Standardeinstellung, wenn Sie bereits Google-Dienste nutzen
hCaptcha Kostenlose / Bezahlte Tarife Gering (gelegentlicher Klick) Datenschutzfreundlich Gute DSGVO-Alternative zu reCAPTCHA
Cloudflare Turnstile Kostenlos Größtenteils keine Datenschutzfreundlich Beste Wahl, wenn Sie bereits Cloudflare nutzen

Sie können jeweils nur einen Anbieter aktivieren. Um den Anbieter zu wechseln, ändern Sie die CAPTCHA-Auswahl oben im Tab — die vorherigen Anmeldeinformationen bleiben gespeichert, sind aber inaktiv, bis Sie zurück wechseln.

E-Mail-Verifizierung

E-Mail-Verifizierung ist eine reaktive Abwehr, die nur aktiviert wird, nachdem WP Simple Pay ein Muster betrügerischer Zahlungsversuche erkennt. Sie ist so konzipiert, dass sie für legitime Kunden bei normalem Traffic unsichtbar ist und nur während eines Angriffs greift.

So funktioniert's

  1. WP Simple Pay lauscht auf charge.failed Webhooks von Stripe mit dem Ergebnis fraudulent.
  2. Wenn die Anzahl der Betrugsabschaltungen innerhalb des konfigurierten Zeitrahmens Ihre konfigurierte Schwelle überschreitet, erfordert jedes nachfolgende Formular auf der Website eine E-Mail-Verifizierung vor der Einreichung.
  3. Kunden erhalten einen Verifizierungscode an die von ihnen eingegebene E-Mail-Adresse. Sie müssen den Code eingeben, um die Zahlung abzuschließen.
  4. Sobald der konfigurierte Zeitraum ohne weitere Betrugsvorfälle abgelaufen ist, wird die Verifizierung automatisch deaktiviert.

Einstellungen

  • E-Mail-Verifizierung (Aktivieren/Deaktivieren) — Hauptschalter. Dringend empfohlen, aktiviert zu lassen.
  • Schwellenwert — Anzahl der Betrugsabლეhnungen, die erforderlich sind, bevor die Verifizierung aktiviert wird. Standard: 3.
  • Zeitrahmen — Fenster (in Stunden), in dem der Schwellenwert gemessen wird. Standard: 6 Stunden.

Anpassen von Schwellenwert und Zeitrahmen

Die Standardwerte (3 Ablehnungen in 6 Stunden) sind bewusst konservativ – sie fangen offensichtliches Kartentesten ab, ohne Kunden bei normalen Verkehrsspitzen zu belästigen.

  • Schwellenwert senken, wenn Sie bereits Ziel von Angriffen waren und eine schnellere Reaktion wünschen (z. B. 2 Ablehnungen).
  • Zeitrahmen verkürzen, wenn Ihre Website ein hohes Transaktionsvolumen hat und 6 Stunden Verlauf einen neuen Angriff verschleiern würden.
  • Schwellenwert erhöhen, wenn Sie sehr hohen Traffic haben und der Standardwert auf normalem Rauschen auslöst.

Wie CAPTCHA und E-Mail-Verifizierung interagieren

Die beiden Ebenen ergänzen sich, sind nicht redundant:

  • CAPTCHA wird bei jeder Einreichung ausgeführt und blockiert Bots, bevor sie Stripe erreichen.
  • E-Mail-Verifizierung läuft nachträglich, nur wenn CAPTCHA umgangen wurde (z. B. durch einen von Menschen gesteuerten Angriff) und Betrugsabლეhnungen bereits angesammelt wurden.

Für beste Ergebnisse aktivieren Sie beide. CAPTCHA behandelt 99 % des automatisierten Missbrauchs kostengünstig; E-Mail-Verifizierung fängt die 1 % ab, die durchkommen.

Anti-Spam im Form Builder

Zusätzlich zu den globalen Einstellungen können einzelne Formulare die E-Mail-Verifizierung im Tab Allgemein des Formular-Editors aktivieren. Dies ist nützlich, wenn Sie ein Formular mit hohem Risiko haben (z. B. ein kleines Spendenformular), das immer verifiziert werden soll, unabhängig davon, ob der globale Schwellenwert erreicht wurde.

Häufig gestellte Fragen

Sehen Kunden das CAPTCHA bei jedem Formular?

reCAPTCHA v3 und Cloudflare Turnstile sind normalerweise unsichtbar – die meisten Kunden sehen nie eine Herausforderung. hCaptcha zeigt ein kleines Widget an, das einen Klick erfordert. Keines davon blockiert legitime Kunden unter normalen Bedingungen.

Warum sehe ich „🛡️ Anti-Spam“ anstelle von „reCAPTCHA“?

Der Tab wurde von reCAPTCHA in Anti-Spam umbenannt, als die Unterstützung für hCaptcha und Cloudflare Turnstile hinzugefügt wurde. Der Name reCAPTCHA ist in älterer Dokumentation noch vorhanden; die zugrunde liegenden Einstellungen sind dieselben.

Werden CAPTCHA-Einstellungen für Stripe Checkout (außerhalb der Website) Formulare berücksichtigt?

CAPTCHA wird auf der WordPress-Seite erzwungen, bevor die Weiterleitung zu Stripe Checkout erfolgt. Die gehostete Seite von Stripe verfügt ebenfalls über eigene Bot-Schutzmechanismen. Für Formulare auf der Website (eingebettet/Overlay) validiert CAPTCHA jede Einreichung, bevor die Zahlung erstellt wird.

Benötige ich ein CAPTCHA, wenn ich E-Mail-Verifizierung habe?

Beide dienen unterschiedlichen Zwecken. CAPTCHA blockiert Bots. E-Mail-Verifizierung blockiert von Menschen gesteuertes Kartentesten, bei dem der Angreifer das CAPTCHA lösen kann, aber keinen Zugriff auf viele echte E-Mail-Postfächer hat. Verwenden Sie beides, wenn Ihre Website ein nennenswertes Zahlungsvolumen verarbeitet.

Was passiert mit Verifizierungscodes, nachdem der Zeitrahmen abgelaufen ist?

Abgelaufene Codes werden von einer geplanten Aufgabe (simpay_cleanup_email_verification_codes) bereinigt. Sie werden automatisch ungültig und können nicht wiederverwendet werden.

Kann ich bestimmte Formulare von Anti-Spam ausnehmen?

Ja – siehe die Einstellungen im Allgemein-Tab pro Formular. Sie können das globale Verhalten bei Bedarf pro Formular überschreiben.

Was kommt als Nächstes?

Haben Sie noch Fragen? Wir helfen Ihnen gerne weiter!

Zuletzt geändert:

Beginnen Sie noch heute mit der Annahme von Zahlungen

Beginnen Sie mit der Annahme von einmaligen und wiederkehrenden Zahlungen oder Spenden auf Ihrer WordPress-Website.